在_Windows_Server_2003_中使用_RRAS_来配置拨号远程访问服务器
- 格式:doc
- 大小:209.50 KB
- 文档页数:9
一、填空题部分1、将FAT分区转换为NTFS分区可以使用convert命令。
Web Iuser_计算机名。
2、利用组策略安装软件时,主要有指派对象和发布对象两种方式。
1.Windows Server 2003中IE 浏览器默认安全级别为高3.DNS属于(应用层)层协议。
5.“net share”命令的作用是查看本机的共享资源3、默认网站的名称为,虚拟目录名为jiaowu,要访问虚拟目录jiaowu,应该在址栏输入/jiaowu56.管理员Administrator默认的权限是(完全控制5、删除AD可以使用“配置您的服务器”程序,也可以运行dcpromo命令打开安装向导。
6、DHCP服务器要为客户端提供多个网段的IP地址,一般需要创建作用域。
21.活动目录的基本单元是(对象)。
7、客户端自动分配IP地址应该安装DHCP服务器,安装DNS服务器实现域名解析。
8、在Windows Server 2003环境下,使用ipconfig/all命令可以查看IP地址配置,释放IP地址使用ipconfig/release命令,续订IP地址使用ipconfig/renew命令。
9、FAT16文件系统的分区不能超过4GB。
10、在共享文件夹的共享名后加上$符号,用户通过“网上邻居”浏览计算机时,共享文件夹将会被隐藏。
11、WWW网站的TCP端口默认为80,FTP服务器的端口默认为21。
POP3服务使用的端口是110 49.SMTP协议是邮件传输)协议。
POP3协议接收邮件)的协议。
NNTP协议是(网络新闻组传输)协议。
12、在域环境下,服务器能够向客户端发布租约之前,必须先对DHCP服务器进行授权。
13、可以使用Windows Server 2003内含的命令nslookup,测试DNS服务器是否能够完成解析工作。
14、在Windows Server 2003中,远程访问的接入方式主要有拨号连接和VPN连接两种方式。
效劳器配置与管理期末试题LT三、判断题〔10题,每题1分〕1、专用地址可以直接与Internet通信。
〔错〕2、安装Windows Server 2003的过程中,只能参加工作组模式,不能参加域模式。
〔错〕3、在Windows Server 2003中,既可由每效劳器许可模式更改为每客户许可模式,也可由每客户许可模式更改为每效劳器许可模式。
〔错〕4、不能对NTFS分区上的文件同时执行压缩和加密操作。
〔对〕5、将NTFS压缩文件移到另一个NTFS卷上的非压缩文件夹中时,文件会保持压缩状态,即便存储在非压缩的卷上也是如此。
〔错〕6、用户可以通过Run命令、网上邻居、映射网络驱动器向导和添加添加网上邻居向导连接到共享文件夹。
〔对〕7、 EFS加密系统是Windows Server 2003的内置功能。
〔对〕8、静态路由器必须手工配置路由表,并且可以与动态路由器交换信息。
〔错〕9、采用“每效劳器〞方式分发许可协议时,效劳器只能允许指定数量的客户端访。
〔对〕10、升级安装时,现有用户、设置、组、权利和权限都将保存。
〔对〕11、在Windows Server 2003中,可以使用自带的工具直接把NTFS分区转换成FAT分区并且保证分区中数据的完整性。
〔×〕12.假设一个工作组中有100台计算机.如果一个用户希望访问每台计算机上的资源,那么只需要在工作组中为他创立一个用户账户即可〔×〕13.默认时,DHCP客户机获得的IP地址租约期限是3天。
〔×〕14. 把目标计算机的完全合格域名转换为目标计算机的IP地址的过程被称为“正向查询〞。
〔√〕15.在不同的DHCP效劳器上,针对同一个网络ID号可以分别建立多个不同的作用域。
〔√〕17.在一台Windows Server 2003计算机安装AD后,计算机就成了域控制器〔对〕18. Windows Server 2003中User_ABC1235可以作为合法用户名〔对〕19. Windows Server 2003中“Guest〞账户默认设置为禁用〔对〕20.默认WEB效劳使用的TCP端口号为80,FTP效劳用来传输数据的TCP端口号为21〔对〕1、 Windows Server 2003标准版支持的CPU数量为( A)A.4B.6C.8D.122、以下那个命令是用来显示网络适配器的DHCP类别信息的〔 D 〕A. Ipconfig /allB. Ipconfig /releaseC. Ipconfig /renewD. Ipconfig /showclassid3、以下对用户组的表达正确的选项是〔B 〕A.组是用户的最高管理单位,它可以限制用户的登录B.组是用来代表具有相同性质用户的集合C.组是用来逐一给每个用户授予使用权限的方法D.组是用户的集合,它不可以包含组4、一个局域网利用Windows Server 2003的DHCP效劳器为网络中所有的计算机提供动态IP地址分配效劳。
Windows 2003 远程桌面端口相关配置一、端口注册表,进入以下路径:[HKEY_LOCAL_MACHINESYSTEMCurrentControlSetControlT erminal Server WdsrdpwdTdstcp],PortNamber值其默认值是3389,修改成所希望的端口即可。
再打开[HKEY_LOCAL_MACHINE SYSTEMCurrentContro1SetControlTenninal ServerWinStationsRDPTcp],将PortNumber的值(默认是3389)修改成端口6111。
修改完毕,重新启动电脑,以后远程登录的时候使用端口6111就可以了打开客户端管理连接器,单击已经建好的某个连接,单击“文件(file)”→“导出(Export)”…… 用记录本或其它文本编辑软件找开刚导出的这个.cns文件,找到“Server Port =3389”这一行了吗?把这个默认的3389改成与服务器一样的端口号就行了Windows XP/2003 下的修改办法使用XP或2003的客户端,它可以显示多彩,还可以有声音,功能更强大。
但终端客户端连接端口的修改方法与WIN2000有一定区别:按照原来更改2000的客户端的思路,把XP、2003的默认配置另存(在连接界面上单击“另存为”),和2000不一样的是:XP、2003的配置文件后缀是.rdp,WIN2000的是.cns用记事本打开这个地default.rdp文件,在里面没有发现什么3389的东东(2000的配置文件是有的),没有这句端口的配置我们就给它加上,假定现在的端口为8933,如下:server port:i:8933 保存,退出即可二、链接数用远程桌面链接登录到终端服务器时经常会碰到“终端服务器超出最大允许链接数”诸如此类错误导致无法正常登录终端服务器,引起该问题的原因在于终端服务的缺省链接数为2个链接,并且当登录遥程桌面后如果不是采用注销方式退出,而是直接关闭遥程桌面窗口,那么实际上会话并没有释放掉,而是继续保留在服务器端,这样就会占用总的链接数,当这个数量达到最大允许值时就会出现上面的提示。
windows 2003 server远程桌面连接数限制已经困扰很久了,给平时的维护带来麻烦。
既然微软不会从根本上解决这个问题,那只有通过其他方式来减少问题的发生几率。
一、在服务器端的处理办法如下(只能时避免连接数受限制,如果已经受限制,以下方法无法解决):1. 设定已经断开的会话结束时间限制,这样避免会话已经断开,但仍然占用一个Session开始-运行-gpedit.msc-计算机配置-管理模板-windows组件-终端服务-会话,右边窗口选择“为断开的会话设置时间限制”-选择“已启用”,选择一个时间开始-运行-gpedit.msc-计算机配置-管理模板-windows组件-终端服务-会话,右边窗口选择“到达时间限制时终止会话”-选择“已启用”。
2. 无限时保持连接会话,便于远程控制共享任意时候连接会话的数据,也就是共享任意时候连接的远程桌面的当时状态:开始-管理工具-终端服务配置-服务器配置-限制每个用户使用一个会话3. 养成良好习惯,退出连接时不要直接关闭,而是使用注销。
二、如果已经有多个连接存在1.可以通过命令的方式将连接断开,这个方法在2000系统同样可用;如果在任务管理器的用户里注销的方法:1. 在Command Line模式下:输入命令query userC:\>query userUSERNAME SESSIONNAME ID STATE IDLE TIME LOGON TIME>dfsadmin 0 Disc . 7/23/2007 7:53 PMmrsadmin rdp-tcp#10 1 Active . 7/24/2007 9:31 AMID 0 的用户是本地登陆的,ID 1 是3389登陆的用户,正在运行中,但是仍然占用系统资源和通道,我们要把它踢掉。
如下进行操作即可。
2.可通过logoff x命令来注销id未x的登录用户,输入命令:logoff 1 ,再用query user查询状态C:\>query userUSERNAME SESSIONNAME ID STATE IDLE TIME LOGON TIME>dfsadmin 0 Disc . 7/23/2007 7:53 PMmrsadmin rdp-tcp#10 1 Active . 7/24/2007 9:31 AMC:\>logoff 1C:\>query userUSERNAME SESSIONNAME ID STATE IDLE TIME LOGON TIME>dfsadmin 0 Disc none 7/23/2007 7:53 PM三、如果连接已经受限制,从远程登录的解决方法:可以用一个“3389DOS版”软件来进行牵制登录。
(精华版)国家开放大学电大《Windows网络操作系统管理》机考2套标准试题及答案盗传必究第一套试卷总分:100 答题时间:60分钟客观题一、配伍题(共1题,共10分)1. (请为名词①~⑤选择表示其含义的描述,将配对好的a~b填写到括号中,每空2分,共10分)① Windows Server 2016② Windows Server 2003③ Windows 10④ Linux⑤ Windows 7a 能够提供Hyper-V功能b 不能提供Hyper-V功能①:a ②:b ③:a ④:b ⑤:b二、判断题(共9题,共18分)1. Windows Server 2016操作系统,默认启用了“远程桌面”功能。
()F ×2. 如果将某个用户帐户加入到某个组中,则该用户帐户不会拥有与这个组相同的权限和权利。
()F ×3. 如果删除了域中最后一台域控制器,那么该域将不复存在。
()T √4. RAID 可以使用两种机制(磁盘镜像和奇偶校验信息)来实现存储系统的容错功能。
()T √5. vhdx文件最大容量可达64TB。
()T √6. 默认情况下,所有用户都可以把文档发送到共享打印机。
()T √7. DHCP客户机自动获取的IP地址租约是有使用期限的,这个使用期限由DHCP客户机决定。
()F ×8. 管理员可以在辅助区域中直接添加、修改或删除资源记录。
()F ×9. VPN的部署方案主要有两种:“远程访问VPN”和“站点到站点VPN”。
()T √三、单选题(共11题,共33分)1. Windows网络的管理架构主要有两种:工作组和()正确答案:域2. 管理员无法更改()组的成员关系,但是可以为其分配权限和权利正确答案:Everyone3. ()可将域中所有对象进行分组,并将其组织到一个分层式结构中正确答案:组织单位4. 域中的SYSOVL文件夹必须存储在()分区内正确答案:NTFS5. Windows操作系统支持两种分区表格式:()和全局唯一标识分区表正确答案:MBR6. 安装Hyper-V角色之后,物理服务器被称为主机(Host),其操作系统被称为主机操作系统(Host OS),而虚拟机中所安装的操作系统被称为( )正确答案:来宾操作系统7. 如果希望本地的文件资源能够被其它计算机上的用户通过网络来访问,必须对这些文件资源设置()正确答案:共享8. 管理员可以随时释放已有的IP地址租约,操作命令为()正确答案:“ipconfig /release”9. 一个作用域在必须被()后才能正常工作正确答案:激活10. 常用的DNS资源记录包括:()、SOA记录、NS记录、PTR记录和CNAME记录等正确答案:A记录11. 使用()协议,VPN客户端发送到VPN服务器的密码以“明文”的方式发送,也就是没有加密正确答案:PAP四、多选题(共5题,共15分)1. 内置的本地用户帐户主要有()。
网络实验室VPN实验项目的设计与实现罗新;王会林【摘要】As a main technology of information security, the range of practical application of VPN is more and more widely used. This paper analyses the current status of developing VPN experiment, and proposes four solutions of VPN experiment. Meanwhile, one analyses and compares the features for various solutions, in order to provide a reference for future experiments.%VPN作为信息安全的主流技术,在现实应用中越来越广泛。
文章对实验室开展VPN实验的现状进行了分析,提出了4种VPN实验方案,并对各个方案的特点进行分析与比较,为将来进一步在实验室开展VPN实验提供了有益的参考。
【期刊名称】《实验科学与技术》【年(卷),期】2012(010)003【总页数】4页(P38-40,50)【关键词】信息安全;VPN技术;实验方案;实验设计与测试【作者】罗新;王会林【作者单位】韩山师范学院数学与信息技术系,广东潮州521041;韩山师范学院数学与信息技术系,广东潮州521041【正文语种】中文【中图分类】TP393.08;G420近年由于信息技术及电子商务的不断发展,不仅大型企业,中小型企业也越来越重视通过互联网把自己的业务整合起来,这时候就涉及信息安全问题。
如果通过租用电信营业部门的专线或者电话拨号的方式解决,成本会很高,而且还有一定的局限性。
可以考虑用一种性价比较高的方案,即采用VPN技术。
VPN(Virtual Private Network VPN),即虚拟专用网,简单地说,就是在“公网”上建立“私网”的一种技术。
配置拨号远程访咨询效劳器的逐步式指南本逐步式指南提供了配置路由和远程访咨询效劳(RRAS)结构以支持拨进远程访咨询连接的指导。
本页内容简介逐步式指南WindowsServer2003部署逐步式指南提供了许多常见操作系统配置的实际操作经验。
本指南首先介绍通过以下过程来建立通用网络结构:安装WindowsServer2003;配置ActiveDirectory®;安装WindowsXPProfessional工作站并最后将此工作站添加到域中。
后续逐步式指南假定您已建立了此通用网络结构。
要是您不想遵循此通用网络结构,那么需要在使用这些指南时进行适当的修改。
通用网络结构要求完成以下指南。
••在配置通用网络结构后,能够使用任何其他的逐步式指南。
注重,某些逐步式指南除具备通用网络结构要求外,可能还需要满足额外的先决条件。
任何额外的要求都将列在特定的逐步式指南中。
MicrosoftVirtualPC能够在物理实验室环境中或通过虚拟化技术〔如MicrosoftVirtualPC2004或MicrosoftVirtualServer2005〕来实施WindowsServer2003部署逐步式指南。
借助于虚拟机技术,客户能够同时在一台物理效劳器上运行多个操作系统。
VirtualPC2004和VirtualServer2005确实是根基为了在软件测试和开发、旧版应用程序迁移以及效劳器整合方案中提高工作效率而设计的。
WindowsServer2003部署逐步式指南假定所有配置根基上在物理实验室环境中完成的,但大多数配置不经修改就能够应用于虚拟环境。
将这些逐步式指南中提供的概念应用于虚拟环境超出了本文的讨论范围。
重要讲明此处作为例子提到的公司、组织、产品、域名、电子邮件地址、徽标、个人、地点和事件纯属虚构,决不意指,也不应由此臆测任何公司、组织、产品、域名、电子邮件地址、徽标、个人、地点或事件。
此通用根底结构是为在专用网络上使用而设计的。
VPN的简单搭建作者:强宝授权使用人群:IAA的友友们当公司的出差员工或公司分支机构要与总公司进行相关信息的交流时,直接使用公网传输显然不安全。
那么我们如何架构一个安全的交流平台呢,当今稳定而成熟的VPN 技术给了我们答案。
在这里我们以Windows Server 2003 系统为平台进行 VPN 的搭建。
准备环境:一台性能较强的服务器并安装有 Windows Server2003 系统(在这里我使用的 Windows 域环境),两张网卡(一张用于连接公网为,一张用于连接公司内部局域网)特殊说明:由于我环境有限并没有申请公网固定IP(我通过TPLINK接到Modem,采用 TPLINK拨号上网,Modem在这里只起到调制解调作用)。
查看一下 03系统的 IP先:好了,开始在上面配置 VPN 了。
运行如下命令,打开路由和远程访问(该组件默认已安装):接下来将配置并启用路由和远程访问(以下简称 RRAS):选择远程访问(拨号或 VPN):选择 VPN 选项:设置与公网进行通信的网卡(注意:此网卡上的 IP必须能上公网)在这里我们选择手动指定 IP范围(若公司有 DHCP服务器可选择自动获取):进行地址范围的新建:指定地址范围:因为我们只有一台 RAS服务器所以不必另行搭建 RADIUS服务器来管理验证。
现在 03 系统上的配置基本上完成了。
接下来我们设置 VPN 登录用户的相关属性。
找到拨入标签,设置该用户允许进行 VPN 的访问:03 上面的配置已经完了,接下来我们还有需在 TPLINK上进行简单配置:友友们因该看得出上图的 192.168.1.101 是 VPN 服务器与公网通信的 WAN 地址,好了记得保存哦。
OK!现在我们将进行客户端的配置:新建一个 VPN 连接:选择连接到我的工作场所的网络:选择 VPN 连接:键入你的公司名称:新建 VPN 连接完毕,先不要急着连接(否则你将无法同时使用两个网络[公网和 VPN])打开 VPN 连接属性找到网络标签,再打开 Internet (TCP/IP)的属性:点击高级:将“在远程网络上使用默认网关”的小勾去掉,确定。
Windows 2003 Server服务器安全配置一、先关闭不需要的端口我比较小心,先关了端口。
只开了3389、21、80、1433,有些人一直说什么默认的3389不安全,对此我不否认,但是利用的途径也只能一个一个的穷举爆破,你把帐号改了密码设置为十五六位,我估计他要破上好几年,哈哈!办法:本地连接--属性--Internet协议(TCP/IP)--高级--选项--TCP/IP筛选--属性--把勾打上,然后添加你需要的端口即可。
PS一句:设置完端口需要重新启动!当然大家也可以更改远程连接端口方法:Windows Registry Editor Version 5.00[HKEY_LOCAL_MACHINE \ SYSTEM\ Current ControlSet \ Control \ TerminalServer\WinStations\RDP-Tcp]"PortNumber"=dword:00002683保存为.REG文件双击即可!更改为9859,当然大家也可以换别的端口,直接打开以上注册表的地址,把值改为十进制的输入你想要的端口即可!重启生效!还有一点,在2003系统里,用TCP/IP筛选里的端口过滤功能,使用FTP服务器的时候,只开放21端口,在进行FTP传输的时候,FTP 特有的Port模式和Passive模式,在进行数据传输的时候,需要动态的打开高端口,所以在使用TCP/IP过滤的情况下,经常会出现连接上后无法列出目录和数据传输的问题。
所以在2003系统上增加的Windows连接防火墙能很好的解决这个问题,不推荐使用网卡的TCP/IP过滤功能。
做FTP下载的用户看仔细,如果要关闭不必要的端口,在\system32\drivers\etc\services 中有列表,记事本就可以打开的。
如果懒的话,最简单的方法是启用WIN2003的自身带的网络防火墙,并进行端口的改变。
Win2003路由和远程访问实现VPN一、在VPN远程连接之前要做好两个准备。
公司总部采用ADSL虚拟拨号接入Internet,为了保证出差员工能够使用固定的域名随时拨入VPN服务器,申请了88IP动态域名解析服务,88IP作为企业应用还是要稳定可靠些的。
第一:要获得VPN服务器接入Internet的公共IP地址,如果是分配的静态IP,那就简单了,如果是动态IP,那必须在远程能随时获得这个IP地址,本例如图1,192.168.0.2这台机器的公网IP实际上就是ADSL猫接入Internet时,是ISP给自动分配的,且一般被分配到的是动态IP。
第二:要做个端口映射,从图1的拓扑可以看出,本例是通作在ADSL猫中通过NAT转,接入Internet的,通过这种方式一定要在ADSL中作端口映射,由于windows 2003的VPN服务用的是1723端口,所以如图a,将1723端口映射到192.168.0.2这台设有VPN服务的机器。
如果用的是直接拨号,那在防火墙中将这个端口放开就行了。
计算机本身如果安装了防火墙,不要限制对本地回环地址127.0.0.1的访问,否则将无法连接虚拟网。
二、搭建VPN服务器首先在公司总部的服务器上使用Windows Server 2003作为系统平台,默认情况下“路由和远程访问”服务是已经安装好了的,只须对它进行一些必要的配置就可以启用VPN服务。
第一步:依次点击“开始→管理工具→路由和远程访问”,打开“路由和远程访问”服务窗口。
第二步:右键点击控制台中的Host-name(本机名称),执行“配置并启用路由和远程访问”命令,进入安装向导并单击“下一步”按钮。
在“配置”对话框中选择“自定义配置”选项并点击“下一步”按钮。
接着在“自定义配置”对话框中勾选“VP N访问”选项后完成配置操作,等待几秒钟之后VPN服务器即可启动。
第三步:使用静态IP地址池为拨入端分配IP地址可以减少IP地址的解析时间,从而提高连接速度。
配置拨号远程访问服务器的逐步式指南本逐步式指南提供了配置路由和远程访问服务(RRAS) 结构以支持拨入远程访问连接的指导。
本页内容简介概述配置拨号远程访问服务器通过策略保护远程访问拨入其他资源简介逐步式指南Windows Server 2003 部署逐步式指南提供了很多常见操作系统配置的实际操作经验。
本指南首先介绍通过以下过程来建立通用网络结构:安装Windows Server 2003;配置Active Directory®;安装Windows XP Professional 工作站并最后将此工作站添加到域中。
后续逐步式指南假定您已建立了此通用网络结构。
如果您不想遵循此通用网络结构,则需要在使用这些指南时进行适当的修改。
通用网络结构要求完成以下指南。
•第一部分:将Windows Server 2003 安装为域控制器•第二部分:安装Windows XP Professional 工作站并将其连接到域上在配置通用网络结构后,可以使用任何其他的逐步式指南。
注意,某些逐步式指南除具备通用网络结构要求外,可能还需要满足额外的先决条件。
任何额外的要求都将列在特定的逐步式指南中。
Microsoft Virtual PC可以在物理实验室环境中或通过虚拟化技术(如Microsoft Virtual PC 2004 或Microsoft Virtual Server 2005)来实施Windows Server 2003 部署逐步式指南。
借助于虚拟机技术,客户可以同时在一台物理服务器上运行多个操作系统。
Virtual PC 2004 和Virtual Server 2005 就是为了在软件测试和开发、旧版应用程序迁移以及服务器整合方案中提高工作效率而设计的。
Windows Server 2003 部署逐步式指南假定所有配置都是在物理实验室环境中完成的,但大多数配置不经修改就可以应用于虚拟环境。
将这些逐步式指南中提供的概念应用于虚拟环境超出了本文的讨论范围。
重要说明此处作为例子提到的公司、组织、产品、域名、电子邮件地址、徽标、个人、地点和事件纯属虚构,决不意指,也不应由此臆测任何公司、组织、产品、域名、电子邮件地址、徽标、个人、地点或事件。
此通用基础结构是为在专用网络上使用而设计的。
此通用结构中使用的虚拟公司名称和域名系统(DNS) 名称并未注册以便在Internet 上使用。
您不应在公共网络或Internet 上使用此名称。
此通用结构的Active Directory 服务结构用于说明“Windows Server 2003 更改和配置管理”如何与Active Directory 配合使用。
不能将其作为任何组织进行Active Directory 配置的模型。
返回页首概述为支持远程访问公司网络的用户,您可以部署拨号网络、虚拟专用网络(VPN) 或者同时部署这两种网络。
用户可使用电话线并通过拨号网络直接拨入网络上的远程访问服务器。
连接到Internet 上的远程用户可通过VPN 建立与网络上VPN 服务器之间的连接。
建立站点到站点虚拟专用网络连接的逐步式指南还提供了有关部署VPN 的其他指导。
该指南讨论了配置拨号远程访问解决方案所需的步骤。
在确定最适用于组织的解决方案时,请考虑每种解决方案的相对成本效率以及它们能在多大程度上满足组织对安全性和可用性方面的要求。
还应考虑支持您的远程访问服务器设计所需要的Intranet 网络结构。
如果支持结构设计不当,远程访问客户端就无法获取IP 地址和解析Intranet 名称,并且无法在远程访问客户端和Intranet 资源之间传送数据包。
提供安全可靠且符合您组织需要的远程访问解决方案的关键在于,在确定是部署拨号网络、VPN 还是同时部署这两种网络后仔细规划和测试您的远程连接设计。
VPN 远程访问服务器部署涉及的任务与拨号远程访问服务器部署不同;但是,您的远程访问解决方案通常包括这二者的设计要素。
图1 显示拨号远程访问解决方案的基本体系结构。
Microsoft 证书服务和Internet 验证服务(IAS) 是拨号或VPN 结构中的可选组件,它们提供扩展的身份验证方法以及集中的策略管理。
本逐步式指南不包含这些可选组件。
图 1. 典型远程访问结构使用拨号网络进行远程访问在拨号网络解决方案中,远程用户拨入网络上的远程访问服务器。
在本质上,拨号线路比使用公共网络(比如Internet)的解决方案具有更强的保密性。
然而,在部署拨号网络时,企业不仅要在初期投入大量的资金,而且还要在解决方案生命周期内继续支出一些费用。
这些费用包括:•硬件采购和安装拨号网络要求在初期投入资金购买调制解调器或其他通讯硬件、服务器硬件以及安装电话线。
•每月电话费用远程访问所使用的每条电话线都会增加拨号网络的成本。
如果您使用免费电话号码或回叫功能来承担用户的长途通话费,则这些费用可能是非常高的。
大多数公司可以使用大宗长途通话费率,这比按较昂贵的家用电话费率分别支付用户的费用要便宜得多。
•持续支持远程访问用户的数量和远程访问设计的复杂程度可以大大影响拨号网络的持续支持成本。
支持成本包括为支持和管理部署而设置的网络支持工程师、测试设备、培训和服务台人员。
这些成本是组织的最大一部分投资。
先决条件•第一部分:将Windows Server 2003安装为域控制器•安装其他域控制器的逐步式指南•Active Directory 管理逐步式指南•建立站点到站点虚拟专用网络连接的逐步式指南指南要求•为成功地测试拨号远程访问服务器,您必须在远程访问服务器和客户端上安装调制解调器,而且必须有一根可供使用的电话线。
•如果不能使用物理调制解调器来测试远程访问服务器,您可以按照本指南中的步骤强制安装一个标准调制解调器。
要安装本逐步式指南中使用的通用调制解调器,请按照以下步骤操作:1. 在“HQ-CON-DC-01”上,单击“开始”按钮,单击“控制面板”,然后单击“添加硬件”。
2. 单击“下一步”,单击“是,硬件已连接好”,然后单击“下一步”。
3. 在“已安装的硬件”下面,滚动到列表的底部,单击“添加新的硬件设备”,然后单击“下一步”。
4. 单击“安装我手动从列表选择的硬件”,然后单击“下一步”。
5. 单击“调制解调器”,然后单击“下一步”。
6. 选择“不要检测我的调制解调器;我将从列表中选择”复选框,然后单击“下一步”。
7. 在“型号”结果窗格中,双击“标准56000bps 调制解调器”。
8. 单击“全部端口”,然后单击“下一步”。
9. 单击“完成”。
返回页首配置拨号远程访问服务器在将服务器配置为拨号远程访问服务器之前,必须启用路由和远程访问服务(RRAS),Windows Server 2003 会自动安装该服务。
有关启用RRAS 所需的步骤,请参见以下指南的“先决条件”部分:建立站点到站点虚拟专用网络连接的逐步式指南。
有关配置RRAS 的更多信息,请参见Windows Server 2003 帮助和支持中心中的“远程访问/VPN 服务器角色:配置远程访问/VPN 服务器”。
在启用路由和远程访问后,请使用“路由和远程访问”管理单元来配置拨号远程访问服务器的属性。
要在HQ-CON-DC-01 上启动“路由和远程访问”管理单元,请按照以下步骤操作:1. 单击“开始”按钮,指向“所有程序”,选择“管理工具”,然后单击“路由和远程访问”。
要检查是否配置了HQ-CON-DC-01 以进行拨号远程访问,请按照以下步骤操作:1. 在“路由和远程访问”控制台中,右键单击“HQ-CON-DC-01”,然后单击“属性”。
2. 在“HQ-CON-DC-01 属性”对话框的“常规”选项卡上,确保选中了“远程访问服务器”复选框(如图 2 所示)。
图 2. 远程访问服务器配置3. 在“HQ-CON-DC-01 属性”对话框中,单击“确定”。
为远程访问配置拨入端口1. 在“路由和远程访问”控制台中,单击“HQ-CON-DC-01”旁边的加号(+)将树展开。
2. 右键单击“端口”,然后单击“属性”。
3. 在“端口属性”屏幕上的“设备”下面,单击以突出显示用于远程访问拨入连接的调制解调器。
图3 中选择了标准56000 bps 调制解调器。
图 3. 选择调制解调器4. 单击“配置。
5. 在“配置设备”对话框中,选择“远程访问连接(仅入站)”,键入远程用户连接所使用的“此设备的电话号码”,然后单击“确定”。
注意:如果远程访问连接使用多个调制解调器,则为每个设备重复步骤3 到步骤5。
6. 单击“确定”以完成操作。
返回页首通过策略保护远程访问拨入Windows Server 2003 中的RRAS 是根据用户帐户拨入属性和远程访问策略进行网络访问授权的。
远程访问策略是一组按顺序排列的规则,这些规则定义了授权或拒绝连接的方式。
每个规则都有一个或多个条件、一组配置文件设置以及远程访问权限设置。
如果授权某个连接,远程访问策略配置文件将指定一组连接限制。
用户帐户拨入属性还提供一组限制。
如果适用的话,用户帐户的连接限制将替代远程访问策略配置文件的连接限制。
使用远程访问策略进行授权共有两种方式:•按用户如果按用户管理授权,请将用户帐户或计算机帐户的远程访问权限设置为“授权访问”或“拒绝访问”,也可以根据不同连接类型创建不同的远程访问策略。
例如,您可能希望将一个远程访问策略用于拨号连接,而将另一个远程访问策略用于无线连接。
建议您只有在管理少量用户或计算机帐户时才按用户来管理授权。
•按组如果按组管理授权,应将用户帐户的远程访问权限设置为“通过远程访问策略控制访问”,并创建基于各种连接类型和组成员身份的远程访问策略。
例如,您可能希望将一个远程访问策略用于雇员(“Employees”组成员)的拨号连接,而将另一个远程访问策略用于承包商(“Contractors”组成员)的拨号连接。
远程访问策略条件是一个或多个属性(相当于连接尝试设置)。
如果存在多个条件,则所有条件必须与连接尝试设置相匹配以符合策略要求。
如果远程访问的所有条件都匹配,则授予或拒绝远程访问权限。
您可以使用“授予远程访问权限”或“拒绝远程访问权限”选项来设置策略的远程访问权限。
在下面几节中,将拨入连接的远程访问策略配置为按组进行授权。
要准备远程访问策略以按组进行拨入授权,请按照以下步骤操作:1. 在“HQ-CON-DC-01”服务器上,打开“Active Directory 用户和计算机”控制台。
2. 在“Active Directory 用户和计算机”控制台中,单击“”旁边的加号(+) 将树展开。
3. 在“”树下面,单击“Accounts”组织单位(OU)。
在结果窗格中,双击“Production”,然后双击“Clair Hector”。