|
|
|
от Dan DiNicolo |
|
|
Добро пожаловать в статью 23 моей серии. Она посвящена удаленному доступу в Windows 2000. Сюда вошли материалы по удаленному доступу из более обширной темы Routing and Remote Access (Маршрутизация и удаленный доступ), включая настройку dial-in (входящих подключений) и VPN (виртуальны частных сетей), а также политики и профили удаленного доступа. В данную статью включены следующие темы:
Обзор маршрутизации и удаленного доступа Одним из наиболее мощных новых инструментов, пришедших вместе с сервером Windows 2000, является инструмент Routing and Remote Access (RRAS – маршрутизация и удаленный доступ). Возможности, заложенные в RRAS, включают в себя настройку Windows 2000 как основного маршрутизатора (работающего по таким протоколам, как RIP или OSPF), маршрутизатора demand-dial (входящих подключений по требованию)(использующего как стандартные входящие подключения, так и соединения PSTN или ISDN), сервера VPN (допускающего соединения по протоколу PPTP или L2TP), а также комбинации всего вышеперечисленного. В данной статье я расскажу об удаленном доступе, а следующая будет посвящена вопросам маршрутизации. В данной статье рассказывается также о некоторых дополнительных возможностях удаленного доступа, включая возможности настройки политик удаленного доступа (которые дают более точный способ настройки прав доступа). До того, как вы приступите к настройке Маршрутизации и удаленного доступа в Windows 2000, вы должны быть уверены, что эта служба уже установлена и разрешена. Используйте административный инструмент RRAS для разрешения Маршрутизации и удаленного доступа, как показано на рисунке, расположенном ниже:
Выбрав опцию “Configure and Enable Routing and Remote Access” (настроить и разрешить RRAS), вы тем самым запустите мастер RRAS, который предоставит вам наиболее простой путь для настройки вашего сервера в качестве любой из служб, перечисленных ниже и, в то же время, оставляет возможность ручной настройки сервера (последняя опция). Заметьте, что указывающая вниз красная стрелка обозначает, что служба не запущена.
И хотя мастер предлагает вам быстрый путь для подготовки и запуска RRAS, я все же предлагаю вам попытаться вручную настроить службы, так как это поможет вам лучше разобраться во всех настройках.
Настройка службы Dial-up Сервера Windows NT 4 часто использовались в качестве серверов RAS и Windows 2000 продолжает эту традицию и осуществляет это значительно лучше, на мой взгляд. Начните с того, что ознакомьтесь с интерфейсом RRAS, который гораздо сложнее, чем может показаться на первый взгляд. Всегда начинайте с открытия окна свойств сервера RRAS, которое позволяет вам узнать, является ли сервер маршрутизатором или сервером удаленного доступа (надо отметить, что обе эти роли установлены по умолчанию). Вкладка General свойств сервера показана на рисунке, помещенном ниже:
Для того чтобы сделать сервер только сервером VPN, вторая опция (Remote access server –сервер удаленного доступа) должна быть выбрана. Остальные опции, помещенные на данной вкладке, будут рассмотрены немного позже. Для того чтобы настроить RRAS на поддержку удаленного доступа, вам нужно также рассмотреть вторую область интерфейса RRAS – узел “Ports”, как показано ниже:
Заметьте, что перечислены оба вида аппаратных портов (2 порта модема и параллельный порт, показанные на рисунке, расположенном выше), а также виртуальные порты, те, которые связаны с возможностью подключения входящих VPN-соединений (также называемые WAN-минипорты). Для настройки портов для разрешения (или запрещения) входящих соединений, «кликните» правой клавишей мыши на узле “Ports” и выберите опцию Properties. После этого выберите соответствующее устройство (модем, в данном случае, раз уж мы изучаем соединение входящего подключения) и выберите опцию “Configure”. Это позволит вам получить доступ к настройке порта, как показано ниже:
Если устройство предназначается только для входящих или, наоборот, исходящих соединений, выберите или «сбросьте» выбор соответствующего окошка, показанного на рисунке, расположенном выше. Заметьте, что вы можете также указать номер телефона для данного соединения (который может быть впоследствии использован в политиках удаленного доступа), а также максимальное количество номеров портов (так как некоторые устройства, такие, например, как WAN-минипорты, могут поддерживать несколько портов). «Кликните» правой кнопкой на отдельном порту, такому, например, как порт модема в списке портов, что позволит вам проверить статус выбранного порта:
Заметьте, что устройство настроено на входящие соединения и находится в «Слушающем» состоянии. Если соединение будет сделано через данный порт, вы сможете увидеть его статистику, информацию об ошибках, а также информацию о сетевых адресах данного соединения. Вы можете также использовать кнопку “Disconnect” для ручного прекращения соединения в случае необходимости. И хотя установки сервера по умолчанию могут работать прекрасно и предоставлять вам сервис Dial-in, вы все же должны быть хорошо знакомы с оставшимися вкладками настройки свойств, так как для вас могут оказаться существенными соображения безопасности и условия подключения. Четыре оставшиеся вкладки – это Security, IP, PPP и Event Logging. Вкладка Security позволяет вам устанавливать, какие методы аутентификации и входа в систему будут использоваться сервером. По умолчанию для обеих опций установлены значения “Windows”, хотя аутентификация и вход в систему через службу RADIUS также возможна. Службу RADIUS мы рассмотрим в следующей статье. Кроме выбора метода аутентификации вы также должны выбрать соответствующий протокол, который будет использоваться соединением, как показано ниже:
Заметьте, что поддерживаются протоколы EAP, MS-CHAP v2, MS-CHAP, CHAP, SPAP, и PAP, а также возможен вход без аутентификации (который я бы не рекомендовал, по известным причинам). По умолчанию выбран доступ MS-CHAP v2 и MS-CHAP, протоколы по умолчанию, используемые большинством клиентов Windows. Порядок, в котором протоколы перечислены выше, совпадает с порядком предпочтения, в котором они могут быть использованы. Например, если сервер удаленного доступа поддерживает только MS-CHAP v2 и MS-CHAP, как сказано выше, а клиент только MS-CHAP, то он соединится, используя протокол MS-CHAP, так как он является наивысшим общим «знаменателем» для обеих систем. Если, однако, клиент поддерживает только СНАР, соединение будет отвергнуто вовсе, так как сервер не поддерживает данного протокола. Вы должны быть осторожны с выбором возможных протоколов аутентификации, специально ограничивая ваш сервер только теми, которые вам требуются. Допущение использования протокола РАР может привести к нарушению системы безопасности, так как при данном типе аутентификации имя пользователя и пароль передаются по сети открытым текстом. Вкладка IP позволяет вам видеть, выступает ли сервер в качестве маршрутизатора, а также способ распределения адресов, которые могут выделяться либо от сервера DHCP в вашей сети, либо из статической области адресов, специально создаваемой для целей удаленного доступа. Обе эти опции показаны на рисунке:
Заметьте, что IP не является единственным протоколом, который может быть использован для целей удаленного доступа. Также поддерживаются соединения по протоколу IPX, Apple Talk и NetBEUI. Если вы решили использовать DHCP для распределения IP-адресов клиентам, вы должны заметить, что они будут получать только основную настроечную информацию – IP-адрес и маску подсети – до тех пор, пока вы не настроите сервер RRAS в качестве DHCP Relay Agent (агента ретрансляции DHCP). Если это будет сделано, клиент сможет получать все параметры сети, включая адреса серверов WINS и DNS, например. Как настраивается агент ретрансляции DHCP, мы рассмотрим чуть позднее в данной статье. Вкладка PPP позволяет контролировать основные параметры РРР, включая такие, например, как использование многоканального соединения (когда клиент может объединять несколько физических соединений в одно логическое). Если вы выбрали разрешить многоканальное соединение, то можете также использовать (что, впрочем, не обязательно) специальный протокол Bandwidth Allocation Protocol (BAP), который делает многоканальное соединение динамическим, позволяющим вам контролировать, при каких условиях линии будут добавляться в общий канал или отключаться. Протокол Link Control Protocol (LCP) расширяет контроль настроек канала передачи данных после того, как параметры РРР будут согласованы. Этот протокол необходимо использовать, если вы хотите, чтобы ваш сервер RAS поддерживал функцию обратного звонка. Установка программного сжатия позволяет посылать данные по соединению РРР в сжатом виде.
И последняя вкладка – Event Logging (показанная ниже) контролирует уровень протоколирования соединения РРР, связанного с сервером. Если вы разрешите ведение журнала РРР (что очень полезно для выявления неисправностей соединений РРР), информация о соединении будет накапливаться в папке %systemroot%\Tracing в файле, называемом ppp.log. Заметьте, что ведение журнала может негативно повлиять на производительность систему и что для его разрешения потребуется перезапуск службы RRAS.
Настройка сервисов VPN (виртуальной частной сети) Порты VPN используют для настройки протоколов аутентификации, выделения IP-адресов и т.д. абсолютно такие же свойства сервера, какие используют клиенты Dial-in, поэтому я не буду их повторять. Я только расскажу о настройках, относящихся исключительно к портам VPN. Вы, возможно, заметили, что по умолчанию автоматически создается 10 портов VPN, когда запускается служба RRAS, включая 5 РРТР и 5 L2ТР портов по умолчанию. Так как соединения VPN создаются через сетевую карту, теоретически их число ограничено только производительностью системы, а не количеством физических портов. Однако максимальное количество поддерживаемых портов для каждого типа составляет 30,000 (например, для РРТР WAN-минипортов).
Заметьте, что вы не можете установить количество портов равным 0, даже хотя система наводит вас на мысль, что это возможно. Как минимум вы должны иметь хотя бы один порт каждого вида. Допустим, вы решили использовать только протокол РРТР для входящих VPN-соединений и не хотите, чтобы были возможны соединения по протоколу L2ТР. Это достигается не установкой числа портов L2ТР в значение 0, но, вместо этого, настройкой свойств L2TP WAN-минипорта на запрещение входящих соединений, как показано на рисунке:
Из каких соображений выбирается использование протокола РРТР вместо L2TP или наоборот? Обычно это диктуется требуемым уровнем безопасности, а также механизмами безопасности, которые поддерживает ваша сеть. Например, РРТР поддерживает аутентификацию только на клиентском уровне, что означает, что любое соединение, использующее РРТР и предоставившее правильную комбинацию имя пользователя/пароль будет разрешено. Напротив, L2РТ требует 2 уровня аутентификации – сначала устанавливается подлинность машины (через сертификат машины, который требуется предустановить либо через групповую политику, либо при помощи службы сертификации) и затем аутентифицируется пользователь при помощи РРР. Это позволяет обеспечить более высокий уровень безопасности, так как должны быть подтверждена подлинность не только пользователя, но и машины. Недостатком этого являются дополнительные усилия по использованию L2PT, а так же тот факт, что только системы Windows 2000 могут использовать L2PT и IPSec. Агент ретрансляции DHCP Агент ретрансляции DHCP может быть настроен на сервере RRAS в том случае, если вы хотите, чтобы клиенты удаленного доступа могли получать полные настройки IP от службы DHCP. Если вы выбрали получение адресов IP от сервера DHCP без настройки агент ретрансляции, то клиент будет получать только IP-адрес и маску подсети от сервера, независимо от того, какие еще опции настроены для адреса. Традиционно агент ретрансляции DHCP действует как транслятор (forwarder) ВООТР, система, которая позволяет широковещательным сообщениям DHCP достигать сервера DHCP, даже если он находится в другой подсети. Если агента ретрансляции DHCP (или что-то эквивалентное) нет в сети, то сервер DHCP должен быть в той же подсети, что и клиент, что не всегда удобно. В оснастке RRAS агент ретрансляции DHCP настраивается в узле IP Routing. Открыв окно свойств агента ретрансляции DHCP вы можете установить, какому (каким) серверу DHCP будет перенаправлять сообщения агент:
Заметьте также, что двойным щелчком на любом устройстве в интерфейсе агента ретрансляции DHCP, вы можете настроить значения Hop-count Threshold (который контролирует максимальное количество агентов ретрансляции, которые обслуживают запрос), а также Boot Threshold (число секунд, на которое агент задерживает пересылку запроса) для агента ретрансляции. Значение по умолчанию для обоих значений равно 4.
Политики удаленного доступа Пожалуй, наиболее замечательная черта службы RRAS в Windows 2000 – это возможность контролировать доступ в более «тонкой» манере, используя политики удаленного доступа. В отличие от настроек политики, которые хранятся в Active Directory, политики RAS хранятся на том сервере RAS, на котором они создаются. Политики RAS позволяют вам контролировать, кто может (или не может) подключаться к серверу (используя группы), свойства соединения (которые могут быть различными для разных пользователей), как долго они могут поддерживать соединение, протоколы, которые будут при этом использоваться и так далее. Более того, возможно применения нескольких политик на сервере, при этом для разных групп пользователей будут применяться разные политики. Важно понимать, как эти политики работают, какие элементы в них присутствуют и почему вы должны настраивать установки определенным образом. Политики удаленного доступа находятся в одноименном узле инструмента RRAS, как показано на рисунке, расположенном ниже. Заметьте, что по умолчанию одна политика, которая называется “Allow access if dial-in permission is enabled” (позволить доступ, если разрешено входящее подключение), существует по умолчанию.
Это очень важное условие. Если в списке нет ни одной политики, то ВСЕ входящие подключения будут отвергнуты сервером RAS. Политика по умолчанию очень проста. Она позволяет вам входящее подключение, если для вашей учетной записи установлено разрешение “Allows access” (разрешить доступ), в то время как все другие попытки соединения будут отвергнуты. Эта политика эффективно воспроизводит настройку удаленного доступа в Windows NT 4.0 – вы либо имеете право на подключение, либо нет.
Политики удаленного доступа в Windows 2000 на самом деле состоят как бы из трех отдельных частей и каждая из них должна продумываться, когда вы разрабатываете политику. Эти три части политики RAS оцениваются в следующем порядке:
Это может немного сбить вас с толку, поэтому оставайтесь со мной. Итак, первой вещью, которая должна быть оценена, являются условия политики, которым пользователь должен соответствовать для того, чтобы политика была применена к нему. Например, вы можете сделать так, чтобы политика, которую вы создали, будет применена к группе, называемой “Sales”. Если у вас существует только одна политика удаленного доступа, то пользователи, не являющиеся членами данной группы, не смогут подключиться к серверу RAS. Условия политики являются основными параметрами, которые должны выполняться для того, чтобы позволить пользователю подключиться к серверу. Двойной щелчок по политике открывает окно условий этой политики, где вы сможете увидеть разрешен или запрещен для пользователя доступ в том случае, если условие выполняется, как показано на рисунке:
Пример установок, которые могут быть использованы, как условия (включая членство в группах Windows, время и дату, телефонный номер, набираемый пользователем и т.д.), показан на рисунке, расположенном ниже:
Наиболее важная вещь, которую необходимо запомнить, это то, что условия политик рассматриваются в том порядке, в котором они расположены в списке политик. Это означает, что если пользователь не соответствует условиям первой политики, тогда будут рассматриваться условия второй, потом третьей и т.д. Однако если условия какой-либо политики будут соответствовать пользователю, эта политика окажется последней оцениваемой. Так, если есть 13 политик, и пользователь соответствует условиям второй, то остальные политики не оцениваются, даже если они дают пользователю более высокий уровень доступа. Помните, что если пользователь не соответствует условиям ни одной из политик, тогда доступ для данного пользователя будет запрещен автоматически. Разрешения оцениваются только в том случае, если пользователь соответствует условиям политики. Разрешения устанавливаются в соответствии с настройкой вкладки Dial-in свойств учетной записи пользователя. Существует три разрешения: Разрешить доступ, Запретить доступ и Контролировать доступ через политику удаленного доступа. Если разрешение для вашей учетной записи – Разрешить доступ, тогда к ней применяются настройки Профиля (об этом мы поговорим немного позднее). Если установлено разрешение – Запретить доступ, то доступ будет автоматически запрещен для пользователя. Если учетная запись имеет разрешение Контролировать доступ через политику удаленного доступа, то доступ будет контролироваться условиями и настройками профиля политик удаленного доступа. По умолчанию, если домен находится в смешанном режиме, все пользователи имеют разрешение Запретить доступ. Когда домен переключается в основной режим, все учетные записи переключаются на разрешение Контролировать доступ через политику удаленного доступа. Эта установка является более гибкой, так как многим пользователям может быть разрешен удаленный доступ при помощи установки одной политики, которая предоставляет доступ группе пользователей Sales, например, и это много проще, чем устанавливать свойства многих учетных записей по отдельности. Если разрешение пользователя позволяет ему доступ, то заключительный уровень оценки дается привлечением настроек профиля. Настройки профиля контролируются через нажатие кнопки “Edit Profile” в окне свойств политики. Эти настройки будут действовать на пользователя, если он соответствует условиям политики и имеет разрешение на удаленный доступ. Например, ему может быть назначено время доступа в течение только 2 часов, отключение в случае 30-минутного простоя, а также требование применения сильного шифрования, например. Если по каким-то причинам пользователь не может выполнить условий профиля, то его подключение также будет запрещено. Если вы найдете время и просмотрите окно настройки профиля (это слишком большой материал, чтобы приводить его здесь), вы увидите, что они разделяются на следующие вкладки: Dial-in Constraints (ограничения удаленного подключения), IP settings, Multilink properties, Authentication setting, Encryption settings и Advanced settings (которая относится к оборудованию для удаленного подключения). Рисунок, расположенный ниже, изображает вкладку Dial-in Constraints:
Как вы можете видеть, контроль удаленного доступа в Windows 2000 выполняется более «тонко», чем в NT 4. Однако он еще и предоставляет различный уровень доступа для разных групп пользователей, что делает его более гибким. Запомните порядок, в котором оцениваются политики и, я уверен, на экзамене у вас все пойдет как по маслу. Вот и весь материал этой недели. Первоначально я планировал включить рассмотрение RADIUS в данную статью, но он будет включен в следующую статью, которая посвящена маршрутизации в службе Маршрутизация и Удаленный доступ. Я еще раз благодарю всех, кто поддерживает мою серию и надеюсь увидеть ваши технические вопросы на моей доске объявлений. Как всегда я открыт для переписки. Наилучших пожеланий в вашей учебе на этой неделе.
Дэн
|
