Установка и администрирование служб маршрутизации и удаленного доступа. [Занятие 14]
Развертывание и администрирование сети с выделенным сервером на базе Windows Server 2003 на Thursday 23 November 2006 от в Сетевые Операционные Системы ОС > ОС Windows
Управление политикой удаленного доступа.
Политики удаленного доступа — это упорядоченный набор правил, определяющих порядок авторизации подключения или отказа в подключении. Для каждого правила имеется одно или несколько условий, набор параметров профиля и настройка разрешений удаленного доступа.
На следующем рисунке показан алгоритм обработки попыток подключения с использованием политики удаленного доступа.
Для управления политикой удаленного доступа необходимо в дереве Консоли управления Маршрутизация и удаленный доступ выбрать ветвь с именем локального сервера, а в ней выбрать ветвь Политика удаленного доступа. Все настроенные политики удаленного доступа отображаются в списке справа.
На сервере удаленного доступа может быть установлено несколько политик. В этом случае порядок их анализа и применения определяется числом, указанным в колонке Порядок. Вы можете изменять порядок применения политик, используя команды Вверх и Вниз контекстного меню, вызываемого при нажатии правой кнопки мыши на имени политики. Политики анализируются в порядке возрастания числа в колонке Порядок.
Добавление новой политики удаленного доступа.
Для добавления новой политики удаленного доступа необходимо в дереве Консоли управления Маршрутизация и удаленный доступ выбрать ветвь с именем локального сервера, а в ней выбрать ветвь Политика удаленного доступа. Нажмите правую кнопку мыши на этой ветви и выберите из контекстного меню пункт Создать политику удаленного доступа. Будет запущен Мастер создания политики удаленного доступа.
На первом шаге мастера вы должны указать имя политики, которое будет использоваться для ее отображения в списке политик. К тому же вы можете выбрать стандартный набор правил создаваемой политики или создать свой, установив переключатель Каким образом следует установить эту политику в соответствующее положение.
На следующем шаге мастера вы должны задать способ доступа к серверу, для которого создается новая политика.
Имеется два способа предоставления авторизации с помощью политик удаленного доступа:
Для отдельных пользователей.
Для групп.
На следующем шаге мастера вы должны указать, способ предоставления авторизации.
Список Имя группы содержит имена групп, на которые будет распространяться действие данной политики. Добавить или удалить группу из списка можно нажав соответствующую кнопку.
На данном шаге мастера вы можете выбрать методы проверки подлинности удаленного подключения. Методы проверки подлинности обычно используют протокол проверки подлинности, который согласовывается в процессе установления соединения.
Протокол EAP, по соображениям безопасности, следует использовать только при работе со смарт-картами. Если проверка подлинности выполняется по протоколу MS-CHAP, используйте MS-CHAP версии 2.
Следующий шаг мастера позволяет установить уровень шифрования.
MPPE и IPSec используют следующие ключи шифрования: 40-битный (простое шифрование), 56-битный (сильное шифрование) или 128-битный (стойкое шифрование).
При подключении к старым операционным системам, не поддерживающим шифрование с 56-битным или 128-битным ключом, следует использовать 40-битные ключи шифрования. В других случаях применяйте 56-битные ключи шифрования. Ключи шифрования определяются во время подключения. MPPE требует использования протоколов проверки подлинности MS-CHAP (v1 или v2) или EAP.
На последнем шаге мастера выводится сводная информация о создаваемой политике. При необходимости можно изменить параметры создаваемой политики, щелкая кнопку Назад.
После щелчка по кнопке Готово новая политика удаленного доступа будет создана и добавлена в список политик.
Настройка параметров политики удаленного доступа.
Для настройки параметров политики удаленного доступа необходимо в дереве Консоли управления Маршрутизация и удаленный доступ выбрать ветвь с именем локального сервера, а в ней выбрать ветвь Политика удаленного доступа. В списке справа выберите нужную политику, нажмите на ней правую кнопку мыши и выберите из контекстного меню пункт Свойства.
На вкладке Параметры вы можете настроить параметры выбранной политики удаленного доступа.
В списке Укажите условия, которым должны удовлетворять запросы на подключение вы должны указать одно или более условий, которые должны выполняться для того, чтобы к клиентам удаленного доступа применялась указанная политика доступа. Новое условие можно добавить щелкнув кнопку Добавить. Условие можно изменить, щелкнув кнопку Изменить, или удалить, щелкнув кнопку Удалить. Окно настройки условия зависит от типа условия.
При помощи переключателя Если запрос на подключение удовлетворяет указанным условиям вы можете настроить поведение сервера удаленного доступа после выполнения клиентом необходимых условий. Вы можете выбрать один из вариантов:
Предоставить право удаленного доступа – пользователю будет предоставлено право использования удаленного доступа;
Отказать в праве удаленного доступа – пользователю будет отказано в праве использования удаленного доступа. Если для конкретного пользователя переопределены права доступа в параметрах его учетной записи, то доступ будет предоставлен в соответствии с параметрами учетной записи.
Щелкнув кнопку Изменить профиль, вы можете изменить параметры профиля пользователя удаленного доступа, который будет использоваться для каждого удаленного пользователя, удовлетворяющего условиям политики.
На вкладке Ограничения по входящим звонкам вы можете настроить ограничения для входящих соединений.
Для того, чтобы установить ограничение на время простоя при удаленном соединении, установите флажок Время простоя сервера до разъединения и введите необходимое количество минут. Для того, чтобы ограничить продолжительность любого сеанса удаленного пользователя, установите флажок Время, в течение которого клиент может быть подключен и введите необходимое количество минут.
Установив флажок Разрешить доступ только в определенное время, вы можете настроить дни недели и часы, в которые пользователь может подключаться к серверу удаленного доступа. Для изменения графика используйте кнопку Изменить.
Для того, чтобы разрешить подключение пользователя только с определенного телефонного номера, установите флажок Разрешить вход только по этому номеру и введите нужный номер. Вы также можете ограничить набор средств, которыми пользователь может подключаться к серверу удаленного доступа. Для этого установите флажок Разрешить доступ только через эти носители и установите пометки рядом с нужными параметрами в списке.
На вкладке IP вы можете настроить параметры IP-адреса клиента.
При помощи переключателя Назначение IP-адресов вы можете выбрать один из следующих вариантов поведения:
IP-адрес должен быть назначен сервером – IP-адрес клиенту всегда выделяется сервером удаленного доступа;
Клиент может запросить IP-адрес – клиент может использовать как статический IP-адрес, так и динамический, который он запрашивает у сервера удаленного доступа;
IP-адрес определяют параметры сервера – порядок настройки IP-адреса клиента определяется настройками сервера удаленного доступа и параметрами учетной записи пользователя.
При помощи кнопок Фильтры входа и Фильтры выхода вы можете настроить фильтрацию IP-пакетов, применяемых сервером удаленного доступа при подключении клиента.
На вкладке Многоканальное подключение настраивается возможность использования клиентом многоканальных подключений.
При помощи переключателя Параметры многоканального подключения вы можете выбрать один из следующих вариантов поведения:
Определяются сервером – возможность использования многоканальных подключений определяется настройками сервера удаленного доступа;
Не разрешать многоканальные подключения – клиент удаленного доступа может использовать только один порт для подключения;
Разрешать многоканальные подключения – клиенту разрешено использование указанного (поле Максимальное число портов) или меньшего количества портов для подключения.
Ниже вы можете настроить параметры протокола BAP, используемого при многоканальных подключениях. Для отключения дополнительных линий при снижении нагрузки на соединение в целом, установите необходимые значения в поле Процент загрузки. В этом случае линии будут отключаться по одной при снижении общей нагрузки до указанного уровня в течение указанного периода времени. Установив флажок Требовать BAP для динамических многоканальных запросов, вы укажете, что клиент должен использовать протокол BAP для динамического подключения или отключения дополнительных линий. В противном случае после отключения дополнительных линий при снижении нагрузки клиент не сможет подключить их обратно, когда нагрузка на канал возрастет.
На вкладке Проверка подлинности вы можете настроить поддержку различных протоколов проверки подлинности и шифрования при обмене данных с клиентом удаленного доступа.
Устанавливая флажки рядом с соответствующими протоколами, убедитесь, что эти протоколы поддерживаются и клиентом удаленного доступа и сервером удаленного доступа.
Установка флажка Разрешить подключение клиентов без согласования метода проверки подлинности ускорит процесс регистрации клиентов удаленного доступа, однако должна использоваться только в том случае, когда и клиент и сервер удаленного доступа поддерживают одинаковые протоколы проверки подлинности. Обычно этот флажок имеет смысл устанавливать только при настройке подключения по требованию между двумя маршрутизаторами.
На вкладке Шифрование вы можете настроить уровни шифрования, которые могут использоваться клиентом удаленного доступа. Рекомендуется установить все флажки для того, чтобы уровень шифрования определялся клиентом удаленного доступа.
На вкладке Дополнительно вы можете настроить дополнительные атрибуты, которые будут передаваться серверу удаленного доступа после установления подключения. В основном здесь указываются параметры, которые могут использоваться при взаимодействии с сервером RADIUS.
Для добавления параметра щелкните кнопку Добавить и выберите нужный параметр из списка. Щелкнув кнопку Изменить, вы можете указать значение параметра, которое будет передано серверу удаленного доступа.
Удаление политики удаленного доступа.
Для удаления политики удаленного доступа необходимо в дереве Консоли управления Маршрутизация и удаленный доступ выбрать ветвь с именем локального сервера, а в ней выбрать ветвь Политика удаленного доступа. В списке справа выберите нужную политику, нажмите на ней правую кнопку мыши и выберите из контекстного меню пункт Удалить. После дополнительного подтверждения политика удаленного доступа будет удалена. Клиенты, подключенные с использованием удаленной политики отключены не будут и продолжат работу в соответствии с параметрами, полученными во время подключения.
Для нормальной работы сервера удаленного доступа рекомендуется не удалять политику удаленного доступа, установленную и настроенную по умолчанию. При необходимости вы можете добавить и настроить свою собственную политику удаленного доступа, назначив ей более высокий приоритет.
