Настройка Свойств сервера
Снова выберем в окне консоли имя сервера, щелкнем правой кнопкой мыши и выберем пункт меню " Свойства ".
- 1. На закладке " Общие " можно изменить сценарии использования службы:
- только как маршрутизатор (либо только для локальной сети, либо для локальной сети и удаленных сетей, подключенный через средства удаленных коммуникаций);
- только как сервер удаленного доступа;
- комбинация обоих вариантов.
- На закладке " Безопасность " настраиваются используемые методы проверки подлинности (аутентификации) пользователей, подключающихся к службе удаленного доступа. Служба RRAS системы Windows Server поддерживает следующие методы аутентификации (по степени возрастания защищенности данной процедуры):
- без проверки подлинности — при данном варианте вообще не проверяются имя и пароль пользователя, а также права доступа пользователя к службе RRAS (ни в коем случае не рекомендуем использовать на практике данный метод, т.к. открывает возможность подключения к корпоративной сети любому желающему, имеющему информацию о точке подключения, например, номера телефонов на модемном пуле);
- протокол PAP ( Password Authentication Protocol ) — самый простой протокол, унаследованный от старых версий служб удаленного доступа (реализованных не только в системе Windows), при данном протоколе имя и пароль пользователя передаются через средства коммуникаций открытым текстом, по умолчанию данный метод аутентификации отключен;
- протокол SPAP ( Shiva Password Authentication Protocol ) — использует протокол шифрования паролей, разработанный компанией Shiva (в прошлом — один из разработчиков средств удаленного доступа), алгоритм шифрования паролей слабее, чем в методах CHAP и MS CHAP, по умолчанию этот метод также отключен;
- протокол CHAP ( Challenge Handshake Authentication Protocol ) — для шифрования пароля используется метод хэширования MD-5 (по сети передается значение хэш-функции пароля), данный протокол является одним из отраслевых стандартов и реализован во многих системах удаленного доступа, его рекомендуется использовать при подключении клиентов, работающих не на платформе Windows, по умолчанию также отключен;
- протокол MS-CHAP ( Microsoft Challenge Handshake Authentication Protocol ) — версия протокола CHAP, реализованная корпорацией Microsoft с хэш-функцией MD-4;
- протокол MS-CHAP версии 2 (Microsoft Challenge Handshake Authentication Protocol version 2) — усиленная версия MS CHAP (более длинный ключ шифрования при передаче пароля, вычисление нового ключа при каждом новом сеансе подключения, взаимная аутентификация пользователя и сервера удаленного доступа);
- протокол расширенной проверки подлинности ЕАР (Extensible Authentication Protocol) — позволяет использование смарт-карт при аутентификации пользователя (требуются сертификаты как для сервера RRAS, так и для пользователей).
Клиенты удаленного доступа, имеющиеся в системах Windows, при подключении к серверу удаленного доступа всегда начинают использовать самый защищенный метод аутентификации. Если на сервере не реализован запрашиваемый протокол аутентификации, клиент пробует менее защищенный протокол. И так до тех пор, пока не будет подобран протокол, поддерживаемый обеими сторонами.
Кроме указанных протоколов можно осуществлять подключение к службе RRAS с помощью службы RADIUS (рассмотрим ниже).
На этой же закладке настраивается использование службы учета сеансов пользователей (служба учета Windows, служба учета RADIUS, либо отсутствие службы учета), по умолчанию — служба учета Windows.
И здесь же задается общий секрет при использовании протокола L2TP для организации виртуальных частный сетей ( VPN ). Возможность использования общего секрета для VPN на базе протокола L2TP имеется только в Windows Server 2003, в версии Windows 2000 протокол L2TP можно было использовать только при наличии сертификатов для обеих сторон частной сети.
- На закладке " IP " настраивается разрешение маршрутизации IP-пакетов между компьютером клиента и корпоративной сетью (по умолчанию) и задается способ формирования пула IP-адресов, выдаваемых RRAS-сервером подключаемым к нему клиентам.
Есть два способа формирования пула — использование сервера DHCP, установленного в корпоративной сети, и задание пула IP-адресов на самом сервере удаленного доступа (при этом способе 1-й IP-адрес из пула будет назначен интерфейсу " Внутренний " на самом сервере RRAS, а оставшиеся в пуле адреса будут назначаться RRAS-клиентам)
- Закладка " PPP ". Здесь разрешается или запрещается использование многоканальных подключений протокола PPP ( multilink PPP ). Протокол PPP позволяет использовать несколько коммуникационных каналов (например, несколько коммутируемых телефонных линий и, соответственно, одновременное использование нескольких модемов на серверной и на клиентской стороне) как одно подключение с соответствующим увеличением пропускной способности и назначением по одному IP-адресу на стороне клиента и сервера. При этом возможно использование динамического управления пропускной способностью (с помощью протоколов BAP / BACP, Bandwidth Allocation Protocol / Bandwidth Allocation Control Protocol ), которые позволяют при возрастании трафика активизировать дополнительные телефонные линии из имеющегося пула телефонных линий, а при уменьшении трафика — отключать телефонные линии.
- Закладка " Ведение журнала ". На этой закладке настраивается уровень протоколирования событий, связанных с сеансами работы удаленных пользователей.
Дата добавления: 2015-10-13; просмотров: 638;