Operációs rendszerek a 12. és 13. előadás
Szolgáltatás RRAS (Routing and Remote Access Service Routing and Remote Access szolgáltatást.) - Windows Server rendszer szolgáltatás, amely lehetővé teszi, hogy hajtsa végre a következő feladatokat látja el:
szervezése biztonságos kapcsolatot (Virtual Private Network) a mobil felhasználók között csatlakozik a nyilvános hálózatokhoz (mint például az Internet), és a vállalati hálózat;
létrehozza a biztonságos kapcsolatot vállalati irodák, amelyek kapcsolódnak a nyilvános hálózatok;
RRAS szolgáltatás egy gazdag meg a funkciókat és képességeket. Ebben természetesen nézzük meg az alapvető funkciók és jellemzők a szolgáltatás, amit először meg kell tudni, hogy minden hálózati rendszergazda.
SLIP protokoll (Serial Line Interface Protocol) - meglehetősen régi protokoll végrehajtása elsősorban a távoli hozzáférést biztosító kiszolgáló fut UNIX alapú rendszerek (tervezték, hogy csatlakozzon a felhasználók az interneten keresztül); A Windows család rendszer támogatja a protokoll csak a kliens oldalon (SLIP lehetővé teszi, hogy csak a TCP / IP hálózati verem igényel írás egyéni szkriptek a kliens kapcsolódni, akkor a szerver nem engedi meg, hogy virtuális magánhálózatok);
PPP protokoll (Point-to-Point Protocol) - használjuk a kommunikációs protokollt (vagy inkább család protokollokat), amely lehetővé teszi a felhasználók számára, hogy zökkenőmentesen csatlakozni a távoli hozzáférési szerver, használja a különböző hálózati protokollokat (TCP / IP, IPX / SPX, NetBEUI AplleTalk.) Létrehozása virtuális magánhálózatok (Windows szerver távoli hozzáférési szolgáltatást használja ezt a kommunikációs protokoll).
Kezdjük egy példa bemutatja, hogyan kell telepíteni a kezdeti szolgáltatás beállítás, és megvitatják a terminológia, a technológia, és minden, amit kell paramétereket, funkciók és jellemzők a szolgáltatás.
Telepítés és kezdeti beállítás az RRAS
RRAS szolgáltatás nem kell hozzáadni hozzáadásával át Windows-összetevők. Ezt a szolgáltatást telepíti a rendszert, de alapértelmezésben le van tiltva. Meg kell engedélyezni és beállítani.
Kattintson a "Start" válassza a "Minden program" - "Felügyeleti eszközök" - "Routing and Remote Access". Nyissa meg a RRAS menedzsment konzol, válassza ki a konzol, a szerver nevét, a jobb gombbal, és válassza ki a „Beállítás és engedélyezése Routing and Remote Access”. Ez elindítja a telepítő varázslót routing szerver és a távoli hozzáférés:
Kezdetben a mester kérte, hogy válasszon egyet a forgatókönyvek az RRAS használatra (ábra. 10,19). A mi esettanulmányban válassza a „Speciális beállítások” (az összes rendelkezésre álló szolgáltatások).
További lehetőségek „Speciális beállítások” Ki kell választani a szükséges szolgáltató funkciók (vegye figyelembe az összes lehetőséget, ábra 10.20.).
Kattintson a „Befejezés” gombra. Varázsló megkérdezi, hogy indítsa el a szolgáltatást azonnal a beállítás után, kattintson az „Igen”. Ablak szolgáltatás menedzsment konzol formájában fog ábrán látható. 10.21.
Számunkra, hogy tanulmányozza az RRAS szolgáltatás nem igényel minden összetevője, ezért az egy része a komponens a felügyelet, és néhány egyszerűen vegye ki a konzolból.
Beállítás felhasználói jogok csatlakozni egy távoli hozzáférést biztosító kiszolgáló
Hiányában RADIUS szerver (cm. Az alábbiakban) lehetővé teszi a felhasználónak, hogy kapcsolódni a távoli hozzáférési szerverek kombinálásával határoztuk meg a tulajdonságait a felhasználó és a távoli hozzáférési politika. egyedileg beállítható minden távoli hozzáférést biztosító kiszolgáló.
Ha az Active Directory domain vegyes módban a távoli hozzáférési jogosultságokat határozza csak a tulajdonságai a felhasználó a „Bejövő hívások” fület (Dial-In). Ebben az esetben már csak két lehetőség -, hogy engedélyezze vagy tiltsa le (ábra 10.22.). Az alapértelmezés szerint minden új felhasználó meghatározott megtagadási szabály. Amellett, hogy engedélyezése / tiltása, akkor is meg vissza a hívást a szerver (Call-back). Három lehetőség van:
A fő mód a felhasználó tulajdonságok állnak további lehetőségek közül:
„Használd statikus routing” - ha a kapcsolat küldeni a felhasználó által meghatározott listáját router.
Beállítása kiszolgáló tulajdonságai
Ismét válassza ki a konzolt, a szerver nevét, a jobb gombbal, és válassza ki a „Tulajdonságok” menüpontot.
1. A „General” fülön meg lehet változtatni a szolgáltatás használat módja:
csak a router (vagy csak a helyi hálózaton vagy a helyi hálózat és a távoli hálózat csatlakozik a távoli kommunikáció);
csak a távoli hozzáférést biztosító kiszolgáló;
a kettő kombinációja lehetőségeket.
A „Biztonság” létre a hitelesítési eljárás (hitelesítés), a felhasználók, akik csatlakozni a távoli hozzáférési szolgáltatást. Szolgáltatás RRAS Windows Server támogatja a következő hitelesítési módszerek (mértéke szerint biztonságának növelésére ezen eljárás):
PAP protokollt (Password Authentication Protocol) - a legegyszerűbb protokoll örökölt régebbi verziói Remote Access Services (végre nem csak a Windows rendszerben), és ez a protokoll, a felhasználói név és jelszó keresztül továbbítják a kommunikációs eszközök egyszerű nyelven, az alapértelmezett hitelesítési módszer van tiltva;
Jegyzőkönyv SPAP (Shiva Password Authentication Protocol) - használja a jelszó titkosítás által kifejlesztett protokoll Shiva (a múltban - az egyik a fejlesztők a távoli hozzáférést biztosító eszközök), jelszó titkosítási algoritmus gyengébb, mint a módszerek CHAP és MS CHAP. Alapértelmezés szerint ez a módszer is le van tiltva;
Jegyzőkönyv CHAP (Challenge Handshake Authentication Protocol) - a jelszó titkosítási módot alkalmazzák hash MD-5 (a hálózaton továbbított érték a jelszó hash függvény), ez a protokoll az egyik ipari szabványok és végre, sok távoli hozzáférési rendszerek, akkor ajánlott használni, ha az ügyfél csatlakozik az alapértelmezett nem működik a Windows platformon is tiltva
MS-CHAP protokoll (Microsoft Challenge Handshake Authentication Protocol) - változata a CHAP protokoll. Microsoft által alkalmazott a hash függvény MD-4;
Jegyzőkönyv MS-CHAP v2 (Microsoft Challenge Handshake Authentication Protocol version 2) - továbbfejlesztett MS CHAP változat (a hosszabb a titkosító kulcs jelszóátviteli, a számítás egy új kulcsot minden új munkamenet-kapcsolatok, a kölcsönös hitelesítést a felhasználó és a távoli hozzáférési szerver);
Távoli hozzáférés az ügyfelek rendelkezésre áll a Windows rendszerek, ha csatlakozunk a távoli hozzáférést szerver mindig indul a legbiztonságosabb hitelesítési eljárást. Ha a kiszolgáló nem igényel hitelesítést protokollt valósul meg, az ügyfél megpróbálja kevésbé biztonságos protokoll. És így addig, amíg azt felvette a jegyzőkönyvet, amely mindkét fél által támogatott.
Amellett, hogy ezeket a protokollokat lehet végezni, hogy kapcsolódni a szolgáltatáshoz keresztül RADIUS RRAS szolgáltatás (az alábbiakban tárgyaljuk).
Ugyanezen a lapon konfigurálja a szolgáltatási fiók felhasználói munkamenetek (Windows naplózási szolgáltatás, a RADIUS szolgáltatás, vagy nem a számviteli szolgáltatás) alapértelmezés szerint - Windows Service fiókot.
Tab "Bejelentkezés". Ez a lap úgy van kialakítva, naplózás szintjét kapcsolódó ülésein távoli felhasználók számára.
A RADIUS szolgáltatás
Szolgáltatás RADIUS (Remote Authentication Dial-in User Service) egy köztes kapcsolat a távoli hozzáférést biztosító kiszolgáló (ami ebben az esetben hívjuk RADIUS kliens) és a szolgáltatás a vállalati hálózati könyvtárba. A RADIUS szerver képes megoldani két fő feladata van:
integrálása egy egységes rendszert távoli hozzáférési szerverek a különböző gyártók;
központosított kezelése hozzáférést a vállalati hálózathoz (RRAS szolgáltatás a Windows Server nastraivaetsyaindividualno minden RRAS szerver).
RADIUS szolgáltatás a következőképpen működik:
RAS felhasználó elküldi a kérést a szervernek hitelesítésre (bejelentkezési név és jelszó);
távoli hozzáférést biztosító kiszolgáló (ami egy RADIUS szerver kliens) elküldi a kérést a RADIUS szerver;
RADIUS szerver ellenőrzi a hitelesítési kérést a könyvtár szolgáltatás (pl Active Directory) és reagál RAS szerver engedélyezése vagy letiltása a felhasználótól csatlakozni egy távoli hozzáférést biztosító kiszolgáló;
A távoli hozzáférési szerver vagy a felhasználó csatlakozik a vállalati hálózathoz, vagy termel hiba csatlakozni.
Végrehajtásának RADIUS Windows Server nevű szolgáltatás IAS (Internet Authentication Service).
"Hálózati csatolók" console "Routing and Remote Access"
A "Remote Access ügyfelek" console "Routing and Remote Access"
Ez a szakasz végezzük valós idejű nyomon követését az ügyfelek csatlakozik egy távoli hozzáférést biztosító kiszolgáló.
Szakasz "Ports" konzol "Routing and Remote Access"
A „Ports” felsorolja az összes rendelkezésre álló csatlakozási pont a távoli hozzáférés szolgáltatás:
Egy párhuzamos port (közvetlen kapcsolat két számítógép között a LPT port);
Modemek elérhetők a távoli hozzáférési szolgáltatás;
portok állnak rendelkezésre keresztül csatlakozik a virtuális magánhálózatok (ha az adminisztrátor, ha a kiszolgáló konfigurálása rámutatott arra, hogy a virtuális magánhálózatok használunk, akkor a szerver automatikusan hozzáadja a 128 port az egyes PPTP és L2TP protokoll a jövőben rendszergazda módosíthatja a rendelkezésre álló portok száma egy adott protokoll).
"IP-útválasztás" konzol "Routing and Remote Access"
Ebben a részben, add, távolítsa el, és konfigurálja mind a statikus útvonalakat és dinamikus routing protokollok van szükség:
Agent kér a DHCP-relé (DHCP) - használata DHCP kéréseket részletesen tárgyalja a bekezdésben DHCP szolgáltatást, amelyben ez a szer készül ebben az RRAS szolgáltatás részben;
RIP 2-es verzió protokoll IP - protokoll dinamikus útválasztás IP-csomagok;
OSPF (Open legrövidebb út First) - dinamikus útválasztás IP-csomag protokollt, bonyolultabb beállítani, mint a RIP, de hatékonyabb nagy hálózatokban.
A részletes tanulmány routing protokollok túlmutat a tanfolyam.
A virtuális magánhálózatok
VPN (Virtual Private Network) - technológia biztonságos kapcsolatot csatlakoztatott számítógépek közötti nyilvános hálózatok (mint például az Internet).
hogyan adatok védelme az Interneten keresztül továbbított (összes hálózati csomagokat az Interneten keresztül továbbított információt nyújt a tiszta szöveget, és jól támadó elfoghatja a csomagokat, és információk kinyerése őket).
A folyamat létrehozásának a kapcsolat a következő:
Indítsa el az Új kapcsolat varázsló ( „Start” - „Vezérlőpult” - „Hálózati kapcsolatok” - „Új kapcsolat varázsló”)
Válassza ki a kívánt hálózati kapcsolat - „Csatlakozás a munkahelyem hálózatához” (ábra 10.25.)
A módszer kiválasztása hálózati kapcsolat - „virtuális magánhálózati” (ábra 10.26.):
Arra kérjük a kapcsolat nevét.
Mi határozza meg a rendelkezésre álló címkék a kapcsolatot (a felhasználó vagy az összes felhasználó).
Kattintson a „Befejezés” gombra.
Mi adja meg a felhasználói nevét és jelszavát, kattintson a „Connect” (ábra 10.28.):
Ha minden beállítás helyes, a kapcsolat jön létre, amikor a vállalat távoli hozzáférési szerver. Hálózati konfiguráció, például ábrán látható. 10.29:
Hasonlóképpen, akkor létrehozhat egy biztonságos virtuális kapcsolat két vállalati irodák hálózathoz csatlakoztatott különböző internetszolgáltatók (ábra 10.30.)
Technológiai virtuális magánhálózatok
A különbség a két protokollt az alábbiak szerint:
titkosítás (MPPE PPTP, IPSec L2TP);
közlekedési eszköz (PPTP csak akkor működik, a tetején a TCP / IP protokollt, L2TP is működni X.25 protokoll, Frame Relay, ATM, bár végrehajtását L2TP a Windows rendszer csak akkor működik, TCP / IP);
Remote Access Policy
Minden politika három összetevőből áll:
Felhasználási feltételek (Feltételek) - Meghatározza a felhasználói csatlakozási feltételek (a hálózatok alapuló MS Windows Server legérdekesebb feltételek - a hét napja és az idő, valamint a tagság egy adott csoport.);
Profil (PROFIL) - által meghatározott valamilyen kapcsolat paramétereket (pl, a hitelesítési típus vagy kommunikációs forma);
Engedélyek (Engedélyek) -, hogy engedélyezze vagy tagadja a kapcsolatot.
Az elején a politikai ellenőrzés szerint be van jelölve a feltételeket - ha nincs a feltételek nem ugyanaz, mint a felhasználói fiók beállításait, majd folytassa a következő irányelveket. Ha a feltételek megegyeznek, akkor a paramétereket egy kapcsolat profilt kell ellenőrizni, ha a házirend-beállításokat, és a felhasználó nem egyezik meg, és van egy átmenetet a következő politikát. Ha a profil paramétereket egybe, és ez a politika lehetővé teszi a kapcsolatot a felhasználó engedélyt kapcsolódni a távoli hozzáférési szerver. Ha a politika tagadja a kapcsolatot, a felhasználó számára adott megtagadása kapcsolódni a szerverhez.
Ez a rész elkötelezett a terjesztését a leggyakrabban használt, kivéve a TCP / IP hálózati protokollok és az alapvető hálózati infrastruktúra szolgáltatások - DHCP, WINS, RRAS.
DHCP szolgáltatás nagyban megkönnyíti a munkát a hálózati rendszergazda számára a TCP / IP konfiguráció-menedzsment a különböző hálózati csomópontok (főleg munkaállomások felhasználó), amely lehetővé teszi, hogy automatikusan konfigurálja a TCP / IP beállításokat ezeken a csomópontokon.
hálózati rendszergazda feladatok:
A telepítés tervezésekor a DHCP szerverek (kiszolgálók számát, azok helyét, amely az IP-tartományokat, akkor kell kézbesíteni, stb);
Szerelése DHCP szerver hozza létre és konfigurálja a paramétereket a területeken;
szerelése és beállítása, ha szükséges, DHCP.
WINS, bár fokozatosan elveszíti relevanciáját, még nem teljesen alakult ki a használatból a vállalati hálózatokban.
hálózati rendszergazda feladatok:
A telepítés tervezésekor WINS kiszolgálók;
Telepítése és konfigurálása WINS szerver replikáció partnereket létrehozni;
WINS klienskonfiguráció (statikus vagy automatikusan, DHCP szolgáltatás).
RRAS szolgáltatás van szükség:
ami egy biztonságos virtuális magánhálózat a mobil felhasználók között és a vállalati hálózat vagy a vállalati hálózatra csatlakoztatott nyilvános hálózatok (mint például az Internet);
routing csomagok közötti IP-hálózatok a vállalati hálózathoz.
hálózati rendszergazda feladatok:
Tervezés Routing and Remote Access kiszolgálók;
telepítését és konfigurálását szerverek;
Tervezés a felhasználói élmény egy távoli hozzáférési szolgáltatás;
meghatározza a felhasználói jogosultságokat csatlakozni egy távoli hozzáférést biztosító kiszolgáló, és konfigurálja a távoli hozzáférést politikákat;
tervezés és útválasztási konfiguráció a vállalati hálózaton.