Служба маршрутизации и удаленного доступа

       

Установка RAS


Назначением сервера удаленного доступа является прием входящих звонков от удаленных компьютеров, позволяя тем самым пользователям получать доступ к внутренним сетевым ресурсам. Windows 2000 содержит встроенный PPP. Любое устройство, которое может устанавливать PPP-соединение, может подключаться к серверу Windows 2000. Сюда входят системы на базе Macintosh и даже UNIX.

Для того, чтобы Windows 2000 могла принимать звонки, необходимо следующее:

  • Естественно, Windows 2000 должна быть сконфигурирована с ПО удаленного доступа для приема звонков.
  • Устройство клиента должно быть способно установить PPP-соединение.
  • К серверу RAS должны быть подключены соответствующие устройства (модем, линия ISDN, T1 и т.п.)
  • Клиенту должен иметь модем или иное устройство, способное устанавивать соединение с сервером.
  • На сервере Windows 2000 должна существовать учетная запись пользователя, который будет устанавливать соединение.
  • Если эти условия выполнены, вы можете предоставлять услуги RAS своим пользователям.

    Для

    начала установки RAS щелкните кнопку Start и выберите Programs, Administrative Tools, Routing and Remote Access. При этом запустится Microsoft Management Console (MMC) и вы должны увидеть в списке слева свой сервер. Щелкните правой кнопкой мыши на имени сервера и выберите опцию Configure and Enable Routing and Remote Access. При этом запустится мастер установки сервера удаленного доступа.

    Первым делом надо определить, какую роль будет выполнять сервер. Существует несколько предопределенных опций - сервер VPN, сервер RAS или сетевой маршрутизатор. Мы выбираем сервер RAS. Щелкните на радио-кнопке Remote Access Server и затем кнопку Next. Вас спросят, хотите ли вы сконфигурировать сервер как основной RAS-сервер (т.е. самостоятельный сервер с упрощенным администрированием), или как Расширенный RAS-сервер (способный использовать политики удаленного доступа и являющийся сервером - членом домена). Windows сообщит, что вы должны настроить входящие сетевые соединения в папке Network and Dial-up Connections. После того, как вы нажмете OK, Мастер завершит работу.




    Если вы выбрали настройку расширенного (advanced) RAS-сервера, вас попросят проверить установленные протоколы.



    Замечание

    Выбор "No, I need to add protocols" вызовет остановку мастера и процесс настройки будет прерван. Рекомендуется, чтобы вы продолжили процесс и вернулись назад позднее для установки дополнительных протоколов. Единственное исключение - TCP/IP. Всегда рекомендуется установить его до начала установки RAS.

    Из рисунка можно было бы подразумевать, что вы можете выбрать, какие протоколы использовать с RAS. К сожалению, это не так. Мастер установки RAS подразумевает, что вы будете использовать все протоколы для удаленных соединений. Если вы хотите удалить протоколы с сервера RRAS, Вам следует сделать это вручную, после завершения установки.

    Подразумевая, что TCP/IP уже установлен, следующим шагом Мастер RRAS решает, как вы хотите управлять назначением IP-адресов клиентам. Поскольку каждое устройство в сети требует уникального адреса IP, у вас должен быть метод распределения адресов. Если у вас в сети есть сервер DHCP (не обязательно на той же машине, что и RAS), вы можете использовать службу DHCP для автоматического назначения адресов IP. Это опция по умолчанию. Для ее использования вам необходим активный сервер RAS, имеющий достаточное количество адресов IP. Если по каким-то причинам вам нужно определить диапазон этих адресов, включите радио-кнопку "From" и щелкните "Next". В следующем окне определите диапазон IP-адресов. Иногда это требуется при наличии скриптов или программ, зависящих от IP-адресов. Определив диапазон, щелкните кнопку "Next".



    На следующем экране вам следует определить способ аутентификации пользователй. Здесь есть две опции: использовать сервер RADIUS ("Yes, I want to use a RADIUS server," или без него ("No, I don't want to set up this server to use RADIUS now.") Если вы не знаете, что такое RADIUS, это может вас смутить. RADIUS - это сокращение от Remote Authentication Dial-In User Service (служба аутентификации удаленных соединений), она используется для аутентификации и регистрации удаленных соединений разного типа. RADIUS содержит защищенную базу данных, в которой пользователи и устройства имеют разные уровни доступа. Если у вас есть RADIUS, вы можете настроить RRAS для аутентификации пользователей с его помощью. Настройка RADIUS выходит за рамки этой книги, поэтому выберите "No" и щелкните "Next".



    Поскольку вы не используете RADIUS, вам остается нажать кнопку "Finish" для завершения установки RRAS. Начиная с этого места сервер готов принимать входящие соединения, назначая им IP-адреса, проверяя их в базе данных клиентов (Windows 2000 Active Directory или RADIUS), и позволяя им получить доступ в сеть. Но не торопитесь: мы еще не определили, кто может использовать удаленный доступ! Мы же не хотим разрешить кому угодно дозваниваться до нашего сервера? Следующим шагом является предоставление пользователям прав в дереве Active Directory. Щелкните кнопку Start выберите Programs, Administrative Tools, Active Directory Users and Computers, найдите пользователя, которому вы хотите дать права. Щелкните правой кнопкой мыши на пользователе, выберите Edit, войдите свойства. Выберите закладку Dial-in в Administrator Properties.



    По

    умолчанию, в блоке "Remote Access Policy" включена опция Control access. Щелкните "Allow access" для предоставления прав удаленного доступа. Здесь также есть некоторые опции безопасности. Если модем и телефонная линия поддерживает caller ID, вы можете включить эту опцию для проверки того, что звонок исходит из правильного места. Еще одной опцией является использование обратного вызова (Callback). Если она включена, сервер RAS попробует вызвать пользователя по указанному телефонному номеру для установления соединения. Это првязывает пользователя к конкретному телефонному номеру. Другая опция состоит в назначении пользователю фиксированного IP-адеса при каждой регистрации. Обычно это используется для настройки правил фильтрации на межсетевых экранах.

    Кажется, все готово. Вы установили требуемое оборудование, программное обеспечение, настроили службу удаленного доступа и предоставили пользователям права для удаленного соединения. Но не торопитесь. Сначала протестируйте свой сервер, чтобы убедиться, что он предоставляет те услуги, которые требуются. Очень часто администраторы настраивают систему, а потом убеждаются, что она не соответствует их требованиям. Чем более тщательно будет проведено тестирование, тем лучше все будет работать.

    Использование RADIUS

    RADIUS является очень мощным средством при использовании совместно с удаленным доступом. Большинство решений VPN поддерживают RADIUS, а учетная информация может быть получена от сервера RADIUS. И все же его внедрение следует тщательно обдумать. RADIUS можно использовать для защиты чего угодно - от веб-страниц до локальной сети. Существует несколько доступных пакетов RADIUS, но все основаны на базовом протоколе. Сетевые устройства, например, маршрутизаторы, могут передавать учетные данные как часть RADIUS-пакета на сервер учета, который в свою очередь может использоваться для сбора статистики.


    Содержание раздела