Латинское название службы удаленный доступ. Удаленное управление компьютером при помощи Team Viewer. Вход в систему через RAS

29.08.2016

Сегодня практически каждое устройство имеет выход в глобальную сеть. Это очень удобно и открывает огромные возможности, о которых некоторые даже не подозревают. Профессионалы пользуются многими функциями операционных систем и программного обеспечения, но рядовому пользователю может быть неизвестно, что можно управлять своим домашним компьютером на расстоянии.

Такая функция, как удаленный доступ, будет полезна каждому. Где бы вы не находились: в дороге или на работе, дома или в путешествии, вы всегда сможете подключиться к необходимому компьютеру. Эта функция может понадобиться в тысяче случаев, вот некоторые из них:

  • При необходимости подключиться к домашнему компьютеру, находясь на работе, чтобы отправить себе забытые документы или наоборот;
  • Помощь другу с неработающей программой или её настройкой;
  • Подключение с целью использования удаленной машины. Часто необходим в том случае, когда есть необходимость работы под разными операционными системами;
  • Занимаясь обслуживанием крупной локальной сети, подключения к клиентским компьютерам для обновления или установки программного обеспечения;
  • Подключение к серверу для внесения изменений настроек;
  • С помощью использования программного обеспечения подключение к любому фрагменту многоранговых сетей или организация доступа к файлам через интернет;
  • Проведение конференций и презентаций.

Как видите, решений и возможностей, которые открывает удаленный доступ к компьютеру, множество. Среди неназванных мелочей можно еще добавить функции фотографирования экрана или перезагрузку и выключение компьютера на расстоянии.

Как организовать удаленное управление компьютером

Чтобы это сделать, необходимо заранее подготовить систему. Дело в том, что по умолчанию эта служба отключена в целях безопасности и по причине, что большинство пользователей ею не пользуются. В зависимости от целей, по которым вам понадобился удаленный доступ к компьютеру, есть несколько вариантов его настроить:

  • Установив специализированную программу AeroAdmin, Radmin или Team Viewer;
  • Стандартными средствами OS Windows (служба удаленного доступа).

Для того чтобы организовать удаленное управление компьютером, необходимо понимать, что для подключения нужны две системы. Одна из них должна быть настроена как сервер, а на второй – запущена программа-клиент или служба для организации соединения.

Удаленный доступ с помощью AeroAdmin

Основные функции AeroAdmin:

  • Подключается к компьютерам за NAT
  • Встроенная сообщений для службы поддержки
  • Передача файлов
  • Голосовой чат
  • Контактная книга
  • Неконтролируемый доступ
  • Тотальное AES + RSA шифрование
  • Двух-факторная аутентификация.
  • Неограниченные параллельные сессии

Подключение возможно по уникальному ID компьютера (в данном случае неважно, находятся компьютеры в одной локальной сети или разных), либо напрямую по IP адресу.

В AeroAdmin предусмотрена 2х факторная аутентификация. В дополнение к ручному режиму принятия, входящие подключения могут быть приняты по ID и паролю, что является большим плюсом к безопасности. AeroAdmin так же блокирует попытки подбора пароля или ID компьютера.

AeroAdmin идеально подходит для случаев спонтанной и регулярной техподдержки, поскольку позволяет подключиться с минимальным количеством шагов. Очень похожа по функционалу и внешнему виду на Team Viewer, однако полностью бесплатна как для корпоративных пользователей, так и для физ. лиц в стартовом функционале.

Удаленный доступ к компьютеру штатными средствами Windows

Для того чтобы к компьютеру под управлением операционной системы Windows можно было подключиться, необходимо выполнить следующие действия:

  • Для начала нужно проверить, включена ли служба, необходимая для работы функции подключения на расстоянии. Для этого заходим в меню «Пуск» и выбираем «Панель управления». В открывшейся панели ищем пункт «Администрирование», а в нем «Службы».

Находим «Службы удаленных рабочих столов» в списке.


По отношению к этой службе должен быть активирован режим «Включено» или «Автоматически». В случае если стоит статус «Отключено», необходимо зайти в настройки службы и сменить статус. После этого следует перезагрузить компьютер и перейти к следующему шагу.

  • Убедившись, что служба запущена и проблем с работой сервера не возникает, нужно разрешить удаленное подключение в настройках. Для этого снова открываем «Панель управления» и ищем в ней настройку «Система».

В меню справа необходимо найти пункт «Настройка удаленного доступа».


Теперь следует выбрать один из пунктов, указанных на рисунке ниже.


Выбор зависит от версии операционной системы, с которой вы собираетесь подключаться к вашему компьютеру. Если вы неуверенны, или версия ниже 7й, обязательно выбирайте 1й вариант. Однако в целях безопасности рекомендуется использовать второй.

  • Очень важно не забыть назначить пользователей, которым разрешается производить удаленное управление компьютером. Администратору это право дается по умолчанию. Но нужно помнить, что доступ на расстоянии разрешается только пользователям с паролем. Если пароль не установлен, то операционная система Windows не разрешит подключение.

Вот и всё! Система настроена и готова предоставить доступ удаленному пользователю.

Чтобы подключиться с другого компьютера к подготовленному заранее серверу, ничего устанавливать не нужно. Для подключения должна быть только запущена служба, описанная в Пункте 1. Программа-клиент для организации соединения есть в os windows по умолчанию.

Для ее запуска необходимо открыть меню «Пуск», выбрать «Все программы» и найти среди них «Стандартные». Из стандартных программ выбрать нужную нам: «Подключение к удаленному рабочему столу».

Теперь перед нами готовая к соединению программа-клиент. Настроек в ней очень много. При помощи них вы можете отрегулировать качество отображения на вашем экране: ухудшив его при плохом сигнале, а также для экономии трафика, или наоборот, улучшив, чтобы получить более яркую и четкую картинку.


Основное, что необходимо для подключения, это ввести «Имя компьютера» или его ip-адрес, а также данные идентификации. Если сетевой адрес и имя пользователя были введены верно, то следующим шагом будет авторизация на удаленном компьютере (ввод пароля подключения для выбранного имени пользователя).

Удаленное управление компьютером при помощи Team Viewer

Team Viewer – это специализированная программа для организации сетей удаленного доступа. Из её достоинств среди аналогов, включая средства Windows, стоит отметить умение ПО подключаться абсолютно к любым сетям за любыми защитами и фаерволлами. Некоторые администраторы больших сетей блокируют возможность установки Team Viewer из-за его способностей.

Для работы этой программы понадобится установка с двух сторон. То есть программы-клиента на одном компьютере и программы-сервера на другом. Что особенно интересно, ПО можно эксплуатировать абсолютно бесплатно в рамках личного и домашнего использования.

Для того чтобы получить возможность удаленного соединения, необходимо сделать следующее:

  • Скачать сервер и клиент с официального сайта .

  • Установка программы проста и интуитивно понятна. Но чтобы ей пользоваться, необходимо зарегистрироваться. Регистрация ни к чему не обязывает. Но таким образом команда Team Viewer будет фиксировать количество соединений и частоту использования программы, чтобы иметь возможность заблокировать вас в случае, если вы нарушили лицензионное соглашение и используете ПО в коммерческих целях.

Установив сервер, его необходимо настроить. Настроек подключения множество:

  • Возможность ограничения скорости подключения;
  • Выбор используемых портов и серверов Team Viewer;
  • Возможность скрыть программу или закрыть паролем её перенастройку;
  • Выбор графических и звуковых параметров;
  • И самое главное – это ввести имя пользователя и пароль.

Для соединения по Team Viewer нет необходимости иметь выделенный ip адрес, как в случае со стандартными средствами Windows, потому как подключение происходит по специальному коду, который генерирует сервер. Это очень удобно, в особенности тем, у кого нет статического или белого адреса. Кроме этого кода, вам понадобится пароль, который также генерируется.


Из достоинств программы стоит отметить:

  • Возможность подключения к серверу абсолютно с любого устройства при помощи клиента для Android, Mac и Linux;
  • Установка безопасного соединения с любой точки мира без инсталляции клиента при помощи обычного Web браузера;
  • Отличная скорость работы без всяких тормозов на любых расстояниях, благодаря промежуточным серверам;
  • Высокая функциональность, включая организацию безопасного vpn-туннеля.

Удаленный доступ к компьютеру при помощи Radmin

Программа Radmin – это, своего рода, упрощенный аналог Team Viewer. Она отличается простотой настройки и управления. По мнению разработчиков, в программе, которая предоставляет удаленный доступ к компьютеру, не должно быть ничего лишнего. Установка её проста и доступна каждому пользователю. Она предоставляется как демоверсия на 30 дней, после чего требует регистрацию.


Radmin среди аналогичных программ отличается высокой скоростью работы и незначительными требованиями. В фоновом режиме она практически незаметна и не выводит никаких лишних сообщений при подключении. Для наблюдения за удаленным экраном – это, пожалуй, лучший софт, не имеющий аналогов.

Кроме того, хочется отметить уровень безопасности. Осуществляя удаленное управление компьютером при помощи Radmin, можно не беспокоиться о проблемах с несанкционированными подключениями.


Также, говоря о плюсах ПО, не стоит забывать про стабильность. Как серверное, так и клиентское программное обеспечение может работать 24 часа в сутки без сбоев и проблем.

ИТОГ

Удаленный доступ к компьютеру – отличный способ работы с клиентами и серверами и каждый может выбрать себе тот способ подключения, который ему больше подходит для достижения целей. Любой из них полезен своим функционалом и станет незаменим как для работы, так и для домашнего использования.

Установка службы маршрутизации и удаленного доступа.

Так как служба маршрутизации и удаленного доступа входит в стандартную установку Windows Server 2003, никаких дополнительных действий по ее установке производить не требуется. Тем не менее, по умолчанию служба находится в отключенном состоянии и, прежде чем начать работу с ней, вы должны осуществить процедуру ее начальной настройки.

Предварительные требования.

Перед установкой маршрутизатора Windows Server 2003 нужно установить и привести в рабочее состояние все необходимое оборудование. В зависимости от имеющейся сети и предъявляемых требований может потребоваться следующее оборудование:

  • Адаптер локальной или глобальной сети с драйвером, поддерживающим спецификацию NDIS (Network Driver Interface Specification).
  • Один или несколько совместимых модемов и свободный последовательный (COM) порт.
  • ISDN-адаптер (при использовании линии ISDN).

Настройка службы маршрутизации и удаленного доступа.

Начальная настройка, как и последующее администрирование, службы маршрутизации и удаленного доступа осуществляется через Консоль управления. Для запуска консоли управления службой маршрутизации и удаленного доступа выберите меню Пуск , в нем выберите подменю Администрирование, в котором щелкните пункт Маршрутизация и удаленный доступ .

Чтобы начать процедуру начальной настройки сервера маршрутизации и удаленного доступа необходимо в дереве Консоли управления Маршрутизация и удаленный доступ выбрать ветвь с именем локального сервера.

Нажмите правую кнопку мыши на имени сервера и выберите пункт Настроить и включить маршрутизацию и удаленный доступ из контекстного меню. Будет запущен Мастер настройки сервера маршрутизации и удаленного доступа.

На первом шаге мастера вы должны выбрать роль, которую будет выполнять сервер.

Можно выбрать одну из следующих ролей:

Для настройки общего доступа к Интернет выберите вариант Преобразование сетевых адресов (NAT) и щелкните кнопку Далее .

На следующем шаге вы должны выбрать способ организации общего доступа к Интернет.

Если в вашем компьютере установлен и настроен на Интернет один или более сетевых адаптеров, установите переключатель в положение Использовать общедоступный интерфейс для подключения к Интернету и выберите необходимое подключение из списка.

Если вы собираетесь использовать модем для подключения к Интернету, установите переключатель в положение Создать интерфейс для нового подключения по требованию к Интернету.

В списке подключений к Интернету выводятся только активные сетевые подключения, настроенные на использование протокола TCP/IP с использованием статического адреса. Если в списке отсутствуют сетевые адаптеры, необходимо прервать работу мастера, настроить сетевой адаптер на использование статического IP-адреса, включить сетевой адаптер, проверить его работу и снова запустить мастер настройки сервера маршрутизации и удаленного доступа.

На следующем шаге мастер сообщает, что будет запущен мастер для настройки интерфейса подключения по требованию. В качестве устройства для такого подключения будет использоваться модем. Щелкните кнопку Далее , чтобы продолжить настройку.

На первом шаге этого мастера вам необходимо задать имя интерфейса.

Интерфейсы сервера маршрутизации и удаленного доступа во многом похожи на сетевые подключения, но отображаются только в консоли управления маршрутизацией. Вы можете использовать в качестве имени интерфейса название вашего провайдера.

На следующем шаге мастера вы должны указать способ подключения интерфейса вызова по требованию.

Можно выбрать один из вариантов:

  • Подключаться используя модем, адаптер ISDN или другое устройство - соответствующее устройство должно быть установлено в вашем компьютере и настроено. Будет использован доступ по коммутируемым каналам связи.
  • Подключаться с использованием виртуальной частной сети (VPN) - дополнительные устройства не требуются, для подключения может быть использовано существующее подключение к Интернет или другим сетям.
  • Подключиться через Ethernet (PPPoE) с использованием PPP - для данного подключения используется сетевой адаптер.

Выберите вариант Подключаться используя модем , адаптер ISDN или другое устройство и щелкните кнопку Далее.

На следующем шаге мастера укажите устройство или порт, которые будут использоваться для установления соединения.

В списке выводятся все устройства и порты, которые могут быть использованы сервером маршрутизации и удаленного доступа. Выберите ваш модем из списка и щелкните кнопку Далее .

На следующем шаге мастера вы можете указать номер телефона (для обычного или ISDN-модема) или адрес (для соединения X.25).

Вы можете использовать более одного телефона или адреса для дозвона. Для указания дополнительных телефонов щелкните кнопку Дополнительно .

В появившемся окне вы можете управлять списком телефонов и адресов. Для добавления нового номера телефона к списке введите номер в поле Новый номер телефона или адрес и щелкните кнопку Добавить . Для изменения номера в списке выберите нужный номер в списке, откорректируйте его в поле Новый номер телефона или адрес и щелкните кнопку Заменить . Для изменения порядка телефонов в списке вы можете использовать кнопки Вверх и Вниз . Кнопка Удалить служит для удаления выбранного номера из списка.

Если вы хотите, чтобы при установлении следующего соединения использовался номер, по которому было успешно установлено последнее соединение, установите флажок При подключении переместить удачный номер или адрес в начало.

Служба маршрутизации и удаленного доступа не использует данных о местонахождении и правила дозвона при наборе телефонных номеров при помощи модема. Поэтому, при задании номеров, вы должны включать все необходимые префиксы и специальные символы в добавляемые номера.

На следующем шаге вы должны задать основные параметры безопасности и маршрутизации для создаваемого интерфейса.

Для включения IP-маршрутизации необходимо установить флажок Перенаправлять пакеты IP на этот интерфейс .

Остальные параметры отвечают за настройки безопасности интерфейса:

  • Добавить учетную запись для входящих звонков удаленного маршрутизатора - если удаленный маршрутизатор, с которым осуществляется соединение, также может инициировать соединение, необходимо создать учетную запись, которую он будет использовать для регистрации на сервере удаленного доступа. Если удаленный маршрутизатор не будет инициировать соединение (например, если вы устанавливаете соединение по коммутируемой линии с провайдером), то устанавливать этот флажок не требуется.
  • Использовать незашифрованный пароль , если это единственный способ подключения - указывает серверу удаленного доступа, что в случае, если удаленный маршрутизатор не поддерживает шифрование данных, использовать незашифрованный пароль. Если этот флажок не установлен и шифрование данных не поддерживается, сервер удаленного доступа не сможет установить соединение.
  • Использовать сценарий для завершения подключения к удаленному маршрутизатору - если удаленный маршрутизатор не поддерживает стандартную аутентификацию или требует ввода дополнительных команд после установления соединения, то вам потребуется специальный сценарий для выполнения этих команд - сервер удаленного доступа не поддерживает отображение терминального окна для ручного ввода команд.

При организации удаленного доступа к провайдеру с использованием модема рекомендуется установить только следующие флажки:

  • Перенаправлять пакеты IP на этот интерфейс;
  • Использовать незашифрованный пароль, если это единственный способ подключения.

Остальные флажки необходимо снять и устанавливать только в случае необходимости.

На следующем шаге мастера вы должны задать данные, которые будут использоваться для аутентификации при установлении соединения.

Служба маршрутизации и удаленного доступа не предоставляет диалогового окна для ввода этих данных в момент установления соединения, поэтому данные должны быть введены заранее.

В поля Имя пользователя , Пароль и Подтверждение введите соответственно имя пользователя и два раза пароль пользователя. Поле Домен следует заполнять, только если другая сторона также использует сервер удаленного доступа Windows NT, Windows 2000 или Windows Server 2003.

На следующем шаге мастер сообщает, что создание интерфейса вызова по требованию было успешно завершено. После щелчка по кнопке Готово будет создан интерфейс, который будет использован для установления соединения в случае необходимости.

После завершения мастера создания интерфейса завершается и работа мастера настройки сервера маршрутизации и удаленного доступа.

После щелчка по кнопке Готово мастер настройки завершит свою работу. При выбранной конфигурации будут установлены следующие интерфейсы:

  • Интерфейс удаленного маршрутизатора;
  • Интерфейс подключения по локальной сети;
  • Интерфейс замыкания на себя (loopback);
  • Внутренний интерфейс.

Между указанными интерфейсами будет настроена IP-маршрутизация. Также будет установлен протокол NAT, осуществляющий трансляцию адресов между интерфейсами удаленного маршрутизатора и подключения по локальной сети.

Технологии удаленного доступа получают все большее распространение, а их возможности расширяются; растет число организаций, которые разрешают своим сотрудникам работать удаленно. Для работодателей преимуществами удаленной работы являются: повышение производительности, сокращение накладных расходов и доступ к более широкой аудитории высококвалифицированных специалистов. Сотрудникам удаленная работа помогает сбалансировать деловую и личную жизнь, уменьшить расходы и избежать утомительных продолжительных поездок. Windows Server 2012 предоставляет три варианта удаленного доступа за пределами привычного офиса.

Инфраструктура виртуальных рабочих столов (Virtual Desktop Infrastructure, VDI) в Windows Server 2012 поддерживает три гибких варианта развертывания: пулы рабочих столов, персональные рабочие столы и удаленные рабочие столы с сеансовым доступом (ранее такой подход был реализован через службы терминалов). В сравнении с предыдущими версиями, использующими многочисленные инструменты и консоли, удаленный доступ развертывается и управляется намного проще. Сотрудники могут получить удалённый доступ к ресурсам корпоративной сети, а системные администраторы – управлять корпоративными компьютерами, находящимися за пределами внутренней сети. Инфраструктура виртуальных рабочих столов, построенная на базе Hyper-V и служб удаленных рабочих столов, обеспечивает:

· упрощенную инсталляцию и конфигурирование;

· единую централизованную консоль управления;

· усовершенствованную службу RemoteFX для WAN.

DirectAccess

Служба DirectAccess в Windows Server 2012 позволяет удаленным пользователям получать защищенный доступ к внутренним ресурсам без подключения к VPN. DirectAccess обеспечивает прозрачное подключение клиентского компьютера к корпоративной сети каждый раз, когда компьютер подключается к Интернету, еще до входа пользователя в систему. DirectAccess позволяет администраторам отслеживать соединения и удаленно управлять клиентскими компьютерами, подключенными к Интернету. Усовершенствования DirectAccess в бета-версии Windows Server 2012 обеспечивают:

·
упрощенные развертывание и настройку, новые сценарии развертывания;

· упрощенную инфраструктуру (больше не требуются IPv6 и службы сертификатов);

· удаленное управление;

· поддержку нескольких узлов, улучшенную производительность.

BranchCache

Служба BranchCache в Windows Server 2012 кэширует данные, к которым обращаются пользователи филиала. Такой подход позволяет автоматически и прозрачно оптимизировать доступ пользователей к данным на файловых серверах и серверах интранета через глобальную сеть. BranchCache обеспечивает:

· гибкое развертывание – распределение между одноранговыми клиентскими компьютерами или размещенный кэш;

· упрощенное управление групповой политикой и Windows PowerShell v3;

· автоматическое шифрование кэша;

· интеграцию с функцией хранилища файлового сервера в Windows Server 2012.

Данная служба установленная в Windows Server 2003, позволяющая решать следующие задачи:

  • подключение мобильных (или домашних) пользователей к корпоративной сети через коммутируемые телефонные линии и другие средства коммуникаций (например, сети Frame Relay, X.25);
  • подключение к сети главного офиса компании удаленных офисов (через телефонные линии и сети
    Frame Relay, X.25);
  • организация защищенных соединений (виртуальные частные сети VPN ) между мобильными пользователями,
    подключенными к сетям общего пользования (например, Интернет), и корпоративной сетью;
  • организация защищенных соединений между офисами компании, подключенными к сетям общего пользования;
  • маршрутизация сетевого трафика между различными подсетями корпоративной сети, соединенными как с помощью технологий локальных сетей, так и с помощью различных средств удаленных коммуникаций (например, по коммутируемым телефонным линиям).

Служба RRAS обладает богатым набором функций и возможностей. Здесь же мы рассмотрим только базовые функции и возможности данной службы.

Службы удаленного доступа, реализованные различными производителями, используют два основных коммуникационных протокола, которые работают на канальном уровне. Эти следующие протоколы:

  • протокол SLIP (Serial Line Interface Protocol) - старый протокол, работает в основном в системах семейства UNIX (разработан специально для подключения пользователей к сети Интернет);

o системы семейства Windows поддерживают данный протокол только на клиентской части. SLIP
позволяет работать только с сетевым стеком TCP/IP, и требует написания
специальных сценариев для подключения клиента к серверу. На базе этого
протокола нельзя построить
VPN соединения.

  • протокол PPP (Point-to-Point Protocol) - точнее, семейство протоколов, позволяющий пользователям прозрачно подключаться к серверу удаленного доступа, использовать различные сетевые протоколы (TCP/IP, IPX/SPX, NetBEUI, AplleTalk), создавать VPN . Служба удаленного доступа серверов Windows использует только именно этот протокол.

Установка и первоначальная настройка службы RRAS

Служба « Маршрутизации и Удаленного Доступа»RRASустанавливается при установке системы, но по умолчанию она отключена. Ее необходимо включить и настроить.

Для этого нажмем кнопку "Пуск", выберем "Все программы" - "Администрирование" - "Маршрутизация и удаленный доступ". Смотрите рисунок 1.



Р исунок 1.


Рисунок 2.

Как мы видим из консоли служба не запущена. Запускаем ее так. Щелкаем правой кнопкой мыши на "состояние сервера" и в открывшимся окне выбираем опцию "Добавить сервер". Рисунок 3.


Рисунок 3.

После выбора этого пункта из меню, у нас откроется следующие окно. Рисунок 4.



Рисунок 4.

Выбираем опцию "этот компьютер" так как пока мы собираемся запустить RASS на данном устройстве. Там есть и другие опции но пока мы их оставим в покое, и нажимаем ОК.

Следующее окно должно быть как на рисунке 5, за исключением имени сервера. У меня сервер назван "TRAMBON" и написан с ошибкой, надо писать "TROMBON" но эта ошибка в данном случае моему серверу абсолютно "индиферентно", а у вас при настройке будет имя вашего сервера. Рисунок 5.



Рисунок 5 .

Как мы видим из открывшегося окна(рис. 5), состояние нашего сервера отмечена красным а это говорит что служба RRAS не"включена". Можно прямо в этом окне прочитать что делать дальше, да и справку не мешало бы прочитать, но мы пойдем дальше и щелкая правой клавишей по нашему не активному серверу. Откроется окно как на рисунке 6.


Рисунок 6.

Выбираем в данном меню "Настроит и включить маршрутизацию и удаленный доступ". Запустится "Мастер установки сервера маршрутизации и удаленного доступа". Нажимаем "далее" и у нас откроется такое окно. Рисунок 7.


Рисунок 7.

В этом окне мы можем выбрать требуемую конфигурацию нашей службы, но мы выберем "не пьянства ради" а в учебных целях, опцию "Особая конфигурация", и нажимаем "Далее". Откроется следующее окно мастера - рисунок 8.


Рисунок 8.

И тут мы проявим неслыханную жадность, отметим все опции и нажмем далее.

Далее у нас появится окно которое сообщит нам о завершении работы мастера и сводкой выбранных нами параметров.Не буду ее приводить тут. Потом нам зададут вопрос типа -запустить чи нет службу RRAS, и мы ответим гордо "Да"!

В итоге мы получим следующую картину как на рисунке 9.


Рисунок 9.

Теперь давайте настроим сервер. Щелкнем правой клавишей по нашему серверу и в открывшемся меню выберем "свойства". Рисунок 10.


Рисунок 10.

Откроется окно на рисунке 11. И перейдем на вкладку "Общие "


Рисунок 11 .

Здесь мы можем изменить работу службы а именно:

  • Только как "маршрутизатор" -

Только для локальной сети

Или "локальной сети и вызова по требованию".

  • Только "сервер удаленного доступа".

Комбинация и "маршрутизатор" с некоторой опцией и "сервер удаленного доступа", как на рисунке 11.

На вкладке "Безопасность " настраивается проверка подлинности (аутентификации) пользователей. Рисунок 12.


Рисунок 12.

Как видим из рисунка 12 в поле "служба проверки пользователей" мы можем выбрать или непосредственно "Windows-проверка", и этим мы возлагаем проверку пользователей на сам сервер. Или если в нашей сети есть сервер "RADIUS" тогда мы можем передать ему эту почетную обязанность. Служба учета ведет журнал сеансов и запросов на подключение и так же как и в случае описанном выше может делаться средствами Windows сервера или Radius сервера.

Если мы нажмем на кнопку "Методы проверки подлинности" (рисунок 13), то увидим методы проверки подлинности (аутентификации) сервера. Методы предоставлены в порядке уменьшения защищенности.


Рисунок 13.

Самый незащищенный метод это "разрешить подключение удаленных систем без проверки". Далее идет "PAP"(Password Authentication Protocol) самый простой протокол аутентификации, унаследованный от старых версий. Далее протокол CHAP (Challenge Handshake Authentication Protocol) - для шифрования пароля используется метод хэширования MD-5 (по сети передается значение хэш-функции пароля), данный протокол является одним из отраслевых стандартов и реализован во многих системах удаленного доступа, его рекомендуется использовать при подключении клиентов, работающих не на платформе Windows, по умолчанию отключен. Потом протокол MS-CHAP (Microsoft Challenge Handshake Authentication Protocol) - версия протокола CHAP, реализованная корпорацией Microsoft с хэш-функцией MD-4. Далее протокол MS-CHAP версии 2 (Microsoft Challenge Handshake Authentication Protocol version 2) - усиленная версия MS CHAP (более длинный ключ шифрования при передаче пароля, вычисление нового ключа при каждом новом сеансе подключения, взаимная аутентификация пользователя и сервера удаленного доступа). И на самом верху "яап" - протокол расширенной проверки подлинности ЕАР (Extensible Authentication Protocol) - позволяет использование смарт-карт при аутентификации пользователя (требуются сертификаты как для сервера RRAS, так и для пользователей). Протокол ЕАР так же имеет некоторые настройки которые мы можем выбрать в зависимости от наших потребностей если нажмем на кнопку "Методы ЕАР".

Клиенты удаленного доступа, при подключении к серверу удаленного доступа всегда начинают использовать самый защищенный метод аутентификации. Если на сервере не установлен запрашиваемый протокол аутентификации, клиент перейдет на менее защищенный протокол. И так до тех пор, пока не будет подобран протокол, поддерживаемый обеими сторонами.

Перейдем на вкладку "IP " рисунок 14.


Рисунок 14.

На закладке "IP"мы можем настроить разрешение на маршрутизации IP-пакетов между компьютером клиента и корпоративной сетью (по умолчанию). Так же здесь мы можем задать способ формирования пула IP-адресов, выдаваемых RRAS-сервером, подключаемым к нему клиентам.

Если в нашей корпоративной сети установлен DHCP сервер, то мы можем задать формирования пула адресов RRAS этому серверу. Тогда формирование пула адресов происходит на самом сервере удаленного доступа, при этом способе первый IP -адрес пула будет присужден интерфейсу «Внутренний» сервера. Остальные IP -адреса будут назначаться удаленным клиентам сервера.

При статистическом способе задания адресов удаленным клиентам мы сами определяем IP – адреса и их количество.

Так же здесь мы можем разрешить широковещание для удаленных клиентов при разрешении имен.

Закладка "PPP", рисунок 15.


Рисунок 15.

На этой вкладке мы можем разрешить или запретить использование многоканальных подключений этого протокола (multilink PPP). Протокол PPP позволяет использовать несколько каналов коммутации, например, несколько коммутируемых телефонных линий и, соответственно, одновременное использование нескольких модемов на серверной и на клиентской стороне, как одно подключение с соответствующим увеличением пропускной способности и назначением по одному IP-адресу на стороне клиента и сервера. При этом возможно использование динамического управления пропускной способностью. Это делается с помощью протоколов BAP/BACP, (Bandwidth Allocation Protocol/ Bandwidth Allocation Control Protocol), которые позволяют при увеличении трафика включать дополнительные телефонные линии из имеющегося пула телефонных линий, а при уменьшении трафика - отключать телефонные линии. Протокол LPC управляет связью.

Следующая и последняя вкладка "Ведение журнала", позволяет нам вести журнал событий и ошибок связанных с сеансами работы удаленных пользователей.

Поговорим о протоколе «RADIUS» (Remote Authentication Dial-in User Service).

Протокол «RADIUS » рассматривается как механизм аутентификации и авторизации удаленных пользователей в условиях распределенной сети, который обеспечивает нам централизованные услуги по проверки подлинности и учету для служб удаленного доступа. «RADIUS » реализован в составе «Службы проверки подлинности в интернете» (IAS -Internet Authentication Service ), обеспечивающей централизованное управление аутентификации, авторизации, и аудитом доступа на основании информации о пользователях, получаемая от контролера домена Windows Server 2003.

Примечание 1 : данная служба не устанавливается по умолчании.

Примечание 2 : Под аутентификацией надо понимать вопрос сервера или какой-то сетевой службы – кто такой? На что мы отвечаем логином и паролем. Авторизация это проверка наших прав туда, куда мы получили доступ после аутентификации.

Служба RADIUS работает по следующему сценарию:

  1. вначале устанавливается телефонное (или другое) соединение между клиентом и сервером удаленного доступа;
  2. пользователь пересылает серверу RAS запрос на аутентификацию (свое имя и пароль);
  3. сервер удаленного доступа (являющийся клиентом сервера RADIUS) пересылает данный запрос серверу RADIUS;
  4. сервер RADIUS проверяет запрос на аутентификацию в службе каталогов (например, в службе Active Directory) и посылает в ответ RAS-серверу разрешение или запрещение данному пользователю на подключение к серверу удаленного доступа;
  5. сервер удаленного доступа либо подключает пользователя к корпоративной сети, либо выдает отказ в подключении.

Рассмотрим интерфейсы консоли " "

Раздел " Интерфейсы сети "

В данном разделе перечисляются все сетевые интерфейсы, установленные на сервере (сетевые адаптеры, модемы). Интерфейс " Внутренний " - это интерфейс, к которому подключаются все клиенты удаленного доступа, независимо от типа подключения (по коммутируемым телефонным линиям, через виртуальную частную сеть и т.д.).

Раздел " Клиенты удаленного доступа " консоли " Маршрутизация и удаленный доступ "

В этом разделе производится мониторинг в реальном времени клиентов, подключившихся к серверу удаленного доступа.

Раздел " Порты " консоли

В данном разделе "Порты" приводится перечень всех доступных точкек подключения к службе удаленного доступа:

  • параллельный порт (для прямого соединения двух компьютеров через порт LPT);
  • модемы, доступные для службы удаленного доступа;
  • порты, доступные для подключений с помощью виртуальных частных сетей (если администратор при настройке сервера указал, что будут использоваться виртуальные частные сети, то на сервер автоматически добавляются по 128 портов для каждого из протоколов PPTP и L2TP, в дальнейшем администратор может изменить количество портов, доступных для того или иного протокола).

Раздел " IP-маршрутизация " консоли " Маршрутизация и удаленный доступ "

В этом разделе добавляются, и настраиваются статические маршруты и необходимые динамические протоколы маршрутизации:

  • Агент ретрансляции DHCP-запросов (DHCP Relay Agent) - связан с сервером DHCP, для ретрансляции DHCP запросов на сервера указанные в настройках «Агента ретрансляции». Данный агент рассматривается в контексте службы DHCP, а настройка его производится именно в данном разделе службы RRAS;
  • Протокол IGMP - данный протокол предназначен для маршрутизации multicast-пакетов протокола TCP/IP (данный вид пакетов и адресов используется в основном при передаче мультимедиа-информации);
  • Служба трансляции сетевых адресов (NAT, Network Address Translation) - эта служба позволяет локальным сетям с «внутренними» адресами типа 192.168.Х.Х получить доступ к сетями с адресами, зарегистрированными в сети Интернет (упрощенный вариант прокси-сервера);
  • Протокол RIP версии 2 для IP - протокол динамической маршрутизации IP-пакетов (будет рассмотрен отдельно в другой статье и здесь будет ссылка);
  • Протокол OSPF (Open Shortest Path First) -протокол динамической маршрутизации IP-пакетов, более продвинутый, но более сложный в настройке по сравнению с RIP(будет рассмотрен отдельно в другой статье и здесь будет ссылка);

Настройка прав пользователей для подключения к RRAS

При отсутствии сервера RADIUS разрешения на подключение пользователя к серверам удаленного доступа определяются комбинацией "Свойств пользователя" и "Политик удаленного доступа", настраиваемых индивидуально для каждого сервера удаленного доступа.

Если домен Active Directory работает в смешанном режиме (рисунок 16), то разрешения на удаленный доступ определяются только в Свойствах пользователя на закладке "Входящие звонки" (Dial-In).


Рисунок 16.

При этом есть только два варианта - разрешить или запретить (рисунок 17), по умолчанию для каждого нового пользователя задается запрещающее правило. Кроме разрешения/запрета можно также настроить Обратный вызов сервера (Call-back). Здесь имеются три варианта:

  • "Ответный вызов не выполняется" - при подключении пользователя к серверу удаленного доступа вначале устанавливается телефонное соединение между модемом пользователя и модемом сервера, если доступ разрешен, то устанавливается соединение и пользователь получает доступ к сети;
  • "Устанавливается вызывающим" - в этом варианте после установления телефонного соединения между модемами и проверки прав доступа система запросит у клиента ввести номер телефона, с которого подключается данный клиент, после этого сервер разрывает связь и уже самостоятельно производит соединение с клиентом по тому номеру телефона, который сообщил этот пользователь (данный вариант удобен для мобильных пользователей - пользователь экономит на телефонном звонке и повышается защищенность доступа, т.к. в идеале никто, кроме пользователя, не должен знать номер телефона, с которого пользователь инициировал соединение);
  • "Всегда по этому номеру" (с указанием номера телефона) - данный вариант похож на предыдущий, только номер телефона уже введен в параметры пользователя и сервер будет перезванивать именно на данный номер (этот вариант будет интересен домашним пользователям - здесь тоже пользователь экономит на телефонном звонке и, кроме того, дополнительная защита - злоумышленнику трудно будет подключиться к серверу, даже если ему известны имя и пароль пользователя).


Рисунок 17.

Если домен работает в основном режиме Windows 2000 или Windows 2003, то можно либо в явном виде разрешать или запрещать доступ к серверам удаленного доступа, причем ко всем сразу, либо настраивать разрешения через Политики удаленного доступа (о Политиках будет рассказано ниже), смотрите рисунок 18.


Рисунок 18.

Примечание: явное разрешения или явный запрет имеют более высокий приоритет, чем Политики удаленного доступа.

В основном режиме в Свойствах пользователя становятся доступны дополнительные параметры:

  • "Проверять код звонящего" (Caller ID) - если оператор телефонной связи передает модему номер телефона, с которого был произведен звонок, то сервер будет разрешать подключение только при вызове с данного номера (это еще один уровень защиты от злоумышленников);
  • "Статический IP-адрес пользователя" - при установлении соединения пользователю назначается фиксированный IP-адрес;
  • "Использовать статическую маршрутизацию" - при установлении соединения пользователю пересылается указанный список маршрутизаторов.

Применение "Политики удаленного доступа".

Когда домен работает в основном режиме (Windows 2000/2003) разрешениями на подключения к службе удаленного доступа можно задавать с помощью политик удаленного доступа. Политики удаленного доступа применяются к учетной записи пользователя при его попытке подключиться к службе удаленного доступа только в том случае, если в Свойствах этой учетной записи явно указано "Управление на основе политики удаленного доступа". Если данная опция не отмечена, а выбраны другие, то политики не проверяются.

Каждая политика состоит из трех частей:

  • Условия (Conditions) - определяются условия подключения пользователя. Наиболее часто используемые условия - день недели и время, а также членство в определенной группе;
  • Профиль (Profile) - определяются некие параметры подключения (например, тип аутентификации или вид коммуникаций);
  • Разрешения (Permissions) - разрешить или запретить подключение.

Проверка политики начинается всегда с проверки условия - если ни одно из условий не совпадает с параметрами учетной записи пользователя, то происходит переход к следующей политике. Если условия совпали, то проверяются параметры профиля подключения, если параметры политики и пользователя не совпадают, то также происходит переход к следующей политике. Если же параметры профиля совпали и данная политика разрешает подключение, то пользователю выдается разрешение на подключение к серверу удаленного доступа. Если же политика запрещает подключение, то пользователю выдается отказ на подключение к серверу.

Продолжение в статье

Служба удаленного доступа предоставляет авторизованным лицам способ доступа к сети компании из дома, иного местонахождения пользователей и других мест в стране, на континенте или в мире. Раньше эта служба была нужна некоторым техническим специалистам, чтобы выполнять часть работы дома вне нормального рабочего графика. В последнее время она стала базовой службой, которой пользуются все в компании. Теперь удаленные сотрудники и комми­ вояжеры работают вне офиса, подключаясь только для особых служб.

Удаленный доступ может предоставляться многими способами, но есть две основныекатегории.Принекоторыхспособахкомпьютерподключаетсянапрямую к сети: телефонные модемы, ISDN и т. п. Другие способы предполагают подключение к Интернету – WiFi, кабельные модемы, DSL, Ethernet и т. д., – а затем подключение к сети через туннель или VPN.

Удаленный доступ связан с множеством проблем. Один из аспектов удаленного доступа заключается в том, что люди хотят иметь возможность проверять свою электронную почту и осуществлять доступ к данным, когда они в пути. Почти так же распространено желание людей работать из дома по вечерам, выходным, несколько дней в неделю или все время. Еще один аспект – некоторые пользователи практически постоянно находятся в каком-либо удаленном местоположении, но им все же нужен регулярный доступ к корпоративной сети. В данной главе показано, что эти три аспекта имеют немного разные требования, но также много общего.

Удаленный доступ – это одна из областей, в которых технологии постоянно меняются. В данной главе рассмотрено, как это влияет на проектирование и администрирование службы удаленного доступа, но не обсуждается, какими технологиями пользоваться, потому что они изменятся даже между написанием и изданием книги. Информация в данной главе должна предоставить вам основу для оценки текущих технологий и методов и принятия архитектурных решений.

27.1. Основы

Для создания службы удаленного доступа вам нужно начать с понимания большого количества разных требований ваших пользователей. Вы также должны решить вместе со своими пользователями, какие уровни обслуживания системные администраторы будут предоставлять по различным аспектам системы, и документировать эти решения для справки в будущем.

Когда вы определите требования и уровни обслуживания, вы будете готовы создавать службу или не создавать ее. Один из основных принципов создания службы удаленного доступа – по возможности передать ее сторонним исполнителям. Однако несколько компонентов должно строиться или управляться изнутри компании. В частности, изнутри должны контролироваться аспекты безопасности аутентификации, авторизации и поддержания безопасности периметра.

27.1.1. Требования к удаленному доступу

Первое требование к службе удаленного доступа, скорее всего, будет предполагаться само собой и не указываться в явном виде: для каждого должно быть реализовано дешевое и удобное решение по удаленному доступу. Если группа системных администраторов не предоставит его, пользователи сами сделают для себя что-нибудь, что не будет таким безопасным или эффективно управляемым, как служба, которую предоставили бы системные администраторы. Довольно вероятно, что от системных администраторов будут ожидать поддержки службы, которую разработали их пользователи, если с ней возникнут проблемы. Кроме того, обычно эту службу будет сложнее поддерживать, чем созданную системными администраторами.

Другие требования основаны на том, как пользователи намерены применять систему удаленного доступа. Наиболее распространенные пользователи удаленного доступа – это люди, которые путешествуют и хотят проверять или отправлять электронную почту. Другая распространенная категория пользователей – люди, которые хотят зайти в систему вечером на час или два и разобраться

в чем-то. У этих разных групп пользователей есть кое-что общее: все они пользуются удаленным доступом в течение довольно коротких промежутков времени. Они отличаются в том, что одна группа ожидает возможности пользоваться службой отовсюду, а другая – пользоваться ею дома. Обеим группам требуется надежный и экономичный способ кратковременного подключения к офисной сети. Ни одной из групп не нужна очень высокая пропускная способность, но обе хотят получить максимально возможную. Они отличаются

в том, что людям, которые путешествуют, нужна возможность подключаться из любого места, где они могут оказаться. В зависимости от компании это может быть небольшая территория или весь мир. Для предоставления глобального удаленного доступа технология должна быть повсеместно распространенной. При создании системы удаленного доступа для таких пользователей важно, какая территория покрытия необходима для службы и какова модель оплаты для различных регионов.

Если люди хотят регулярно работать дома, нужно учесть три основных принципа. Во-первых, отключения будут значительно влиять на повседневную работу этих людей, поэтому служба должна быть надежной. Во-вторых, им потребуется высокоскоростной доступ, потому что скорость соединения будет влиять на их ежедневную производительность и обычно они будут выполнять задачи, которые требуют более высокой пропускной способности и/или меньшего времени ответа. Наконец, экономические факторы отличаются от кратковременного периодического использования. Человек, который работает дома, обычно пользуется службой удаленного доступа 8–10 ч в день. Поминутная оплата при таком использовании быстро растет, поэтому безлимитное подключение может быть дешевле.

Часто сотрудники компании могут захотеть пользоваться высокоскоростным подключением к Интернету, к которому у них есть доступ, на конференции или дома. Эта ситуация особенно распространена в технических компаниях и часто требует технологии, сильно отличающейся от тех, которые нужны для выполнения ранее описанных требований. Здесь нужно использовать шифрование между компьютером сотрудника и корпоративной сетью, потому что, если конфиденциальная информация компании передается через общедоступный Интернет, ее могут перехватить. Также передача информации через Интернет в незашифрованном виде может, в правовых терминах, считаться публикацией информации, что вызовет потерю компанией прав на интеллектуальную соб­ ственность. Кроме того, передача через Интернет незашифрованных паролей является верным способом стать жертвой взлома. Обычно на стороне сервера этого зашифрованного соединения находится часть корпоративного брандмауэра. Механизм шифрования должен обеспечивать доступ ко всему, что нужно человеку в корпоративной сети, быть надежным и иметь достаточно высокую производительность.

Такжеслужбадолжнаудовлетворятьпотребностилюдей,которымнужендоступ к корпоративной сети из другой компании, например инженеров по поддержке или консультантов, работающих в местоположении клиента. Этот сценарий вводит дополнительную сложность объединения политик, безопасности и практических вопросов двух, возможно, несвязанных компаний. Обычно эти люди не в том положении, чтобы требовать чего-то от клиента, поэтому им нужна возможность работать с существующими ограничениями, а не пытаться менять политики безопасности или правила брандмауэра. Как правило, создание ка- кого-либо постоянного подключения на рабочем месте человека в местоположении клиента является неприемлемым решением для обеих компаний, потому что человеку нужен доступ к обеим сетям и он может случайно связать их. Иногда приемлемо проведение к рабочему месту аналоговой линии, но это бывает редко. Обычный метод предполагает создание зашифрованного канала между машиной человека и брандмауэром компании, который проходит через брандмауэр клиента и Интернет. Это значит, что вам нужно предоставить механизм удаленного доступа, который, скорее всего, сможет проходить через большинство брандмауэров и который не слишком сложно добавить в брандмауэры, не позволяющие ему проходить1 . Кроме того, он должен быть достаточно гибким, чтобы человек мог осуществлять доступ ко всему, что ему нужно в корпоративной сети. Часто это не так легко, как может показаться, потому что некоторые приложения используют протоколы, которые трудно пропустить через некоторые механизмы шифрования, удовлетворяющие другим требованиям. Чтобы найти продукты, которые будут работать, может потребоваться поискатькакие-токомпромиссымеждуразличнымитребованиями.Видеальном случае в этой ситуации должна быть возможность пользоваться тем же самым программным обеспечением, которое было выбрано для описанной ранее ситуации с высокоскоростным подключением и отсутствием брандмауэра, но это может не получиться. Предоставление удаленного доступа этим людям часто является самой трудной задачей, особенно потому, что в каждом местоположении клиента будут различные политики безопасности, которые нужно соблюдать, чтобы не оказаться в неловкой ситуации.

1 Новый протокол не очень трудно добавить, если он использует только один TCPпорт и не имеет проблем безопасности на стороне клиента, например не позволяет создавать обратное туннельное подключение к сети клиента по открытым соединениям.

Из-за различных требований, соблюдения которых могут ожидать от служб удаленного доступа, последние обычно состоят из нескольких компонентов – каждый из них поддерживает одну или более описанных выше групп людей.

27.1.2. Политика удаленного доступа

Прежде чем начинать предоставление удаленного доступа, компания должна определить его политику. Она должна определять допустимое использование службы, правила безопасности, которые ее касаются, а также обязанности тех, кто ею пользуется. Кроме того, в политике должно быть указано, кто получает какой тип удаленного доступа и кто за это платит. В разделе 11.1.2 политика удаленного доступа и другие политики безопасности рассмотрены более по­ дробно.

27.1.3. Определение уровней обслуживания

Важно четко определить уровни обслуживания различных служб удаленного доступа вместе с пользователями этих служб. Удаленный доступ может быть чувствительной областью, потому что сбои обнаруживаются людьми, которые хотят выполнить какую-то работу и не могут ничего сделать, пока служба не будет восстановлена. Это раздражает их и может сделать проблемы очень заметными.Еслиуровниобслуживаниячеткоопределены,доведеныдопользователей и поняты ими до возникновения проблем, пользователи будут знать, на какое приблизительное время ремонта (Estimated Time to Repair – ETR) они могут рассчитывать, что должно снизить уровень напряжения и раздражения.

Единственный системный администратор в небольшой компании должен добиться таких уровней обслуживания, которые позволяли бы ему хоть немного спать, чтобы нормально работать днем. В крупных организациях со службой поддержки, работающей в режиме 24/7, должны быть более ориентированные на пользователей уровни обслуживания. Персонал службы поддержки должен быть обучен работе со службой удаленного доступа и знать, когда передавать проблемы на более высокий уровень. У новых служб на пробном этапе уровни обслуживания должны быть ниже, потому что персонал службы поддержки не будет полностью обучен и только несколько старших системных администраторов будут знакомы с пробной службой. Однако у пользователей пробной службы должен быть запасной метод доступа. Службы, которые были выведены из эксплуатации и используются лишь небольшим количеством людей, также являютсякандидатаминаболеенизкиеуровниобслуживания,потомучтоновый персонал может быть не обучен старым технологиям.

Осторожно выбирайте пользователей пробных служб

Несколько лет назад одна компания по разработке программного обеспечения представила службу высокоскоростного удаленного доступа на базе ISDN. Первым этапом этого проекта было определение оборудования, которое нужно использовать на корпоративной и домашней стороне соединения, тестирование надежности, совместимости, возможностей и расширяемости. Была определена пара вариантов для каждой стороны соединения, и их нужно было протестировать. Сетевая группа планиро-

валазадействоватьвпервоначальныхтестахлишьнесколькихсистемных администраторов, чтобы они могли помочь с отладкой. Однако доступа к службе потребовали несколько человек из инженерного отдела, сказав, что они создадут ее сами, если группа системных администраторов не предоставит им ее быстро. Директор группы системного администрирования объяснил инженерам, что служба скоро будет доступна, поскольку уже приступили к начальным испытаниям. Несколько инженеров, которые работали дома и которым был очень нужен высокоскоростной доступ, нашли директора инженерных подразделений и попросили его включить их в тестирование. Группе системного администрирования пришлось согласиться, чтобы инженеры не создавали свою службу. Сетевая группа четко дала понять инженерам, которые участвовали в тестировании, что эта служба еще не является полноценной и что возможны сбои в течение нескольких дней, поэтому они не должны полагаться на нее и у них должен быть запасной метод доступа. Однако спустя некоторое время один инженер, тестирующий пробную версию, столкнулся с проблемой ISDN-соединения и быстро передал ее по цепи руководства, так что она стала заявкой на устранение неисправности наивысшего приоритета, требуя у системных администраторов уделить внимание ей, а не большому количеству заявок, связанных с поддерживаемыми службами. Он не был подходящим пользователем пробной версии, потому что начал постоянно требовать высокоскоростного доступа и не хотел терпеть сбои или возвращаться к старому модемному методу доступа.

Первопричина проблемы заключалась в том, что проект развития ISDN не финансировался, пока инженеры не начали настойчиво требовать этого, что произошло более чем через год после того, как запрос на финансирование был сделан специалистом по архитектуре сетей, который прогнозировал потребность. На этом этапе было невозможно ограничить группу пробного использования подходящими людьми, что привело к большому стрессу и раздражению как системных администраторов, так

и инженеров.

К сильному повышению пропускной способности легко привыкнуть. Возвращение к старой системе – это неподходящий вариант после использования более быстрого решения, вне зависимости от того, насколько ясно системные администраторы пытаются объяснить уровни обслуживания, которых можно ожидать от прототипа службы. Прежде чем давать доступ к системе первым пользователям, служба должна пройти этап первоначального прототипа и, по крайней мере, нужно определить оборудование на стороне пользователя, иначе это путь к катастрофе. Пытайтесь протолкнуть такие важные проекты в бюджет, прежде чем они станут зоной политического конфликта, даже если они не финансируются официально.

27.1.4. Централизация

Удаленный доступ – это область, которая выигрывает от централизации. С точки зрения безопасности элемент аутентификации службы удаленного доступа должен быть централизован, чтобы обеспечить нормальную проверку

и контроль доступа. С точки зрения расходов новые технологии все время развиваются, а затраты на исследование того, как лучше всего реализовать и поддерживать новую технологию, велики и не должны дублироваться в компании. Кроме того, за счет концентрации всего использования на централизованном оборудовании и линиях можно достичь значительной экономии масштаба. Окончательная форма централизации – это передача службы удаленного доступа сторонним исполнителям.

27.1.5. Привлечение сторонних исполнителей

Лучший способ справиться с постоянно изменяющимися технологиями удаленного доступа – заставить это делать кого-то еще. Бесполезно постоянно пытаться продолжать оценивать новые технологии и выяснять, как их расширять и поддерживать, только для того, чтобы через год-два перейти на более новую технологию.

Некоторые компании по предоставлению услуг удаленного доступа, обычно интернет-провайдеры, могут взять на себя хотя бы некоторые аспекты службы удаленного доступа компании. Один из способов это сделать, – установка программного обеспечения VPN на машины пользователей, которые будут набирать обычные номера модемных пулов провайдера или применять другие возможности подключения, а для соединения с корпоративной сетью использовать VPN. Другой способ заключается в использовании виртуальных каналов, которые устанавливают фильтры безопасности и перенаправляют трафик пользователей на основании их данных аутентификации. Обычно пользователи применяютмодемныепулы,выделенныедляэтойслужбыупровайдера,ивыделенные соединения провайдера с компанией.

Более ощутимое преимущество передачи удаленного доступа сторонним исполнителям – значительное снижение времени, которое тратится на его поддержку. Расходы становятся видимой и предсказуемой цифрой, которую можно внести

в бюджет, а не скрытой переменной, не поддающейся количественной оценке. С точки зрения системного администратора, передача удаленного доступа сторонним исполнителям означает меньшее количество звонков по поддержке

в нерабочее время и отсутствие необходимости искать неизвестный сломанный модем, который не дает пользователям подключиться. Некоторые компании могут справиться со всеми вопросами удаленного доступа, остальные могут решить все вопросы, кроме, например, программного обеспечения для VPN. Каждый, кому приходилось поддерживать модемный пул, согласится с тем, что желательно передать это кому-нибудь другому.

Экономия масштаба означает, что для компании, предоставляющей услуги, проще и экономически выгоднее оценивать новые технологии и их поддержку. Это элемент их главного бизнеса, поэтому проекты по оценке будут финансироваться.

Некоторые аспекты удаленного доступа не должны передаваться сторонним исполнителям. В частности, база данных аутентификации должна поддерживаться внутри компании, чтобы она могла быть включена в выходной процесс для увольняющихся сотрудников и подрядчиков, могла быть проверена и использована, чтобы незаметно и в короткие сроки обрабатывать прекращение важных отношений.

Когда компания решает передать сторонним исполнителям любой элемент компьютерной среды, системные администраторы должны внимательно выби-

рать поставщика услуг. Поставщики услуг должны оцениваться по следующим критериям:

Территория покрытия. Компания, предоставляющая услуги, должна по­ крывать по крайней мере территории, которые нужны базе пользователей, включая дома пользователей и места, куда люди скорее всего могут поехать. Лучше всего найти поставщика услуг с глобальным покрытием и возможностью выбирать и платить за меньшие территории покрытия. При необходимости вы сможете расширить территорию покрытия. Территория можетсчитатьсяполностьюпокрываемой,еслилюбоеподключениекслужбе удаленного доступа оплачивается по местным тарифам или предоставляется бесплатно для того, кто подключается, за исключением оплаты провайдеру удаленного доступа. Если вам требуется только небольшая зона покрытия, передача удаленного доступа сторонним исполнителям может быть менее выгодна.

Поддерживаемые технологии. Оценка компаний, предоставляющих услуги, также включает рассмотрение технологий, которые они поддерживают, и их темпов принятия технологий на вооружение. Если они не успевают за новыми технологиями, возникнет проблема создания пользователями соб­ ственных, более быстрых систем доступа.

Непосредственная поддержка. Предоставляет ли компания непосредственную поддержку или только через системных администраторов? Несмотря на то что проблемы, которые связаны с неправильной конфигурацией машин пользователей, могут быть решены внутренними системными администраторами, последние не будут так хорошо знакомы со службой, которая не была создана в компании, и не будут иметь доступа ко всем необходимым для устранения проблем элементам системы. Дополнительный уровень посредничества увеличивает время разрешения проблемы пользователя.

Соглашение об уровне обслуживания. Прежде чем выбрать поставщика ус-

луг, важно получить и оценить письменное SLA. Каково время ответа? Каковы условия неисполнения? Как вы можете отслеживать выполнение провайдером условий соглашения? Какие скорость и задержка являются стандартными и гарантируются?

Структура тарификации. Какова модель и структура тарификации обслуживания? В идеальном случае все расходы должны быть включены в плату провайдеру, чтобы компании и сотрудникам не приходилось иметь дело с получением и обработкой счетов за удаленный доступ. Разберитесь, что представляют из себя все расходы и как они отличаются по областям обслуживания. Проверьте, можно ли предоставить провайдеру базу данных, в которой пользователи распределены по подразделениям, чтобы провайдер мог пользоваться ею при отдельной тарификации для каждого подразделения или, по крайней мере, предоставить компании схему распределения расходов.

Интерфейс аутентификации. Проверьте, какие механизмы аутентификации поддерживаются провайдером. Он должен поддерживать несколько стандартных протоколов аутентификации и авторизации, чтобы системные администраторы могли выбрать подходящий протокол для использования со своей схемой аутентификации. Провайдер должен обеспечить средства, чтобы база данных аутентификации и авторизации управлялась компанией-пользователем.

Безопасность. Группа обеспечения безопасности компании по-прежнему отвечает за ее общую безопасность, которая включает переданную сторонним исполнителям систему удаленного доступа. Персонал по обеспечению безопасности должен поддерживать связь с провайдером, чтобы обеспечить поддержание необходимого уровня безопасности архитектуры удаленного доступа, возможно, за счет реализации на стороне корпорации каких-то средств, которые работают совместно с информацией аутентификации, передаваемой провайдером. Перед выбором компании, предоставляющей услуги, выясните, какова ее архитектура безопасности и какие возможны варианты.

Сквозная пропускная способность. Убедитесь, что у вас достаточная пропускная способность канала связи с точкой доступа. Мы часто видели узкие места в сети у провайдера службы или в точке его подключения к сети. Оцените пиковое количество пользователей, пропускную способность, которой каждый может пользоваться, и подсчитайте общую пропускную способность. Если вы передаете сторонним исполнителям модемный доступ, убедитесь, что ваша выделенная линия к провайдеру модемного доступа имеет достаточную пропускную способность, чтобы справиться с ожидаемой нагрузкой пользователей. Если вы предоставляете доступ через Интернет при помощи VPN, убедитесь, что у вас достаточная пропускная способность, чтобы обрабатывать этот трафик быстрее всего остального. Кроме того, проверьте, что любое оборудование, которое будет поддерживать VPN-соедине- ния, имеет достаточные ресурсы процессора для обработки пикового количества соединений. Шифрование очень сильно загружает процессор.

Уделите время детальной оценке провайдеров и внимательному принятию решения. Трудно сменить провайдера удаленного доступа, если он будет плохо работать, потому что это включает смену конфигурации и, возможно, программного обеспечения намашинах всех сотрудников, заказ прокладки новых линий во все места, в которых были постоянные соединения с этим провайдером, и доведение до каждого пользователя новых данных, которые необходимо знать при путешествиях.

27.1.6. Аутентификация

Система аутентификации и авторизации – это компонент, который всегда должен создаваться и поддерживаться своими силами, даже если все остальное передается сторонним исполнителям. Все методы удаленного доступа должны использовать одну базу данных аутентификации для снижения затрат на администрирование и вероятности того, что одна из баз данных может быть упущена при отключении доступа сотрудников после их увольнения. В случае необходимости для доступа к этой базе данных по различным протоколам может использоваться много интерфейсов.

Механизмаутентификациидолжениспользоватьоднуизнесколькихдоступных систем с одноразовым паролем или маркером. Он не должен быть основан на паролях с возможностью многократного применения. Возможно, небольшим компаниям придется начать с простой системы с паролем из экономических соображений, но они должны выделить средства для перехода на более безопасную систему, как только это будет возможно.

27.1.7. Безопасность периметра

Служба удаленного доступа – это часть периметра компании, даже если она передана другой компании. Если компания основывает часть своей безопасности на наличии безопасного периметра, этот периметр должен поддерживаться. Службы удаленного доступа могут прорвать безопасность периметра из-за неправильной настройки некоторых компонентов. В частности, узлы или сетевое оборудование могут быть настроены на динамическую маршрутизацию вне зависимости от того, какой трафик они перенаправляют и по каким маршрутам. Это может привести к тому, что служба удаленного доступа создаст уязвимость в безопасности сети.

Запрещайте трафик и маршрутизацию через соединения удаленного доступа

Некотороевремяоднасемейнаяпараработалавкомпьютернойиндустрии на прямых конкурентов. Обе компании использовали модели безопасно­ сти периметра. В обеих компаниях был высокоскоростной доступ из дома сотрудников. В семье была домашняя сеть с несколькими общими ресурсами, например принтерами. Сетевое оборудование каждой компании не было ограничено в том, какой трафик направлять и по каким маршрутам. В конце концов у каждой компании появилась полная таблица маршрутизации другой компании. Внутри и вне компании A использовалась одна и та же таблица DNS, что вызвало отправку почтовыми серверами компании B всех своих сообщений через домашнюю сеть семейной пары напрямую на внутренний почтовый сервер. Проблема была обнаружена и отслежена только тогда, когда в одной из компаний заметили, что заголовки электронной почты были не совсем правильными.

Компании должны были ограничить маршруты, которые могли попасть в их таблицы маршрутизации, и обеспечить для этих соединений по крайней мере минимальную безопасность, разрешая передачу трафика только одному авторизованному узлу на этом соединении. Эти меры предотвратили бы случайное соединение двух сетей, но не намеренную попытку взлома. Для полного обеспечения безопасности этих соединений удаленного доступа требуются более сложные меры и политики.

27.2. Тонкости

Есть несколько способов улучшить службу удаленного доступа, когда она будет работать. Для людей, которые постоянно работают дома, обратите внимание на другие потребности бизнеса, помимо простого доступа к сети. Рассмотрите способы снижения расходов и автоматизации некоторых элементов анализа затрат. Для системных администраторов, которые предоставляют удаленный доступ, есть несколько способов успевать за новыми технологиями, не превращая поддержку удаленного доступа в полный кошмар.

Тонкости

27.2.1. Домашний офис

Удаленный доступ – только часть полного решения по удаленной работе. Работа из дома неизбежно включает больше чем просто обеспечение сетевого соединения. Часто для решения других проблем обращаются к группе системных администраторов.

Одна из проблем, которая напрямую затрагивает группу системных администраторов, – это вопрос, кто обеспечивает оборудование для домашнего офиса, кто его поддерживает и на каком уровне. Очень дорого предоставлять поддержку, при которой требуется заходить к кому-то домой, чтобы установить новое оборудование или заменить сломанное. SLA должно очень четко оговаривать такие вопросы, и если обеспечивается такой уровень поддержки, то должна быть модель возмещения расходов на поддержку подразделением сотрудника, который работает дома.

Другие вопросы, которые неизбежно возникают, заключаются в том, что сотрудникам, работающим дома, нужно использовать телефон для нужд бизнеса, отправлять и получать факсы, печатать, копировать, устанавливать конференцсвязь и присоединяться к конференциям. В зависимости от профессии им может потребоваться возможность оставаться подключенным к сети, телефону и одновременно получать факс. Кроме того, они не захотят каждый месяц изучать свои телефонные счета и запрашивать оплату всех своих деловых звонков. Компания может выбрать службы удаленного доступа, которые включают телефонную связь, или просто провести дополнительные телефонные линии, которые оплачиваются компанией. Если линии не могут оплачиваться компанией напрямую, то время, которое сотрудники тратят на составление отчетов о расходах по своим индивидуальным счетам, может представлять собой крупные скрытые издержки не просто за счет потери времени сотрудниками, но и за счет раздражения, которое может вызвать служба. Группа системных администраторов должна иметь эти требования в виду при выборе решения домашнего удаленного доступа и быть готова предоставить решение пользователями.

Другая проблема, возникающая у людей, которые работают дома, заключается в том, что им кажется, что они теряют связь с происходящим в компании, по­ скольку не участвуют в разговорах в коридорах, групповых собраниях или обедах. Найдите способы исключить барьер расстояния и упростить неформальное общение. Некоторые распространенные решения включают персональные системы видеоконференций и обеспечение для всех конференц-залов возможности транслировать презентации по сети.

27.2.2. Анализ и сокращение расходов

Расходы на удаленный доступ могут быстро накапливаться, и обычно они являются скрытыми для тех, кто их несет. Когда система удаленного доступа будет работать, ищите способы сокращения расходов без негативного влияния на службу. Большинство служб удаленного доступа предоставляют бесплатные номера телефонов, на которые люди могут звонить, что дорого обходится компании. Предоставление местных номеров в области с большим количеством

пользователей удаленного доступа может снизить расходы1 . Кроме того, обратите внимание на людей, которые пользуются службой больше всего (из фиксированного места), и посмотрите, возможно ли установить здесь постоянное безлимитное соединение и может ли оно быть более выгодным. Максимально автоматизируйте этот процесс, в том числе создайте механизм уведомления людей, которые пользуются бесплатным номером, если они могут использовать местный номер.

Пример: снижение расходов за счет анализа информации о тарификации

В Lucent смогли значительно снизить расходы на службу модемного удаленного доступа при помощи некоторых интересных подходов. Система предоставляла модемные пулы в местах, населенных большим количеством сотрудников, поэтому звонки были местными, а следовательно, бесплатными. Люди, для которых модемные пулы не были местными, предоставляли отчеты о части своих телефонных счетов, что отнимало у них много времени, было дорого для обработки в Lucent и расточительно, потому что индивидуальная поминутная тарификация обычно была выше, чем Lucent могла согласовать с телефонными компаниями. При- менениебесплатного(1-800)телефонногономерасильносократилообъемы подачи отчетов о расходах и уменьшило затраты. Номер 800 был достаточно развитым, чтобы направлять звонок на ближайший модемный пул иобходитьмодемныепулынизкойемкости.Бесплатныйномербылтаким удобным, что иногда люди пользовались им, даже если существовал мест­ ный номер, использование которого было дешевле для компании.

Была создана система, которая определяла телефонный номер при входящем звонке и динамически создавала баннер входа в систему, который показывал человеку телефонный номер, на который он должен звонить. Если пользователь подключался по наиболее выгодному номеру, по­ являлся нормальный баннер. Информация о тарификации изучалась, и сотрудники, которые не пользовались самыми выгодными номерами модемного доступа, каждый месяц получали по электронной почте сообщение, в котором объяснялось, сколько денег они могли бы сэкономить компании, если бы звонили по правильному номеру.

Когда впервые появились VPN, информация о тарификации использовалась для того, чтобы определить, поддержка каких пользователей была бы дешевле, если бы они пользовались службой VPN через постоянное подключение к Интернету, например по кабельному модему или xDSL. Люди, чей переход сэкономил бы компании больше всего денег (первые 10%), активно разыскивались, чтобы стать первыми пользователями этой новой службы. Время от времени информация о тарификации снова изучалась, чтобы определить новых кандидатов.

1 Это особенно эффективно в странах с бесплатными местными звонками или даже с фиксированной платой за местные звонки, но не так полезно в странах с поминутной тарификацией местных звонков. Избегайте этого подхода, если он приведет к оплате людьми своих расходов на модемный доступ.

27.2.3. Новые технологии

Системные администраторы, которые вынуждены строить и поддерживать службы удаленного доступа, сталкиваются с проблемой попытки не отставать от новых технологий и принятия решений, какие из них реализовывать. В таком случае системным администраторам требуется одновременно поддерживать все новые и старые технологии, что приводит к постоянному росту расходов на поддержку. В этой области традиционные модемы имеют преимущество, потому что они поддерживают обратную совместимость. Можно обновить модемный пул компании до самой современной и быстрой технологии и при этом поддер­ живать людей, у которых есть более старые модемы. У других технологий удаленного доступа нет такого преимущество.

Введение новой технологии значительно повышает расходы на поддержку, пока эта технология не будет широко признана и хорошо понята. Поддержка старых технологий также имеет высокую стоимость: оборудование становится менее надежным и системные администраторы хуже знают систему, когда ею пользуются лишь несколько человек.

Ключ к удержанию звонков по поддержке под контролем – избежать высоких расходов на поддержку в конце жизненного цикла, когда технология все еще используется небольшим количеством людей. Достигайте этого за счет поддерж­ ки максимум двух технологий помимо традиционного модемного доступа. Когда вы собираетесь перейти на новую технологию, жестко выведите из эксплуатации более старую из двух имеющихся технологий посредством перевода ее пользователей на более новую технологию и установления жесткой даты, когда старая служба будет выведена из эксплуатации.

27.3. Заключение

Поддержка службы удаленного доступа может быть очень неблагодарной задачей, отнимающей много времени. Технологии быстро развиваются, и ваши пользователи хотят двигаться вместе с ними, но вы можете не располагать средствами для этого. Прежде чем пытаться построить службу удаленного доступа, разберитесь с требованиями – их может быть много и они могут быть разными. Определите политику удаленного доступа, с которой пользователи должны согласиться, прежде чем получат доступ к службе. Согласуйте и доведите до людей уровни обслуживания различных компонентов службы.

Служба удаленного доступа выигрывает за счет централизации из-за темпов изменения технологий. Это подходящая область для передачи сторонним исполнителям, чтобы выиграть от экономии масштаба и больших территорий покрытия, которые может обеспечить провайдер. Основное преимущество передачи сторонним исполнителям заключается в том, что она освобождает группу системного администрирования от бремени поддержки модемного пула и решения проблем удаленного доступа. Однако сохраняйте контроль над элементами аутентификации и авторизации службы удаленного доступа и уделяйте внимание безопасности службы, особенно если ваша компания полагается на безопасность периметра.

Совершенствуйте службу удаленного доступа, решая некоторые другие вопросы домашнего офиса даже до того, как они возникнут. Найдите способы снижения расходов и максимально автоматизируйте их. Если вы столкнетесь с трудностя-

ми поддержки службы удаленного доступа, контролируйте расходы на поддерж­ ку, ограничивая количество используемых технологий.

1. Какие технологии поддерживает ваша служба удаленного доступа? Какие из них дороже всего поддерживать и почему?

2. Какую следующую технологию вы введете в эксплуатацию? Опишите, как будет проходить ее внедрение.

3. Какова политика удаленного доступа в вашей компании? Как она доводится до пользователей?

4. Какие требования должна выполнять ваша система удаленного доступа?

5. Проведите нового сотрудника через процесс получения услуг удаленного доступа от вашей организации. Следите за тем, как человек выяснит, что доступно, подаст заявку на обслуживание, выполнит установку и сможет работать, но не помогайте ему. Что нужно улучшить в этом процессе, чтобы он стал более приятным для пользователя?

6. Как бы вы предоставляли удаленный доступ сотрудникам, которые находятся в местоположении клиента? На какие компромиссы вам пришлось бы пойти?

7. Каковы уровни обслуживания различных элементов системы удаленного доступа в вашей компании?

8. Если вы не передаете никакие элементы своего удаленного доступа сторонним компаниям, какова была бы цена такой передачи? Каков ее уровень по сравнению с внутренней поддержкой? Какие были бы преимущества? Недостатки?

9. Если вы передаете какие-либо элементы своего удаленного доступа сторонним компаниям, как вы решаете, какие элементы передавать, и определяете провайдера?

10. Какой механизм аутентификации вы используете для своей службы удаленного доступа?

11. Сколько баз данных аутентификации в вашей системе?

12. Какие средства обеспечения безопасности есть в вашей службе предоставления удаленного доступа?

13. Сколько людей в вашей компании регулярно работают дома? Какова модель поддержки оборудования у них дома? Какие услуги предоставляет компания помимо простого подключения к сети?

14. Если бы вам нужно было создать службу удаленного доступа для пользователей, которые работают дома, на значительном расстоянии от основного офиса, какую модель поддержки вы выбрали бы? Какой технологией вы воспользовались бы и почему? Как бы вы удовлетворяли дополнительные потребности своих пользователей, например телефонную и факсимильную связь? Как бы изменился ваш ответ, если бы люди находились на расстоянии 2000 миль от ближайшего офиса?

15. Как вы можете сократить расходы на службу удаленного доступа?