Настройка маршрутизации и удаленного доступа в Windows 2008 r2

Обновлено: 02.07.2024

В этой главе обсуждается настройка маршрутизатора и брандмауэра, а также трансляция сетевых адресов, описанная в экзамене 70-642 MCTS Windows Server 2008.

Эта глава из книги

Эта глава из книги

Эта глава из книги 

Термины, которые вам необходимо понять:

  • Маршрутизатор
  • Метрика
  • Прыжок
  • Статические маршруты
  • Динамические маршруты
  • Информационный протокол маршрутизатора (RIP)
  • Расщепление горизонта
  • Сначала открыть кратчайший путь (OSPF)
  • Брандмауэр
  • Брандмауэр с отслеживанием состояния
  • Брандмауэр Windows
  • Брандмауэр Windows в режиме повышенной безопасности
  • Профиль использования
  • Преобразование сетевых адресов (NAT)

Методы/концепции, которые вам необходимо освоить:

  • Настройте статические маршруты с помощью консоли маршрутизатора и удаленного доступа (RRAS) и команды Route.exe.
  • Настройте протокол информации о маршрутизаторе (RIP).
  • Настройте фильтрацию пакетов, брандмауэр Windows и брандмауэр Windows в режиме повышенной безопасности.
  • Настройте коммутируемую маршрутизацию.
  • Настройте преобразование сетевых адресов.

маршрутизатор – это устройство, которое управляет потоком данных между сегментами сети или подсетями. Поскольку несколько локальных сетей или сегментов соединены вместе, создается несколько маршрутов для передачи данных из одной локальной сети или сегмента в другую. Маршрутизатор направляет входящие и исходящие пакеты на основе имеющейся у него информации о состоянии его собственных сетевых интерфейсов и списка возможных направлений для сетевого трафика.

Спрогнозировав потребности в сетевом трафике и маршрутизации, вы можете решить, хотите ли вы использовать выделенный аппаратный маршрутизатор, например маршрутизатор Cisco, или программный маршрутизатор, например, включенный в Windows Server 2008. требования маршрутизации, вы почти всегда будете использовать выделенные аппаратные маршрутизаторы. Для небольших сетей можно использовать программное решение для маршрутизации. Для маршрутизации Microsoft Windows Server 2008 включает службу маршрутизации и удаленного доступа.

Маршрутизация и маршрутизаторы

Когда вы отправляете пакет с одного компьютера на другой, он сначала определяет, отправляется ли пакет локально на другой компьютер в той же локальной сети или на маршрутизатор, чтобы его можно было перенаправить в локальную сеть назначения. Если пакет предназначен для отправки на компьютер в другой локальной сети, он отправляется на маршрутизатор (или шлюз). Затем маршрутизатор определяет наилучший маршрут и перенаправляет пакеты по этому маршруту. Затем пакет переходит к следующему маршрутизатору, и весь процесс повторяется до тех пор, пока он не попадет в локальную сеть назначения. Затем маршрутизатор назначения пересылает пакеты на компьютер назначения.

Для определения наилучшего маршрута используются сложные алгоритмы маршрутизации, которые учитывают множество факторов, включая скорость каждой среды передачи, количество сегментов сети и сегмент сети, через который проходит наименьший трафик. Затем маршрутизаторы обмениваются информацией о состоянии и маршрутизации с другими маршрутизаторами, чтобы они могли лучше управлять трафиком и обходить медленные соединения. Кроме того, маршрутизаторы предоставляют дополнительные функции, такие как возможность фильтровать сообщения и пересылать их в разные места на основе различных критериев. Большинство маршрутизаторов являются многопротокольными, поскольку они могут маршрутизировать пакеты данных с использованием множества различных протоколов.

Метрика – это стандарт измерения, например количество переходов, который используется алгоритмами маршрутизации для определения оптимального пути к месту назначения. Переход – это путь, по которому пакет данных проходит от одного маршрутизатора к другому или от маршрутизатора к другой промежуточной точке в другой точке сети. В большой сети количество прыжков, которые пакет совершил до места назначения, называется счетчиком прыжков. Когда компьютер обменивается данными с другим компьютером, и компьютер должен пройти через четыре маршрутизатора, он имеет количество переходов, равное четырем. Без учета других факторов метрика будет равна четырем. Если бы у маршрутизатора был выбор между маршрутом с четырьмя метриками и маршрутом с шестью метриками, он предпочел бы маршрут с четырьмя метриками маршруту с шестью метриками. Конечно, если вы хотите, чтобы маршрутизатор выбирал маршрут с шестью метриками, вы можете перезаписать метрику для маршрута с четырьмя переходами в таблице маршрутизации на более высокое значение.

Чтобы отслеживать различные маршруты в сети, маршрутизаторы создают и поддерживают таблицы маршрутизации. Маршрутизаторы взаимодействуют друг с другом, чтобы поддерживать свои таблицы маршрутизации посредством сообщения обновления маршрутизации. Сообщение обновления маршрутизации может состоять из всей или части таблицы маршрутизации. Анализируя обновления маршрутов от всех других маршрутизаторов, маршрутизатор может составить подробную картину топологии сети.

Статические и динамические маршруты

Алгоритмы статической маршрутизации едва ли можно назвать алгоритмами, а представляют собой сопоставления таблиц, установленные сетевым администратором до начала маршрутизации. Эти сопоставления не изменяются, пока администратор сети не изменит их. Алгоритмы, использующие статические маршруты, просты в разработке и хорошо работают в средах, где сетевой трафик относительно предсказуем, а структура сети относительно проста.

Поскольку системы статической маршрутизации не могут реагировать на изменения в сети, они обычно считаются неподходящими для современных крупных меняющихся сетей. Большинство доминирующих алгоритмов маршрутизации — это алгоритмы динамической маршрутизации, которые адаптируются к изменяющимся сетевым условиям путем анализа входящих сообщений об обновлении маршрута. Если сообщение указывает, что произошло изменение сети, программное обеспечение маршрутизации пересчитывает маршруты и отправляет новые сообщения об обновлении маршрута. Эти сообщения проходят через сеть, побуждая маршрутизаторы повторно запускать свои алгоритмы и соответствующим образом изменять свои таблицы маршрутизации.

При необходимости алгоритмы динамической маршрутизации могут быть дополнены статическими маршрутами.

Алгоритм вектора расстояния и состояния канала

Маршрутизаторы используют протоколы маршрутизации на основе вектора расстояния для периодического объявления или широковещательной рассылки маршрутов в своих таблицах маршрутизации, но они отправляют их только своим соседним маршрутизаторам. Информация о маршрутизации, которой обмениваются типичные маршрутизаторы на основе вектора расстояния, не синхронизируется и не подтверждается. Протоколы маршрутизации на основе вектора расстояния просты, понятны и просты в настройке. Недостатком является то, что несколько маршрутов к данной сети могут отражать несколько записей в таблице маршрутизации, что приводит к большой таблице маршрутизации. Кроме того, если у вас есть большая таблица маршрутизации, сетевой трафик увеличивается, поскольку он периодически сообщает таблицу маршрутизации другим маршрутизаторам, даже после конвергенции сети. Наконец, конвергенция протоколов вектора расстояния в крупных сетях может занять несколько минут.

Алгоритмы состояния канала также известны как алгоритмы поиска кратчайшего пути. Вместо широковещательной рассылки маршрутизаторы состояния канала отправляют обновления напрямую (или с помощью многоадресного трафика) всем маршрутизаторам в сети. Однако каждый маршрутизатор отправляет только ту часть таблицы маршрутизации, которая описывает состояние его собственных каналов. По сути, алгоритмы состояния канала повсюду рассылают небольшие обновления. Поскольку они сходятся быстрее, алгоритмы состояния канала несколько менее подвержены петлям маршрутизации, чем алгоритмы вектора расстояния. Кроме того, алгоритмы состояния канала не обмениваются информацией о маршрутизации, когда объединенная сеть сходится. У них небольшие таблицы маршрутизации, потому что они хранят один оптимальный маршрут для каждого идентификатора сети. С другой стороны, алгоритмы состояния канала требуют большей мощности ЦП и памяти, чем алгоритмы вектора расстояния. Поэтому алгоритмы состояния канала могут быть более дорогими в реализации и поддержке и считаются более сложными для понимания.

Протокол информации о маршрутизации

Популярным протоколом маршрутизации является протокол информации о маршрутизации (RIP), который представляет собой дистанционно-векторный протокол, предназначенный для обмена информацией о маршрутизации в сетях малого и среднего размера. Самым большим преимуществом RIP является то, что его очень просто настроить и развернуть.

RIP использует единую метрику маршрутизации, состоящую из числа переходов (количество маршрутизаторов), для измерения расстояния между исходной и целевой сетью. Каждому переходу на пути от источника к получателю назначается значение счетчика переходов, которое обычно равно 1. Когда маршрутизатор получает обновление маршрута, содержащее новую или измененную запись сети назначения, маршрутизатор добавляет единицу к значению метрики, указанному в update и входит в сеть в таблице маршрутизации. В качестве следующего прыжка используется IP-адрес отправителя.

Поскольку RIP использует только количество переходов для определения наилучшего пути к объединенной сети. Если RIP находит несколько ссылок на одну и ту же удаленную сеть с одинаковым количеством переходов, он автоматически выполняет циклическую балансировку нагрузки. RIP может выполнять балансировку нагрузки для шести каналов равной стоимости.

Однако проблема с использованием прыжков в качестве единственного показателя возникает, когда два канала к удаленной сети имеют разную пропускную способность. Например, если у вас есть одна коммутируемая ссылка размером 56 КБ, а T1 работает со скоростью 1,544 Мбит/с, будет некоторая неэффективность при отправке одинаковых данных по обоим путям. Это известно как перегрузка точечного отверстия. Чтобы преодолеть перегрузку точечных отверстий, необходимо спроектировать сеть с каналами с одинаковой пропускной способностью или использовать протокол маршрутизации, учитывающий пропускную способность.

RIP предотвращает бесконечное продолжение циклов маршрутизации, вводя ограничение на количество прыжков, разрешенных на пути от источника к месту назначения. Максимальное количество переходов на пути равно 15. Если маршрутизатор получает обновление маршрута, содержащее новую или измененную запись, и если увеличение значения метрики на единицу приводит к тому, что метрика становится бесконечной (в данном случае 16), сеть пункт назначения считается недостижимым.Конечно, это делает невозможным масштабирование RIP для больших или очень больших сетевых сетей. Примечание. Проблема счета до бесконечности является причиной того, что максимальное число переходов RIP для межсетевых IP-сетей установлено на 15 (16 для недостижимых). Более высокие значения максимального числа переходов увеличат время конвергенции, когда произойдет счет до бесконечности.

Изначально таблица маршрутизации для каждого маршрутизатора включает только те сети, которые к нему физически подключены. Маршрутизатор RIP периодически (каждые 30 секунд) отправляет объявления, содержащие записи его таблицы маршрутизации, чтобы другие маршрутизаторы могли обновить свои таблицы маршрутизации. RIP версии 1 использует широковещательные IP-пакеты для своих объявлений. RIP версии 2 использует многоадресные или широковещательные пакеты для своих объявлений. Все сообщения RIP отправляются через UDP-порт 520.

Маршрутизаторы RIP также могут передавать информацию о маршрутизации через триггерные обновления, которые запускаются при изменении топологии сети. В отличие от запланированных объявлений, инициированные обновления отправляются немедленно, а не сохраняются для следующего периодического объявления. Например, когда маршрутизатор обнаруживает канал или сбой маршрутизатора, он обновляет свою собственную таблицу маршрутизации и отправляет обновленные маршруты. Каждый маршрутизатор, который получает инициированное обновление, изменяет свою собственную таблицу маршрутизации и распространяет изменение на другие маршрутизаторы.

Вы можете настроить каждый маршрутизатор RIP со списком маршрутизаторов (по IP-адресам), которые принимают объявления RIP. При настройке списка одноранговых узлов RIP объявления RIP от неавторизованных маршрутизаторов RIP отбрасываются. Кроме того, чтобы предотвратить получение RIP-трафика каким-либо узлом, кроме соседних RIP-маршрутизаторов, можно настроить некоторые маршрутизаторы на использование одноадресных объявлений RIP для соседних RIP-маршрутизаторов.

Поскольку RIP является протоколом с вектором расстояния, по мере увеличения размера объединенных сетей периодические объявления каждого маршрутизатора RIP могут вызывать чрезмерный трафик. Еще одним недостатком RIP является большое время сходимости. При изменении топологии сети может пройти несколько минут, прежде чем маршрутизаторы RIP перенастроятся на новую топологию сети. По мере перенастройки сети могут образовываться петли маршрутизации, что приводит к потере или невозможности доставки данных. Чтобы избежать петель маршрутизации, RIP реализует расщепление горизонта.

Для преодоления некоторых недостатков RIP была представлена ​​RIP версии 2 (RIP II). RIP v2 предоставляет следующие возможности:

  • Вы можете использовать пароль для проверки подлинности, указав ключ, который используется для проверки подлинности сведений о маршрутизации на маршрутизаторе. Простая аутентификация по паролю была определена в RFC 1723, но доступны более новые механизмы аутентификации, такие как Message Digest 5 (MD5).
  • RIP v2 включает маску подсети в информацию о маршрутизации и поддерживает подсети переменной длины. Маски подсети переменной длины могут быть связаны с каждым пунктом назначения, что позволяет увеличить количество хостов или подсетей, которые возможны в вашей сети.
  • Таблица маршрутизации может содержать информацию об IP-адресе маршрутизатора, который следует использовать для достижения каждого пункта назначения. Это помогает предотвратить пересылку пакетов через дополнительные маршрутизаторы в системе.
  • Многоадресные пакеты взаимодействуют только с маршрутизаторами RIP v2 и используются для снижения нагрузки на узлы, которые не прослушивают пакеты RIP v2. Многоадресный IP-адрес для пакетов RIP v2 — 224.0.0.9. Примечание. Тихие узлы RIP также должны прослушивать многоадресный трафик, отправляемый на адрес 224.0.0.9. Если вы используете Silent RIP, убедитесь, что ваши узлы Silent RIP могут прослушивать многоадресные объявления RIP v2, прежде чем развертывать многоадресный RIP v2.

RIPv2 поддерживает многоадресную рассылку для обновления таблиц маршрутизации. RIPv1 не поддерживает эту функцию. Маршрутизаторы RIPv1 не могут обмениваться данными с маршрутизаторами RIPv2, использующими многоадресную рассылку для обновлений.

Сначала открыть кратчайший путь (OSPF)

Для небольших или средних сетей распределение данных по сети и ведение таблицы маршрутов на каждом маршрутизаторе не является проблемой. Когда сеть разрастается до размеров, включающих сотни маршрутизаторов, таблица маршрутизации может быть довольно большой (несколько мегабайт), а расчет маршрутов требует значительного времени по мере увеличения или уменьшения количества интерфейсов маршрутизатора.

Некоторые протоколы, такие как Сначала открывайте кратчайший путь (OSPF), позволяют объединять области (группы смежных сетей) в автономную систему (AS). Области, составляющие автономные области, обычно соответствуют административному домену, такому как отдел, здание или географический объект. AS может быть отдельной сетью или группой сетей, которыми владеет и управляет общий сетевой администратор или группа администраторов.

OSPF – это протокол маршрутизации на основе состояния канала, используемый в сетях среднего и крупного размера, который вычисляет записи таблицы маршрутизации путем построения дерева кратчайших путей. OSPF предназначен для крупных объединенных сетей (особенно тех, которые охватывают более 15 переходов маршрутизатора).Недостатком OSPF является то, что его обычно сложнее настроить и требуется определенное планирование.

Компонент протокола маршрутизации Open Shortest Path First (OSPF) в службе маршрутизации и удаленного доступа был удален из Windows Server 2008.

В этой статье описывается, как настроить маршрутизацию и удаленный доступ для интрасети.

Применимо к: Windows Server 2012 R2
Исходный номер базы знаний: 323415

Обзор

В этом пошаговом руководстве описывается, как настроить службу маршрутизации и удаленного доступа в Windows Server 2003 Standard Edition или Windows Server 2003 Enterprise Edition, чтобы пользователи, прошедшие проверку подлинности, могли удаленно подключаться к другой сети через Интернет. Это безопасное соединение обеспечивает доступ ко всем внутренним сетевым ресурсам, таким как обмен сообщениями, общий доступ к файлам и принтерам, а также доступ к веб-серверу. Удаленный характер этого подключения прозрачен для пользователя, поэтому общий опыт использования удаленного доступа аналогичен работе на рабочей станции в локальной сети.

Установка службы маршрутизации и удаленного доступа

По умолчанию служба маршрутизации и удаленного доступа устанавливается автоматически во время установки Windows Server 2003, но отключена.

Включение службы маршрутизации и удаленного доступа

Нажмите "Пуск", выберите "Администрирование", а затем "Маршрутизация и удаленный доступ".

На левой панели консоли щелкните сервер, имя которого совпадает с именем локального сервера.

Если значок имеет красную стрелку в правом нижнем углу, служба маршрутизации и удаленного доступа не включена. Перейдите к шагу 3.

Зеленая стрелка вверх в правом нижнем углу означает, что служба включена. Если это так, вы можете перенастроить сервер. Чтобы перенастроить сервер, необходимо сначала отключить маршрутизацию и удаленный доступ. Вы можете щелкнуть сервер правой кнопкой мыши и выбрать «Отключить маршрутизацию и удаленный доступ». Нажмите Да, когда появится информационное сообщение.

Щелкните правой кнопкой мыши сервер, а затем выберите Настроить и включить маршрутизацию и удаленный доступ, чтобы запустить мастер настройки сервера маршрутизации и удаленного доступа. Нажмите «Далее».

Нажмите Удаленный доступ (коммутируемый доступ или VPN), чтобы разрешить удаленным компьютерам подключаться к этой сети через Интернет. Нажмите «Далее».

Нажмите "VPN" для виртуального частного доступа или "Коммутируемый доступ" для коммутируемого доступа, в зависимости от роли, которую вы хотите назначить этому серверу.

На странице VPN-подключения щелкните сетевой интерфейс, подключенный к Интернету, а затем нажмите кнопку Далее.

На странице назначения IP-адреса выполните одно из следующих действий:

  • Если DHCP-сервер будет использоваться для назначения адресов удаленным клиентам, нажмите «Автоматически», а затем нажмите «Далее». Перейдите к шагу 8.
  • Чтобы предоставить удаленным клиентам адреса только из предварительно определенного пула, нажмите Из указанного диапазона адресов.

В большинстве случаев параметр DHCP проще в администрировании. Однако если DHCP недоступен, необходимо указать диапазон статических адресов. Нажмите Далее .

Мастер открывает страницу Назначение диапазона адресов.

  1. Нажмите "Создать".
  2. В поле "Начальный IP-адрес" введите первый IP-адрес из диапазона адресов, которые вы хотите использовать.
  3. В поле Конечный IP-адрес введите последний IP-адрес в диапазоне.

Windows автоматически подсчитывает количество адресов. 4. Нажмите OK, чтобы вернуться на страницу Назначение диапазона адресов. 5. Нажмите "Далее".

Примите параметр по умолчанию "Нет", используйте маршрутизацию и удаленный доступ для проверки подлинности запросов на подключение, а затем нажмите "Далее".

Нажмите «Готово», чтобы включить службу маршрутизации и удаленного доступа и настроить сервер удаленного доступа.
После того, как вы настроили сервер для приема коммутируемых соединений, настройте клиентское соединение удаленного доступа на клиентской рабочей станции.

Настройка клиента для коммутируемого доступа

Чтобы настроить клиент для коммутируемого доступа, выполните следующие действия на клиентской рабочей станции.

Поскольку существует несколько версий Microsoft Windows, следующие шаги могут отличаться на вашем компьютере. Если это так, см. документацию по продукту, чтобы выполнить эти действия.

  1. Нажмите "Пуск", выберите "Панель управления", а затем дважды щелкните "Сетевые подключения".
  2. В разделе "Сетевые задачи" нажмите "Создать новое подключение", а затем нажмите "Далее".
  3. Нажмите «Подключиться к сети на моем рабочем месте», чтобы создать коммутируемое соединение, а затем нажмите «Далее».
  4. Нажмите "Удаленное подключение", а затем нажмите "Далее".
  5. На странице "Имя подключения" введите описательное имя для этого подключения и нажмите "Далее".
  6. На странице "Номер телефона для набора" введите номер телефона для сервера удаленного доступа в диалоговом окне "Номер телефона".
  7. Выполните одно из следующих действий и нажмите кнопку "Далее":
    • Если вы хотите разрешить любому пользователю, вошедшему в систему на рабочей станции, доступ к этому коммутируемому соединению, нажмите Все пользователи.
    • Если вы хотите, чтобы это подключение было доступно только текущему пользователю, вошедшему в систему, нажмите Только мое использование.
  8. Нажмите "Готово", чтобы сохранить подключение.

Настройка клиента для доступа к VPN

Чтобы настроить клиент для доступа к виртуальной частной сети (VPN), выполните следующие действия на клиентской рабочей станции.

Поскольку существует несколько версий Microsoft Windows, следующие шаги могут отличаться на вашем компьютере. Если это так, см. документацию по продукту, чтобы выполнить эти действия.

Нажмите "Пуск", выберите "Панель управления", а затем дважды щелкните "Сетевые подключения".

В разделе "Сетевые задачи" нажмите "Создать новое подключение", а затем нажмите "Далее".

Нажмите Подключиться к сети на моем рабочем месте, чтобы создать коммутируемое соединение, а затем нажмите Далее.

Нажмите "Подключение к виртуальной частной сети" и нажмите "Далее".

На странице "Имя подключения" введите описательное имя для этого подключения и нажмите "Далее".

Выполните одно из следующих действий и нажмите "Далее".

  • Если компьютер постоянно подключен к Интернету, нажмите Не набирать номер при первоначальном подключении.
  • Если компьютер подключается к Интернету через поставщика услуг Интернета (ISP), щелкните Автоматически устанавливать это начальное соединение. Затем щелкните имя подключения к провайдеру.

Выполните одно из следующих действий и нажмите кнопку Далее:

  • Если вы хотите разрешить любому пользователю, вошедшему в систему на рабочей станции, доступ к этому коммутируемому соединению, нажмите Все пользователи.
  • Если вы хотите, чтобы это подключение было доступно только текущему пользователю, вошедшему в систему, нажмите Только мое использование.

Нажмите "Готово", чтобы сохранить подключение.

Предоставление пользователям доступа к серверам удаленного доступа

Вы можете использовать политики удаленного доступа для предоставления или отказа в авторизации на основе таких критериев, как время суток, день недели, членство пользователя в группах безопасности на основе Windows Server 2003 или тип запрашиваемого подключения. . Если сервер удаленного доступа является членом домена, вы можете настроить эти параметры с помощью доменной учетной записи пользователя.

Если сервер является автономным сервером или членом рабочей группы, пользователь должен иметь локальную учетную запись на сервере удаленного доступа.

Предоставление прав удаленного доступа отдельным учетным записям пользователей

Если вы управляете удаленным доступом на основе учетной записи пользователя, выполните следующие действия, чтобы предоставить права удаленного доступа:

  1. Нажмите "Пуск", выберите "Все программы", выберите "Администрирование", а затем щелкните "Пользователи и компьютеры Active Directory".
  2. Щелкните правой кнопкой мыши учетную запись пользователя, которому вы хотите предоставить права удаленного доступа, выберите "Свойства" и перейдите на вкладку "Входящие звонки".
  3. Нажмите "Разрешить доступ", чтобы разрешить пользователю входить в систему, а затем нажмите "ОК".

Настройка прав удаленного доступа на основе членства в группе

Если вы управляете удаленным доступом на групповой основе, выполните следующие действия, чтобы предоставить права удаленного доступа:

  1. Создайте группу, содержащую участников, которым разрешено создавать VPN-подключения.
  2. Нажмите "Пуск", выберите "Администрирование", а затем "Маршрутизация и удаленный доступ".
  3. В дереве консоли разверните Маршрутизация и удаленный доступ, разверните имя сервера и нажмите Политики удаленного доступа.
  4. Щелкните правой кнопкой мыши правую панель, выберите "Создать" и выберите "Политика удаленного доступа".
  5. Нажмите "Далее", введите имя политики и нажмите "Далее".
  6. Нажмите "VPN" для виртуального частного доступа или "Коммутируемый доступ" для коммутируемого доступа, а затем нажмите "Далее".
  7. Нажмите "Добавить", введите имя группы, созданной на шаге 1, и нажмите "Далее".
  8. Следуйте инструкциям на экране, чтобы завершить работу мастера.

Если сервер VPN уже разрешает службы удаленного доступа к коммутируемым сетям, не удаляйте политику по умолчанию; вместо этого переместите ее так, чтобы она оценивалась последней.

Установление удаленного подключения

Поскольку существует несколько версий Microsoft Windows, следующие шаги могут отличаться на вашем компьютере. Если это так, см. документацию по продукту, чтобы выполнить эти действия.

На клиентской рабочей станции нажмите «Пуск», нажмите «Сетевые подключения», а затем нажмите на созданное вами новое подключение.

В поле "Имя пользователя" введите свое имя пользователя.

Если сеть, к которой вы хотите подключиться, имеет несколько доменов, вам может потребоваться указать имя домена. Используйте формат имя_домена \ имя пользователя в поле Имя пользователя.

В поле "Пароль" введите свой пароль.

Если вы используете коммутируемое соединение, проверьте номер телефона, указанный в поле Набор номера, чтобы убедиться, что он правильный. Убедитесь, что вы указали все дополнительные номера, необходимые для выхода на внешнюю линию или для междугородних звонков.

Нажмите "Набрать номер" или "Подключиться" (для VPN-соединений).

Ваш компьютер устанавливает соединение с сервером удаленного доступа.Сервер аутентифицирует пользователя и регистрирует ваш компьютер в сети.

Устранение неполадок

В этом разделе описывается, как устранять некоторые проблемы, которые могут возникнуть при попытке настроить удаленный доступ.

Не все настройки конфигурации удаленного доступа пользователя доступны

Если домен на основе Windows Server 2003 использует смешанный режим, не все параметры конфигурации доступны. Администраторы могут только предоставлять или запрещать доступ пользователю и указывать параметры обратного вызова, которые представляют собой параметры разрешений на доступ, доступные в Microsoft Windows NT 4.0. Остальные параметры становятся доступными после перевода домена в основной режим.

Пользователи могут связываться с сервером, но не аутентифицироваться

Убедитесь, что учетной записи пользователя предоставлено разрешение на удаленное подключение и аутентификацию в Active Directory, как описано в разделе 2. Сервер удаленного доступа также должен быть членом группы «Серверы RAS и IAS».

Для получения дополнительной информации щелкните следующие номера статей, чтобы просмотреть статьи в базе знаний Майкрософт:

323381 Как разрешить удаленный доступ пользователей к вашей сети в Windows Server 2003

В этой главе из Обучения для самостоятельного обучения MCITP (экзамен 70-646): Администратор сервера Windows Server 2008 (2-е издание) вы узнаете, как настроить и развернуть NAP, а также различные методы, доступны для работы с несовместимыми компьютерами. Вы также узнаете, как спланировать и развернуть службы удаленного доступа Windows Server 2008 R2, чтобы клиенты вашей организации могли подключаться к вашим внутренним ресурсам, где бы они ни находились.

Вы можете использовать VPN, чтобы позволить удаленным пользователям подключаться к внутренним сетевым ресурсам вашей организации, независимо от того, используют ли они беспроводную точку доступа в отеле в Гундагае или подключаются через соединение ADSL в Канберре. При планировании предоставления доступа к VPN необходимо учитывать множество факторов. Вам необходимо знать, как будет настроен внешний брандмауэр вашей организации, операционная система, используемая клиентом, и типы ресурсов, к которым потребуются удаленные клиенты.

Защита доступа к сети (NAP) позволяет ограничивать доступ к сети в зависимости от состояния клиента. Проще говоря, NAP позволяет вам применять правило, согласно которому, если на клиенте не установлены последние исправления и антивирусные определения, вы можете заблокировать его от получения полного доступа к сети. В этой главе вы узнаете, как настроить и развернуть NAP, а также о различных доступных методах работы с несовместимыми компьютерами. Вы также узнаете, как спланировать и развернуть службы удаленного доступа Windows Server 2008 R2, чтобы клиенты вашей организации могли подключаться к вашим внутренним ресурсам, где бы они ни находились.

Цели экзамена в этой главе:

Планирование ролей сервера служб инфраструктуры.

Контролировать и поддерживать безопасность и политики.

Уроки этой главы:

Урок 1. Управление удаленным доступом

Урок 2. Брандмауэры и защита доступа к сети

Прежде чем начать

Чтобы выполнить практические упражнения в этой главе, вам необходимо сделать следующее:

Выполните задачи по установке, указанные в Приложении A, «Инструкции по установке для Windows Server 2008 R2».

Для этой главы не требуется дополнительная настройка.

В традиционных моделях сетей и брандмауэров все плохое было «снаружи», а все безопасное — «здесь». Однако сегодня внутренняя сеть может быть такой же враждебной средой, как и Интернет. В прошлом каждый компьютер, подключенный к сети, был стационарным, и очень немногие люди брали свои рабочие станции с собой домой. Но сегодня большинство продаваемых компьютеров — это ноутбуки, и все больше людей берут с собой свой основной компьютер, уходя из офиса на целый день. К сожалению, как только люди выносят свои компьютеры из защищенной оранжереи, которой является ваша внутренняя сеть, с ними могут случиться всевозможные плохие вещи. Вредоносное ПО, которое могло быть заблокировано внешним брандмауэром, будет непреднамеренно загружено через домашнее ADSL-соединение. Компьютеры, которые вы могли поддерживать в полном порядке, когда находились под вашим контролем, теперь ежедневно подвергаются всевозможным интернет-гадостям. Самая большая проблема заключается в том, что после того, как эти компьютеры покидают вашу безопасную среду, они возвращаются к работе на следующий день и подключаются к сети вашей организации. Такие технологии, как брандмауэр Windows с расширенной безопасностью и NAP, позволяют защитить узлы вашей внутренней сети от того, что «кошка притаскивает» на регулярной основе, когда люди, с которыми вы работаете, возвращают свои компьютеры из дома.При планировании стратегии безопасности организации не думайте, что узлы с локальным IP-адресом более безопасны, чем узлы с IP-адресом в Интернете, если только они не прошли какой-либо процесс, например NAP, для подтверждения своей безопасности. .


Требования для развертывания VPN в организации:

  • VPN-сервер (Windows 2008 R2)
  • Общедоступный IP-адрес с Интернетом и сетевой инфраструктурой (AD, DNS и DHCP)
  • Клиенты VPN (Windows 7, Windows XP)

Добавление роли RRAS в Windows 2008 R2:

  • Откройте диспетчер серверов, выберите роль и нажмите "Добавить роли".



  • Выберите «Сетевая политика и службы доступа», затем нажмите «Далее».


  • Введение в сетевую политику и службы доступа


  • Выберите службы маршрутизации и удаленного доступа, а затем нажмите кнопку "Далее".


  • Чтобы установить службу роли RRAS, нажмите «Установить».


После завершения установки. Нам нужно настроить службы маршрутизации и удаленного доступа.



Настройка служб маршрутизации и удаленного доступа

Разверните "Роли", чтобы выбрать "Маршрутизация и удаленный доступ" в консоли диспетчера серверов, щелкните правой кнопкой мыши и выберите "Настроить и включить маршрутизацию и удаленный доступ".

Нам нужно проверить состояние сетевого интерфейса. В командной строке введите:

ncpa.cpl

Как видите, у нас есть запасной интерфейс, и в настоящее время он отключен. В этом упражнении мы будем использовать только одну сетевую карту; т. е. активный для локальной сети и для VPN-подключения.


На данный момент интерфейс LAN имеет следующие настройки IP-адреса:


2/ Добавьте роли сетевой политики и служб доступа

В Server 2008 R2 сервер маршрутизации и удаленного доступа находится в разделе сетевых политик и служб доступа. Поэтому нам нужно добавить эту роль. Запустите Диспетчер серверов и нажмите Добавить роли.


Нажмите Пропустить эту страницу по умолчанию и нажмите Далее.


Выберите политику сети и службы доступа.


Нажмите «Далее» на вводном экране.


Выберите Службы маршрутизации и удаленного доступа и нажмите Далее.


Нажмите "Установить".


По завершении нажмите "Закрыть".


Нажмите «Пуск» -> «Администрирование» -> «Маршрутизация и удаленный доступ».


Вы увидите этот экран.


Щелкните правой кнопкой мыши имя сервера и выберите «Настроить и включить маршрутизацию и удаленный доступ».


На экране приветствия нажмите "Далее".


Выберите «Пользовательская конфигурация» и нажмите «Далее».


Выберите доступ к VPN и нажмите "Далее".


Нажмите "Готово".


Нажмите Запустить службу.


Вы увидите, что статус сервера изменится на "Активный" (зеленый значок со стрелкой вверх).


Выберите Нет для сервера RADIUS.


По завершении нажмите "Готово".

После настройки главный экран маршрутизации и удаленного доступа выглядит следующим образом:


Теперь откройте консоль оснастки «Пользователи и компьютеры Active Directory».


Выберите пользователя, которому вы хотите предоставить доступ к VPN-подключению.


Щелкните правой кнопкой мыши пользователя и выберите "Свойства". Щелкните вкладку Телефонный звонок. Выберите Разрешить доступ. Нажмите "ОК".


3/ Тестирование

В настоящее время, поскольку в брандмауэре нет правила переадресации порта 1723 (PPTP) на сервер RRAS, VPN-подключение работать не будет. Брандмауэр, который у меня есть, — это Linux Shorewall. Я слежу за журналом отладки в реальном времени при удаленном подключении к серверу RRAS.

Как видно из журнала трассировки отладки, брандмауэр Linux сообщает, что трафик VPN сбрасывается из-за неправильной обработки порта TCP/1723.


Теперь в сетевом брандмауэре убедитесь, что трафик, предназначенный для порта TCP/1723, перенаправляется на этот VPN-сервер:

vi /etc/shorewall/rules

DNAT net loc:192.168.0.4:1723 TCP 1723

Затем перезапустите береговую стену: сервисная перезагрузка береговой стены

На клиентском компьютере вне сети в Интернете выполните следующие действия, чтобы создать новое подключение.

Откройте панель управления.


Нажмите «Настроить новое подключение или сеть».


Выберите «Подключиться к рабочему месту» и нажмите «Далее».


Выберите «Создать новое подключение» и нажмите «Далее».


Выберите «Использовать мое подключение к Интернету (VPN)».


Введите общедоступный IP-адрес удаленного сайта (сайта, на котором расположен VPN-сервер RRAS), введите имя подключения и нажмите «Создать».


Нажмите Изменить настройки адаптера.


Дважды щелкните только что созданное соединение, чтобы подключиться.


Выберите VPN-подключение для подключения, в данном случае «Мое второе VPN-подключение», которое мы только что создали, и нажмите «Подключиться».


Введите учетные данные и нажмите OK.


При подключении статус изменится на «Подключено».


Щелкните правой кнопкой мыши подключение и выберите "Свойства".


Перейдите на вкладку "Сеть", выделите Интернет-протокол версии 4 (TCP/IPv4) и нажмите "Свойства".


Нажмите "Дополнительно".


Убедитесь, что параметр Использовать шлюз по умолчанию в удаленной сети отключен, и нажмите OK.


Попробуйте пропинговать локальный компьютер в удаленной сети.


Когда соединение установлено, можно наблюдать две интересные вещи. Сервер RRAS показывает активное подключение:


А так же на локальном клиентском компьютере добавляется маршрут.

В командной строке введите

распечатать маршрут

для просмотра таблицы маршрутизации.


При отключении маршрут исчезнет.


В этой лабораторной работе мы успешно создали VPN-подключение PPTP в Windows 2008 R2 с одной сетевой картой. Мы также выполнили переадресацию портов на брандмауэре Linux, чтобы разрешить перенаправление трафика PPTP на блок RRAS. Используя маршрутизаторы SOHO, такие как Linksys и DLINK, было бы очень легко выполнить эту переадресацию портов, поэтому я не хотел рассматривать ее в этой статье. Мы также успешно подключились к VPN-серверу и получили доступ к сети на удаленном конце.

Читайте также: