遠程訪問

制作人：全心全意

遠程訪問服務是指能夠允許客戶機通過撥號連接或專用連接登錄網絡

 

遠程訪問的連接方式

　　撥號

　　虛擬專用網絡（vpn）

　　　　相對於撥號網絡更安全，數據傳輸是加密的

　　　　好處：降低成本、傳輸數據安全可靠、連接方便靈活、完全控制

　　組件：

　　　　撥號：服務器和客戶端（貓）、電話網絡（PSTN/ISDN/ADSL）、遠程訪問協議（PPP/SLTP/微軟的RAS）、局域網協議（TCP/IP）

　　　　VPN：服務器和客戶端、隧道協議PPTP、L2TP、SSTP（win 2008支持，SSTP相對於PPTP更安全）

 

windows安裝和配置VPN

　　安裝VPN服務器：安裝角色RRAS，配置和啟用RRAS（指定VPN的外部網卡和地址池）

　　配置VPN客戶端：需要新建連接，指定連接到VPN服務器的外網IP

 

VPN的身份驗證方式：windows身份驗證（默認）、Radius身份驗證

 

NPS：可以設置更復雜的策略

 

RADIUS服務器：決定外面的VPN客戶端是否能夠撥入

RADIUS客戶端：將請求轉發給RADIUS服務器

 

VPN服務器上要指定身份驗證方式為Radius服務器和共享秘鑰（對稱加密，加密和解密的秘鑰是相同的）

 

配置訪問策略

　　網絡請求策略：身份驗證：設置條件（時間日期，windows組）驗證vpn客戶端身份

　　網絡策略：可以設置VPN客戶端訪問權限

　　　　如果一條連接請求策略或網絡策略都沒有匹配的話，即使用戶有撥入權限也會被拒絕

　　　　用戶訪問權限由用戶賬號撥入屬性和網絡策略上的訪問權限共同決定

 

gpupdate/force：刷新組策略