第10章遠程桌面和遠程訪問服務(wù)器

第10章遠程桌面和遠程訪問服務(wù)器第一頁，共36頁。課件制作人聲明本課件共18個Powerpoint文件（每章一個）。教師可根據(jù)教學(xué)要求自由修改此課件（增加或刪減內(nèi)容），但不能自行出版銷售。對于課件中出現(xiàn)的缺點和錯誤，歡迎讀者提出寶貴意見，以便及時修訂。第二頁，共36頁。第10章遠程桌面和遠程訪問服務(wù)器10.1使用遠程桌面管理服務(wù)器10.2使用遠程桌面連接到其他計算機10.3遠程訪問概述10.4VPN簡介10.5本章實驗環(huán)境第三頁，共36頁。第10章遠程桌面和遠程訪問服務(wù)器（續(xù)）10.6配置遠程訪問10.7站點間VPN概述第四頁，共36頁。10.1使用遠程桌面管理服務(wù)器第五頁，共36頁。使用遠程桌面管理的好處使用遠程桌面管理可以提供以下一些好處。支持對WindowsServer2008的完全管理。使用遠程桌面連接，系統(tǒng)管理員可以從運行WindowsServer2008或以前版本W(wǎng)indows操作系統(tǒng)的計算機上來完全管理運行WindowsServer2008的計算機。從任意位置訪問服務(wù)器。使用遠程桌面管理，我們可以在世界上的任何地點，通過廣域網(wǎng)（WAN）、虛擬專用網(wǎng)（VPN）或撥號連接來訪問遠程服務(wù)器。訪問配置設(shè)置。使用遠程桌面管理，可以遠程訪問服務(wù)器的大多數(shù)的配置設(shè)置，包括控制面板。使用遠程桌面會話，我們可以訪問MMC、ActiveDirectory、Microsoft系統(tǒng)管理服務(wù)器、網(wǎng)絡(luò)配置工具和大多數(shù)的其他管理工具。第六頁，共36頁。10.2使用遠程桌面連接到其他計算機使用遠程桌面連接，可以從一臺運行Windows的計算機訪問另一臺運行Windows的計算機，條件是兩臺計算機連接到相同網(wǎng)絡(luò)或連接到Internet。例如，可以在家中的計算機使用所有工作計算機上的程序、文件及網(wǎng)絡(luò)資源，就像坐在工作場所的計算機前一樣。若要連接到遠程計算機，該遠程計算機必須為開啟狀態(tài)，必須具有網(wǎng)絡(luò)連接，遠程桌面必須可用，必須能夠通過網(wǎng)絡(luò)訪問該遠程計算機，還必須具有連接權(quán)限。若要獲取連接權(quán)限，你必須位于允許遠程訪問的用戶列表中。第七頁，共36頁。在服務(wù)器上啟用遠程桌面第八頁，共36頁。授予普通用戶遠程連接的權(quán)限第九頁，共36頁。通過遠程桌面連接到服務(wù)器第十頁，共36頁。將資源映射到遠程服務(wù)器第十一頁，共36頁。10.3遠程訪問概述遠程桌面技術(shù)僅可以使管理員遠程登錄到開啟了遠程桌面的服務(wù)器上，并且只能同時支持兩個并發(fā)連接。如果需要經(jīng)常訪問遠程網(wǎng)絡(luò)中的多臺服務(wù)器，遠程桌面技術(shù)就顯得力不從心了。通過將WindowsServer2008中的“路由和遠程訪問”功能，將系統(tǒng)配置為遠程訪問服務(wù)器，則可以將遠程工作人員或流動工作人員連接到公司網(wǎng)絡(luò)上，遠程用戶可以像其計算機物理連接到公司網(wǎng)絡(luò)上一樣進行工作。此時，就可以訪問公司網(wǎng)絡(luò)中的任何一臺服務(wù)器，包括FTP、Web、文件服務(wù)器等。第十二頁，共36頁。遠程訪問概述（續(xù)）利用遠程訪問連接的用戶可以使用通過LAN連接的用戶通?？捎玫乃蟹?wù)（包括文件共享和打印共享、Web服務(wù)器訪問和消息傳遞等）。例如，在運行“路由和遠程訪問”的服務(wù)器上，客戶端可以使用Windows資源管理器來建立驅(qū)動器連接和連接到打印機。由于遠程訪問完全支持驅(qū)動器號和通用命名約定(UNC)名稱，所以，大多數(shù)商用應(yīng)用程序和自定義應(yīng)用程序不必進行修改即可使用。第十三頁，共36頁。10.4VPN簡介WindowsServer2008的“虛擬專用網(wǎng)（VPN）”可以讓遠程用戶和局域網(wǎng)之間，通過Internet（或其他公用網(wǎng)絡(luò)）來建立起一個安全的通信管道。為了實現(xiàn)VPN功能，我們需要在內(nèi)網(wǎng)搭建一臺VPN服務(wù)器，以便讓VPN客戶端來連接。第十四頁，共36頁。VPN的概念VPN（VirtualPrivateNetwork，虛擬專用網(wǎng)絡(luò)）是當(dāng)前應(yīng)用較為廣泛的技術(shù)，我們可以使用VPN技術(shù)讓出差的用戶通過Internet訪問內(nèi)網(wǎng)，通過配置站點間VPN可以將兩個局域網(wǎng)通過Internet連接起來?？梢园裋PN理解成是虛擬出來的企業(yè)內(nèi)部專線。它可以通過特殊的加密通訊協(xié)議在連接在Internet上的位于不同地方的兩個或多個企業(yè)內(nèi)部網(wǎng)之間建立一條專有的通訊線路，就好比是架設(shè)了一條專線一樣，但是它并不需要真正的去鋪設(shè)光纜之類的物理線路。VPN技術(shù)原是路由器具有的重要技術(shù)之一，但目前在交換機、防火墻設(shè)備或WindowsServer2008等軟件里也都支持VPN功能，一句話，VPN的核心就是利用公共網(wǎng)絡(luò)建立虛擬私有網(wǎng)。第十五頁，共36頁。設(shè)置管理員密碼第十六頁，共36頁。VPN的使用場合第十七頁，共36頁。VPN的使用場合（續(xù)）第十八頁，共36頁。VPN使用的協(xié)議VPN中的隧道是由隧道協(xié)議形成的，VPN使用的隧道協(xié)議主要有三種：點到點隧道協(xié)議（PPTP）、第二層隧道協(xié)議（L2TP）以及IPSec。第十九頁，共36頁。10.5本章實驗環(huán)境第二十頁，共36頁。10.6配置遠程訪問在SJZRAS上配置VPN服務(wù)器第二十一頁，共36頁。配置用戶允許撥入第二十二頁，共36頁。在RemotePC上配置VPN客戶端第二十三頁，共36頁。查看遠程撥入的用戶第二十四頁，共36頁。配置VPN使用L2TP協(xié)議第二十五頁，共36頁。配置RemotePC啟用L2TPVPN客戶端第二十六頁，共36頁。10.7站點間VPN概述站點到站點VPN連接是一種請求撥號連接，它使用VPN隧道協(xié)議（例如PPTP或L2TP/IPSec）來連接專用網(wǎng)絡(luò)的兩個部分。每個VPN路由器都提供一個與VPN路由器所屬網(wǎng)絡(luò)的路由連接。在站點到站點VPN連接中，任何一個路由器通過VPN連接發(fā)送的數(shù)據(jù)包通常都不在路由器上初始化，而是由呼叫路由器（VPN客戶端）初始化這個連接，應(yīng)答路由器（VPN服務(wù)器）偵聽連接請求，接收來自呼叫路由器的連接請求，并根據(jù)請求建立連接。呼叫路由器向應(yīng)答路由器證明自己的身份。在使用共有身份驗證協(xié)議（例如MS-CHAPv2或EAP-TLS）時，應(yīng)答路由器也向呼叫路由器證明自己身份。第二十七頁，共36頁。站點間VPN身份驗證和數(shù)據(jù)加密方法站點間VPN連接的身份驗證采用三種不同的形式。使用PPP身份驗證的用戶級身份驗證。為了建立VPN連接，VPN服務(wù)器使用點對點協(xié)議（PPP）用戶級身份驗證方法對正在嘗試連接的VPN客戶端進行身份驗證，并驗證VPN客戶端是否擁有相應(yīng)的授權(quán)。如果使用相互身份驗證，VPN客戶端也將對VPN服務(wù)器進行身份驗證。使用Internet密鑰交換（IKE）的計算機級身份驗證。為了建立Internet協(xié)議安全（IPSec）安全關(guān)聯(lián)，VPN客戶端和VPN服務(wù)器使用IKE協(xié)議交換計算機證書或預(yù)共享密鑰。在任何一種情況下，VPN客戶端和VPN服務(wù)器均將在計算機級別進行相互身份驗證。強烈建議使用計算機證書身份驗證，因為這種身份驗證方法比其它方法要強大的多。VPN只對L2TP/IPSec連接執(zhí)行計算機級身份驗證。第二十八頁，共36頁。站點間VPN身份驗證和數(shù)據(jù)加密方法（續(xù)）數(shù)據(jù)源身份驗證和數(shù)據(jù)完整性。為了驗證通過VPN連接發(fā)送的數(shù)據(jù)是否源自連接的另一端并且在傳輸中未被修改，數(shù)據(jù)中包含基于加密密鑰（只有發(fā)送方和接收方知道）的加密校驗和。數(shù)據(jù)源身份驗證和數(shù)據(jù)完整性只可用于L2TP/IPSec連接。第二十九頁，共36頁。單向和雙向初始化連接路由器請求撥號接口名稱用戶憑據(jù)中的用戶帳戶名