Смарт ТВ 

Нестандартный алгоритм включения. Телефонная книга RAS

Песочница

ювелир 9 февраля 2012 в 18:08

Включение удаленного рабочего стола в Windows 7

  • Чулан *

Друзья!


Буквально на днях я столкнулся с проблемой включения «Удаленного рабочего стола» на системе Windows 7.
Многие тут же подумали:«Ай, да наверняка у него стоит какая-нибудь Win 7 Home Premium или вообще Starter». Однако это совсем не так. У меня полноценная Windows 7 x64 Professional, в которой казалось бы все должно заработать моментально и без оговорок.

Стандартный алгоритм включения

Заходим в свойства компьютер Пуск->Компьютер(правый клик)->Свойства
Слева в списке выбираем «Настройка удалённого доступа»
В разделе «Удалённый рабочий стол» выбираем второй или третий пункт. Различие: второй пункт - любые ОС, третий - Vista и выше
Жмем кнопку выбрать пользователей и добавляем нужных. (Например своего пользователя на этом компьютере. Или вы можете создать отдельного пользователя для удаленного рабочего стола)
Настройка закончена

У меня это всё выглядело совсем иначе. И пункт номер 3 был для меня недоступен. Пункты есть, но они - disabled.



Примерно вот так у меня выглядели настройки включения RDP


Различного рода поиски не привели меня к однозначному и ясному ответу на вопрос: «Что же делать с такой ерундой»?
Только куски разрозненной информации, которые мне хотелось бы свести воедино. Справившись с этой небольшой проблемой, я решил, что таки стоит поделится ее решением с общественностью.


Итак, приступим.
Нам потребуется:

  • Компьютер
  • Глазка/руки/голова
  • Права администратора

Нестандартный алгоритм включения

1. Идем в службы (Пуск->Панель управления->Администрирование->Службы)


2. Находим там брендмауэр Windows. Ставим ему автоматический запуск, и запускаем службу.

Примерно вот так:


3. Идем в локальные политики безопасности (Пуск->Панель управления->Администрирование->Локальная политика безопасности ИЛИ Пуск->Выполнить->Вводим secpol.msc)


4. Выбираем там Брэндмауэр Windows в режиме повышенной безопасности - Объект локальной групповой политики -> Правила для выходящих подключений.

5. В правой части оснастки выбираем по правому клику мыши «Создать правило». Далее по шагам (каждый пункт - ссылка на картинку с шагом):

  • Тип протокола - выбираем TCP. Локальный порт - 3389. Удалённый порт - все порты
  • Любые ip-адреса (если вы хотите заходит из любого места, если не уверены, разрешите все)
  • Отмечайте те сети, в которых вы хотели бы, чтобы ваш компьютер принимал эти соединения

В конце концов, вы должны получить что-то вроде этого:


6. Заходим в редактор локальной групповой политики (Пуск -> Выполнить -> gpedit.msc).


7. Конфигурация компьютера -> Административные шаблоны -> Компоненты Windows -> Службы удалённый рабочих столов -> Узел сеансов удаленный рабочих столов -> Подключения


  • Разрешать удаленное подключение с использование служб удаленных рабочих столов
  • Устанавливает правила удаленного управления для пользовательских сеансов служб удаленного рабочего стола (значение параметра выберите сами, я поставил лично для себя «Полный контроль без разрешения клиента»).

Итого у вас получится:


9. Заходим в свойства компьютер Пуск->Компьютер(правый клик)->Свойства


10. Слева в списке выбираем «Настройка удалённого доступа»


11. В разделе «Удалённый рабочий стол» выбираем второй или третий пункт. Различие: второй пункт - любые ОС, третий - Vista и выше.


12. Жмем кнопку выбрать пользователей и добавляем нужных. (Например своего пользователя на этом компьютере. Или вы можете создать отдельного пользователя для удаленного рабочего стола)

Технологии удаленного доступа получают все большее распространение, а их возможности расширяются; растет число организаций, которые разрешают своим сотрудникам работать удаленно. Для работодателей преимуществами удаленной работы являются: повышение производительности, сокращение накладных расходов и доступ к более широкой аудитории высококвалифицированных специалистов. Сотрудникам удаленная работа помогает сбалансировать деловую и личную жизнь, уменьшить расходы и избежать утомительных продолжительных поездок. Windows Server 2012 предоставляет три варианта удаленного доступа за пределами привычного офиса.

Инфраструктура виртуальных рабочих столов (Virtual Desktop Infrastructure, VDI) в Windows Server 2012 поддерживает три гибких варианта развертывания: пулы рабочих столов, персональные рабочие столы и удаленные рабочие столы с сеансовым доступом (ранее такой подход был реализован через службы терминалов). В сравнении с предыдущими версиями, использующими многочисленные инструменты и консоли, удаленный доступ развертывается и управляется намного проще. Сотрудники могут получить удалённый доступ к ресурсам корпоративной сети, а системные администраторы – управлять корпоративными компьютерами, находящимися за пределами внутренней сети. Инфраструктура виртуальных рабочих столов, построенная на базе Hyper-V и служб удаленных рабочих столов, обеспечивает:

· упрощенную инсталляцию и конфигурирование;

· единую централизованную консоль управления;

· усовершенствованную службу RemoteFX для WAN.

DirectAccess

Служба DirectAccess в Windows Server 2012 позволяет удаленным пользователям получать защищенный доступ к внутренним ресурсам без подключения к VPN. DirectAccess обеспечивает прозрачное подключение клиентского компьютера к корпоративной сети каждый раз, когда компьютер подключается к Интернету, еще до входа пользователя в систему. DirectAccess позволяет администраторам отслеживать соединения и удаленно управлять клиентскими компьютерами, подключенными к Интернету. Усовершенствования DirectAccess в бета-версии Windows Server 2012 обеспечивают:

·
упрощенные развертывание и настройку, новые сценарии развертывания;

· упрощенную инфраструктуру (больше не требуются IPv6 и службы сертификатов);

· удаленное управление;

· поддержку нескольких узлов, улучшенную производительность.

BranchCache

Служба BranchCache в Windows Server 2012 кэширует данные, к которым обращаются пользователи филиала. Такой подход позволяет автоматически и прозрачно оптимизировать доступ пользователей к данным на файловых серверах и серверах интранета через глобальную сеть. BranchCache обеспечивает:

· гибкое развертывание – распределение между одноранговыми клиентскими компьютерами или размещенный кэш;

· упрощенное управление групповой политикой и Windows PowerShell v3;

· автоматическое шифрование кэша;

· интеграцию с функцией хранилища файлового сервера в Windows Server 2012.

29.08.2016

Сегодня практически каждое устройство имеет выход в глобальную сеть. Это очень удобно и открывает огромные возможности, о которых некоторые даже не подозревают. Профессионалы пользуются многими функциями операционных систем и программного обеспечения, но рядовому пользователю может быть неизвестно, что можно управлять своим домашним компьютером на расстоянии.

Такая функция, как удаленный доступ, будет полезна каждому. Где бы вы не находились: в дороге или на работе, дома или в путешествии, вы всегда сможете подключиться к необходимому компьютеру. Эта функция может понадобиться в тысяче случаев, вот некоторые из них:

  • При необходимости подключиться к домашнему компьютеру, находясь на работе, чтобы отправить себе забытые документы или наоборот;
  • Помощь другу с неработающей программой или её настройкой;
  • Подключение с целью использования удаленной машины. Часто необходим в том случае, когда есть необходимость работы под разными операционными системами;
  • Занимаясь обслуживанием крупной локальной сети, подключения к клиентским компьютерам для обновления или установки программного обеспечения;
  • Подключение к серверу для внесения изменений настроек;
  • С помощью использования программного обеспечения подключение к любому фрагменту многоранговых сетей или организация доступа к файлам через интернет;
  • Проведение конференций и презентаций.

Как видите, решений и возможностей, которые открывает удаленный доступ к компьютеру, множество. Среди неназванных мелочей можно еще добавить функции фотографирования экрана или перезагрузку и выключение компьютера на расстоянии.

Как организовать удаленное управление компьютером

Чтобы это сделать, необходимо заранее подготовить систему. Дело в том, что по умолчанию эта служба отключена в целях безопасности и по причине, что большинство пользователей ею не пользуются. В зависимости от целей, по которым вам понадобился удаленный доступ к компьютеру, есть несколько вариантов его настроить:

  • Установив специализированную программу AeroAdmin, Radmin или Team Viewer;
  • Стандартными средствами OS Windows (служба удаленного доступа).

Для того чтобы организовать удаленное управление компьютером, необходимо понимать, что для подключения нужны две системы. Одна из них должна быть настроена как сервер, а на второй – запущена программа-клиент или служба для организации соединения.

Удаленный доступ с помощью AeroAdmin

Основные функции AeroAdmin:

  • Подключается к компьютерам за NAT
  • Встроенная сообщений для службы поддержки
  • Передача файлов
  • Голосовой чат
  • Контактная книга
  • Неконтролируемый доступ
  • Тотальное AES + RSA шифрование
  • Двух-факторная аутентификация.
  • Неограниченные параллельные сессии

Подключение возможно по уникальному ID компьютера (в данном случае неважно, находятся компьютеры в одной локальной сети или разных), либо напрямую по IP адресу.

В AeroAdmin предусмотрена 2х факторная аутентификация. В дополнение к ручному режиму принятия, входящие подключения могут быть приняты по ID и паролю, что является большим плюсом к безопасности. AeroAdmin так же блокирует попытки подбора пароля или ID компьютера.

AeroAdmin идеально подходит для случаев спонтанной и регулярной техподдержки, поскольку позволяет подключиться с минимальным количеством шагов. Очень похожа по функционалу и внешнему виду на Team Viewer, однако полностью бесплатна как для корпоративных пользователей, так и для физ. лиц в стартовом функционале.

Удаленный доступ к компьютеру штатными средствами Windows

Для того чтобы к компьютеру под управлением операционной системы Windows можно было подключиться, необходимо выполнить следующие действия:

  • Для начала нужно проверить, включена ли служба, необходимая для работы функции подключения на расстоянии. Для этого заходим в меню «Пуск» и выбираем «Панель управления». В открывшейся панели ищем пункт «Администрирование», а в нем «Службы».

Находим «Службы удаленных рабочих столов» в списке.


По отношению к этой службе должен быть активирован режим «Включено» или «Автоматически». В случае если стоит статус «Отключено», необходимо зайти в настройки службы и сменить статус. После этого следует перезагрузить компьютер и перейти к следующему шагу.

  • Убедившись, что служба запущена и проблем с работой сервера не возникает, нужно разрешить удаленное подключение в настройках. Для этого снова открываем «Панель управления» и ищем в ней настройку «Система».

В меню справа необходимо найти пункт «Настройка удаленного доступа».


Теперь следует выбрать один из пунктов, указанных на рисунке ниже.


Выбор зависит от версии операционной системы, с которой вы собираетесь подключаться к вашему компьютеру. Если вы неуверенны, или версия ниже 7й, обязательно выбирайте 1й вариант. Однако в целях безопасности рекомендуется использовать второй.

  • Очень важно не забыть назначить пользователей, которым разрешается производить удаленное управление компьютером. Администратору это право дается по умолчанию. Но нужно помнить, что доступ на расстоянии разрешается только пользователям с паролем. Если пароль не установлен, то операционная система Windows не разрешит подключение.

Вот и всё! Система настроена и готова предоставить доступ удаленному пользователю.

Чтобы подключиться с другого компьютера к подготовленному заранее серверу, ничего устанавливать не нужно. Для подключения должна быть только запущена служба, описанная в Пункте 1. Программа-клиент для организации соединения есть в os windows по умолчанию.

Для ее запуска необходимо открыть меню «Пуск», выбрать «Все программы» и найти среди них «Стандартные». Из стандартных программ выбрать нужную нам: «Подключение к удаленному рабочему столу».

Теперь перед нами готовая к соединению программа-клиент. Настроек в ней очень много. При помощи них вы можете отрегулировать качество отображения на вашем экране: ухудшив его при плохом сигнале, а также для экономии трафика, или наоборот, улучшив, чтобы получить более яркую и четкую картинку.


Основное, что необходимо для подключения, это ввести «Имя компьютера» или его ip-адрес, а также данные идентификации. Если сетевой адрес и имя пользователя были введены верно, то следующим шагом будет авторизация на удаленном компьютере (ввод пароля подключения для выбранного имени пользователя).

Удаленное управление компьютером при помощи Team Viewer

Team Viewer – это специализированная программа для организации сетей удаленного доступа. Из её достоинств среди аналогов, включая средства Windows, стоит отметить умение ПО подключаться абсолютно к любым сетям за любыми защитами и фаерволлами. Некоторые администраторы больших сетей блокируют возможность установки Team Viewer из-за его способностей.

Для работы этой программы понадобится установка с двух сторон. То есть программы-клиента на одном компьютере и программы-сервера на другом. Что особенно интересно, ПО можно эксплуатировать абсолютно бесплатно в рамках личного и домашнего использования.

Для того чтобы получить возможность удаленного соединения, необходимо сделать следующее:

  • Скачать сервер и клиент с официального сайта .

  • Установка программы проста и интуитивно понятна. Но чтобы ей пользоваться, необходимо зарегистрироваться. Регистрация ни к чему не обязывает. Но таким образом команда Team Viewer будет фиксировать количество соединений и частоту использования программы, чтобы иметь возможность заблокировать вас в случае, если вы нарушили лицензионное соглашение и используете ПО в коммерческих целях.

Установив сервер, его необходимо настроить. Настроек подключения множество:

  • Возможность ограничения скорости подключения;
  • Выбор используемых портов и серверов Team Viewer;
  • Возможность скрыть программу или закрыть паролем её перенастройку;
  • Выбор графических и звуковых параметров;
  • И самое главное – это ввести имя пользователя и пароль.

Для соединения по Team Viewer нет необходимости иметь выделенный ip адрес, как в случае со стандартными средствами Windows, потому как подключение происходит по специальному коду, который генерирует сервер. Это очень удобно, в особенности тем, у кого нет статического или белого адреса. Кроме этого кода, вам понадобится пароль, который также генерируется.


Из достоинств программы стоит отметить:

  • Возможность подключения к серверу абсолютно с любого устройства при помощи клиента для Android, Mac и Linux;
  • Установка безопасного соединения с любой точки мира без инсталляции клиента при помощи обычного Web браузера;
  • Отличная скорость работы без всяких тормозов на любых расстояниях, благодаря промежуточным серверам;
  • Высокая функциональность, включая организацию безопасного vpn-туннеля.

Удаленный доступ к компьютеру при помощи Radmin

Программа Radmin – это, своего рода, упрощенный аналог Team Viewer. Она отличается простотой настройки и управления. По мнению разработчиков, в программе, которая предоставляет удаленный доступ к компьютеру, не должно быть ничего лишнего. Установка её проста и доступна каждому пользователю. Она предоставляется как демоверсия на 30 дней, после чего требует регистрацию.


Radmin среди аналогичных программ отличается высокой скоростью работы и незначительными требованиями. В фоновом режиме она практически незаметна и не выводит никаких лишних сообщений при подключении. Для наблюдения за удаленным экраном – это, пожалуй, лучший софт, не имеющий аналогов.

Кроме того, хочется отметить уровень безопасности. Осуществляя удаленное управление компьютером при помощи Radmin, можно не беспокоиться о проблемах с несанкционированными подключениями.


Также, говоря о плюсах ПО, не стоит забывать про стабильность. Как серверное, так и клиентское программное обеспечение может работать 24 часа в сутки без сбоев и проблем.

ИТОГ

Удаленный доступ к компьютеру – отличный способ работы с клиентами и серверами и каждый может выбрать себе тот способ подключения, который ему больше подходит для достижения целей. Любой из них полезен своим функционалом и станет незаменим как для работы, так и для домашнего использования.

Термины, необходимые для понимания материала:

Служба удаленного доступа (RAS)

Клиенты RAS

Программный интерфейс телефонной связи (ТАР1)

Телефонная книга RAS

Шифрование

Автодозвон

Нуль-модем

Преобразование имен

Приемы и знания, которыми вы должны овладеть:

Установка и настройка RAS

Настройка телефонной книги RAS

Реализация мер безопасности RAS

RAS (служба удаленного доступа) является надежным и безопасным способом распространения сетевых соединений на удаленные компьютеры. Модемы и другие коммуникационные устройства в подключениях RAS выполняют функции сетевых адаптеров. Удаленный клиент RAS может обращаться и работать со всеми ресурсами, с которыми может работать стандартный клиент с сетевым подключением. В этой главе вы узнаете все, что необходимо знать для успешного ответа на вопросы по RAS в сертификационном экзамене Microsoft.

Коммуникационные возможности RAS в Windows NT 4 заметно улучшились по сравнению с версией 3.51. Многие новые особенности, в том числе простота установки, процесс настройки и общее поведение, были позаимствованы из Windows 95. RAS обслуживает до 256 одновременных соединений, выполняет функции брандмауэра (firewall), шлюза или маршрутизатора, а также обеспечивает безопасность.

RAS устанавливает соединение по следующим типам связи:

PSTN (коммутируемые телефонные линии);

ISDN (цифровая связь с интегрированными службами);

Сеть Х.25 с коммутацией пакетов.

В подключениях RAS используются стандартные протоколы локальных сетей. Таким образом, при установке связи через RAS сетевое взаимодействие может осуществляться с использованием протоколов TCP/IP, IPX/SPX и NetBEUI. Поскольку в соединении используются реальные сетевые протоколы, удаленный клиент RAS действует так, словно он подключен к сети локально. Единственное отличие заключается в том, что скорость пересылки данных в соединении RAS ниже, чем при физическом подключении к сети. На экзамене вам встретятся вопросы, в которых будет проверяться ваше понимание этого факта. Всегда помните, что клиент работает одинаково независимо от способа подключения (локального или через RAS).

Клиенты RAS

Клиентом RAS называется любой компьютер, который может установить модемную или иную связь с сервером RAS и установить разрешенное соединение. Хотя подключения RAS оптимизированы для операционных систем Microsoft, при наличии необходимых программ, протоколов и при соответствующей настройке доступ может быть предоставлен и системам других типов.

Связи, устанавливаемые между клиентом и сервером с применением RAS, называются глобальными (WAN, Wide Area Network) связями. Поскольку RAS чаще всего используется для подключения компьютеров (или целых локальных сетей) к централизованной сети, находящейся на большом расстоянии, такая связь является глобальной. Коммуникационные протоколы, используемые для установки соединения RAS, называются протоколами глобальных сетей (протоколами WAN). Windows NT поддерживает два протокола WAN:

SLIP. Протокол SLIP (Serial Line Internet Protocol) поддерживает TCP/IP, но не поддерживает IPX/SPX или NetBEUI. SLIP не поддерживает DHCP, следовательно, каждому клиенту должен быть присвоен адрес IP. Кроме того, SLIP не поддерживает шифрование паролей. Этот протокол предусмотрен лишь для того, чтобы сервер NT мог выступать в роли клиента при подключении к серверу Unix; он не может использоваться для обслуживания входящих подключений в NT.

РРР. Протокол РРР поддерживает ряд других протоколов, включая AppleTalk, TCP/IP, IPX/SPX и NetBEUI. Он разрабатывался для расширения возможностей протокола SLIP. РРР поддерживает DHCP и шифрование паролей. В настоящее время он является самым распространенным и общепринятым протоколом глобальных сетей.

Windows NT Server может выполнять функции клиента RAS при мо-демном (или ином) подключении к другому серверу или компьютерной системе. Наиболее распространенная ситуация, при которой NT выступает в роли клиента, - подключение локальной сети к Интер-нету.

Серверы RAS

Внимание

Windows NT Server может обслуживать до 256 входящих подключений RAS. Об NT как о сервере RAS необходимо запомнить следующее:

Поддерживаются только клиенты РРР - протокол SLIP для модемных подключении не поддерживается. Между сервером и подключенным через РРР клиентом RAS создается шлюз NetBIOS, предназначенный для выполнения стандартных сетевых операций NT. RAS обеспечивает маршрутизацию IP и IPX.

RAS поддерживает приложения NetBIOS и Windows Sockets.

RAS поддерживает подключения РРТР (Point-to-Point Tunneling Protocol), тем самым обеспечивая безопасное взаимодействие компьютеров с Windows NT через Интернет. Кроме того, RAS поддерживает многоканальный протокол МР (Multilink PPP), в котором могут объединяться несколько подключений.

РРТР (Point-to-Point Tunneling Protocol)

Протокол РРТР позволяет «внедрять» пакеты IPX, NetBEUI и TCP/IP в PPP с целью обеспечения безопасной связи клиента с сервером через Интернет. Подключения РРТР применяются для создания VPN (виртуальных частных сетей, Virtual Private Networks) в небольших компаниях, которые не могут себе позволить аренду дорогих выделенных линий для сетевой связи на большие расстояния. С помощью РРТР пользователь, находящийся в любой точке земного шара, может подключиться к сети своей организации. В РРТР реализована мощная схема шифрования, которая обеспечивает большую степень защиты, чем при работе в самой сети. Таким образом, весь график РРТР в Интернете является безопасным.

РРТР, как и все остальные сетевые протоколы, необходимо установить на вкладке Protocols приложения Network.

МР (Multilink PPP)

Windows NT позволяет объединить пропускную способность нескольких физических линий, что приводит к увеличению общей пропускной способности подключения RAS. Объединение нескольких коммуникационных каналов позволяет увеличить общую пропускную способность с наименьшими затратами. Протокол МР должен поддерживаться как клиентом, так и сервером. Он не может использоваться с возможностью ответного вызова (см. далее в этой главе).

Флажок для включения многоканальное™ находится в диалоговом окне Network Protocol Configuration (см. рис. 10.1 в этой главе).

ТАРI (программный интерфейс телефонной связи) и телефонные книги

В Windows NT программный интерфейс телефонной связи (TAPI) обеспечивает стандартные средства управления голосовой и факсимильной связью и пересылкой данных. TAPI может использоваться для управления многими системами РВХ и автоматизированными коммуникационными устройствами, хотя соответствующее оборудование и не поставляется с NT.

TAPI автоматически устанавливается при установке модема или компонентов RAS NT. Его присутствие необходимо для управления любым коммуникационным устройством. При каждой попытке установления модемного соединения TAPI управляет модемом и следит за процессом подключения. После того как связь будет установлена, TAPI продолжает наблюдать за связью.

Диалоговое окно Dialing Properties (вызывается из приложения Modem панели управления) управляет тем, как TAPI использует модем при звонках. Вы можете управлять параметрами междугородной связи, использованием телефонной карточки для междугородных звонков, префиксами выхода на линию и тоновым/импульсным набором. Кроме того, можно определить несколько конфигураций для звонков из различных мест. Если вы путешествуете с портативным компьютером NT Server, для каждого регулярно посещаемого города можно определить специальный профиль телефонной связи.

TAPI также управляет элементами телефонной книги, используемыми в подключениях RAS. Все функции и возможности модема и типов модемной связи настраиваются через интерфейс, которым управляет TAPI.

Установка RAS

RAS устанавливается с вкладки Services приложения Network. Правильная установка RAS требует определенной подготовки и знаний. Во время установки необходимо помнить следующее:

1. Начните с физической установки или подключения модема. Если во время установки RAS не будет установлен модем, вам все равно придется установить его.

2. Установите RAS с вкладки Services приложения Network.

3. Выберите порт связи.

4. Добавьте установленный модем как устройство RAS.

5. Укажите, как должен использоваться порт:

Только для исходящих звонков (Dial out only).

Только для входящих звонков (Receive calls only).

Для выполнения обоих действий (Dial out and receive calls).

6. Выберите протоколы локальной сети (см. рис. 10.1):

Если порт был настроен только для исходящих звонков, можно выбрать только исходящие протоколы.

Если порт был настроен только для входящих звонков, можно выбрать только входящие протоколы.

Если порт был настроен для выполнения обоих действий, выбираются как входящие, так и исходящие протоколы.

7. Настройте конкретные параметры каждого входящего протокола (см. рис. 10.2 и 10.3).

Рис. 10.1. Диалоговое окно сетевой конфигурации RAS


Рис. 10.2. Диалоговое окно конфигурации TCP/IP сервера RAS


Рис. 10.3. Диалоговое окно конфигурации IPX сервера RAS

После установки RAS необходимо проверить конфигурацию порта и модема с помощью приложений Port и Modem панели управления.

Если RAS была настроена на прием входящих звонков, порт и модем не могут использоваться другими приложениями. RAS блокирует доступ к порту, чтобы следить за входящими звонками.

Маршрутизация, шлюзы и брандмауэры

Клиентам RAS, использующим сетевые протоколы, можно разрешить доступ ко всей сети или ограничить его сервером RAS. Если доступ клиентов RAS ограничивается сервером RAS, то RAS выполняет функции брандмауэра (firewall), то есть предотвращает любой внешний доступ за пределами сервера. Если клиентам RAS разрешен доступ ко всей сети, RAS используется как маршрутизатор. Если единственным используемым протоколом является NetBEUI, RAS выступает в роли шлюза, который обеспечивает доступ к сети для немаршрути-зируемого протокола NetBEUI.

Телефонная книга RAS

Для управления и работы с модемной связью RAS используется телефонная книга RAS. Эта утилита, Dial-Up Networking (DUN), находится в папке Programs > Accessories меню Start. При первом запуске DUN запускается мастер RAS Wizard, который поможет вам создать первый элемент телефонной книги. При каждом последующем запуске открывается диалоговое окно Phonebook. В нем можно создать и модифицировать параметры удаленного доступа для каждого соединения RAS.

Элементы телефонной книги содержат следующую информацию:

Имя, номер телефона и используемый модем.

Тип сервера и параметры протокола.

Сценарии подключения.

Параметры системы безопасности.

Параметры Х.25 (в случае необходимости).

Безопасность RAS

RAS предусматривает несколько уровней и типов безопасности, которые защищают сеть от неуполномоченного удаленного доступа. В следующих разделах средства безопасности рассматриваются более подробно.

Шифрование

Для повышения или понижения уровня безопасности соединения Windows NT применяются следующие средства:

Вкладку Security элемента телефонной книги для исходящих соединений RAS.

Диалоговое окно Network Protocol Configuration для входящих соединений RAS (см. рис. 10.1).

Внимание

Параметр, определяющий шифрование данных в RAS, может принимать три значения:

1. Любые пароли, включая обычный текст. Значение обладает минимальными ограничениями. Оно используется в тех случаях, когда пользователи не слишком беспокоятся о своих паролях. Допускается соединение с любой проверкой подлинности, обеспечиваемой сервером, следовательно, оно пригодится при подключениях к серверам без программного обеспечения Microsoft.

2. Шифрование паролей. Значение пригодится в тех ситуациях, когда пересылка пароля в текстовом виде нежелательна, и при подключении к серверам без программного обеспечения Microsoft.

3. Шифрование паролей Microsoft. При выборе этого значения должен использоваться протокол MS-CHAP (Microsoft Challenge Authentication Handshake Protocol), следовательно, оно пригодится при подключении к серверам Microsoft. Если установлен флажок шифрования данных (Require Data Encryption), все пересылаемые по сети данные шифруются. Шифрование в Windows NT осуществляется с помощью алгоритма RSA (Rivest-Shamir-Adleman) Data Security Incorporated RC4. Если пересылаемые данные не удастся правильно дешифровать, соединение автоматически разрывается.

Ответный вызов

Ответный вызов (callback) - средство безопасности, при котором соединение RAS устанавливается лишь после того, как сервер отключается от входящего звонка и затем перезванивает пользователю. Настройка ответного вызова осуществляется командой User > Properties в программе User Manager For Domains или одноименной командой Remote Access Manager. Параметр принимает следующие значения:

Запрет ответного вызова (No Call Back). Значение принимается по умолчанию. Оно означает, что при установлении пользователем соединения RAS он не получит ответного вызова.

Номер задается вызывающей стороной (Set By Caller). Номер ответного вызова задается пользователем. Это хороший способ сэкономить на междугородных звонках, потому что сервер перезванивает клиенту по номеру, задаваемому пользователем.

Номер задан ранее (Preset To). Настройка ответного вызова осуществляется заранее. Уровень безопасности при этом повышается, потому что пользователь может звонить лишь с предварительно заданных телефонных номеров.

Вход в систему через RAS

В Windows NT 4 RAS может использоваться для входа в домен - для этого следует установить флажок Connect Via Dial-In и ввести имя нужного домена. Это позволяет установить соединение RAS с удаленной сетью без предварительного локального входа.

Совет

Если вы используете TCP/IP для соединений RAS по медленной линии, файл LMHOSTS поможет ускорить сетевой доступ и процесс преобразования имен. Поместите файл LMHOSTS на клиентский компьютер RAS и проследите за тем, чтобы в нем присутствовал тэг #PRE - он обеспечивает кэширование адресов IP.

Дополнительные возможности RAS

Эта глава отнюдь не исчерпывает всех возможностей RAS. Чтобы получить дополнительные сведения о RAS, просмотрите справочные материалы, перечисленные в конце главы. Тем не менее ниже приведен краткий список важнейших средств и возможностей RAS, необходимых для сдачи экзамена.

Автодозвон

Автодозвоном (autoDial) называется способность NT запоминать местонахождение ресурсов, доступ к которым осуществляется с помощью RAS. Для этого создается таблица, связывающая сетевые адреса с элементами телефонной книги. При последующих обращениях к этому ресурсу RAS заново устанавливает соединение через глобальную сеть, чтобы снова получить доступ к ресурсу без дополнительного взаимодействия с пользователем. По умолчанию автодоз-вон включен. Автодозвон еще не функционирует на IPX/SPX, однако он работает с TCP/IP и NetBEUI.

Журналы

Ведение журналов заметно упрощает диагностику проблем RAS. В NT существует два файла для записи журналов, связанных с операциями RAS. Первый из них - файл MODEMLOG.TXT, в который записываются сведения об операциях модема. Запись этого журнала включается в окне свойств модема (область Advanced Connections Settings приложения Modem). Этот файл находится в корневом каталоге NT.

Второй журнал, DEVICE.LOG, можно включить только из реестра. Ключу Logging из раздела \HKEY_LOCAL_MACHINE\SYSTEM\ CuiTentControlSet\Services\RasMain\Parameters следует присвоить 1. Файл DEVICE.LOG хранится в каталоге \%winntroor%\system32\ras.

Программа Event Viewer также регистрирует некоторые данные RAS, которые могут облегчить диагностику и расшифровку сообщений. По умолчанию информация обо всех ошибках сервера, пользовательских попытках подключений, разрывах связи и т. д. записывается в системный журнал.

Нуль-модем

Нуль-модемом (нуль-модемньм кабелем) называется последовательный кабель для соединения двух компьютеров без участия модема. Такие кабели являются общепринятыми средствами соединения двух компьютеров, однако NT RAS может использовать их для установки стандартных сетевых соединений NT. Нуль-модем устанавливается из приложения Modem, где он выбирается из списка стандартных модемов. Кабель для этого не требуется, поэтому RAS можно установить и без модема. Установленный нуль-модемный кабель может использоваться как обычный модем, который, в свою очередь, используется RAS как сетевой адаптер - то есть рабочая станция, подключенная через нуль-модемный кабель, может полноценно работать в домене, только с пониженной скоростью пересылки данных.

Множественные протоколы

Для обслуживания сетевых соединений RAS использует протоколы как глобальной, так и локальной сетей. Чаще всего протоколом глобальной сети является РРР. Протоколом локальной сети может быть любой из протоколов, установленных на сервере RAS. Набор протоколов может как совпадать с набором протоколов вашей локальной сети, так и отличаться от него. Используется первый найденный общий протокол клиента и сервера. Следовательно, для модемных подключений RAS следует правильно настроить порядок привязки, чтобы самый важный протокол обладал наивысшим приоритетом.

Преобразование имен

В ситуациях, когда используется статическое преобразование имен, для достижения оптимальной скорости преобразования и трафика глобальной сети следует поместить файлы HOSTS (DNS) и LMHOSTS (WINS) на локальный жесткий диск клиента RAS. Однако при этом могут возникнуть проблемы с поддержанием последних версий этих файлов на нескольких удаленных клиентах.

В Windows Server 2003 реализована Служба маршрутизации и удаленного доступа (, RRAS), позволяющая удаленным пользователям подключаться к корпоративным вычислительным сетям. При этом подключение может быть выполнено как по коммутируемой линии, так и через виртуальные частные сети (Virtual Private Network , VPN). При коммутируемом соединении клиент удаленного доступа устанавливает коммутируемую связь для подключения к физическому порту на сервере удаленного доступа, используя некоторую службу-посредника для передачи данных, например аналоговый телефон, ISDN или Х.25. Наиболее типичный пример коммутируемого доступа - установление соединения клиентом удаленного доступа при помощи модема, т. е. путем набора телефонного номера одного из портов сервера удаленного доступа.

Соединение с виртуальной частной сетью (или VPN-подключение) представляет собой защищенное соединение типа "точка-точка" через сеть общего пользования (например, Интернет) или большую корпоративную сеть. Поддержка службой удаленного доступа механизма виртуальных частных сетей позволяет устанавливать безопасное соединение с корпоративной сетью через различные открытые сети (такие, например, как Интернет). Для эмуляции прямого соединения данные инкапсулируются специальным способом, т. е. снабжаются специальным заголовком, который предоставляет информацию, необходимую для маршрутизации, чтобы пакет мог достигнуть "адресата. Получателем пакета является VPN-клиент либо VPN-сервер. Часть пути, по которому данные следуют в инкапсулированном виде, называется туннелем.

Для организации безопасной виртуальной частной сети перед инкапсуляцией данные шифруются. Перехваченные по пути следования пакеты невозможно прочитать без ключей шифрования. Участок VPN соединения, на котором данные передаются в зашифрованном виде, и называется, собственно, виртуальной частной сетью. Сервер удаленного доступа в случае использования механизма виртуальных частных сетей выступает в качестве посредника, осуществляя обмен данными между клиентом VPN и корпоративной сетью. При этом сервер удаленного доступа осуществляет все необходимые преобразования данных (шифрование/дешифрование). Для этого используются специальные протоколы туннелирования (tunneling protocols ). VPN-клиент и VPN-сервер должны использовать один и тот же протокол туннелирования, чтобы создать VPN-соединение. В службе удаленного доступа в Windows Server 2003 реализована поддержка протоколов туннелирования РРТР и L2TP.

Сервер удаленного доступа в Windows Server 2003 является частью интегрированной Службы маршрутизации и удаленного доступа (Routing and Remote Access Service , RRAS). Пользователи устанавливают соединение с сервером удаленного доступа при помощи клиентского программного обеспечения удаленного доступа, которое имеется в составе любой версии Windows. Сервер удаленного доступа (под которым мы в дальнейшем подразумеваем любой компьютер под управлением Windows Server 2003, на котором установлена служба маршрутизации и удаленного доступа) аутентифицирует как пользователей, так и сеансы связи удаленных маршрутизаторов. Все службы, доступные пользователям, работающим в локальной сети (включая доступ к совместно используемым файлам и принтерам, доступ к вебсерверам и серверам электронной почты), доступны также и пользователям, подключающимся удаленно (через сервер удаленного доступа).

Клиент удаленного доступа использует стандартные средства для доступа к ресурсам. Например, на компьютере под управлением Windows XP подключение дисков и принтеров выполняется при помощи Проводника. Подключения постоянны: пользователи не должны повторно подключать сетевые ресурсы в течение сеанса удаленного доступа. Поскольку имена дисков и имена UNC (Universal Naming Convention , универсальное соглашение об именовании) полностью поддерживаются при удаленном доступе, большинство обычных действий пользователей и работа приложений остаются неизменными при работе через удаленный доступ.