Download
1 / 45
450 likes | 526 Views
管理 Windows 2000 网络环境课程内容. 第一章: Microsoft Windows 2000 网络环境管理概述 第二章: Microsoft Active Directory 目录服务 第三章:共享网络资源管理 第四章:委派管理控制 第五章: DNS 管理 第六章: Active Directory 复制 第七章:实现组策略 第八章:使用组策略管理桌面环境 第九章: 网络安全管理 第十章:管理 Web 服务 第十一章:配置远程访问 第十二章: DHCP 实施和管理 第十三章:实现名称解析 第十四章:启动和登录疑难解答.
E N D
管理 Windows 2000 网络环境课程内容 • 第一章:Microsoft Windows 2000 网络环境管理概述 • 第二章:Microsoft Active Directory 目录服务 • 第三章:共享网络资源管理 • 第四章:委派管理控制 • 第五章:DNS 管理 • 第六章:Active Directory 复制 • 第七章:实现组策略 • 第八章:使用组策略管理桌面环境 • 第九章:网络安全管理 • 第十章:管理 Web 服务 • 第十一章:配置远程访问 • 第十二章:DHCP 实施和管理 • 第十三章:实现名称解析 • 第十四章:启动和登录疑难解答
第十一章 配置远程访问 • Windows 2000 远程访问概述 • 配置远程访问服务器 • 配置身份验证协议 • 配置加密协议 • 为 DHCP 集成配置路由和远程访问 • 检查远程访问策略 • 检查远程访问策略评估 • 创建远程访问策略 • 配置远程访问客户端 • 最佳实践
Windows 2000 远程访问概述 11.1 Windows 2000 远程访问概述 • 远程访问连接的工作方式 • 拨号连接,虚拟专用网连接 • 远程访问协议和 LAN 协议 • 点对点协议 (PPP),Microsoft RAS,AppleTalk 远程访问协议 • 虚拟专用网络协议 • PPTP 和 L2TP • 多重链接协议 • 将多个物理链接组合为一个逻辑包来增加带宽
远程访问连接的工作方式 LAN 协议 远程访问协议 LAN 协议 Internet 11.1.1 远程访问连接的工作方式 局域网 远程访问服务器 远程访问协议 远程访问客户端
远程访问协议和 LAN 协议 TCP/IP 远程访问协议 LAN 协议 NWLink PPP NetBEUI Microsoft RAS AppleTalk ARAP (server only) 11.1.2 远程访问协议和 LAN 协议
虚拟专用网络协议 PPTP 基于 IP 的网络 不支持报头压缩 不支持隧道验证 使用内置 PPP 加密 兼容性好 Internet 11.1.3 虚拟专用网络协议 L2TP 基于 IP、帧中继、X.25 或 ATM 的网络 支持报头压缩 支持隧道验证 使用 IPSec 加密 对 Microsoft 操作系统而言,只支持 Windows 2000 和 Windows XP 的计算机 客户端 服务器 PPTP 或 L2TP
多重链接协议 11.1.4 多重链接协议 多重链接 A 远程访问 服务器 B 带有带宽分配协议 (BAP) 的多重链接 A 远程访问服务器 B C 根据需要切换连接
第十一章 配置远程访问 • Windows 2000 远程访问概述 • 配置远程访问服务器 • 配置身份验证协议 • 配置加密协议 • 为 DHCP 集成配置路由和远程访问 • 检查远程访问策略 • 检查远程访问策略评估 • 创建远程访问策略 • 配置远程访问客户端 • 最佳实践
配置远程访问服务器 11.2 配置远程访问服务器 • 配置入站连接 • 配置调制解调器和电缆端口 • 配置虚拟专用网络端口 • 配置“多重链接”连接 • 为用户配置入站访问
配置入站连接 11.2.1 配置入站连接
配置调制解调器和电缆端口 11.2.2 配置调制解调器和电缆端口 端口 (按类型分组) 电话号码 虚拟端口数
配置虚拟专用网络端口 11.2.3 配置虚拟专用网络端口 PPTP 端口 L2TP 端口
配置“多重链接”连接 11.2.4 配置“多重链接”连接 • 在远程访问服务器上配置“多重链接”和 BAP • 在远程访问客户端上配置“多重链接”
为用户配置入站访问 User1 属性 常规 地址 账户 配置 电话 组织 拨入 隶属于 环境 超时 远程访问权限 (拨入或 VPN) 允许访问 拒绝访问 通过远程访问策略控制访问 确认调用方 ID: 回拨选项 不回拨 由调用方设置 (仅用于路由和远程访问) 总是回拨 指定静态IP地址 申请IP路由 为该拨入连接定义路由 静态路由 确定 取消 应用 11.2.5 为用户配置入站访问 权限 调用方 ID 回拨 IP 路由
第十一章 配置远程访问 • Windows 2000 远程访问概述 • 配置远程访问服务器 • 配置身份验证协议 • 配置加密协议 • 为 DHCP 集成配置路由和远程访问 • 检查远程访问策略 • 检查远程访问策略评估 • 创建远程访问策略 • 配置远程访问客户端 • 最佳实践
配置身份验证协议 11.3 配置身份验证协议 • 标准身份验证协议 • 可扩展身份验证协议 • “可扩展身份验证协议 (EAP)”使远程访问服务器能够进行自定义身份验证
标准身份验证协议 协议 安全性 何时使用 PAP 低 当使用更安全形式的验证,客户端和服务器不能协商时 SPAP 中 当连接到 Shiva LAN Rover,或当 Shiva 客户端连接到基于 Windows 2000 的远程访问服务器时 CHAP 中上 当客户端不运行 Microsoft 操作系统时 MS-CHAP 中上 当客户端运行 Windows 2000、Microsoft Windows NT 4.0 或后期版本,或 Microsoft Windows 95 或后期版本 MS-CHAP v2 高 当客户端运行 Windows 2000 拨号,或运行 Windows NT 4.0 Service Pack 4 或后期版本 VPN 11.3.1 标准身份验证协议
可扩展身份验证协议 11.3.2 可扩展身份验证协议 • 客户端和远程访问服务器通过协商来决定要使用的身份验证方法 • 使用以下的方法来支持身份验证: • 消息摘要 5 质询握手身份验证协议 • 传输层安全性 (TLS) • 附加的第三方身份验证方法 • 通过 API 支持新的客户端和服务器身份验证方法
第十一章 配置远程访问 • Windows 2000 远程访问概述 • 配置远程访问服务器 • 配置身份验证协议 • 配置加密协议 • 为 DHCP 集成配置路由和远程访问 • 检查远程访问策略 • 检查远程访问策略评估 • 创建远程访问策略 • 配置远程访问客户端 • 最佳实践
配置加密协议 加密方案 MPPE IPSec 基本加密 40位 56位 DES 强加密 56位 56位 DES 最强加密 128位 3 重 DES 11.4 配置加密协议
第十一章 配置远程访问 • Windows 2000 远程访问概述 • 配置远程访问服务器 • 配置身份验证协议 • 配置加密协议 • 为 DHCP 集成配置路由和远程访问 • 检查远程访问策略 • 检查远程访问策略评估 • 创建远程访问策略 • 配置远程访问客户端 • 最佳实践
为 DHCP 集成配置路由和远程访问 11.5 为 DHCP 集成配置路由和远程访问 • 通过使用 DHCP 给远程访问客户端分配 IP 地址 • 配置“路由和远程访问”来使用 DHCP
通过使用 DHCP 给远程访问客户端分配 IP 地址 能够使用 DHCP 服务器时: 一开始远程访问服务器将从 DHCP 服务器获取 10 个 IP 地址 远程访问服务器使用“自动专用 IP 寻址” 不能使用 DHCP 服务器时: 11.5 为 DHCP 集成配置路由和远程访问(1)
配置“路由和远程访问”来使用 DHCP 11.5 为 DHCP 集成配置路由和远程访问(2)
第十一章 配置远程访问 • Windows 2000 远程访问概述 • 配置远程访问服务器 • 配置身份验证协议 • 配置加密协议 • 为 DHCP 集成配置路由和远程访问 • 检查远程访问策略 • 检查远程访问策略评估 • 创建远程访问策略 • 配置远程访问客户端 • 最佳实践
检查远程访问策略 远程访问策略 • 策略存储于本地,不存储在 Active Directory 中 • 策略的组件: • 条件 • 权限 • 配置文件 11.6 检查远程访问策略
第十一章 配置远程访问 • Windows 2000 远程访问概述 • 配置远程访问服务器 • 配置身份验证协议 • 配置加密协议 • 为 DHCP 集成配置路由和远程访问 • 检查远程访问策略 • 检查远程访问策略评估 • 创建远程访问策略 • 配置远程访问客户端 • 最佳实践
检查远程访问策略评估 11.7 检查远程访问策略评估 • 跟踪策略评估逻辑 • Windows 2000 根据策略条件、用户与远程访问权限和配置文件设置的逻辑来评估一个连接尝试 • 检查默认策略和多策略 • 当连接尝试与所有策略都不匹配时,就对它使用默认策略
“路由和远程访问” 与远程访问策略的条件相匹配 “路由和远程访问”在 Active Directory中检查用户的拨入权限 “路由和远程访问”与用户账户和策略配置文件所设置的连接相匹配 3 2 1 是 是 否 否 拒绝 拒绝 允许 允许 使用远程访问策略 使用远程访问策略 连接 连接 连接 连接 拒绝 拒绝 允许 允许 评估 配置文件 否 是 否 是 条件 配置文件 权限 跟踪策略评估逻辑 11.7.1 跟踪策略评估逻辑
检查默认策略和多策略 11.7.2 检查默认策略和多策略 • 默认远程访问策略 • 当连接尝试与所有策略都不匹配时,就对它使用默认策略 • 只有设置一个用户的拨入权限为“允许访问”,该用户的连接尝试才会被接受 • 多策略 • 按序检查策略,直到某一个策略与连接尝试相匹配为止 • 只检查第一个匹配的远程访问策略的配置文件或用户账户设置
第十一章 配置远程访问 • Windows 2000 远程访问概述 • 配置远程访问服务器 • 配置身份验证协议 • 配置加密协议 • 为 DHCP 集成配置路由和远程访问 • 检查远程访问策略 • 检查远程访问策略评估 • 创建远程访问策略 • 配置远程访问客户端 • 最佳实践
创建远程访问策略 11.8 创建远程访问策略 • 配置远程访问策略条件 • 远程访问策略条件是与连接尝试设置进行比较的属性。如果一个策略中有多个条件,那么所有的条件都必须与连接尝试设置相匹配,否则就自动评估下一个策略 • 配置远程访问配置文件设置 • 远程访问配置文件指明当条件匹配时,会授予用户何种类型的访问权限。只有连接尝试与用户账户或配置文件的设置不冲突时,才能授予访问权限
配置远程访问策略条件 11.8.1 配置远程访问策略条件 连接尝试条件的示例 • 每星期一到星期五上午 8 点到下午 5 点 • 连接的 IP 地址是否符合 192.168.*.* • 连接是否来自 Sales 组的用户
配置远程访问配置文件设置 • 配置文件设置的示例 • 连接时间为 90 分钟 • 需要 IPSec 加密 11.8.2 配置远程访问配置文件设置
第十一章 配置远程访问 • Windows 2000 远程访问概述 • 配置远程访问服务器 • 配置身份验证协议 • 配置加密协议 • 为 DHCP 集成配置路由和远程访问 • 检查远程访问策略 • 检查远程访问策略评估 • 创建远程访问策略 • 配置远程访问客户端 • 最佳实践
配置远程访问客户端 11.9 配置远程访问客户端 • 创建拨号连接 • 创建虚拟专用网络连接 • 检查连接属性
创建拨号连接 网络连接向导 网络连接类型 根据网络配置和联网需要,您可以选择要创建的联网类型 客户端 远程访问服务器 拨号到专用网络 用我的电话线(调制解调器或 ISDN)连接 拨号到 Internet 用我的电话线(调制解调器或 ISDN)连接到 Internet Internet 客户端 ISP 服务器 11.9.1 创建拨号连接
创建虚拟专用网络连接 公司intranet Intranet 适配器 Internet 适配器 Windows 2000 VPN 服务器 Internet 管道 VPN 远程访问服务器 11.9.2 创建虚拟专用网络连接
检查连接属性 11.9.3 检查连接属性
第十一章 配置远程访问 • Windows 2000 远程访问概述 • 配置远程访问服务器 • 配置身份验证协议 • 配置加密协议 • 为 DHCP 集成配置路由和远程访问 • 检查远程访问策略 • 检查远程访问策略评估 • 创建远程访问策略 • 配置远程访问客户端 • 最佳实践
最佳实践 只安装所需的协议 适用 DHCP 获取 IP 地址 使用强加密 对同一个用户使用相同的远程访问策略 通过复制,创建多连接 使用强身份验证 11.10 最佳实践
回顾 • 描述远程访问过程和协议 • 在远程访问服务器上配置入站连接 • 为远程访问会话配置身份验证协议 • 为 DHCP 的集成配置“路由和远程访问”服务 • 解释远程访问策略和配置文件概念 • 描述远程访问策略评估过程 • 创建远程访问策略并配置远程访问配置文件 • 在远程访问客户端上配置出站连接
