Иллюстрированный самоучитель по Windows2000

         

ARAP


Клиенты Apple Macintosh могут подключаться к серверу удаленного доступа Windows 2005 при помощи протоколов ARAP (AppleTalk Remote Access Protocol, протокол удаленного доступа AppleTalk) и AppleTalk. Когда удаленный доступ разрешен для гостевой учетной записи ARAP-клиента, сервер будет опрашивать подключающихся пользователей, действительно ли они хотят входить в систему в качестве гостя. Если разрешен доступ без проверки подлинности, пользователи удаленного доступа могут устанавливать соединения без передачи идентификационной информации. Чтобы запретить такой доступ для всех учетных записей, кроме гостевой записи пользователей AppleTalk, нужно создать политику удаленного доступа для пользователей AppleTalk и установить атрибут Framed-Protocol равным AppleTalk Remote Access Protocol (ARAP).



Блокировка учетной записи


Блокировка учетной записи

(Account Lockout) — еще одна отличительная особенность безопасности, которая отменяет разрешение удаленного доступа для учетной записи пользователя после заданного числа неудавшихся попыток проверки подлинности.

Можно использовать блокировку учетной записи, чтобы определить, сколько раз происходил сбой проверки подлинности удаленного доступа до того момента, как разрешение удаленного доступа для учетной записи пользователя будет отменено. Блокировка учетной записи особенно важна для удаленного доступа по VPN-соединению через Интернет. Сторонние пользователи злоумышленники из Интернета могут пытаться получить доступ к интрасети, посылая идентификационную информацию (настоящее имя пользователя и предполагаемый пароль) в течение процесса проверки подлинности VPN-соединения. При атаке с применением словаря пользователь-злоумышленник посылает сотни, даже тысячи пар "имя-пароль" по списку, основанному на общих словах, именах или фразах.

Если разрешить блокировку учетной записи, атака по словарю будет остановлена после заданного числа неудавшихся попыток. Сетевой администратор должен настроить две переменные, управляющие блокировкой учетной записи при удаленном доступе:

Число неудавшихся попыток до отмены разрешения удаленного доступа для учетной записи пользователя.

Частоту обнуления счетчика неудавшихся попыток (нужно периодически сбрасывать счетчик неудавшихся попыток, чтобы предотвратить длительную блокировку учетной записи из-за ошибок пользователя при наборе пароля).

Чтобы разрешить возможность блокировки учетной записи, нужно изменить параметры в системном реестре Windows 2000.

Предупреждение

Некорректное редактирование системного реестра может нарушить работоспособность системы. Перед изменением системного реестра нужно сделать его резервную копию.

Чтобы разрешить блокировку учетных записей, необходимо установить значение параметра MaxDenials больше или равным 1. По умолчанию MaxDenials=0 (блокировка учетной записи запрещена). Параметр MaxDenials — максимальное число неудачных попыток, произошедших до блокировки учетной записи:

HKEY_LOCAL_MACHINE\SYSTEM\CurremControlSet\Services \RemoteAccess\Parameters\AccountLockout\MaxDenials

Чтобы изменить временной интервал до сброса счетчика неудачных попыток, необходимо установить значение параметра ResetTime равным заданному числу минут:

HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services \RemoteAccess\Parameters\AccountLockout\ResetTime

По умолчанию ResetTime = ОхЬ40 (2,880 мин или 48 ч).



Caller ID


При настройке защиты удаленного доступа на использование Caller ID (идентификатор звонящего абонента) задается телефонный номер, с которого пользователь должен осуществлять связь. Если пользователь производит попытку соединения с другого номера, сервер удаленного доступа отклоняет ее.

Предупреждение

Caller ID должен поддерживаться вызывающей стороной, телефонной сетью между вызывающей стороной и сервером удаленного доступа, а также сервером удаленного доступа. Поддержка Caller ID на стороне сервера удаленного доступа состоит из оборудования, отвечающего на вызов. Это оборудование должно поддерживать передачу Caller ID соответствующему встроенному драйверу Windows 2000, который, в свою очередь, поддерживает передачу Caller ID вызывающей стороны службе маршрутизации и удаленного доступа.

Если поддержка Caller ID разрешена, но какая-то часть оборудования или программного обеспечения не поддерживает Caller ID, то устанавливающему соединение пользователю будет отказано в доступе.

Особенности применения Caller ID обеспечивают большую степень безопасности для организации труда надомных работников (telecommuters). Недостаток Caller ID заключается в том, что пользователь может получить удаленный доступ только с конкретной телефонной линии.

Кроме того, надо учесть, что функция Caller ID в России недоступна на большинстве телефонных станций, кроме современных цифровых станций, устанавливаемых взамен старых, или коммерческих провайдеров телефонных услуг.



CHAP


Протокол проверки подлинности CHAP — протокол проверки подлинности типа "запрос-ответ", использующий схему хэширования MD-5 (Message Digest, дайджест сообщения) для шифрования ответа. CHAP используется различными производителями ПО серверов и клиентов удаленного доступа. Сервер удаленного доступа Windows 2000 поддерживает CHAP для проверки подлинности клиентов удаленного доступа сторонних поставщиков.



Частные адреса


Чтобы устанавливать соединение с ресурсами Интернета, необходимо использовать адреса, распределенные центром Network Information Center (Информационный центр сети Интернет, InterNIC). Такие адреса могут получать трафик от служб межсетевой сети и называются

public-адресами

(public address). Типичное малое предприятие или офис подразделения получает public-адрес (или адреса) от Интернет-провайдера, который, в свою очередь, получил диапазон public-адресов от InterNIC.

Для того чтобы разрешить нескольким компьютерам в сети малого офиса или в домашней сети устанавливать соединение с ресурсами Интернета,

каждый

компьютер должен иметь собственный public-адрес. Это требование может привести к нехватке доступных public-адресов.

Чтобы сократить потребность в public-адресах, InterNIC предусмотрел схему многократного использования адресов, зарезервировав идентификаторы сетей для частных нужд. Частные сети входят в следующие диапазоны (задаются идентификатором и маской):

10.0.0.0 с маской 255.0.0.0

172.16.0.0 с маской 255.240.0.0

192.168.0.0 с маской 255.255.0.0

Более подробная информация о диапазонах адресов, зарезервированных для частных интрасетей, приведена в RFC 1597. Адреса в этих диапазонах называются

частными адресами.

Частные адреса не могут получать трафик от компьютеров в межсетевой среде. Следовательно, если интрасеть использует частные адреса и устанавливает связь со службами Интернета, частный адрес должен транслироваться в public-адрес. NAT помещается между интрасетью, которая использует частные адреса, и Интернетом, который использует public-адреса. Пакеты, исходящие из

интрасети,

имеют частные адреса, которые NAT транслирует в public-адреса. Поступающие из

Интернета

пакеты имеют public-адреса, и NAT транслирует их в частные адреса.



Частные сетевые адреса


Необходимо использовать IP-адреса, выделенные InterNIC для частных IP-сетей (см. выше). По умолчанию преобразователь адресов для частной сети выбирает адреса из диапазона с идентификатором 192.168.0.0 и маской 255.255.255.0.

Если для IP-сети используются public-адреса, которые не были выданы ни InterNIC, ни Интернет-провайдером, то может оказаться, что используется идентификатор IP-сети другой организации, имеющей выход в Интернет. Этот случай называется

некорректной

или

накладывающейся

(overlapping)

IP-адресацией.

Накладывающиеся public-адреса исключают возможность достижения межсетевых ресурсов по этим адресам. Например, если используется сеть 1.0.0.0 с маской подсети 255.0.0.0, то невозможно достичь ресурсов другой организации, которая также использует сеть 1.0.0.0.



Добавление интерфейса для преобразования адресов


Для добавления интерфейса для преобразования адресов необходимо в окне оснастки

Маршрутизация и удаленный доступ

в разделе

Маршрутизация IP

(IP Routing) щелкнуть правой кнопкой мыши на

узле Преобразование сетевых адресов (NAT)

(Network Address Translation (NAT)) и из появившегося контекстного меню выбрать команду

Новый интерфейс

(New Interface).

Далее, выбрать нужный интерфейс и нажать кнопку

ОК.

<



Добавление преобразования сетевых адресов (NAT)


Для добавления преобразователя сетевых адресов (NAT) необходимо в окне оснастки

Маршрутизация и удаленный доступ

в разделе

Маршрутизация IP

(IP Routing) щелкнуть правой кнопкой мыши на узле

Общие

(General) и выбрать из появившегося контекстного меню команду

Новый протокол маршрутизации

(New Routing Protocol).

В диалоговом окне

Новый протокол маршрутизации

в списке

Протоколы маршрутизации

(Routing protocols) выбрать узел

Преобразование сетевых адресов (NAT)

(Network Address Translation (NAT)) и нажать кнопку

ОК

(рис. 19.10).

<



Дополнительные установки преобразователя адресов


 

Если Интернет-провайдер выдал диапазон IP-адресов, необходимо сконфигурировать диапазон IP-адресов на интерфейсе, подключенном к Интернету.

Если имеются службы, функционирующие в частной сети, к которым должен быть разрешен доступ для пользователей из Интернета, то необходимо добавить специальный порт, отображающий public-адрес и номер порта в частный IP-адрес и номер порта.



Групповая конференц-связь по IP


Поставщик услуг групповой конференц-связи IP

(IP Multicast Conferencing Service Provider) — расширение для IP, позволяющее осуществлять эффективную групповую связь группы по LAN. При наличии группового IP-протокола пользователи посылают только одну копию данных группе IP-адресов для достижения всех получателей, которые хотят получить данные, с использованием самых коротких деревьев для определения пути. Без использования многоадресного вещания те же самые данные нужно было бы передавать по сети несколько раз, по одной копии для каждого получателя, или передать широковещательно каждому пользователю в сети, что заняло бы полосу пропускания и время на обработку и передачу данных.

TAPI 3.0 использует стандартный

Протокол описания сеансов

(Session Description Protocol, SDP), разработанный консорциумом IETF для того, чтобы объявлять групповые конференции IP no LAN. Описатели SDP хранятся в Windows 2000 Active Directory — в службе локатора Интернета (ILS).



Хосты безопасности


Хост безопасности

— устройство проверки подлинности сторонних производителей, которое проверяет, имеет ли вызывающий клиент удаленного доступа разрешение на соединение с сервером удаленного доступа. Эта проверка дополняет систему безопасности, предоставляемую сервером удаленного доступа под управлением Windows 2000.

Хост безопасности располагается между клиентом и сервером удаленного доступа. Хост безопасности предоставляет дополнительный уровень безопасности, требуя наличие некоторого аппаратного ключа для проверки подлинности. Проверка того, что клиент удаленного доступа владеет ключом, производится

до

подключения к серверу удаленного доступа. Эта открытая архитектура позволяет заказчикам выбирать из ряда хостов безопасности разных провайдеров для увеличения безопасности удаленного доступа.



Интеграция компьютерных и телефонных сетей


Компьютерная телефония позволяет настольным компьютерам взаимодействовать с аппаратными средствами телефонии, обычно РВХ, через механизмы

интеграции компьютера и телефонии

(Computer-Telephony Integration, CTI). Большинство РВХ реализуют связь с аппаратными средствами CTI, которые соединяют РВХ с одним или более компьютеров (хотя аппаратные средства связи могут быть факультативными, не поставляемыми в стандартной конфигурации РВХ). Связь между РВХ и компьютерами редко бывает простой, поскольку большинство фирм-производителей реализуют СП по-разному. Один производитель применяет для CTI алгоритмы собственной разработки для кодировки данных и передачи их по последовательному каналу, другой может кодировать данные в пакетах TCP/IP в сегменте Ethernet. He существует стандарта кодирования данных для CTI. В результате приложения компьютерной телефонии часто должны понимать специальный язык управления коммутатора, как для каждого принтера, поддерживаемого приложением MS-DOS, требуется отдельный драйвер. Возможно, предпочтительнее использовать один API (TAPI; см. рис. 19.23, на котором приведена архитектура TAPI 3.0), через который множество приложений могут вызывать телефонные службы и обеспечивать один транслятор для каждого РВХ или другого фрагмента телефонных аппаратных средств. Такого рода транслятор называется

поставщиком услуг

(Service Provider, SP).



IP-телефония


В организациях обычно поддерживаются раздельные сети для передачи голоса, данных и видеоинформации. Поскольку все сети имеют различные транспортные требования и физически независимы, их установка, поддержка и реорганизация обходятся дорого.

IP-телефония объединяет сети передачи голоса, видео и данных, используя общий транспорт IP для каждого из потоков, по-настоящему собирая отдельные сети в единую технологию.

Клиенты IP-телефонии используют телефон, подключенный к адаптеру PSTN, либо существующие аппаратные средства мультимедиа. IP-телефония поддерживает телефонную, звуковую и видеоконференц-связь, голосовую и видеопочту, а также службы видео по требованию (video on-demand).



Использование службы факсов


Чтобы послать простое текстовое или графическое сообщение по факсимильной связи, требуются только Windows 2000 и факс-модем. Необходимо убедиться, что модем поддерживает возможности передачи факсимильных сообщений, а не только стандартные возможности передачи данных. Хотя некоторые модемы предоставляют обе возможности, они не взаимозаменяемы. Служба факсов может работать с факсимильными устройствами, которые поддерживают передачу сообщений в стандарте Class 1 или Class 2, например, факс-модемы или факсимильные платы.

Чтобы послать по факсу документ, нужно просто выбрать команду

Печать

(Print) в том приложении Windows, где открыт документ. Поскольку служба факсов устанавливает факс-принтер автоматически, при передаче сообщения понадобится добавить только информацию о получателе и заметки в Мастере рассылки факсов (Send Fax Wizard) — и факс будет передан.

Факс использует многостраничный формат TIFF (Tagged Image File Format). Можно сканировать отпечатанные изображения и использовать их для передачи по факсу. Не требуется преобразовывать существующую графику в формат TIFF перед передачей факса — служба факсов делает это автоматически. Служба факсов также содержит компонент для

предварительного просмотра

(Imaging Preview) полученных и посланных факсимильных сообщений.

Для наилучшей работы со службой рекомендуется:

Если заранее известно, что факсимильное устройство будет работать в Windows 2000, лучше подключить или вставить это устройство в компьютер до установки операционной системы.

Если устройство подключается после установки Windows 2000, система должна обнаружить факсимильное устройство при запуске и установить службу факсов и факс-принтер. Если эти компоненты автоматически не установятся при запуске, нужно запустить Мастер оборудования (Hardware Wizard) для поиска и установки устройства.

Примечание

Служба факсов в Windows 2000 не поддерживает совместное использование (sharing) факс-принтеров.

При наборе номера факс использует информацию о способе набора, установленную в группе параметров Параметры телефона и модема на панели управления. В мастере рассылки факсов (Send Fax Wizard) есть функция отмены телефонных установок и набора номера телефона в том виде, в каком они введены.

Монитор факсов

(Fax Monitor) позволяет просматривать все события, связанные с передачей факсимильных сообщений. Можно установить ручной ответ на звонки, можно также использовать эту утилиту для отмены приема или передачи факсов.

Рис. 19.17.

Оснастка управления службой факсов

Для управления службой применяется оснастка

Управление службой факсов

(Fax Service Management, рис. 19.17), которая входит в программную группу

Стандартные

(Accessories).



Элементы политики удаленного доступа


Политика удаленного доступа — именованное правило, в которое входят следующие элементы:

условия, разрешение (право) удаленного доступа,

а также

профиль.

Условия

(Conditions). .Условия политики удаленного доступа— это один или несколько атрибутов (рис. 19.7, табл. 19.15), которые сравниваются с параметрам настройки попытки соединения. Если имеется несколько условий, то все условия должны соответствовать параметрам попытки соединения, которое сопоставляется политике.

Таблица 19.15.

условия политики удаленного доступа

<



Конфигурирование диапазонов IP-адресов для преобразования


Для конфигурирования диапазонов IP-адресов для преобразования в окне оснастки

Маршрутизация и удаленный доступ

в разделе

Маршрутизация IP

(IP Routing) разверните узел

Преобразование сетевых адресов

(NAT), щелкните правой кнопкой мыши на нужном интерфейсе и выберите в появившемся контекстном меню команду

Свойства.

На вкладке

Пул адресов

(Address Pool) (рис. 19.14) нажмите кнопку

Добавить

(Add) и выполните одно из следующих действий:

Если используется диапазон IP-адресов, которые могут быть заданы при помощи IP-адреса и маски подсети, в поле

Начальный адрес

(Start address) укажите начальный адрес, а в поле

Маска

(Subnet mask) — маску подсети.

Если используется диапазон IP-адресов, которые не могут быть заданы при помощи IP-адреса и маски подсети, то в поле

Начальный адрес

укажите начальный адрес, а в поле

Конечный адрес

— конечный IP-адрес.

Примечание

Если имеется несколько интервалов адресов, можно добавить каждый из них отдельно, нажав кнопку

Добавить.

Рис. 19.14.

Настройка диапазонов адресов



Конфигурирование других компьютеров в сети малого офиса или в домашней сети


Можно настроить протокол TCP/IP на других компьютерах в сети малого офиса или в домашней сети, чтобы они получали IP-адреса автоматически. Когда компьютеры в домашней сети получают свой IP-адрес с компьютера, на котором функционирует NAT, получаемая ими конфигурация будет следующей:

IP-адрес (из сети с идентификатором 192.168.0.0 и маской 255.255.255.0)

Маска подсети (255.255.255.0)

Шлюз по умолчанию (IP-адрес интерфейса компьютера-преобразователя адресов, находящегося в сети малого офиса или в домашней сети)

DNS-сервер (IP-адрес интерфейса компьютера-преобразователя адресов, находящегося в сети малого офиса или в домашней сети)

WINS-сервер (IP-адрес интерфейса компьютера-преобразователя адресов, находящегося в сети малого офиса или в домашней сети)

Тип узла NetBIOS — М-узел {запрос имени NetBIOS вначале передается широковещательно, а затем посылается заданному серверу WINS)



Конфигурирование компьютера-преобразователя адресов


Чтобы сконфигурировать компьютер-преобразователь адресов, необходимо выполнить следующие действия:

1.

Сконфигурировать IP-адрес домашнего сетевого интерфейса.

Для IP-адреса адаптера LAN, соединенного с домашней сетью, необходимо задать следующие значения:

IP-адрес: 192.168.0.1

Маска подсети: 255.255.255.0

Шлюз по умолчанию — отсутствует

Примечание

IP-адрес в данной конфигурации для сетевого интерфейса в домашней сети выбирается из адресного интервала по умолчанию (задается идентификатором сети 192.168.0.0 и маской 255.255.255.0), который задается для компонента адресации преобразователя адресов. Если этот адресный интервал по умолчанию изменяется, то необходимо изменить и IP-адрес частного интерфейса компьютера-преобразователя адресов, чтобы он имел, первый IP-адрес в заданном диапазоне. Использование первого IP-адреса из диапазона — рекомендуемый подход, а не требование для компонента преобразователя адресов.

2.

Установить и разрешить службу маршрутизации и удаленного доступа.

3.

Разрешить маршрутизацию для порта коммутируемого соединения.

Если соединение с Интернетом — постоянное, которое отображается в Windows в качестве интерфейса LAN (типа DDS, T-Carrier, Frame Relay, постоянного ISDN-соединения, ADSL или кабельного модема), или если компьютер подключен к другому маршрутизатору под управлением Windows до соединения с Интернетом, перейти к шагу 5.

4.

Создать интерфейс с набором номера по запросу для установления соединения с Интернет-провайдером.

Необходимо создать интерфейс с набором номера по запросу, на котором разрешена IP-маршрутизация и который использует оборудование для коммутируемого соединения и идентифицирующую информацию для установления соединения с Интернет-провайдером.

5.

Создать статический маршрут по умолчанию, который использует интерфейс в Интернет.

Для статического маршрута по умолчанию получатель — 0.0.0.0, маска подсети — 0.0.0.0. Поскольку соединение с Интернетом — канал "точка-точка", в поле

Шлюз

(Gateway) можно ввести любой IP-адрес. Необходимо также указать интерфейс с набором номера по запросу (для коммутируемого соединения) или интерфейс LAN (для постоянных или промежуточных соединений) с использованием маршрутизатора для соединения с Интернетом.

6.

Добавить протокол IP-маршрутизации NAT.

7.

Добавить интерфейс соединения с Интернетом и локальный интерфейс в протокол маршрутизации NAT.

8.

Включить адресацию и разрешение имен для преобразователя адресов.

Примечание

Компонент адресации преобразователя адресов назначает адреса только из одного диапазона, соответствующего одной подсети. Если к протоколу маршрутизации NAT добавлено несколько интерфейсов LAN, то подразумевается конфигурация с одной подсетью (где все интерфейсы LAN соединены с одной и той же сетью). Если интерфейсы LAN соответствуют различным сетям, связность между клиентскими компьютерами, которые получают адреса от преобразователя адресов, но находятся в разных сетях, невозможна.



Конфигурирование преобразования специальных портов


Для конфигурирования преобразования специальных портов в окне оснастки

Маршрутизация и удаленный доступ

в разделе

Маршрутизация IP

выберите узел

Преобразование сетевых адресов

(NAT), щелкните правой кнопкой мыши на нужном интерфейсе и в появившемся контекстном меню выберите команду

Свойства.

На вкладке

Особые порты

(Special Ports) (рис. 19.15) в поле

Протокол

(Protocol) выберите протокол TCP или UDP и нажмите кнопку

Добавить.

В поле

Входящий порт

(Incoming port) введите номер внешнего порта.

Если диапазон public-адресов сконфигурирован, введите внешний IP-адрес в поле

на этом элементе пула адресов

(On this address pool entry).

В поле

Исходящий порт

(Outgoing port) введите номер внутреннего порта.

В поле

Адрес

в

частной сети

(Private address) введите внутренний адрес.

Рис. 19.15.

Настройка преобразования специальных адресов



MS CHAP


Windows 2000 включает поддержку MS CHAP (Microsoft Challenge Handshake Protocol, протокол проверки подлинности запроса-подтверждения Microsoft), также известный как MS CHAP версии 1. MS CHAP — это протокол проверки подлинности с необратимым шифрованием пароля.



Windows 2000 включает поддержку протокола


Windows 2000 включает поддержку протокола MS CHAP, который предоставляет более сильную защиту для соединения удаленного доступа. MS CHAP v2 решает некоторые проблемы функционирования MS CHAP версии 1 (табл. 19.13).

MS CHAP версии 2 — это протокол взаимной проверки подлинности с односторонним Шифрованием пароля.



Таблица 19.13.


Сравнение MS CHAP версий 1 и 2


Настройка сетевых приложений


Для настройки сетевых приложений в окне оснастки

Маршрутизация и удаленный доступ

в разделе

Маршрутизация IP

щелкните правой кнопкой мыши

Преобразование сетевых адресов (NAT)

ив появившемся контекстном

меню выберите команду

Свойства.

На вкладке

Преобразование

(Translation) (рис. 19.16) нажмите кнопку

Приложения

(Applications).

Чтобы добавить сетевое приложение, в диалоговом окне

Приложения

(Applications) нажмите кнопку

Добавить.

В диалоговом окне

Приложение общего доступа к подключению Интернета

(Add Application) введите настройки для сетевого приложения и нажмите кнопку

ОК.

Рис. 19.16.

Настройка сетевых приложений



Общие понятия


Средство NAT (Network Address Translation, преобразование (трансляция) сетевых адресов) в Windows 2000 позволяет легко подключить домашнюю сеть или сеть малого офиса к Интернету. NAT состоит из следующих компонентов:

Примечание

Для компактности изложения в тексте чаще используется аббревиатура — NAT. Однако в некоторых случаях она обозначает

преобразование

сетевых адресов (процедуру), а в других —

преобразователь

сетевых адресов (программный продукт). Это не должно приводить к путанице.

Компонент преобразования —

компьютер (далее называемый

компьютер-преобразователь адресов),

действующий как транслятор сетевых адресов (NAT) и преобразующий IP-адреса и номера портов пакетов TCP и датаграмм UDP, которыми обмениваются частная сеть и Интернет.

Компонент адресации.

Компьютер-преобразователь адресов предоставляет информацию о конфигурации IP-адреса другим компьютерам домашней сети. Компонент адресации — упрощенный DHCP-сервер, который предоставляет IP-адрес, маску подсети, IP-адреса шлюза по умолчанию, DNS-сервера и WINS-сервера (в качестве последних трех адресов используется IP-адрес компьютера с преобразователем адресов). Компьютеры в домашней сети должны быть сконфигурированы как клиенты DHCP, чтобы автоматически получать конфигурацию IP.

Компонент разрешения имен.

Компьютер с преобразователем адресов становится DNS-сервером и WINS-сервером для других компьютеров в домашней сети. Когда компьютер с преобразователем адресов получает запросы о разрешении имен, он пересылает запросы о разрешении имен серверам DNS и WINS в межсетевой среде, на которые он настроен, и возвращает ответы на компьютер в локальной сети.

Примечание

Преобразователь адресов разработан специально для подключения к Интернету сети малых или домашних офисов. Он не предназначен для того, чтобы объединять сети малых или домашних офисов или подсоединять филиалы к общей сети.



Один или несколько public-адресов


Если используется один public-адрес IP, предоставленный Интернет-провайдером, то дополнительная настройка IP-адреса не требуется. Если используется

несколько

IP-адресов, выделенных провайдером, необходимо настроить интерфейс NAT на диапазон public-адресов. Для диапазона выделенных IP-адресов следует определить, может ли диапазон public-адресов быть выражен при помощи одного IP-адреса и маски подсети.

Если был выдан ряд адресов, количество которых является степенью 2 (2, 4, 8, 16 и т. д.), имеется вероятность, что диапазон можно выразить при помощи одного IP-адреса и маски подсети. Например если предоставлены четыре public-адреса 200.100.100.212, 200.100.100.213, 200.100.100.214 и 200.100.100.215, предоставленных провайдером, то их можно представить как один адрес 200.100.100.212 с маской подсети 255.255.255.252.

Если IP-адреса нельзя выразить в виде IP-адреса и маски подсети, то можно ввести их как диапазон или ряд диапазонов, указывая начальный и конечный IP-адреса.



Если применяется ответный вызов, пользователь


Если применяется ответный вызов, пользователь инициализирует запрос и соединяется с сервером удаленного доступа (табл. 19.14). Сервер удаленного доступа после проверки подлинности пользователя "вешает трубку" и осуществляет ответный вызов по номеру, определенному звонящим пользователем или заданному администратором. Привилегия ответного вызова назначается для каждого пользователя, если ему предоставлено разрешение удаленного доступа.

Таблица 19.14.
Варианты ответного вызова

PAP


Протокол PAP использует пароли, передаваемые открытым текстом, и является наименее сложным протоколом проверки подлинности. Обычно соединение на его основе устанавливается, если клиент удаленного доступа и сервер удаленного доступа не могут договориться о более безопасной форме проверки подлинности.

Когда РАР устанавливается в качестве опознавательного протокола, пароли пользователей передаются открытым текстом. Всякий, кто перехватит пакеты процесса проверки подлинности, может легко прочитать пароль и использовать его для несанкционированного доступа к корпоративной сети. Нежелательно использовать РАР, особенно для соединений VPN. После отключения проверки подлинности на базе РАР на сервере удаленного доступа пароли никогда не будут передаваться открытым текстом. Отключение РАР увеличивает защиту проверки подлинности, но после этого клиенты удаленного доступа, которые поддерживают только РАР, не смогут установить соединение.



Политика удаленного доступа


Политика удаленного доступа - набор условий и параметров соединения которые предоставляют сетевому администратору больше гибкости в настройке разрешений удаленного доступа и атрибутов соединения. Политика удаленного доступа хранится на локальном компьютере. При помощи политики удаленного доступа можно предоставлять разрешения удаленного доступа в зависимости от времени дня, дня недели, группы Windows, к которой принадлежит звонящий пользователь, типа требуемого соединения (коммутируемое или VPN-соединение). Можно определить параметры настройки соединения, которые ограничивают максимальное время сеанса связи, тип аутентификации и шифрования, политику ВАР и фильтрацию IP-пакетов.

В Windows NT 3.5 и 4.0 удаленный доступ предоставлялся на основе простого разрешения удаленного доступа с применением утилит User Manager или Routing and Remote Access Admin. Параметры ответного вызова задавались для каждого пользователя. В Windows 2000 разрешения удаленного доступа предоставляются на основе свойств политики удаленного доступа и учетной записи пользователя.

Важно помнить, что при использовании политик удаленного доступа соединение разрешается, только если параметры настройки соединения соответствуют, по крайней мере, одной из политик удаленного доступа (в соответствии со свойствами учетной записи пользователя и конфигурацией политики удаленного доступа). Если параметры настройки при попытке соединения не соответствуют хотя бы одной из политик удаленного доступа, попытка соединения отклоняется, независимо от свойств учетной записи пользователя. На серверах удаленного доступа под управлением Windows 2000 политика удаленного доступа конфигурируется из оснастки RRAS. На серверах IAS в среде Windows 2000 политика удаленного доступа управляется из оснастки

Служба проверки подлинности в Интернете.



Политика удаленного доступа по умолчанию


Политика удаленного доступа по умолчанию (default policy) работает так: удаленный доступ с ее использованием разрешается, если для устанавливающего входящее соединение пользователя предоставлено разрешение удаленного доступа. Эта политика создается при установке службы маршрутизации и удаленного доступа. Политика по умолчанию имеет следующую конфигурацию:

Ограничения дня недели и времени (Day-and-Time-Restrictions) установлены для всех дней недели и времен суток

Право удаленного доступа запрещено (Deny remote access permission)

Все свойства профиля установлены в значения по умолчанию



Поставщик удаленных услуг TAPI


В TAPI (рис. 19.23) включены отдельные поставщики услуг, включая те, которые позволяют реализовать клиент-серверные возможности, например, Microsoft Windows Remote Service Provider (Поставщик удаленных услуг Microsoft Windows). Поставщик услуг включает следующие компоненты (некоторые из них вызываются из командной строки):

Компоненты на стороне сервера

Следующие компоненты должны функционировать на сервере TAPI:

Оснастка

Телефония

(Telephony). Дает возможность управлять телефонными линиями и пользователями. Доступна через оснастку

Управление компьютером

(Computer Management) — узел

Службы и приложения

(Services and Applications).

Поставщик услуг телефонии

(Telephony Service Provider). Поставляется изготовителем телефонного коммутатора. Транслирует обобщенные команды, посылаемые службой TAPI, в специальные команды коммутатора.

Рис. 19.23.

Архитектура TAPI 3.0 в Windows 2000

Служба Т API

(TAP! Service). Связывается с удаленным поставщиком услуг, работающим на стороне клиента. Также связывается с приложениями ТАР!, работающими на сервере (например, с приложением-диспетчером клиентов).

Компоненты на стороне клиента

Следующие компоненты должны функционировать на клиентском компьютере:

Служба ТАР!

(TAPI Service). Связывается с приложениями TAPI и предназначена для обеспечения связи между этими приложениями и поставщиком удаленных услуг TAPI.

Поставщик удаленных услуг TAPI

(Remote Service Provider TAPI). DLL-библиотека на стороне клиента, которая связывается по сети со службой TAPI, работающей на сервере TAPI.

Заметьте, что эти компоненты не включают клиентские приложения телефонии. Некоторые из универсальных приложений Microsoft могут использовать TAPI, но специализированные приложения, например, управляющие центрами коммутации вызовов, поставляются независимыми поставщиками программного обеспечения (Independent Software Vendors, ISV).



Поставщики услуг IP-телефонии


TAPI поддерживает стандарт Н.323 и стандарт групповой конференц-связи IP при помощи соответствующих служб Microsoft Windows 2000.

Н.323 — всеобъемлющий стандарт ITU для передачи мультимедиа (голоса, видео и данных) по сетям без установления логического соединения, например, по сетям IP и Интернет, которые не обеспечивают гарантированное качество обслуживания (QoS). Стандарт описывает управление вызовом, мультимедиа и шириной полосы пропускания для двухточечных и многоточечных конференций. Н.323 поддерживает стандартные звуковые и видеокодеры и декодеры и обеспечивает поддержку совместного использования данных по стандарту Т. 120. Н.323 — стандарт, не зависящий от сети, платформы и прикладного уровня, что позволяет любому терминалу, соответствующему Н.323, взаимодействовать с любым другим терминалом.

В Н.323 сетевой адрес пользователя (в данном случае, IP-адрес пользователя) может изменяться и не может считаться неизменным в течение сеанса. Поставщик услуг Microsoft TAPI "Н.323 использует службу Active Directory для того, чтобы производить преобразование (разрешение) адресов. Специально для этого информация об отображении адреса и имени пользователя хранится и непрерывно обновляется в

Службе локатора Интернета

(Internet Locator Service, ILS), являющейся компонентом Active Directory.



Правила предоставления удаленного доступа


После того как установлен сервер удаленного доступа, нужнб определить, какие пользователи могут устанавливать соединение с ним. Для Windows 2000 разрешение удаленного доступа определяется политикой удаленного доступа и учетной записью пользователя.

Не нужно создавать отдельные учетные записи только для пользователей удаленного доступа. Серверы удаленного доступа используют учетные записи пользователей, расположенные в общей базе данных учетных записей пользователей согласно общим механизмам защиты Windows 2000.



Пример NAT


Если сеть малого предприятия использует идентификатор сети 192.168.0.0 для интрасети и имеется public-адрес a.b.c.d, полученный от Интернет-провайдера, то NAT отображает все частные адреса в сети 192.168.0.0 в IP-адрес a.b.c.d. Если несколько частных адресов отображаются в один public-адрес с использованием NAT, TCP- и UDP-порты выбираются динамически, чтобы отличить один компьютер внутри интрасети от другого.

На рис. 19.9 показано применение NAT для "прозрачного" соединения интрасети с Интернетом.

Примечание

Записи a.b.c.d и e.f.g.h представляют допустимые public-IP-адреса, выданные InterNIC или Интернет-провайдером.

<



Проектирование сети с преобразованием адресов


Прежде чем реализовать сеть с преобразованием адресов, рассмотрим некоторые аспекты ее построения, описанные в следующих разделах, чтобы избежать проблем.



Протоколы проверки подлинности ЕАР


При помощи ЕАР (Extensible Authentication Protocol, расширяемый протокол идентификации) можно подключить любой механизм проверки подлинности (аутентификации), который будет проверять достоверность информации о пользователе, установившем соединение удаленного доступа. Точная схема аутентификации, используемая соединением, устанавливается в результате переговоров между клиентом удаленного доступа и сервером удаленного доступа. Можно применять ЕАР для поддержки разных схем аутентификации, например, типа General Token Card (Универсальная жетонная карта), MD5-Challenge (Запрос MD5), TLS (Transport Level Security, Защита транспортного уровня) для поддержки смарт-карт, а также S/Key. Впрочем, можно использовать любые другие схемы, реализуемые в будущем. ЕАР позволяет производить открытые переговоры между клиентом удаленного доступа и сервером удаленного доступа, состоящие из запросов сервера на получение аутентификационной информации и соответствующих ответов клиента. Например, если ЕАР используется с жетонными картами, сервер удаленного доступа может отдельно запросить у клиента удаленного доступа название, PIN-код и емкость жетонной карты. Если на все вопросы получены удовлетворительные ответы, клиент удаленного доступа аутентифицируется и получает разрешение на удаленный доступ к сети.

Специальная схема проверки подлинности ЕАР называется

типом ЕАР

(ЕАР type). Для успешной проверки подлинности клиента клиент удаленного доступа и сервер удаленного доступа должны поддерживать один и тот же тип ЕАР.

Windows 2000 включает поддержку инфраструктуры ЕАР, два типа ЕАР (EAP-MD5 CHAP и EAP-TLS) и возможность передавать сообщения ЕАР серверу RADIUS (EAP-RADIUS).

Чтобы разрешить проверку подлинности на базе ЕАР, нужно:

Разрешить ЕАР как протокол проверки подлинности на сервере удаленного доступа.

Разрешить ЕАР, и, если требуется, настроить тип ЕАР для соответствующей политики удаленного доступа.

Разрешить и настроить ЕАР на стороне клиента удаленного доступа под управлением Windows 2000.



Разрешение адресации


Для разрешения адресации следует в окне оснастки

Маршрутизация и удаленный доступ

в разделе

Маршрутизация IP

(IP Routing) щелкнуть правой кнопкой мыши на узле

Преобразование сетевых адресов

(NAT) и в появившемся контекстном меню выбрать команду

Свойства.

На вкладке

Назначение адресов

(Address Assignment) установить флажок

Автоматически назначать IP-адреса с использованием DHCP

(Automatically assign IP addresses by using DHCP) (рис. 19.12).

<



Разрешение распознавания имен для преобразования адресов


Чтобы разрешить распознавание имен для преобразования адресов в окне оснастки

Маршрутизация и удаленный доступ,

в разделе

Маршрутизация IP

(IP

Routing) щелкните правой кнопкой мыши на узле

Преобразование сетевых адресов (NAT)

и в появившемся контекстном меню выберите команду

Свойства.

В появившемся окне на вкладке

Разрешение имен в адреса

(Name Resolution) (рис. 19.13) выполните одно из следующих действий:

Для разрешения имен NetBIOS при помощи сервера WINS установите флажок

клиентов, использующих службу

WINS (Clients using Windows Internet Name Service (WINS)) (опция может отсутствовать).

Для разрешения имен хостов при помощи сервера DNS установите флажок

клиентов, использующих службу DNS

(Clients using Domain Name System (DNS)).

Рис. 19.13.

Настройка разрешения имен

Если нужно, чтобы соединение с Интернетом было установлено, когда компьютер в частной сети посылает запрос на разрешение имени компьютеру с NAT, установите флажок

Подключаться к общей сети, когда требуется разрешение

(Connect to the public network when a name needs to be resolved), а затем выберите в списке

Интерфейс вызова по требованию

(Demand-dial interface) соответствующий интерфейс.



Разрешение входящего соединения


Обычно NAT используется в домашней или малой сети, чтобы разрешить исходящие соединения (из частной сети в общую сеть). Приложения типа веббраузеров, работающих в частной сети, создают соединения с ресурсами Интернета. Обратный трафик из Интернета может пересечь NAT, поскольку соединение было инициализировано ранее клиентом, находящимся в частной сети.

Для разрешения входящего соединения необходимо настроить статическую конфигурацию IP на сервере, на котором расположен ресурс, включая IP-адрес (из диапазона IP-адресов, распределяемых с помощью NAT), маску подсети (из диапазона IP-адресов, распределенных NAT), шлюз по умолчанию (частный IP-адрес компьютера с NAT) и сервер DNS (частный IP-адрес компьютера с NAT).

Затем необходимо исключить IP-адрес, присвоенный компьютеру, на котором расположен ресурс, из диапазона IP-адресов, распределяемых компькь тером с NAT.

Наконец, на последнем шаге необходимо настроить специальный порт.

Специальный порт —

статическое отображение общего адреса и номера порта в частный адрес и номер порта. Специальный порт отображает входящее соединение от пользователя из Интернета в специфический адрес в частной сети. Это позволяет создавать в частной сети веб-серверы, доступные из Интернета.



Редакторы NAT


По умолчанию NAT транслирует IP-адреса и TCP/UDP-порты. Если IP-адрес и информация о порте содержатся только в заголовках IP и TCP/UDP, то прикладной протокол также будет правильно транслироваться nat!

Пример — протокол HTTP (Hypertext Transfer Protocol, протокол передачи гипертекста), используемый в WWW (World Wide Web).

Однако имеются приложения и протоколы, которые содержат IP-адрес или информацию о порте TCP/UDP в теле

сообщений,

а не в заголовках TCP/UDP. Пример — протокол FTP, который для команды ftp port передает десятичное представление IP-адреса в теле команды. Если NAT неправильно транслирует IP-адрес внутри команды FTP, то могут возникнуть проблемы установления соединения.

Также имеются протоколы, которые

не

используют для передачи данных ни TCP, ни UDP (большинство протоколов использует для доставки пакетов транспортные протоколы TCP или UDP). Например, транспортный протокол РРТР не использует для доставки данных TCP/UDP. Вместо заголовков TCP или UDP используется специальный заголовок

общей инкапсуляции маршрутизации

(ORE, Generic Routing Encapsulation) и специальное поле Tunnel ID для идентификации потока данных. Если бы NAT не транслировал это поле, то передача данных при помощи протокола РРТР через NAT была бы невозможна.

Если компонент NAT должен дополнительно транслировать и корректировать не только заголовки IP, TCP и UDP, но и служебную информацию в теле пакетов, требуется

редактор NAT.

Редактор NAT — устанавливаемый компонент, который может корректно изменять не транслируемую иным способом информацию — так, чтобы она могла быть передана через NAT. В составе Windows 2000 имеются NAT-редакторы для протоколов FTP, ICMP, РРТР. Возможно появление NAT-редакторов для трансляции протоколов SNMP, LDAP, Microsoft COM, RPC.

Примечание

Трансляция трафика, передаваемого по протоколам IPSec и Н.323, невозможна даже при использовании специального редактора NAT.



Регистрация и протоколирование


Сервер удаленного доступа Windows 2000 поддерживает два типа регистрации:

Регистрация событий RAS —

регистрация событий в журнале событий системы Windows 2000. Обычно используется для решения проблем или уведомления системных администраторов о необычных событиях.

Регистрация проверки подлинности и учетной информации —

сервер удаленного доступа под управлением Windows 2000 поддерживает эту регистрацию для соединений удаленного доступа, если разрешен сбор учетной информации Windows (Windows accounting). Эта регистрация происходит отдельно от событий, зарегистрированных в системном журнале событий. На основе регистрируемой информации можно проследить использование удаленного доступа и попытки аутентификации. Регистрация особенно полезна для оперативного решения проблем при работе с политиками удаленного доступа. Для каждой попытки аутентификации регистрируется название политики удаленного доступа, в соответствии с которой была принята или отклонена попытка установления соединения. Аутентификационная и учетная информация сохраняются в файле (или файлах) журнала, который находится в папке

%SystemRoot9?\System32

\LogFiles. Журналы хранятся в формате IAS 1.0 или IAS 2.0. Файлы журнала доступны через интерфейс ODBC — любая программа, поддерживающая ODBC, может читать журнал напрямую для анализа содержащейся в нем информации.

<



Типы регистрируемых


Типы регистрируемых событий



<

Параметры настройки журнала


<
Чтобы настроить регистрацию проверки подлинности и учетной информации, сначала нужно разрешить сбор учетной информации Windows Далее можно настроить тип регистрируемых действий (учет или действия по проверке подлинности) (рис. 19.5) и параметры журнала (рис. 19.6). Чтобы настроить регистрацию, выполните одно из следующих действий:


Откройте окно оснастки
Маршрутизация и удаленный доступ.
Выберите сервер, для которого нужно настроить регистрацию.
Откройте окно оснастки
Служба проверки подлинности в Интернете
(Internet Authentication Service).
В дереве оснастки выберите узел

Ведение журнала удаленного доступа
(Remote Access Logging). В правом подокне выберите любой журнал затем в контекстном меню выберите команду Свойства.

Добавление политики удаленного доступа


Добавление политики удаленного доступа — условия и атрибуты
<

Право удаленного доступа
(Remote access permission). Если все условия политики удаленного доступа выполнены, то право удаленного доступа или предоставляется, или отклоняется. Для политики нужно выбрать положение переключателя
Предоставить право удаленного доступа
(Grant remote access permission) или
Запретить разрешение удаленного доступа
(Deny remote access permission). Право удаленного доступа также предоставляется или отклоняется для каждой учетной записи пользователя. Право удаленного доступа пользователю перекрывает право удаленного доступа политики. Если право удаленного доступа в учетной записи пользователя установлено в значение
Управление на основе политики удаленного доступа
(Control Access through Remote Access policy), удаленный доступ предоставляется согласно разрешению политики. Предоставление доступа через настройку права учетной записи пользователя или настройку права политики — это только первый шаг в принятии соединения. Параметры попытки соединения сравниваются с параметрами учетной записи пользователя и профилем политики. Попытка соединения, не соответствующая свойствам учетной записи пользователя или профиля, отклоняется. По умолчанию для политики удаленного доступа установлено значение
Отказать в праве удаленного доступа
(Deny remote access permission).


Профиль
(Profile). Профиль политики удаленного доступа — набор параметров, которые применяются к соединению после того
(post-условие),
как
разрешение удаленного доступа будет получено (в соответствии с учетной записью пользователя или политикой) (рис. 19.8, табл. 19.16).








<

Окно профиля политики удаленного


Окно профиля политики удаленного доступа
Таблица 19.16.

Параметры профиля политики удаленного доступа

использования NAT


Если частный пользователь на компьютере с адресом 192.168.0.10 соединяется с веб-сервером по адресу e.f.g.h при помощи веб-браузера, то стек IP пользователя создает IP-пакет со следующей информацией:

IP-адрес получателя: e.f.g.h

IP-адрес отправителя: 192.168.0.10

Порт получателя: TCP-порт 80

Порт отправителя: TCP-порт 1025

Этот IP-пакет затем пересылается NAT для преобразования адресов исходящего пакета к следующим:

IP-адрес получателя: e.f.g.h

IP-адрес отправителя: a.b.c.d

Порт получателя: TCP-порт 80

Порт отправителя: TCP-порт 5000

NAT хранит отображение {192.168.0.10, TCP 1025} в {a.b.c:d, TCP 5000} в своей внутренней таблице.

Преобразованный таким образом IP-пакет пересылается через Интернет. Когда ответ получен NAT, пакет содержит следующую общую информацию об адресах:

IP-адрес получателя: a.b.c.d

IP-адрес отправителя: e.f.g.h

Порт получателя: TCP-порт 5000

Порт отправителя: TCP-порт 80

NAT проверяет свою адресную таблицу, отображает public-адреса в частные и передает пакет на компьютер по адресу 192.168.0.10. Посланный пакет содержит следующую информацию об адресах:

IP-адрес получателя: 192.168.0.10

IP-адрес отправителя: e.f.g.h

Порт получателя: TCP-порт 1025

Порт отправителя: TCP-порт 80

Для пакетов, исходящих из NAT, IP-адрес отправителя (частный адрес) отображается в адрес, выданный Интернет-провайдером (public-адрес), а номер, порта TCP/UDP отображается в другой номер порта TCP/UDP.

Для пакетов, приходящих NAT, IP-адрес получателя (public-адрес) отображается в оригинальный адрес интрасети (частный адрес), а номер порта TCP/UDP отображается обратно к оригинальному номеру порта TCP/UDP.

Примечание

NAT правильно транслирует пакеты, содержащие IP-адрес только в IP-заголовке. IP-пакеты, содержащие IP-адрес в теле пакета, не могут правильно транслироваться при помощи NAT.



Добавление NAT как протокола


Добавление NAT как протокола маршрутизации

Добавление NAT


Добавление NAT — настройка интерфейса
Выполнить одно из следующих действий (рис. 19.11):

Если этот интерфейс подключен к Интернету, на вкладке
Общие
(General) в окне
Свойства:
имя_интерфейса

(Properties:
имя_интерфейса)
соответствующего интерфейса выбрать положение переключателя
Общий интерфейс подключен к Интернету

(Public interface connected to the Internet) и установить флажок
Преобразовать заголовки TCP/UDP (рекомендуется)
(Translate TCP/UDP headers (recommended)).
Если этот интерфейс подключен к небольшой офисной сети или к домашней сети, то на вкладке
Общие
в окне
Свойства
соответствующего интерфейса выбрать положение переключателя

Частный интерфейс подключен к частной сети
(Private interface connected to private network).



Примечание


Для коммутируемого подключения к Интернету необходимо выбрать интерфейс с установлением соединения по запросу, который настроен на установку соединения с Интернет-провайдером.
Для постоянного подключения к Интернету выбрать интерфейс, постоянно соединенный с провайдером.
Преобразование адресов нужно разрешать только на интерфейсах, соединенных с глобальной сетью (Интернетом).

При необходимости ввести информацию


Настройка адресации

При необходимости ввести информацию в полях IP-адрес (IP address) и Маска (Mask), чтобы задать диапазон адресов и маску для выделения клиентам DHCP на частной сети. Если требуется исключить некоторые адреса из выделения клиентам DHCP, нужно нажать кнопку
Исключить

(Exclude) и задать эти адреса.
По окончании настройки нажать кнопку ОК.

Шифрование данных


Для защиты данных, передаваемых между клиентом и сервером удаленного доступа, можно использовать шифрование. Шифрование данных важно для финансовых учреждений, правоохранительных и правительственных органов и корпорации, которым требуется безопасная передача данных. Для служб, требующих конфиденциальности данных, сетевой администратор может настроить сервер удаленного доступа на использование только шифрованного обмена данными. Пользователи, которые соединяются с таким сервером, должны шифровать свои данные, иначе соединение не производится.

При коммутируемом соединении можно защитить данные, зашифровав их на пути между клиентом и сервером удаленного доступа. Шифрование данных необходимо, если есть риск перехвата данных на линии связи между клиентом и сервером удаленного доступа. Для коммутируемых сетевых соединений Windows 2000 использует шифрование "точка-точка" Microsoft (Microsoft Point-to-Point Encryption, MPPE). MPPE требует применения протоколов проверки подлинности MS CHAP или EAP-TLS.

При VPN-соединении можно защитить данные, зашифровав их на пути между концами виртуальной частной сети (VPN). Необходимо применять шифрование данных для VPN-соединения, если частные данные передаются по сети общего пользования (например, Интернет), где всегда есть риск перехвата данных. Для VPN-соединения Windows 2000 использует шифрование МРРЕ с протоколом РРТР и шифрование IPSec с протоколом L2TP, Поскольку шифрование данных выполняется между VPN-клиентом и VPN-сервером, то на соединении между клиентом удаленного доступа и Интернет-провайдером оно уже не является необходимым.

Шифрование данных для РРР- или РРТР-соединения возможно, только если используются протоколы проверки подлинности MS CHAP или EAP-TLS. Шифрование данных для PТР-соединения основано на механизмах IPSec, для которых специальные протоколы проверки подлинности не требуются.



Служба факсимильных сообщений


Служба факсов (Fax Service) позволяет посылать и получать факсимильные сообщения без использования дополнительных программ, поскольку все, что для этого нужно, — факс-модем. Можно легко передавать по факсу документы при помощи команды

Печать,

которая обычно имеется в текстовых процессорах, электронных табличных процессорах и в приложениях других типов. Также можно использовать почтовые программы, чтобы одновременно посылать электронную почту и факсимильные сообщения.



SPAP


SPAP (Shiva Password Authentication Protocol, протокол проверки подлинности пароля Shiva) использует реверсивный механизм шифрования Shiva. Windows 2000 использует SPAP при соединении с Shiva LAN Rover. Также поступает и клиент Shiva, который соединяется с сервером удаленного доступа под управлением Windows 2000 Server. Эта схема проверки подлинности более безопасна, чем передача данных открытым текстом, но менее безопасна, чем CHAP или MS CHAP.



Телефония


Программное обеспечение для поддержки телефонии — API-интерфейс телефонии (Telephony API, TAPI). TAPI обеспечивает функциональные возможности систем клиент-сервер; таким образом, прикладные телефонные программы на клиентском компьютере могут связываться с выделенным компьютером-сервером, который функционирует как шлюз с телефонным

коммутатором. TAPI также является основой идя использования в прикладных программах сторонних производителей: для интеграции в эти программы функций телефонии, например, для набора номера, для переадресации звонков, для речевой почты, для идентификации звонящего, для конференц-связи при помощи компьютеров.

Ранее невостребованные прикладные программы телефонии применяются все чаще, т. к. разработчики программного обеспечения используют стандартный интерфейс TAPI.

В современных телефонных системах внешний звонок, попадая в общую коммутируемую телефонную сеть, направляется на узел коммутации, который переводит этот звонок на магистральную линию. Когда звонок достигает офиса, офисная АТС (Public Branch Exchange, PBX) направляет этот звонок на соответствующий порт. Выходящие звонки следуют тем же маршрутом в обратном направлении. Звонки между внутренними пользователями офиса направляются от одного телефона к другому внутри РВХ.

Обычно для описания аппаратных средств, объединяющих телефонные линии друг с другом, используется термин "коммутатор", а системы, включающие коммутатор и другие периферийные аппаратные средства, напри-. мер, модемы, называют РВХ. Например, типичная РВХ-станция монтируется на стене, имеет модульный блок со слотами для адаптеров, которые легко подключаются и отключаются. Один такой адаптер может соединять магистральную линию с РВХ, другой подключает несколько линий; часто каждый адаптер является одноплатным компьютером.

Такой компьютер может являться специализированным программно-аппаратным комплексом или это может быть компьютер под управлением операционной системы общего назначения, например, Windows NT/2000 Server. Приложения, работающие на этом компьютере обеспечивают возможности вызова, к примеру, конференц-связи, автоматической переадресации, ручного перевода звонка, ожидания, автоматического повторного набора и т. д. (рис. 19.21).




Другая реализация РВХ — компьютер с адаптерами для: передачи данных, для подключения магистральных линий и расширений. Как ив предыдущем случае, возможности вызова реализуются приложениями, работающими на компьютере.

Имеются две формы интеграции компьютера и телефонии: с применением технологий классической телефонии и IP-телефонии. Классическая телефония использует

коммутируемые телефонные сети общего пользования

(Public Switched Telephony Networks, PSTN), что позволяет создавать клиейт-серверные телефонные системы, а

IP-телефония

позволяет использовать компьютерную конференц-связь по локальным сетям (LAN), глобальным сетям (WAN) или через Интернет.





Рис. 19.21.


Интеграция сред и служб передачи данных





Рис. 19.22.


Службы доступа к телефонии в Windows 2000

В состав Windows 2000 входит ряд стандартных служб доступа — поставщиков телефонных услуг, реализующих различные функции (рис. 19.22).


Установление соединения с использованием политик


Когда пользователь пытается установить соединение, то попытка принимается или отклоняется на основании следующей логики:

1.

Проверяется первая политика в упорядоченном списке политик. Если подходящей политики не существует, то попытка соединения отклоняется.

2.

Если не все условия политики соответствуют попытке соединения, то осуществляется переход к следующей политике. Если политик больше нет, попытка соединения отклоняется.

3.

Если все условия политики соответствуют попытке соединения, то проверяется разрешение удаленного доступа для пользователя, делающего попытку соединения:

Если отказано в предоставлении права удаленного доступа, то попытка соединения отклоняется.

Если предоставлено право удаленного доступа, то применяются свойства пользователя и свойства профиля.

Если попытка соединения не соответствует параметрам настройки свойств учетной записи пользователя и свойств профиля, то попытка соединения отклоняется.

Если попытка соединения соответствует параметрам настройки свойств учетной записи пользователя и свойств профиля, то соединение устанавливается.

LLЕсли право удаленного доступа определяется с помощью политики (Control access through Remote Access Policy), то установка разрешения удаленного доступа берется из политики:

Если в праве удаленного доступа отказано (Deny remote access permission), то попытка соединения отклоняется.

Если право удаленного доступа предоставлено (Allow remote access permission), то применяются свойства пользователя и свойства профиля.

LLЕсли попытка соединения не соответствует параметрам настройки свойств учетной записи пользователя и свойств профиля, то попытка соединения отклоняется.

Если попытка соединения соответствует параметрам настройки свойств учетной записи пользователя и свойств профиля, то соединение устанавливается.



Возможности службы факсов


 

Передача сообщения на титульном листе

. Службу факсов позволяет передавать сообщения на титульном листе факса отдельно от документа. В

Редакторе титульных страниц факсов

(Fax Cover Page Editor) можно создать любой титульный лист по желанию пользователя или выбрать один из имеющихся шаблонов титульных листов. Мастер рассылки факсов автоматически вносит информацию о получателе и отправителе (рис. 19.18), нужно только ввести примечание и отослать факсимильное сообщение.

Передача факсов из программ

Служба факсов может работать с текстовыми документами и графическими изображениями. Можно отправлять по факсу документы из любого приложения Windows, в котором есть команда

Печать.

Передача факсов из почтовых программ

Служба факсов работает также с некоторыми версиями Microsoft Exchange или Microsoft Outlook. В Outlook, например, можно передавать сообщения электронной почты и присоединенные документы получателям факсов. Необходимо настроить службу факсов, чтобы она работала с соответствующей учетной записью пользователя в Outlook; для этого в программе Outlook нужно в настройках профиля пользователя на вкладке

Службы

(Services) добавить

Почтовый транспорт факсов

(Fax Mail Transport).

Прием факсимильных сообщений

Службу можно настроить для автоматического приема факсов (рис 19.19) их сохранения на диске и печати на указанном принтере или автоматической передачи цо электронной почте (рис. 19.20).

Рис. 19.18.

Окно свойств факса

Рис. 19.19.

Настройка факс-модема для приема и/или передачи факсов

Рис. 19.20.

Настройка службы факсов для сохранения принятых сообщений

Редактор титульных страниц факсов

Каждый пользователь компьютера Windows 2000 может при помощи редактора титульных страниц факсов создавать или изменять шаблоны титульного листа. Можно также создавать общие титульные листы, чтобы совместно использовать их из нескольких профилей. Факс содержит четыре общих шаблона титульных листов. При передаче факса шаблон получает информацию, которая введена на вкладке Сведения

о пользователе

(User Information) диалогового окна

Свойства факса

(Fax Properties), и автоматически добавляет ее к передаваемому титульному листу.

Можно использовать существующие титульные листы (файлы с расширением cov). Также можно конвертировать титульные листы из службы факсов Windows 95 (файлы с расширением сре) для применения со службой факсов Windows 2000.



Защита после подключения


После проверки подлинности удаленного доступа и подключения клиента к LAN клиент удаленного доступа может обращаться только к тем сетевым ресурсам, для которых он имеет соответствующее разрешение. Клиенты удаленного доступа подчиняются общим схемам безопасности Windows 2000 так же, как если бы они физически располагались в LAN. Другими словами, клиенты удаленного доступа не могут выполнять действия, не имея достаточных на то полномочий, и не могут обращаться к ресурсам, для которых они не имеют соответствующих разрешений.

Клиенты удаленного доступа должны быть проверены на подлинность сервером удаленного доступа до обращения к ресурсам и обмена данными по сети. Эта проверка подлинности — шаг, отдельный от регистрации в Windows 2000. При передаче по телефонным линиям пароли пользователей и процесс проверки подлинности можно шифровать.

Можно ограничить клиента удаленного доступа доступом только к общим ресурсам сервера удаленного доступа, а не к ресурсам всей сети, к которой подключен сервер удаленного доступа. Администратор может управлять тем, какая информация будет доступна клиентам удаленного доступа, и ограничивать доступ пользователей в случае нарушения защиты.



Защита при подключении


Вот пошаговая схема процесса, происходящего при запросе клиента удаленного доступа к серверу удаленного доступа под управлением Windows 2000:

1.

Клиент удаленного доступа набирает номер сервера удаленного доступа.

2.

Происходит физическое соединение (например, двух модемов).

3.

Сервер посылает запрос клиенту.

4.

Клиент посылает зашифрованный ответ серверу.

5.

Сервер проверяет ответ при помощи базы данных учетных записей Пользователей.

6.

Если учетная запись существует и не заблокирована, сервер принимает решение об установлении соединения в соответствии с политикой удаленного доступа и свойствами учетной записи пользователя для клиента удаленного доступа.

7.

Если разрешена функция ответного вызова, сервер вызывает клиента и продолжает переговоры о соединении. Шаги 3 и 4 предполагают, что

клиент и сервер удаленного доступа используют протоколы проверки подлинности MS CHAP или CHAP. Для других протоколов проверки подлинности схема посылки клиентской идентификационной информации может отличаться от описанной.