Телевизор 

Служба маршрутизации и удаленного доступа. Предоставление прав на удаленный доступ для отдельных учетных записей пользователя. Установление удаленного подключения

Песочница

ювелир 9 февраля 2012 в 18:08

Включение удаленного рабочего стола в Windows 7

  • Чулан *

Друзья!


Буквально на днях я столкнулся с проблемой включения «Удаленного рабочего стола» на системе Windows 7.
Многие тут же подумали:«Ай, да наверняка у него стоит какая-нибудь Win 7 Home Premium или вообще Starter». Однако это совсем не так. У меня полноценная Windows 7 x64 Professional, в которой казалось бы все должно заработать моментально и без оговорок.

Стандартный алгоритм включения

Заходим в свойства компьютер Пуск->Компьютер(правый клик)->Свойства
Слева в списке выбираем «Настройка удалённого доступа»
В разделе «Удалённый рабочий стол» выбираем второй или третий пункт. Различие: второй пункт - любые ОС, третий - Vista и выше
Жмем кнопку выбрать пользователей и добавляем нужных. (Например своего пользователя на этом компьютере. Или вы можете создать отдельного пользователя для удаленного рабочего стола)
Настройка закончена

У меня это всё выглядело совсем иначе. И пункт номер 3 был для меня недоступен. Пункты есть, но они - disabled.



Примерно вот так у меня выглядели настройки включения RDP


Различного рода поиски не привели меня к однозначному и ясному ответу на вопрос: «Что же делать с такой ерундой»?
Только куски разрозненной информации, которые мне хотелось бы свести воедино. Справившись с этой небольшой проблемой, я решил, что таки стоит поделится ее решением с общественностью.


Итак, приступим.
Нам потребуется:

  • Компьютер
  • Глазка/руки/голова
  • Права администратора

Нестандартный алгоритм включения

1. Идем в службы (Пуск->Панель управления->Администрирование->Службы)


2. Находим там брендмауэр Windows. Ставим ему автоматический запуск, и запускаем службу.

Примерно вот так:


3. Идем в локальные политики безопасности (Пуск->Панель управления->Администрирование->Локальная политика безопасности ИЛИ Пуск->Выполнить->Вводим secpol.msc)


4. Выбираем там Брэндмауэр Windows в режиме повышенной безопасности - Объект локальной групповой политики -> Правила для выходящих подключений.

5. В правой части оснастки выбираем по правому клику мыши «Создать правило». Далее по шагам (каждый пункт - ссылка на картинку с шагом):

  • Тип протокола - выбираем TCP. Локальный порт - 3389. Удалённый порт - все порты
  • Любые ip-адреса (если вы хотите заходит из любого места, если не уверены, разрешите все)
  • Отмечайте те сети, в которых вы хотели бы, чтобы ваш компьютер принимал эти соединения

В конце концов, вы должны получить что-то вроде этого:


6. Заходим в редактор локальной групповой политики (Пуск -> Выполнить -> gpedit.msc).


7. Конфигурация компьютера -> Административные шаблоны -> Компоненты Windows -> Службы удалённый рабочих столов -> Узел сеансов удаленный рабочих столов -> Подключения


  • Разрешать удаленное подключение с использование служб удаленных рабочих столов
  • Устанавливает правила удаленного управления для пользовательских сеансов служб удаленного рабочего стола (значение параметра выберите сами, я поставил лично для себя «Полный контроль без разрешения клиента»).

Итого у вас получится:


9. Заходим в свойства компьютер Пуск->Компьютер(правый клик)->Свойства


10. Слева в списке выбираем «Настройка удалённого доступа»


11. В разделе «Удалённый рабочий стол» выбираем второй или третий пункт. Различие: второй пункт - любые ОС, третий - Vista и выше.


12. Жмем кнопку выбрать пользователей и добавляем нужных. (Например своего пользователя на этом компьютере. Или вы можете создать отдельного пользователя для удаленного рабочего стола)

Термины, необходимые для понимания материала:

Служба удаленного доступа (RAS)

Клиенты RAS

Программный интерфейс телефонной связи (ТАР1)

Телефонная книга RAS

Шифрование

Автодозвон

Нуль-модем

Преобразование имен

Приемы и знания, которыми вы должны овладеть:

Установка и настройка RAS

Настройка телефонной книги RAS

Реализация мер безопасности RAS

RAS (служба удаленного доступа) является надежным и безопасным способом распространения сетевых соединений на удаленные компьютеры. Модемы и другие коммуникационные устройства в подключениях RAS выполняют функции сетевых адаптеров. Удаленный клиент RAS может обращаться и работать со всеми ресурсами, с которыми может работать стандартный клиент с сетевым подключением. В этой главе вы узнаете все, что необходимо знать для успешного ответа на вопросы по RAS в сертификационном экзамене Microsoft.

Коммуникационные возможности RAS в Windows NT 4 заметно улучшились по сравнению с версией 3.51. Многие новые особенности, в том числе простота установки, процесс настройки и общее поведение, были позаимствованы из Windows 95. RAS обслуживает до 256 одновременных соединений, выполняет функции брандмауэра (firewall), шлюза или маршрутизатора, а также обеспечивает безопасность.

RAS устанавливает соединение по следующим типам связи:

PSTN (коммутируемые телефонные линии);

ISDN (цифровая связь с интегрированными службами);

Сеть Х.25 с коммутацией пакетов.

В подключениях RAS используются стандартные протоколы локальных сетей. Таким образом, при установке связи через RAS сетевое взаимодействие может осуществляться с использованием протоколов TCP/IP, IPX/SPX и NetBEUI. Поскольку в соединении используются реальные сетевые протоколы, удаленный клиент RAS действует так, словно он подключен к сети локально. Единственное отличие заключается в том, что скорость пересылки данных в соединении RAS ниже, чем при физическом подключении к сети. На экзамене вам встретятся вопросы, в которых будет проверяться ваше понимание этого факта. Всегда помните, что клиент работает одинаково независимо от способа подключения (локального или через RAS).

Клиенты RAS

Клиентом RAS называется любой компьютер, который может установить модемную или иную связь с сервером RAS и установить разрешенное соединение. Хотя подключения RAS оптимизированы для операционных систем Microsoft, при наличии необходимых программ, протоколов и при соответствующей настройке доступ может быть предоставлен и системам других типов.

Связи, устанавливаемые между клиентом и сервером с применением RAS, называются глобальными (WAN, Wide Area Network) связями. Поскольку RAS чаще всего используется для подключения компьютеров (или целых локальных сетей) к централизованной сети, находящейся на большом расстоянии, такая связь является глобальной. Коммуникационные протоколы, используемые для установки соединения RAS, называются протоколами глобальных сетей (протоколами WAN). Windows NT поддерживает два протокола WAN:

SLIP. Протокол SLIP (Serial Line Internet Protocol) поддерживает TCP/IP, но не поддерживает IPX/SPX или NetBEUI. SLIP не поддерживает DHCP, следовательно, каждому клиенту должен быть присвоен адрес IP. Кроме того, SLIP не поддерживает шифрование паролей. Этот протокол предусмотрен лишь для того, чтобы сервер NT мог выступать в роли клиента при подключении к серверу Unix; он не может использоваться для обслуживания входящих подключений в NT.

РРР. Протокол РРР поддерживает ряд других протоколов, включая AppleTalk, TCP/IP, IPX/SPX и NetBEUI. Он разрабатывался для расширения возможностей протокола SLIP. РРР поддерживает DHCP и шифрование паролей. В настоящее время он является самым распространенным и общепринятым протоколом глобальных сетей.

Windows NT Server может выполнять функции клиента RAS при мо-демном (или ином) подключении к другому серверу или компьютерной системе. Наиболее распространенная ситуация, при которой NT выступает в роли клиента, - подключение локальной сети к Интер-нету.

Серверы RAS

Внимание

Windows NT Server может обслуживать до 256 входящих подключений RAS. Об NT как о сервере RAS необходимо запомнить следующее:

Поддерживаются только клиенты РРР - протокол SLIP для модемных подключении не поддерживается. Между сервером и подключенным через РРР клиентом RAS создается шлюз NetBIOS, предназначенный для выполнения стандартных сетевых операций NT. RAS обеспечивает маршрутизацию IP и IPX.

RAS поддерживает приложения NetBIOS и Windows Sockets.

RAS поддерживает подключения РРТР (Point-to-Point Tunneling Protocol), тем самым обеспечивая безопасное взаимодействие компьютеров с Windows NT через Интернет. Кроме того, RAS поддерживает многоканальный протокол МР (Multilink PPP), в котором могут объединяться несколько подключений.

РРТР (Point-to-Point Tunneling Protocol)

Протокол РРТР позволяет «внедрять» пакеты IPX, NetBEUI и TCP/IP в PPP с целью обеспечения безопасной связи клиента с сервером через Интернет. Подключения РРТР применяются для создания VPN (виртуальных частных сетей, Virtual Private Networks) в небольших компаниях, которые не могут себе позволить аренду дорогих выделенных линий для сетевой связи на большие расстояния. С помощью РРТР пользователь, находящийся в любой точке земного шара, может подключиться к сети своей организации. В РРТР реализована мощная схема шифрования, которая обеспечивает большую степень защиты, чем при работе в самой сети. Таким образом, весь график РРТР в Интернете является безопасным.

РРТР, как и все остальные сетевые протоколы, необходимо установить на вкладке Protocols приложения Network.

МР (Multilink PPP)

Windows NT позволяет объединить пропускную способность нескольких физических линий, что приводит к увеличению общей пропускной способности подключения RAS. Объединение нескольких коммуникационных каналов позволяет увеличить общую пропускную способность с наименьшими затратами. Протокол МР должен поддерживаться как клиентом, так и сервером. Он не может использоваться с возможностью ответного вызова (см. далее в этой главе).

Флажок для включения многоканальное™ находится в диалоговом окне Network Protocol Configuration (см. рис. 10.1 в этой главе).

ТАРI (программный интерфейс телефонной связи) и телефонные книги

В Windows NT программный интерфейс телефонной связи (TAPI) обеспечивает стандартные средства управления голосовой и факсимильной связью и пересылкой данных. TAPI может использоваться для управления многими системами РВХ и автоматизированными коммуникационными устройствами, хотя соответствующее оборудование и не поставляется с NT.

TAPI автоматически устанавливается при установке модема или компонентов RAS NT. Его присутствие необходимо для управления любым коммуникационным устройством. При каждой попытке установления модемного соединения TAPI управляет модемом и следит за процессом подключения. После того как связь будет установлена, TAPI продолжает наблюдать за связью.

Диалоговое окно Dialing Properties (вызывается из приложения Modem панели управления) управляет тем, как TAPI использует модем при звонках. Вы можете управлять параметрами междугородной связи, использованием телефонной карточки для междугородных звонков, префиксами выхода на линию и тоновым/импульсным набором. Кроме того, можно определить несколько конфигураций для звонков из различных мест. Если вы путешествуете с портативным компьютером NT Server, для каждого регулярно посещаемого города можно определить специальный профиль телефонной связи.

TAPI также управляет элементами телефонной книги, используемыми в подключениях RAS. Все функции и возможности модема и типов модемной связи настраиваются через интерфейс, которым управляет TAPI.

Установка RAS

RAS устанавливается с вкладки Services приложения Network. Правильная установка RAS требует определенной подготовки и знаний. Во время установки необходимо помнить следующее:

1. Начните с физической установки или подключения модема. Если во время установки RAS не будет установлен модем, вам все равно придется установить его.

2. Установите RAS с вкладки Services приложения Network.

3. Выберите порт связи.

4. Добавьте установленный модем как устройство RAS.

5. Укажите, как должен использоваться порт:

Только для исходящих звонков (Dial out only).

Только для входящих звонков (Receive calls only).

Для выполнения обоих действий (Dial out and receive calls).

6. Выберите протоколы локальной сети (см. рис. 10.1):

Если порт был настроен только для исходящих звонков, можно выбрать только исходящие протоколы.

Если порт был настроен только для входящих звонков, можно выбрать только входящие протоколы.

Если порт был настроен для выполнения обоих действий, выбираются как входящие, так и исходящие протоколы.

7. Настройте конкретные параметры каждого входящего протокола (см. рис. 10.2 и 10.3).

Рис. 10.1. Диалоговое окно сетевой конфигурации RAS


Рис. 10.2. Диалоговое окно конфигурации TCP/IP сервера RAS


Рис. 10.3. Диалоговое окно конфигурации IPX сервера RAS

После установки RAS необходимо проверить конфигурацию порта и модема с помощью приложений Port и Modem панели управления.

Если RAS была настроена на прием входящих звонков, порт и модем не могут использоваться другими приложениями. RAS блокирует доступ к порту, чтобы следить за входящими звонками.

Маршрутизация, шлюзы и брандмауэры

Клиентам RAS, использующим сетевые протоколы, можно разрешить доступ ко всей сети или ограничить его сервером RAS. Если доступ клиентов RAS ограничивается сервером RAS, то RAS выполняет функции брандмауэра (firewall), то есть предотвращает любой внешний доступ за пределами сервера. Если клиентам RAS разрешен доступ ко всей сети, RAS используется как маршрутизатор. Если единственным используемым протоколом является NetBEUI, RAS выступает в роли шлюза, который обеспечивает доступ к сети для немаршрути-зируемого протокола NetBEUI.

Телефонная книга RAS

Для управления и работы с модемной связью RAS используется телефонная книга RAS. Эта утилита, Dial-Up Networking (DUN), находится в папке Programs > Accessories меню Start. При первом запуске DUN запускается мастер RAS Wizard, который поможет вам создать первый элемент телефонной книги. При каждом последующем запуске открывается диалоговое окно Phonebook. В нем можно создать и модифицировать параметры удаленного доступа для каждого соединения RAS.

Элементы телефонной книги содержат следующую информацию:

Имя, номер телефона и используемый модем.

Тип сервера и параметры протокола.

Сценарии подключения.

Параметры системы безопасности.

Параметры Х.25 (в случае необходимости).

Безопасность RAS

RAS предусматривает несколько уровней и типов безопасности, которые защищают сеть от неуполномоченного удаленного доступа. В следующих разделах средства безопасности рассматриваются более подробно.

Шифрование

Для повышения или понижения уровня безопасности соединения Windows NT применяются следующие средства:

Вкладку Security элемента телефонной книги для исходящих соединений RAS.

Диалоговое окно Network Protocol Configuration для входящих соединений RAS (см. рис. 10.1).

Внимание

Параметр, определяющий шифрование данных в RAS, может принимать три значения:

1. Любые пароли, включая обычный текст. Значение обладает минимальными ограничениями. Оно используется в тех случаях, когда пользователи не слишком беспокоятся о своих паролях. Допускается соединение с любой проверкой подлинности, обеспечиваемой сервером, следовательно, оно пригодится при подключениях к серверам без программного обеспечения Microsoft.

2. Шифрование паролей. Значение пригодится в тех ситуациях, когда пересылка пароля в текстовом виде нежелательна, и при подключении к серверам без программного обеспечения Microsoft.

3. Шифрование паролей Microsoft. При выборе этого значения должен использоваться протокол MS-CHAP (Microsoft Challenge Authentication Handshake Protocol), следовательно, оно пригодится при подключении к серверам Microsoft. Если установлен флажок шифрования данных (Require Data Encryption), все пересылаемые по сети данные шифруются. Шифрование в Windows NT осуществляется с помощью алгоритма RSA (Rivest-Shamir-Adleman) Data Security Incorporated RC4. Если пересылаемые данные не удастся правильно дешифровать, соединение автоматически разрывается.

Ответный вызов

Ответный вызов (callback) - средство безопасности, при котором соединение RAS устанавливается лишь после того, как сервер отключается от входящего звонка и затем перезванивает пользователю. Настройка ответного вызова осуществляется командой User > Properties в программе User Manager For Domains или одноименной командой Remote Access Manager. Параметр принимает следующие значения:

Запрет ответного вызова (No Call Back). Значение принимается по умолчанию. Оно означает, что при установлении пользователем соединения RAS он не получит ответного вызова.

Номер задается вызывающей стороной (Set By Caller). Номер ответного вызова задается пользователем. Это хороший способ сэкономить на междугородных звонках, потому что сервер перезванивает клиенту по номеру, задаваемому пользователем.

Номер задан ранее (Preset To). Настройка ответного вызова осуществляется заранее. Уровень безопасности при этом повышается, потому что пользователь может звонить лишь с предварительно заданных телефонных номеров.

Вход в систему через RAS

В Windows NT 4 RAS может использоваться для входа в домен - для этого следует установить флажок Connect Via Dial-In и ввести имя нужного домена. Это позволяет установить соединение RAS с удаленной сетью без предварительного локального входа.

Совет

Если вы используете TCP/IP для соединений RAS по медленной линии, файл LMHOSTS поможет ускорить сетевой доступ и процесс преобразования имен. Поместите файл LMHOSTS на клиентский компьютер RAS и проследите за тем, чтобы в нем присутствовал тэг #PRE - он обеспечивает кэширование адресов IP.

Дополнительные возможности RAS

Эта глава отнюдь не исчерпывает всех возможностей RAS. Чтобы получить дополнительные сведения о RAS, просмотрите справочные материалы, перечисленные в конце главы. Тем не менее ниже приведен краткий список важнейших средств и возможностей RAS, необходимых для сдачи экзамена.

Автодозвон

Автодозвоном (autoDial) называется способность NT запоминать местонахождение ресурсов, доступ к которым осуществляется с помощью RAS. Для этого создается таблица, связывающая сетевые адреса с элементами телефонной книги. При последующих обращениях к этому ресурсу RAS заново устанавливает соединение через глобальную сеть, чтобы снова получить доступ к ресурсу без дополнительного взаимодействия с пользователем. По умолчанию автодоз-вон включен. Автодозвон еще не функционирует на IPX/SPX, однако он работает с TCP/IP и NetBEUI.

Журналы

Ведение журналов заметно упрощает диагностику проблем RAS. В NT существует два файла для записи журналов, связанных с операциями RAS. Первый из них - файл MODEMLOG.TXT, в который записываются сведения об операциях модема. Запись этого журнала включается в окне свойств модема (область Advanced Connections Settings приложения Modem). Этот файл находится в корневом каталоге NT.

Второй журнал, DEVICE.LOG, можно включить только из реестра. Ключу Logging из раздела \HKEY_LOCAL_MACHINE\SYSTEM\ CuiTentControlSet\Services\RasMain\Parameters следует присвоить 1. Файл DEVICE.LOG хранится в каталоге \%winntroor%\system32\ras.

Программа Event Viewer также регистрирует некоторые данные RAS, которые могут облегчить диагностику и расшифровку сообщений. По умолчанию информация обо всех ошибках сервера, пользовательских попытках подключений, разрывах связи и т. д. записывается в системный журнал.

Нуль-модем

Нуль-модемом (нуль-модемньм кабелем) называется последовательный кабель для соединения двух компьютеров без участия модема. Такие кабели являются общепринятыми средствами соединения двух компьютеров, однако NT RAS может использовать их для установки стандартных сетевых соединений NT. Нуль-модем устанавливается из приложения Modem, где он выбирается из списка стандартных модемов. Кабель для этого не требуется, поэтому RAS можно установить и без модема. Установленный нуль-модемный кабель может использоваться как обычный модем, который, в свою очередь, используется RAS как сетевой адаптер - то есть рабочая станция, подключенная через нуль-модемный кабель, может полноценно работать в домене, только с пониженной скоростью пересылки данных.

Множественные протоколы

Для обслуживания сетевых соединений RAS использует протоколы как глобальной, так и локальной сетей. Чаще всего протоколом глобальной сети является РРР. Протоколом локальной сети может быть любой из протоколов, установленных на сервере RAS. Набор протоколов может как совпадать с набором протоколов вашей локальной сети, так и отличаться от него. Используется первый найденный общий протокол клиента и сервера. Следовательно, для модемных подключений RAS следует правильно настроить порядок привязки, чтобы самый важный протокол обладал наивысшим приоритетом.

Преобразование имен

В ситуациях, когда используется статическое преобразование имен, для достижения оптимальной скорости преобразования и трафика глобальной сети следует поместить файлы HOSTS (DNS) и LMHOSTS (WINS) на локальный жесткий диск клиента RAS. Однако при этом могут возникнуть проблемы с поддержанием последних версий этих файлов на нескольких удаленных клиентах.

29.08.2016

Сегодня практически каждое устройство имеет выход в глобальную сеть. Это очень удобно и открывает огромные возможности, о которых некоторые даже не подозревают. Профессионалы пользуются многими функциями операционных систем и программного обеспечения, но рядовому пользователю может быть неизвестно, что можно управлять своим домашним компьютером на расстоянии.

Такая функция, как удаленный доступ, будет полезна каждому. Где бы вы не находились: в дороге или на работе, дома или в путешествии, вы всегда сможете подключиться к необходимому компьютеру. Эта функция может понадобиться в тысяче случаев, вот некоторые из них:

  • При необходимости подключиться к домашнему компьютеру, находясь на работе, чтобы отправить себе забытые документы или наоборот;
  • Помощь другу с неработающей программой или её настройкой;
  • Подключение с целью использования удаленной машины. Часто необходим в том случае, когда есть необходимость работы под разными операционными системами;
  • Занимаясь обслуживанием крупной локальной сети, подключения к клиентским компьютерам для обновления или установки программного обеспечения;
  • Подключение к серверу для внесения изменений настроек;
  • С помощью использования программного обеспечения подключение к любому фрагменту многоранговых сетей или организация доступа к файлам через интернет;
  • Проведение конференций и презентаций.

Как видите, решений и возможностей, которые открывает удаленный доступ к компьютеру, множество. Среди неназванных мелочей можно еще добавить функции фотографирования экрана или перезагрузку и выключение компьютера на расстоянии.

Как организовать удаленное управление компьютером

Чтобы это сделать, необходимо заранее подготовить систему. Дело в том, что по умолчанию эта служба отключена в целях безопасности и по причине, что большинство пользователей ею не пользуются. В зависимости от целей, по которым вам понадобился удаленный доступ к компьютеру, есть несколько вариантов его настроить:

  • Установив специализированную программу AeroAdmin, Radmin или Team Viewer;
  • Стандартными средствами OS Windows (служба удаленного доступа).

Для того чтобы организовать удаленное управление компьютером, необходимо понимать, что для подключения нужны две системы. Одна из них должна быть настроена как сервер, а на второй – запущена программа-клиент или служба для организации соединения.

Удаленный доступ с помощью AeroAdmin

Основные функции AeroAdmin:

  • Подключается к компьютерам за NAT
  • Встроенная сообщений для службы поддержки
  • Передача файлов
  • Голосовой чат
  • Контактная книга
  • Неконтролируемый доступ
  • Тотальное AES + RSA шифрование
  • Двух-факторная аутентификация.
  • Неограниченные параллельные сессии

Подключение возможно по уникальному ID компьютера (в данном случае неважно, находятся компьютеры в одной локальной сети или разных), либо напрямую по IP адресу.

В AeroAdmin предусмотрена 2х факторная аутентификация. В дополнение к ручному режиму принятия, входящие подключения могут быть приняты по ID и паролю, что является большим плюсом к безопасности. AeroAdmin так же блокирует попытки подбора пароля или ID компьютера.

AeroAdmin идеально подходит для случаев спонтанной и регулярной техподдержки, поскольку позволяет подключиться с минимальным количеством шагов. Очень похожа по функционалу и внешнему виду на Team Viewer, однако полностью бесплатна как для корпоративных пользователей, так и для физ. лиц в стартовом функционале.

Удаленный доступ к компьютеру штатными средствами Windows

Для того чтобы к компьютеру под управлением операционной системы Windows можно было подключиться, необходимо выполнить следующие действия:

  • Для начала нужно проверить, включена ли служба, необходимая для работы функции подключения на расстоянии. Для этого заходим в меню «Пуск» и выбираем «Панель управления». В открывшейся панели ищем пункт «Администрирование», а в нем «Службы».

Находим «Службы удаленных рабочих столов» в списке.


По отношению к этой службе должен быть активирован режим «Включено» или «Автоматически». В случае если стоит статус «Отключено», необходимо зайти в настройки службы и сменить статус. После этого следует перезагрузить компьютер и перейти к следующему шагу.

  • Убедившись, что служба запущена и проблем с работой сервера не возникает, нужно разрешить удаленное подключение в настройках. Для этого снова открываем «Панель управления» и ищем в ней настройку «Система».

В меню справа необходимо найти пункт «Настройка удаленного доступа».


Теперь следует выбрать один из пунктов, указанных на рисунке ниже.


Выбор зависит от версии операционной системы, с которой вы собираетесь подключаться к вашему компьютеру. Если вы неуверенны, или версия ниже 7й, обязательно выбирайте 1й вариант. Однако в целях безопасности рекомендуется использовать второй.

  • Очень важно не забыть назначить пользователей, которым разрешается производить удаленное управление компьютером. Администратору это право дается по умолчанию. Но нужно помнить, что доступ на расстоянии разрешается только пользователям с паролем. Если пароль не установлен, то операционная система Windows не разрешит подключение.

Вот и всё! Система настроена и готова предоставить доступ удаленному пользователю.

Чтобы подключиться с другого компьютера к подготовленному заранее серверу, ничего устанавливать не нужно. Для подключения должна быть только запущена служба, описанная в Пункте 1. Программа-клиент для организации соединения есть в os windows по умолчанию.

Для ее запуска необходимо открыть меню «Пуск», выбрать «Все программы» и найти среди них «Стандартные». Из стандартных программ выбрать нужную нам: «Подключение к удаленному рабочему столу».

Теперь перед нами готовая к соединению программа-клиент. Настроек в ней очень много. При помощи них вы можете отрегулировать качество отображения на вашем экране: ухудшив его при плохом сигнале, а также для экономии трафика, или наоборот, улучшив, чтобы получить более яркую и четкую картинку.


Основное, что необходимо для подключения, это ввести «Имя компьютера» или его ip-адрес, а также данные идентификации. Если сетевой адрес и имя пользователя были введены верно, то следующим шагом будет авторизация на удаленном компьютере (ввод пароля подключения для выбранного имени пользователя).

Удаленное управление компьютером при помощи Team Viewer

Team Viewer – это специализированная программа для организации сетей удаленного доступа. Из её достоинств среди аналогов, включая средства Windows, стоит отметить умение ПО подключаться абсолютно к любым сетям за любыми защитами и фаерволлами. Некоторые администраторы больших сетей блокируют возможность установки Team Viewer из-за его способностей.

Для работы этой программы понадобится установка с двух сторон. То есть программы-клиента на одном компьютере и программы-сервера на другом. Что особенно интересно, ПО можно эксплуатировать абсолютно бесплатно в рамках личного и домашнего использования.

Для того чтобы получить возможность удаленного соединения, необходимо сделать следующее:

  • Скачать сервер и клиент с официального сайта .

  • Установка программы проста и интуитивно понятна. Но чтобы ей пользоваться, необходимо зарегистрироваться. Регистрация ни к чему не обязывает. Но таким образом команда Team Viewer будет фиксировать количество соединений и частоту использования программы, чтобы иметь возможность заблокировать вас в случае, если вы нарушили лицензионное соглашение и используете ПО в коммерческих целях.

Установив сервер, его необходимо настроить. Настроек подключения множество:

  • Возможность ограничения скорости подключения;
  • Выбор используемых портов и серверов Team Viewer;
  • Возможность скрыть программу или закрыть паролем её перенастройку;
  • Выбор графических и звуковых параметров;
  • И самое главное – это ввести имя пользователя и пароль.

Для соединения по Team Viewer нет необходимости иметь выделенный ip адрес, как в случае со стандартными средствами Windows, потому как подключение происходит по специальному коду, который генерирует сервер. Это очень удобно, в особенности тем, у кого нет статического или белого адреса. Кроме этого кода, вам понадобится пароль, который также генерируется.


Из достоинств программы стоит отметить:

  • Возможность подключения к серверу абсолютно с любого устройства при помощи клиента для Android, Mac и Linux;
  • Установка безопасного соединения с любой точки мира без инсталляции клиента при помощи обычного Web браузера;
  • Отличная скорость работы без всяких тормозов на любых расстояниях, благодаря промежуточным серверам;
  • Высокая функциональность, включая организацию безопасного vpn-туннеля.

Удаленный доступ к компьютеру при помощи Radmin

Программа Radmin – это, своего рода, упрощенный аналог Team Viewer. Она отличается простотой настройки и управления. По мнению разработчиков, в программе, которая предоставляет удаленный доступ к компьютеру, не должно быть ничего лишнего. Установка её проста и доступна каждому пользователю. Она предоставляется как демоверсия на 30 дней, после чего требует регистрацию.


Radmin среди аналогичных программ отличается высокой скоростью работы и незначительными требованиями. В фоновом режиме она практически незаметна и не выводит никаких лишних сообщений при подключении. Для наблюдения за удаленным экраном – это, пожалуй, лучший софт, не имеющий аналогов.

Кроме того, хочется отметить уровень безопасности. Осуществляя удаленное управление компьютером при помощи Radmin, можно не беспокоиться о проблемах с несанкционированными подключениями.


Также, говоря о плюсах ПО, не стоит забывать про стабильность. Как серверное, так и клиентское программное обеспечение может работать 24 часа в сутки без сбоев и проблем.

ИТОГ

Удаленный доступ к компьютеру – отличный способ работы с клиентами и серверами и каждый может выбрать себе тот способ подключения, который ему больше подходит для достижения целей. Любой из них полезен своим функционалом и станет незаменим как для работы, так и для домашнего использования.

Технологии удаленного доступа получают все большее распространение, а их возможности расширяются; растет число организаций, которые разрешают своим сотрудникам работать удаленно. Для работодателей преимуществами удаленной работы являются: повышение производительности, сокращение накладных расходов и доступ к более широкой аудитории высококвалифицированных специалистов. Сотрудникам удаленная работа помогает сбалансировать деловую и личную жизнь, уменьшить расходы и избежать утомительных продолжительных поездок. Windows Server 2012 предоставляет три варианта удаленного доступа за пределами привычного офиса.

Инфраструктура виртуальных рабочих столов (Virtual Desktop Infrastructure, VDI) в Windows Server 2012 поддерживает три гибких варианта развертывания: пулы рабочих столов, персональные рабочие столы и удаленные рабочие столы с сеансовым доступом (ранее такой подход был реализован через службы терминалов). В сравнении с предыдущими версиями, использующими многочисленные инструменты и консоли, удаленный доступ развертывается и управляется намного проще. Сотрудники могут получить удалённый доступ к ресурсам корпоративной сети, а системные администраторы – управлять корпоративными компьютерами, находящимися за пределами внутренней сети. Инфраструктура виртуальных рабочих столов, построенная на базе Hyper-V и служб удаленных рабочих столов, обеспечивает:

· упрощенную инсталляцию и конфигурирование;

· единую централизованную консоль управления;

· усовершенствованную службу RemoteFX для WAN.

DirectAccess

Служба DirectAccess в Windows Server 2012 позволяет удаленным пользователям получать защищенный доступ к внутренним ресурсам без подключения к VPN. DirectAccess обеспечивает прозрачное подключение клиентского компьютера к корпоративной сети каждый раз, когда компьютер подключается к Интернету, еще до входа пользователя в систему. DirectAccess позволяет администраторам отслеживать соединения и удаленно управлять клиентскими компьютерами, подключенными к Интернету. Усовершенствования DirectAccess в бета-версии Windows Server 2012 обеспечивают:

·
упрощенные развертывание и настройку, новые сценарии развертывания;

· упрощенную инфраструктуру (больше не требуются IPv6 и службы сертификатов);

· удаленное управление;

· поддержку нескольких узлов, улучшенную производительность.

BranchCache

Служба BranchCache в Windows Server 2012 кэширует данные, к которым обращаются пользователи филиала. Такой подход позволяет автоматически и прозрачно оптимизировать доступ пользователей к данным на файловых серверах и серверах интранета через глобальную сеть. BranchCache обеспечивает:

· гибкое развертывание – распределение между одноранговыми клиентскими компьютерами или размещенный кэш;

· упрощенное управление групповой политикой и Windows PowerShell v3;

· автоматическое шифрование кэша;

· интеграцию с функцией хранилища файлового сервера в Windows Server 2012.

Данная служба установленная в Windows Server 2003, позволяющая решать следующие задачи:

  • подключение мобильных (или домашних) пользователей к корпоративной сети через коммутируемые телефонные линии и другие средства коммуникаций (например, сети Frame Relay, X.25);
  • подключение к сети главного офиса компании удаленных офисов (через телефонные линии и сети
    Frame Relay, X.25);
  • организация защищенных соединений (виртуальные частные сети VPN ) между мобильными пользователями,
    подключенными к сетям общего пользования (например, Интернет), и корпоративной сетью;
  • организация защищенных соединений между офисами компании, подключенными к сетям общего пользования;
  • маршрутизация сетевого трафика между различными подсетями корпоративной сети, соединенными как с помощью технологий локальных сетей, так и с помощью различных средств удаленных коммуникаций (например, по коммутируемым телефонным линиям).

Служба RRAS обладает богатым набором функций и возможностей. Здесь же мы рассмотрим только базовые функции и возможности данной службы.

Службы удаленного доступа, реализованные различными производителями, используют два основных коммуникационных протокола, которые работают на канальном уровне. Эти следующие протоколы:

  • протокол SLIP (Serial Line Interface Protocol) - старый протокол, работает в основном в системах семейства UNIX (разработан специально для подключения пользователей к сети Интернет);

o системы семейства Windows поддерживают данный протокол только на клиентской части. SLIP
позволяет работать только с сетевым стеком TCP/IP, и требует написания
специальных сценариев для подключения клиента к серверу. На базе этого
протокола нельзя построить VPN соединения.

  • протокол PPP (Point-to-Point Protocol) - точнее, семейство протоколов, позволяющий пользователям прозрачно подключаться к серверу удаленного доступа, использовать различные сетевые протоколы (TCP/IP, IPX/SPX, NetBEUI, AplleTalk), создавать VPN . Служба удаленного доступа серверов Windows использует только именно этот протокол.

Установка и первоначальная настройка службы RRAS

Служба « Маршрутизации и Удаленного Доступа»RRASустанавливается при установке системы, но по умолчанию она отключена. Ее необходимо включить и настроить.

Для этого нажмем кнопку "Пуск", выберем "Все программы" - "Администрирование" - "Маршрутизация и удаленный доступ". Смотрите рисунок 1.



Р исунок 1.


Рисунок 2.

Как мы видим из консоли служба не запущена. Запускаем ее так. Щелкаем правой кнопкой мыши на "состояние сервера" и в открывшимся окне выбираем опцию "Добавить сервер". Рисунок 3.


Рисунок 3.

После выбора этого пункта из меню, у нас откроется следующие окно. Рисунок 4.



Рисунок 4.

Выбираем опцию "этот компьютер" так как пока мы собираемся запустить RASS на данном устройстве. Там есть и другие опции но пока мы их оставим в покое, и нажимаем ОК.

Следующее окно должно быть как на рисунке 5, за исключением имени сервера. У меня сервер назван "TRAMBON" и написан с ошибкой, надо писать "TROMBON" но эта ошибка в данном случае моему серверу абсолютно "индиферентно", а у вас при настройке будет имя вашего сервера. Рисунок 5.



Рисунок 5 .

Как мы видим из открывшегося окна(рис. 5), состояние нашего сервера отмечена красным а это говорит что служба RRAS не"включена". Можно прямо в этом окне прочитать что делать дальше, да и справку не мешало бы прочитать, но мы пойдем дальше и щелкая правой клавишей по нашему не активному серверу. Откроется окно как на рисунке 6.


Рисунок 6.

Выбираем в данном меню "Настроит и включить маршрутизацию и удаленный доступ". Запустится "Мастер установки сервера маршрутизации и удаленного доступа". Нажимаем "далее" и у нас откроется такое окно. Рисунок 7.


Рисунок 7.

В этом окне мы можем выбрать требуемую конфигурацию нашей службы, но мы выберем "не пьянства ради" а в учебных целях, опцию "Особая конфигурация", и нажимаем "Далее". Откроется следующее окно мастера - рисунок 8.


Рисунок 8.

И тут мы проявим неслыханную жадность, отметим все опции и нажмем далее.

Далее у нас появится окно которое сообщит нам о завершении работы мастера и сводкой выбранных нами параметров.Не буду ее приводить тут. Потом нам зададут вопрос типа -запустить чи нет службу RRAS, и мы ответим гордо "Да"!

В итоге мы получим следующую картину как на рисунке 9.


Рисунок 9.

Теперь давайте настроим сервер. Щелкнем правой клавишей по нашему серверу и в открывшемся меню выберем "свойства". Рисунок 10.


Рисунок 10.

Откроется окно на рисунке 11. И перейдем на вкладку "Общие "


Рисунок 11 .

Здесь мы можем изменить работу службы а именно:

  • Только как "маршрутизатор" -

Только для локальной сети

Или "локальной сети и вызова по требованию".

  • Только "сервер удаленного доступа".

Комбинация и "маршрутизатор" с некоторой опцией и "сервер удаленного доступа", как на рисунке 11.

На вкладке "Безопасность " настраивается проверка подлинности (аутентификации) пользователей. Рисунок 12.


Рисунок 12.

Как видим из рисунка 12 в поле "служба проверки пользователей" мы можем выбрать или непосредственно "Windows-проверка", и этим мы возлагаем проверку пользователей на сам сервер. Или если в нашей сети есть сервер "RADIUS" тогда мы можем передать ему эту почетную обязанность. Служба учета ведет журнал сеансов и запросов на подключение и так же как и в случае описанном выше может делаться средствами Windows сервера или Radius сервера.

Если мы нажмем на кнопку "Методы проверки подлинности" (рисунок 13), то увидим методы проверки подлинности (аутентификации) сервера. Методы предоставлены в порядке уменьшения защищенности.


Рисунок 13.

Самый незащищенный метод это "разрешить подключение удаленных систем без проверки". Далее идет "PAP"(Password Authentication Protocol) самый простой протокол аутентификации, унаследованный от старых версий. Далее протокол CHAP (Challenge Handshake Authentication Protocol) - для шифрования пароля используется метод хэширования MD-5 (по сети передается значение хэш-функции пароля), данный протокол является одним из отраслевых стандартов и реализован во многих системах удаленного доступа, его рекомендуется использовать при подключении клиентов, работающих не на платформе Windows, по умолчанию отключен. Потом протокол MS-CHAP (Microsoft Challenge Handshake Authentication Protocol) - версия протокола CHAP, реализованная корпорацией Microsoft с хэш-функцией MD-4. Далее протокол MS-CHAP версии 2 (Microsoft Challenge Handshake Authentication Protocol version 2) - усиленная версия MS CHAP (более длинный ключ шифрования при передаче пароля, вычисление нового ключа при каждом новом сеансе подключения, взаимная аутентификация пользователя и сервера удаленного доступа). И на самом верху "яап" - протокол расширенной проверки подлинности ЕАР (Extensible Authentication Protocol) - позволяет использование смарт-карт при аутентификации пользователя (требуются сертификаты как для сервера RRAS, так и для пользователей). Протокол ЕАР так же имеет некоторые настройки которые мы можем выбрать в зависимости от наших потребностей если нажмем на кнопку "Методы ЕАР".

Клиенты удаленного доступа, при подключении к серверу удаленного доступа всегда начинают использовать самый защищенный метод аутентификации. Если на сервере не установлен запрашиваемый протокол аутентификации, клиент перейдет на менее защищенный протокол. И так до тех пор, пока не будет подобран протокол, поддерживаемый обеими сторонами.

Перейдем на вкладку "IP " рисунок 14.


Рисунок 14.

На закладке "IP"мы можем настроить разрешение на маршрутизации IP-пакетов между компьютером клиента и корпоративной сетью (по умолчанию). Так же здесь мы можем задать способ формирования пула IP-адресов, выдаваемых RRAS-сервером, подключаемым к нему клиентам.

Если в нашей корпоративной сети установлен DHCP сервер, то мы можем задать формирования пула адресов RRAS этому серверу. Тогда формирование пула адресов происходит на самом сервере удаленного доступа, при этом способе первый IP -адрес пула будет присужден интерфейсу «Внутренний» сервера. Остальные IP -адреса будут назначаться удаленным клиентам сервера.

При статистическом способе задания адресов удаленным клиентам мы сами определяем IP – адреса и их количество.

Так же здесь мы можем разрешить широковещание для удаленных клиентов при разрешении имен.

Закладка "PPP", рисунок 15.


Рисунок 15.

На этой вкладке мы можем разрешить или запретить использование многоканальных подключений этого протокола (multilink PPP). Протокол PPP позволяет использовать несколько каналов коммутации, например, несколько коммутируемых телефонных линий и, соответственно, одновременное использование нескольких модемов на серверной и на клиентской стороне, как одно подключение с соответствующим увеличением пропускной способности и назначением по одному IP-адресу на стороне клиента и сервера. При этом возможно использование динамического управления пропускной способностью. Это делается с помощью протоколов BAP/BACP, (Bandwidth Allocation Protocol/ Bandwidth Allocation Control Protocol), которые позволяют при увеличении трафика включать дополнительные телефонные линии из имеющегося пула телефонных линий, а при уменьшении трафика - отключать телефонные линии. Протокол LPC управляет связью.

Следующая и последняя вкладка "Ведение журнала", позволяет нам вести журнал событий и ошибок связанных с сеансами работы удаленных пользователей.

Поговорим о протоколе «RADIUS» (Remote Authentication Dial-in User Service).

Протокол «RADIUS » рассматривается как механизм аутентификации и авторизации удаленных пользователей в условиях распределенной сети, который обеспечивает нам централизованные услуги по проверки подлинности и учету для служб удаленного доступа. «RADIUS » реализован в составе «Службы проверки подлинности в интернете» (IAS -Internet Authentication Service ), обеспечивающей централизованное управление аутентификации, авторизации, и аудитом доступа на основании информации о пользователях, получаемая от контролера домена Windows Server 2003.

Примечание 1 : данная служба не устанавливается по умолчании.

Примечание 2 : Под аутентификацией надо понимать вопрос сервера или какой-то сетевой службы – кто такой? На что мы отвечаем логином и паролем. Авторизация это проверка наших прав туда, куда мы получили доступ после аутентификации.

Служба RADIUS работает по следующему сценарию:

  1. вначале устанавливается телефонное (или другое) соединение между клиентом и сервером удаленного доступа;
  2. пользователь пересылает серверу RAS запрос на аутентификацию (свое имя и пароль);
  3. сервер удаленного доступа (являющийся клиентом сервера RADIUS) пересылает данный запрос серверу RADIUS;
  4. сервер RADIUS проверяет запрос на аутентификацию в службе каталогов (например, в службе Active Directory) и посылает в ответ RAS-серверу разрешение или запрещение данному пользователю на подключение к серверу удаленного доступа;
  5. сервер удаленного доступа либо подключает пользователя к корпоративной сети, либо выдает отказ в подключении.

Рассмотрим интерфейсы консоли " "

Раздел " Интерфейсы сети "

В данном разделе перечисляются все сетевые интерфейсы, установленные на сервере (сетевые адаптеры, модемы). Интерфейс " Внутренний " - это интерфейс, к которому подключаются все клиенты удаленного доступа, независимо от типа подключения (по коммутируемым телефонным линиям, через виртуальную частную сеть и т.д.).

Раздел " Клиенты удаленного доступа " консоли " Маршрутизация и удаленный доступ "

В этом разделе производится мониторинг в реальном времени клиентов, подключившихся к серверу удаленного доступа.

Раздел " Порты " консоли

В данном разделе "Порты" приводится перечень всех доступных точкек подключения к службе удаленного доступа:

  • параллельный порт (для прямого соединения двух компьютеров через порт LPT);
  • модемы, доступные для службы удаленного доступа;
  • порты, доступные для подключений с помощью виртуальных частных сетей (если администратор при настройке сервера указал, что будут использоваться виртуальные частные сети, то на сервер автоматически добавляются по 128 портов для каждого из протоколов PPTP и L2TP, в дальнейшем администратор может изменить количество портов, доступных для того или иного протокола).

Раздел " IP-маршрутизация " консоли " Маршрутизация и удаленный доступ "

В этом разделе добавляются, и настраиваются статические маршруты и необходимые динамические протоколы маршрутизации:

  • Агент ретрансляции DHCP-запросов (DHCP Relay Agent) - связан с сервером DHCP, для ретрансляции DHCP запросов на сервера указанные в настройках «Агента ретрансляции». Данный агент рассматривается в контексте службы DHCP, а настройка его производится именно в данном разделе службы RRAS;
  • Протокол IGMP - данный протокол предназначен для маршрутизации multicast-пакетов протокола TCP/IP (данный вид пакетов и адресов используется в основном при передаче мультимедиа-информации);
  • Служба трансляции сетевых адресов (NAT, Network Address Translation) - эта служба позволяет локальным сетям с «внутренними» адресами типа 192.168.Х.Х получить доступ к сетями с адресами, зарегистрированными в сети Интернет (упрощенный вариант прокси-сервера);
  • Протокол RIP версии 2 для IP - протокол динамической маршрутизации IP-пакетов (будет рассмотрен отдельно в другой статье и здесь будет ссылка);
  • Протокол OSPF (Open Shortest Path First) -протокол динамической маршрутизации IP-пакетов, более продвинутый, но более сложный в настройке по сравнению с RIP(будет рассмотрен отдельно в другой статье и здесь будет ссылка);

Настройка прав пользователей для подключения к RRAS

При отсутствии сервера RADIUS разрешения на подключение пользователя к серверам удаленного доступа определяются комбинацией "Свойств пользователя" и "Политик удаленного доступа", настраиваемых индивидуально для каждого сервера удаленного доступа.

Если домен Active Directory работает в смешанном режиме (рисунок 16), то разрешения на удаленный доступ определяются только в Свойствах пользователя на закладке "Входящие звонки" (Dial-In).


Рисунок 16.

При этом есть только два варианта - разрешить или запретить (рисунок 17), по умолчанию для каждого нового пользователя задается запрещающее правило. Кроме разрешения/запрета можно также настроить Обратный вызов сервера (Call-back). Здесь имеются три варианта:

  • "Ответный вызов не выполняется" - при подключении пользователя к серверу удаленного доступа вначале устанавливается телефонное соединение между модемом пользователя и модемом сервера, если доступ разрешен, то устанавливается соединение и пользователь получает доступ к сети;
  • "Устанавливается вызывающим" - в этом варианте после установления телефонного соединения между модемами и проверки прав доступа система запросит у клиента ввести номер телефона, с которого подключается данный клиент, после этого сервер разрывает связь и уже самостоятельно производит соединение с клиентом по тому номеру телефона, который сообщил этот пользователь (данный вариант удобен для мобильных пользователей - пользователь экономит на телефонном звонке и повышается защищенность доступа, т.к. в идеале никто, кроме пользователя, не должен знать номер телефона, с которого пользователь инициировал соединение);
  • "Всегда по этому номеру" (с указанием номера телефона) - данный вариант похож на предыдущий, только номер телефона уже введен в параметры пользователя и сервер будет перезванивать именно на данный номер (этот вариант будет интересен домашним пользователям - здесь тоже пользователь экономит на телефонном звонке и, кроме того, дополнительная защита - злоумышленнику трудно будет подключиться к серверу, даже если ему известны имя и пароль пользователя).


Рисунок 17.

Если домен работает в основном режиме Windows 2000 или Windows 2003, то можно либо в явном виде разрешать или запрещать доступ к серверам удаленного доступа, причем ко всем сразу, либо настраивать разрешения через Политики удаленного доступа (о Политиках будет рассказано ниже), смотрите рисунок 18.


Рисунок 18.

Примечание: явное разрешения или явный запрет имеют более высокий приоритет, чем Политики удаленного доступа.

В основном режиме в Свойствах пользователя становятся доступны дополнительные параметры:

  • "Проверять код звонящего" (Caller ID) - если оператор телефонной связи передает модему номер телефона, с которого был произведен звонок, то сервер будет разрешать подключение только при вызове с данного номера (это еще один уровень защиты от злоумышленников);
  • "Статический IP-адрес пользователя" - при установлении соединения пользователю назначается фиксированный IP-адрес;
  • "Использовать статическую маршрутизацию" - при установлении соединения пользователю пересылается указанный список маршрутизаторов.

Применение "Политики удаленного доступа".

Когда домен работает в основном режиме (Windows 2000/2003) разрешениями на подключения к службе удаленного доступа можно задавать с помощью политик удаленного доступа. Политики удаленного доступа применяются к учетной записи пользователя при его попытке подключиться к службе удаленного доступа только в том случае, если в Свойствах этой учетной записи явно указано "Управление на основе политики удаленного доступа". Если данная опция не отмечена, а выбраны другие, то политики не проверяются.

Каждая политика состоит из трех частей:

  • Условия (Conditions) - определяются условия подключения пользователя. Наиболее часто используемые условия - день недели и время, а также членство в определенной группе;
  • Профиль (Profile) - определяются некие параметры подключения (например, тип аутентификации или вид коммуникаций);
  • Разрешения (Permissions) - разрешить или запретить подключение.

Проверка политики начинается всегда с проверки условия - если ни одно из условий не совпадает с параметрами учетной записи пользователя, то происходит переход к следующей политике. Если условия совпали, то проверяются параметры профиля подключения, если параметры политики и пользователя не совпадают, то также происходит переход к следующей политике. Если же параметры профиля совпали и данная политика разрешает подключение, то пользователю выдается разрешение на подключение к серверу удаленного доступа. Если же политика запрещает подключение, то пользователю выдается отказ на подключение к серверу.

Продолжение в статье