遠(yuǎn)程訪(fǎng)問(wèn)效勞的培訓(xùn)講座

1、遠(yuǎn)程訪(fǎng)問(wèn)效勞的培訓(xùn)講座本章目標(biāo)了解遠(yuǎn)程訪(fǎng)問(wèn)的作用和意義掌握遠(yuǎn)程訪(fǎng)問(wèn)服務(wù)器的配置方法掌握客戶(hù)機(jī)網(wǎng)絡(luò)連接的配置方法 掌握遠(yuǎn)程訪(fǎng)問(wèn)策略的使用掌握遠(yuǎn)程訪(fǎng)問(wèn)的一些排錯(cuò)方法遠(yuǎn)程訪(fǎng)問(wèn)服務(wù)概述遠(yuǎn)程訪(fǎng)問(wèn)服務(wù)（RAS）提供了兩種連接方式撥號(hào)網(wǎng)絡(luò)虛擬專(zhuān)用網(wǎng)絡(luò)內(nèi)部網(wǎng)絡(luò)RAS服務(wù)器公共網(wǎng)絡(luò)撥號(hào)用戶(hù)VPN用戶(hù)VPN撥號(hào)連接虛擬專(zhuān)用連接好像客戶(hù)機(jī)直接連接在局域網(wǎng)上一樣 撥號(hào)網(wǎng)絡(luò)組件 撥號(hào)網(wǎng)絡(luò)客戶(hù)端遠(yuǎn)程訪(fǎng)問(wèn)服務(wù)器 WAN結(jié)構(gòu) 遠(yuǎn)程訪(fǎng)問(wèn)協(xié)議 LAN協(xié)議內(nèi)部網(wǎng)絡(luò)RAS服務(wù)器調(diào)制解調(diào)器調(diào)制解調(diào)器公共交換電話(huà)網(wǎng)PSTN 綜合業(yè)務(wù)數(shù)字網(wǎng)ISDN 非對(duì)稱(chēng)數(shù)字用戶(hù)線(xiàn)ADSL 點(diǎn)到點(diǎn)協(xié)議PPP串行線(xiàn)路網(wǎng)際協(xié)議SLIPMicrosoft RA

2、S協(xié)議 TCP/IP,IPX,NetBEUI win2003的遠(yuǎn)程訪(fǎng)問(wèn) 數(shù)據(jù)傳輸通信協(xié)議遠(yuǎn)程客戶(hù)端通過(guò)遠(yuǎn)程訪(fǎng)問(wèn)服務(wù)器連接與訪(fǎng)問(wèn)本地網(wǎng)絡(luò)的資源時(shí)須用到下面協(xié)議： 1、 LAN通訊協(xié)議： NETBEUI、TCP/IP、IPX/SPX、AppleTalk協(xié)議等 AppleTalk遠(yuǎn)程訪(fǎng)問(wèn)協(xié)議：ARAP使Apple Macintosh客戶(hù)機(jī)可訪(fǎng)問(wèn)2003遠(yuǎn)程訪(fǎng)問(wèn)服務(wù)器反之，2003客戶(hù)不能訪(fǎng)問(wèn)ARAP遠(yuǎn)程訪(fǎng)問(wèn)服務(wù) 2、 遠(yuǎn)程訪(fǎng)問(wèn)通訊協(xié)議：1） SIIP（串行線(xiàn)路網(wǎng)際協(xié)議）：使用UNIX系統(tǒng)的遠(yuǎn)程訪(fǎng)問(wèn)協(xié)議。注：A、 客戶(hù)端IP地必須為靜態(tài) B、 不支持DHCP和WINS。 C、 局域網(wǎng)支協(xié)議只能為T(mén)CP

3、/IP協(xié)議 D、 以明文傳送密碼 E、 效率較高 F、WIN2000/2003客戶(hù)端可以使用SLIP協(xié)議連接UNIX系統(tǒng)RAS服務(wù)器，但WIN2000/2003服務(wù)器不支持SIIP協(xié)議。2） PPP（點(diǎn)對(duì)點(diǎn)協(xié)議）：工業(yè)標(biāo)準(zhǔn)協(xié)議，當(dāng)前被子廣泛使用。注：A、 能夠支持各種局域網(wǎng)協(xié)議； B、 WIN2000/WIN2003的RAS只支持 NETBEUI、TCP/IP、 IPX/SPX協(xié)議； C、 WINDOWS客戶(hù)端只支持NETBEUI 、TCP/IP、 IPX/SPX ，AppleTalk的Macintosh客戶(hù)端可以通過(guò)此協(xié)議來(lái)連接WIN2003的RAS，但WINDOWS客戶(hù)端不可以連接ARAP

4、（AppleTalk Remote Access Protocol）的RAS。3、MICROSOFT RAS協(xié)議:MICROSOFT專(zhuān)有的通信協(xié)議，只支持NETBEUI協(xié)議。遠(yuǎn)程拔號(hào)服務(wù)可以讓遠(yuǎn)程客戶(hù)端利用電話(huà)線(xiàn)通過(guò)MODEM 、ISDN、 X.25等連接遠(yuǎn)程訪(fǎng)問(wèn)服務(wù)器，從而訪(fǎng)問(wèn)本地資源。遠(yuǎn)程拔號(hào)連接方式1、PSTN（公用交換電話(huà)網(wǎng)）注：1） 公用交換電話(huà)網(wǎng)； 2） 電話(huà)線(xiàn)； 3） 調(diào)制解調(diào)器； 4） 傳輸速率33.6K-53K,最大 56K； 5） 帶寬不足，傳輸接入慢，傳輸質(zhì)量差，不夠安全。 2、ISDN（綜合業(yè)務(wù)數(shù)字網(wǎng)）注： 電話(huà)線(xiàn)； ISDN適配器 ， NT（網(wǎng)絡(luò)終端），俗稱(chēng)“一線(xiàn)通”

5、； 傳輸數(shù)字信號(hào)； 基本速率的ISDN 提供2個(gè)B信道，一個(gè)D信道， B信道傳輸速率為64K D 信道傳輸速率為16K 基本速率可將2個(gè)B信道整合即2B+D，高級(jí)速率可將23個(gè)B信道整合，23B+D3、ADSL（非對(duì)稱(chēng)數(shù)字用戶(hù)線(xiàn)路）：適用中小型企業(yè)及居民用戶(hù)的技術(shù)。1）電話(huà)線(xiàn)、ADSL適配器,(ADSL MODEM)；2）上傳和下載速率不同，上傳640K2M.下載1.5M8M；VPN概述家庭辦公I(xiàn)nternet VPN通道上海分公司北京總公司VPN服務(wù)器在公網(wǎng)上為兩個(gè)局域網(wǎng)開(kāi)辟一條安全的數(shù)據(jù)傳輸隧道節(jié)約成本，提高了安全性VPN組件 VPN客戶(hù)端VPN服務(wù)器隧道VPN連接隧道協(xié)議傳輸互聯(lián)網(wǎng)絡(luò) 配

6、置遠(yuǎn)程訪(fǎng)問(wèn)服務(wù) 激活路由和遠(yuǎn)程訪(fǎng)問(wèn)服務(wù) 配置遠(yuǎn)程訪(fǎng)問(wèn)服務(wù)器配置客戶(hù)機(jī)網(wǎng)絡(luò)連接 Internet網(wǎng)絡(luò)接口設(shè)置為Windows身份驗(yàn)證激活路由和遠(yuǎn)程訪(fǎng)問(wèn)服務(wù)配置遠(yuǎn)程訪(fǎng)問(wèn)服務(wù)器的屬性 常規(guī) 安全 IP PPP 日志 身份驗(yàn)證方式采用Windows身份驗(yàn)證IP地址的分配有2種動(dòng)態(tài)主機(jī)配置協(xié)議和靜態(tài)地址池利用DHCP將IP地址分配給遠(yuǎn)程訪(fǎng)問(wèn)客戶(hù)機(jī)如果DHCP服務(wù)器是可用的如果DHCP服務(wù)器是不可用的將某些DHCP選項(xiàng)指定給撥號(hào)用戶(hù)可使用默認(rèn)的路由和遠(yuǎn)程訪(fǎng)問(wèn)類(lèi)CLASS遠(yuǎn)程訪(fǎng)問(wèn)服務(wù)器一次從DHCP服務(wù)器獲得10個(gè)IP地址第一個(gè)地址給自己使用遠(yuǎn)程訪(fǎng)問(wèn)服務(wù)器使用APIPA地址169.254.0.0/16配置端

7、口 配置用戶(hù)撥入屬性 配置客戶(hù)機(jī)網(wǎng)絡(luò)連接 連接VPN服務(wù)器客戶(hù)端獲得專(zhuān)用IP地址 輸入U(xiǎn)NC路徑“10.1.1.2doc”訪(fǎng)問(wèn)局域網(wǎng)中的文件服務(wù)器 配置多鏈路連接(兩端必須都起用)ABABC遠(yuǎn)程訪(fǎng)問(wèn)服務(wù)器多鏈路帶BAP按需動(dòng)態(tài)增/減鏈路遠(yuǎn)程訪(fǎng)問(wèn)服務(wù)器多鏈路 多鏈路技術(shù)將多個(gè)物理鏈路結(jié)合成一個(gè)邏輯束，以增加帶寬，如4*128=512KpbsPPP多鏈路協(xié)議BAP帶寬分配協(xié)議提供動(dòng)態(tài)的多鏈路支持服務(wù)器配置RRAS服務(wù)器屬性PPP多重鏈接連接使用BAP或BACP的動(dòng)態(tài)帶寬控制 在遠(yuǎn)程訪(fǎng)問(wèn)客戶(hù)機(jī)上配置多鏈路相應(yīng)連接屬性常規(guī)選擇連接使用的多個(gè)設(shè)備選項(xiàng)（選一個(gè)）只撥叫第一個(gè)可用的設(shè)備（等于沒(méi)啟動(dòng)多重連接功

8、能）撥叫所有設(shè)備（等于起用了多重連接功能）只根據(jù)需要撥叫設(shè)備自動(dòng)撥號(hào)：帶寬高于75% 持續(xù)維持2分鐘，自動(dòng)增加撥號(hào)連接一線(xiàn)自動(dòng)掛段：帶寬低于10% 持續(xù)維持2分鐘，自動(dòng)掛段其中連接一線(xiàn)實(shí)驗(yàn)背景IBM公司出差的員工需要訪(fǎng)問(wèn)公司局域網(wǎng)的文件服務(wù)器上的共享文件夾doc文件服務(wù)器的IP地址為10.1.1.2出差的員工使用VPN連接到公司局域網(wǎng)，VPN服務(wù)器的IP為192.168.1.2出差員工的計(jì)算機(jī)的OS為Windows XP ，IP地址為192.168.1.11（假設(shè)以上2個(gè)IP地址為互聯(lián)網(wǎng)的IP地址）出差員工如何能使用UNC路徑“10.1.1.2doc”訪(fǎng)問(wèn)局域網(wǎng)中的文件服務(wù)器目標(biāo)激活路由和遠(yuǎn)程

9、訪(fǎng)問(wèn)服務(wù)配置用戶(hù)撥入屬性配置客戶(hù)機(jī)網(wǎng)絡(luò)連接驗(yàn)證能夠利用VPN訪(fǎng)問(wèn)局域網(wǎng)遠(yuǎn)程訪(fǎng)問(wèn)策略用于決定用戶(hù)是否有權(quán)連接遠(yuǎn)程訪(fǎng)問(wèn)服務(wù)器.注: 1）如果有多條遠(yuǎn)程訪(fǎng)問(wèn)策略,則系統(tǒng)會(huì)逐一匹配,只要其中一個(gè)為允許,則該用戶(hù)可以連接；2）遠(yuǎn)程訪(fǎng)問(wèn)策略的內(nèi)容：A、 策略?xún)?nèi)容 B、 策略屬性 C、 配置文件3）規(guī)則：A、匹配策略條件：若策略條件允許,則匹配用戶(hù)拔入權(quán)限；反之,則用戶(hù)不可以連接；B、匹配拔入權(quán)限：若拔入權(quán)限允許,則匹配配置文件，若拔入權(quán)限拒絕,則用戶(hù)不可以連接,若拔入權(quán)限為“通過(guò)遠(yuǎn)程訪(fǎng)問(wèn)策略控制訪(fǎng) 問(wèn)”,則匹配策略屬性，若策略屬性允許,則匹配配置文件,若拒絕則用戶(hù)不可以連接；C、匹配配置文件：若配置文件允

10、許,則用戶(hù)可以連接,反之則不可以連接。遠(yuǎn)程訪(fǎng)問(wèn)策略的組成條件配置文件遠(yuǎn)程訪(fǎng)問(wèn)權(quán)限策略條件策略條件添加策略條件對(duì)編輯策略條件限制用戶(hù)的連接時(shí)間和日期添加選中的條件配置文件撥入限制IP身份驗(yàn)證多重鏈接加密對(duì)數(shù)據(jù)加密對(duì)密碼加密遠(yuǎn)程訪(fǎng)問(wèn)策略的應(yīng)用規(guī)則是否有策略處理開(kāi)始連接嘗試是否符合策略條件處理下一策略檢查Ignore-User-Dialin-Properties 屬性屬性值是否為False遠(yuǎn)程訪(fǎng)問(wèn)策略是否被設(shè)置為“拒絕遠(yuǎn)程訪(fǎng)問(wèn)權(quán)限”用戶(hù)帳戶(hù)上是否被設(shè)置為“拒絕訪(fǎng)問(wèn)”用戶(hù)帳戶(hù)上是否被設(shè)置為“允許訪(fǎng)問(wèn)”連接嘗試是否同時(shí)符合用戶(hù)帳戶(hù)和配置文件的設(shè)置拒絕連接請(qǐng)求接受連接嘗試拒絕連接嘗試是是是是是是否否否否否

11、否否是驗(yàn)證通信協(xié)議WIN2003所支持的驗(yàn)證通信協(xié)議有:1、 PAP:該方式對(duì)密碼不加密,以時(shí)文傳輸 2、 SPAP: 密碼經(jīng)過(guò)加密,很少用3、 CHAP:密碼加密,MD-54、 MS-CHAPV2:MICROSOFT,密碼加密采用MPPE方式加密注:1）安全性?xún)?yōu)先級(jí) PAPSPAPCHAPMS-CHAPMSCHAPV2 2） MS-CHAP 及MS-CHAPV2 不僅密碼加密而且對(duì)數(shù)據(jù)加密；標(biāo)準(zhǔn)的身份驗(yàn)證協(xié)議協(xié)議安全性PAP低口令明文SPAP中口令加密CHAP高M(jìn)S-CHAP高何時(shí)使用客戶(hù)機(jī)和服務(wù)器不能利用更安全的驗(yàn)證形式進(jìn)行協(xié)商時(shí)。雙向可逆的加密機(jī)制某些客戶(hù)運(yùn)行非MS操作系統(tǒng)，MD5有些用

12、戶(hù)運(yùn)行NT4.0， 95/98，2003MS-CHAPv2高有些運(yùn)行2003的撥號(hào)客戶(hù)機(jī)運(yùn)行NT4/98的VPN機(jī)更強(qiáng)的初始數(shù)據(jù)密鑰，不同的密鑰配置加密協(xié)議RRAS遠(yuǎn)程訪(fǎng)問(wèn)策略相應(yīng)策略屬性編輯配置文件加密Edit Dial-in ProfileDial-in ConstraintsIPMultilinkAdvancedEncryptionAuthenticationNOTE: These encryption settings apply only to the Windows 2003 Routing and Remote Access Service.Select the level(s)

13、 of encryption that should be allowed by this profile.無(wú)加密基本加密強(qiáng)加密最強(qiáng)加密OKCancelApply IPSec：56位（DES） MPPE：40位 IPSec：56位（DES） MPPE：56位 IPSec：3DES MPPE： 128位排錯(cuò)檢查步驟 1）硬件是否正常2）遠(yuǎn)程訪(fǎng)問(wèn)服務(wù)是否啟動(dòng)3）如果啟動(dòng)，則檢查服務(wù)器設(shè)置，如端口是否允許遠(yuǎn)程訪(fǎng)問(wèn)連接4）用戶(hù)帳戶(hù)的撥入屬性配置是否正確5）遠(yuǎn)程訪(fǎng)問(wèn)策略是否存在，如果存在，則策略的條件、遠(yuǎn)程訪(fǎng)問(wèn)權(quán)限、配置文件是否符合6）客戶(hù)端的配置，例如新建網(wǎng)絡(luò)連接的參數(shù)是否正確、用戶(hù)名和密碼是否輸入正確等常見(jiàn)故障及解決方法故障現(xiàn)象1錯(cuò)誤649：本賬戶(hù)沒(méi)有撥入的權(quán)限 可能的原因用戶(hù)帳戶(hù)撥入屬性中設(shè)置拒絕訪(fǎng)問(wèn)遠(yuǎn)程訪(fǎng)問(wèn)策略中的條件不滿(mǎn)足，例如“Day-And-Time-Restrictions”在規(guī)定時(shí)間段內(nèi)拒絕，或者“Windows-Groups”添加的用戶(hù)組中的成員不包含本帳戶(hù)等遠(yuǎn)程訪(fǎng)問(wèn)策略中的設(shè)置了拒絕遠(yuǎn)程訪(fǎng)問(wèn)權(quán)限沒(méi)有遠(yuǎn)程訪(fǎng)問(wèn)策略（遠(yuǎn)程訪(fǎng)問(wèn)策略全部