虚拟专用网技术,实现远程访问公司的信息资源,作为一种更能被认可的方法,已经很快地取代拨号连接服务。虽然Windows NT和2000都自夸自己的远程访问服务,包括VPN,但是Windows Server 2003能够提供更高级别的这些服务,为你的用户和基础设施提供一个安全的通信机制。
服务一瞥
Windows Server 2003在VPN和远程访问服务方面做了大量的改进,使其在许多特性上都优于老版本的操作系统。虽然其核心仍然支持点对点隧道协议(PPTP),第二层隧道协议(L2TP),IP安全(IPSec),扩展认证协议(EAP),微软竞争握手认证协议第二版(MS-CHAP 2)和远程访问服务(RAS),但是仍然还有一些值得关注的新特性。
在Windows Server 2003中,通过提供能够NAT(网络地址转换)的L2TP/IPSec服务,和将VPN服务与网络负载平衡服务联合一起使用,来改善VPN服务的可达性、安全性与实用性。而在以前的版本中,为了给NAT设备后面的客户端提供VPN服务,其解决方案是使用安全性较差的PPTP协议。
为了在NAT设备之后使用L2TP/IPSec服务,连接的远程访问端必须运行一个VPN客户端,这个客户端必须支持IPSec协议工作组的草案:IKE中NAT遍历的协商和IPSec数据包的UDP封装。微软的L2TP client已经对其有很好的支持。网络负载平衡服务与基于PPTP和L2TP/IPSec的连接能够一起协同工作。
通过使用运行在VPN服务器上的TCP/IP的NetBIOS(NetBT)名字解析代理服务,Windows Server 2003不需要DNS和WINS服务器就能够支持客户端的NetBIOS名字解析的能力。这样就能够解决一些客户端的名字解析问题。
在Windows Server 2003的标准版和企业版中,支持多达1000个PPTP和1000个L2TP连接,而在网页版(Web)中每种类型只支持一个连接。在Web版中只有单一的连接能够支持安全的远程管理机制。
Windows Server 2003系统为VPN服务做好准备
与Windows Server 2003中的其他服务一样,缺省情况下,路由和远程访问服务(VPN只是其中的一个组件)都没有激活。在激活这些服务之前,需要进行一定的验证工作。首先,服务器上的两个通信设备激活了吗?两者中至少有一个应该是网络适配器。毕竟,远程访问的VPN提供的是从企业的外部来访问内部的网络资源。
其次,检查核实在你的服务器和工作站上运行的协议的正确性。随着不同协议的提出,现在为了确保安全,典型的VPN使用一种是TCP/IP协议,另一种是PPTP或者L2TP协议。为了保证用户能够通过VPN连接访问内部网络的资源,你必须给用户分配IP地址。当然,你可以通过网络中的DHCP服务器或者通过在路由和远程访问服务配置中定义一个地址池来完成这项工作。这为远程的客户端提供了恰当的地址信息,使得DNS和WINS能够有效的进行名字查询。
允许和限制访问
虽然可以采取一定的步骤来减小滥用或者未授权访问内部网络的风险,但是任何类型的远程访问都为它们打开了潜在的大门。例如,在使用Windows Server 2003 的RRAS/VPN功能时,必须明确指出允许每个用户在自己的规范内通过拨号上网优先权来使用这些服务。另外,你可以在服务器上创建一些严格的策略——例如每天时间的限制、最大会话的次数以及MAC地址的限制——来降低系统本身的安全风险。
激活VPN服务
为了激活VPN服务,必须激活路由和远程访问服务,其中包括VPN服务。首先在想要支持VPN的服务器上打开“开始”|“所有程序”|“管理员工具”|“路由和远程访问”。然后,在服务器名字上单击右键并选择“配置并激活路由和远程访问”,这时将弹出一个向导来帮助你配置这些服务。
RRAS 除了包含VPN服务外,还包含了大量的其他性能,例如NAT服务和拨号上网(PPP)。在“配置”屏幕(见图A)上,你可以指定你想要激活的服务。如我只激活拨号上网/VPN服务。
彻底完美解决Photoshop CC 2015/20
安塞尔·亚当斯的摄影作品
KATE
MARGO
IP卡
狗仔卡
发表于 2009-1-2 11:38:34
收藏
转播
分享
淘帖
提升卡
置顶卡
沉默卡
喧嚣卡
变色卡
显身卡