Ras сервер что это
Национальная библиотека им. Н. Э. Баумана
Bauman National Library
Персональные инструменты
RAS (Remote Access Server)
RAS (англ. Remote Access Server — Сервер удалённого доступа) — сервер, предназначенный для обработки пользователей, которые не находятся в локальной сети, но нуждаются в удаленном доступе к нему. Сервер удаленного доступа позволяет пользователям получать доступ к файлам и службам печати в локальной сети из удаленного места. Например, пользователь, который получает доступ из дома с использованием аналогового модема или ISDN-соединения, подаёт запрос серверу удаленного доступа. Как только пользователь будет аутентифицирован, он может получить доступ к общим дискам и принтерам, как если бы он физически подключался к локальной сети офиса. [Источник 1]
Архитектура
Соединения устанавливаются клиентами удаленного доступа, которые вызывают интерфейс программирования RAS, который, в свою очередь, использует TAPI (Telephony Application Programming Interface) для передачи информации о подключении к коммутируемому оборудованию. После того, как физическое соединение выполнено, TAPI больше не используется, а дополнительные компоненты удаленного доступа согласовывают соединение с протоколами связи, аутентификации и управления сетью путем прямой связи с NDISWAN. NDISWAN — это промежуточный драйвер NDIS, поставляемый в системе, который обеспечивает такие функции, как сжатие данных, шифрование, шлейф и простое кадрирование PPP, которое используется драйверами мини-порта WAN.
Архитектура сервера удаленного доступа состоит из следующих элементов, как показано на изображении:
Удаленный доступ
Назначение
Используйте службу удаленного доступа (RAS) для создания клиентских приложений. В этих приложениях отображаются общие диалоговые окна службы RAS, Управление подключениями и устройствами удаленного доступа и работа с записями в телефонной книге. Служба RAS также обеспечивает следующее поколение серверных функций службы удаленного доступа (RAS) для Windows. Функции сервера RRAS следуют и создаются на основе службы удаленного доступа (RAS).
Где применимо
Служба удаленного доступа применима в любой вычислительной среде, которая использует ссылку на глобальную сеть (WAN) или виртуальную частную сеть (VPN). Служба RAS позволяет подключать удаленный клиентский компьютер к сетевому серверу по каналу WAN или VPN. Затем удаленный компьютер работает в локальной сети сервера, как будто удаленный компьютер подключен к локальной сети напрямую. API RAS позволяет программистам получать доступ к функциям RAS программным способом.
Аудитория разработчиков
API службы RAS предназначен для использования программистами C/C++. программисты Microsoft Visual Basic также могут найти полезные API. Программисты должны быть знакомы с основными понятиями сети.
Требования к среде выполнения
Некоторые функции в API RAS поддерживаются только на сетевых серверах, и другие функции поддерживаются только для сетевых клиентов. Дополнительные сведения о том, какие операционные системы поддерживают определенную функцию, см. в разделах о требованиях в документации.
улучшенная функциональность RAS в службе RRAS доступна для Windows NT Server 4,0 путем установки распространяемого компонента RRAS. все функции службы RRAS включены в Windows 2000 server, Windows server 2003 и Windows server 2008. приложения RRAS не могут выполняться на Windows NT Workstation 4,0 или в клиентских операционных системах, таких как Windows 95. Дополнительные сведения о том, какие операционные системы поддерживают определенную функцию, см. в разделах о требованиях в документации.
Удаленный доступ
применимо к: Windows server 2022, Windows server 2019, Windows Server 2016, Windows Server 2012 R2, Windows 10
руководство по удаленному доступу содержит общие сведения о роли сервера удаленного доступа в Windows Server 2016 и охватывает следующие темы:
Дополнительные сведения о других сетевых технологиях см. в разделе Networking in Windows Server 2016.
Роль сервера удаленного доступа — это логическая группа этих связанных технологий доступа к сети: Служба удаленного доступа (RAS), Маршрутизацияи прокси веб-приложения. Эти технологии являются службами ролей роли сервера удаленного доступа. при установке роли сервера удаленного доступа с помощью мастера добавления ролей и компонентов или Windows PowerShell можно установить одну или несколько из этих трех служб ролей.
Не пытайтесь развернуть удаленный доступ на виртуальной машине (ВМ) в Microsoft Azure. использование удаленного доступа в Microsoft Azure не поддерживается. удаленный доступ на виртуальной машине Azure нельзя использовать для развертывания VPN, directaccess или любой другой функции удаленного доступа в Windows Server 2016 или более ранних версиях Windows Server. дополнительные сведения см. в статье поддержка серверного программного обеспечения майкрософт для Microsoft Azure виртуальных машин.
Служба удаленного доступа (RAS) — шлюз RAS
При установке службы роли DirectAccess и VPN развертывается шлюз службы удаленного доступа (шлюз RAS). Вы можете развернуть шлюз RAS для одного клиента: VPN-сервер шлюза RAS, многоклиентский шлюз RAS и сервер DirectAccess.
Шлюз RAS — один клиент. С помощью шлюза RAS можно развернуть VPN-подключения, чтобы предоставить конечным пользователям удаленный доступ к сети и ресурсам Организации. если клиенты работают Windows 10, можно развернуть Always On VPN, которая обеспечивает постоянное подключение между клиентами и сетью организации, когда удаленные компьютеры подключены к интернету. С помощью шлюза RAS можно также создать VPN-подключение типа «сеть — сеть» между двумя серверами в разных местах, например между основным офисом и филиалом, и использовать преобразование сетевых адресов (NAT), чтобы пользователи в сети могли получать доступ к внешним ресурсам, таким как Интернет. Кроме того, шлюз RAS поддерживает протокол BGP (BGP), который предоставляет службы динамической маршрутизации, если расположения удаленных офисов также имеют граничные шлюзы, поддерживающие BGP.
Шлюз RAS — клиент. Шлюз RAS можно развернуть как многоклиентский, шлюз и маршрутизатор на основе программного обеспечения, если вы используете виртуализацию сети Hyper-V или используете сети виртуальных машин, развернутые с помощью виртуальных локальных сетей (VLAN). С помощью шлюза RAS поставщики облачных служб (CSP) и предприятия могут включить маршрутизацию центрального и облачного трафика между виртуальными и физическими сетями, включая Интернет. С помощью шлюза RAS клиенты могут использовать VPN-подключения типа «точка — сеть» для доступа к сетевым ресурсам виртуальной машины в центре обработки данных откуда угодно. Вы также можете предоставить клиентам VPN-подключения типа «сеть — сеть» между удаленными сайтами и центром обработки данных CSP. Кроме того, можно настроить шлюз RAS с помощью BGP для динамической маршрутизации, а также включить преобразование сетевых адресов (NAT) для предоставления доступа к Интернету для виртуальных машин в сетях виртуальных машин.
шлюз RAS с многоклиентским возможностями также доступен в Windows Server 2012 R2.
Дополнительные сведения см. в статье шлюз RAS и протокол BGP (BGP).
Маршрутизация
Удаленный доступ можно использовать для маршрутизации сетевого трафика между подсетями в локальной сети. Маршрутизация обеспечивает поддержку маршрутизаторов преобразования сетевых адресов (NAT), маршрутизаторов локальной сети, использующих BGP, протокол RIP и маршрутизаторы с многоадресной рассылкой, с помощью протокола IGMP. В качестве полнофункционального маршрутизатора можно развернуть службу RAS на компьютере сервера или в виртуальной машине на компьютере с Hyper-V.
Прокси-сервер веб-приложения
Прокси веб-приложения — это служба роли удаленного доступа в Windows Server 2016. Прокси-сервер веб-приложения предоставляет функции обратного прокси-сервера для веб-приложений в корпоративной сети, что делает их доступными для пользователей с любых устройств из-за пределов корпоративной сети. Прокси веб-приложения предварительно проверяет подлинность доступа к веб-приложениям с помощью службы федерации Active Directory (AD FS) (AD FS), а также выступает в качестве AD FS прокси-сервера.
Дополнительные сведения см. в разделе прокси веб-приложения.
Шлюз RAS-сервера
Область применения: Windows Server 2022, Windows Server 2019, Windows Server 2016
Шлюз RAS — это программный маршрутизатор и шлюз, которые можно использовать в режиме одного клиента или в режиме клиента.
Режим одного клиента позволяет организациям любого размера развертывать Шлюз в качестве внешней сети или с выходом в Интернет (VPN) и сервером DirectAccess. В режиме одного клиента можно развернуть шлюз RAS на физическом сервере или на виртуальной машине, на которой выполняется Windows Server 2016.
Многоклиентский режим позволяет поставщикам облачных служб (CSP) и предприятиям использовать шлюз RAS для обеспечения маршрутизации трафика центра обработки данных и облака между виртуальными и физическими сетями, включая Интернет. Для многоклиентского режима рекомендуется развертывать Шлюз RAS на виртуальных машинах, на которых выполняется Windows Server 2016.
Шлюз RAS поддерживает IPv4 и IPv6, включая пересылку IPv4 и IPv6. При настройке шлюза RAS с преобразованием сетевых адресов (NAT) поддерживается только NAT44.
Кто будет заинтересовать шлюз RAS?
Если вы являетесь системным администратором, архитектором сети или другим ИТ-специалистом, шлюз RAS может быть неинтересен в одном или нескольких следующих случаях.
Вы проектируете или поддерживаете ИТ-инфраструктуру для организации, которая использует или планирует использовать технологию Hyper-V для развертывания виртуальных машин в виртуальных сетях.
Вы проектируете или поддерживаете ИТ-инфраструктуру для организации, которая развертывает или планирует развертывание облачных технологий.
Вы хотите обеспечить полнофункциональные сетевые подключения между физическими и виртуальными сетями.
Вы хотите предоставить клиентам организации доступ к своим виртуальным сетям через Интернет.
Вы хотите предоставить сотрудникам Организации удаленный доступ к сети Организации.
Вы хотите подключить офисы в различных физических расположениях через Интернет.
В этой статье, предназначенной для ИТ-специалистов, содержатся общие сведения о шлюзе RAS, включая режимы и функции развертывания шлюза удаленного доступа.
Этот раздел состоит из следующих подразделов.
Режимы развертывания шлюза RAS
Шлюз RAS включает следующие режимы развертывания:
Режим одного клиента
Для большинства организаций использование шлюза RAS в режиме одного клиента является типичной конфигурацией. В режиме одного клиента можно развернуть шлюз RAS как пограничной VPN-сервер, сервер DirectAccess или оба одновременно. В этой конфигурации шлюз RAS предоставляет удаленным сотрудникам возможность подключения к сети с помощью VPN или подключений DirectAccess. Кроме того, режим одного клиента позволяет подключать офисы в различных физических расположениях через Интернет.
Многоклиентский режим
если ваша организация является CSP или Enterprise с несколькими клиентами, можно развернуть шлюз RAS в многоклиентский режим, чтобы обеспечить маршрутизацию сетевого трафика в виртуальные и физические сети и из них.
Мультитенантность — это способность облачной инфраструктуры поддерживать рабочие нагрузки виртуальных машин нескольких клиентов, но изолировать их друг от друга, в то время как все рабочие нагрузки работают в одной и той же инфраструктуре. Несколько рабочих нагрузок отдельного клиента могут быть связаны взаимоподключением и управляться удаленно, оставаясь отделенными от рабочих нагрузок других клиентов и не позволяя другим клиентам управлять ими.
Например, предприятие может иметь много различных виртуальных подсетей, каждая из которых предназначена для обслуживания конкретного отдела, например отдела исследований и разработки или бухгалтерского отдела. В другом примере поставщик облачных служб имеет много тенантов с изолированными виртуальными подсетями, которые существуют в одном физическом центре обработки данных. В обоих случаях шлюз RAS может направлять трафик в каждый клиент и из него, сохраняя спроектированную изоляцию каждого клиента. Эта возможность обеспечивает поддержку клиентов шлюза RAS.
виртуальные сети создаются с помощью виртуализации сети Hyper-V, которая является технологией, представленной в Windows Server 2012, и повышена в Windows Server 2016. Шлюз RAS интегрируется с виртуализацией сети Hyper-V и может эффективно маршрутизировать сетевой трафик в тех случаях, когда существует множество различных клиентов, или клиентов, имеющих изолированные виртуальные сети в одном центре обработки данных.
Виртуализация сети Hyper-V предоставляет возможность развертывания сети виртуальной машины, которая не зависит от базовой физической сети. В сетях виртуальных машин, состоящих из одной или нескольких виртуальных подсетей, точное физическое расположение IP-подсети отделяется от топологии виртуальной сети. В результате вы можете легко перенести локальные подсети в облако, сохранив существующие IP-адреса и топологию в облаке. Эта возможность сохранения инфраструктуры позволяет существующим службам продолжать работать, не имея информации о физическом расположении подсети. Таким образом, виртуализация сети Hyper-V позволяет создать цельное гибридное облако.
Виртуализация сети Hyper-V — это технология наложения сети, использующая сетевое инкапсуляцию сетевой виртуализации (NVGRE), которая позволяет клиентам использовать свое адресное пространство и обеспечивает лучшую масштабируемость, чем возможно, с помощью виртуальных ЛС для изоляции клиентов.
в Windows Server 2016 шлюз RAS направляет сетевой трафик между физической сетью и сетевыми ресурсами виртуальной машины независимо от расположения ресурсов. Шлюз RAS можно использовать для маршрутизации сетевого трафика между физическими и виртуальными сетями в одном физическом расположении или во многих разных физических расположениях.
Например, если у вас есть физическая сеть и виртуальная сеть в одном физическом расположении, можно развернуть компьютер с Hyper-V, настроенный с виртуальной машиной шлюза RAS, в качестве шлюза перенаправления и направить трафик между виртуальными и физическими сетями.
В другом примере, если ваши виртуальные сети существуют в облаке, CSP может развернуть шлюз RAS, чтобы можно было создать подключение типа «сеть — сеть» виртуальной частной сети (VPN) между VPN-сервером и шлюзом RAS CSP. После установки этой ссылки вы можете подключаться к виртуальным ресурсам в облаке через VPN-подключение.
Кластеризация шлюза RAS для обеспечения высокой доступности
Шлюз RAS развернут на выделенном компьютере с Hyper-V и настроен с одной виртуальной машиной. Затем виртуальная машина настраивается в качестве шлюза RAS.
Для обеспечения высокой доступности сетевых ресурсов можно развернуть шлюз RAS с отработкой отказа с помощью двух физических серверов узлов под управлением Hyper-V, каждый из которых также работает под управлением виртуальной машины, настроенной в качестве шлюза. Затем виртуальные машины шлюза необходимо настроить как кластеры, чтобы обеспечить отказоустойчивость и защиту от отказов сети и сбоев оборудования.
например, если ваша организация является Enterprise с развертыванием частного облака, вам может потребоваться только две виртуальные машины шлюза RAS, каждая из которых установлена на другом компьютере с Hyper-V. В этом сценарии виртуальные машины шлюза RAS добавляются в кластер для обеспечения высокой доступности.
В другом примере, если ваша организация является поставщиком облачных служб (CSP) с 200 клиентами в вашем центре обработки данных, можно использовать восемь виртуальных машин шлюза RAS с каждой парой кластеризованных виртуальных машин шлюза RAS, предоставляющих клиентам службы маршрутизации для 50. В этом сценарии два компьютера с Hyper-V имеют четыре виртуальные машины, настроенные как шлюзы RAS. Затем вы настроите четыре кластера виртуальных машин шлюза RAS, каждый из которых содержит одну виртуальную машину с каждого компьютера с Hyper-V.
при развертывании шлюза RAS серверы узлов под управлением Hyper-V и виртуальные машины, настроенные как шлюзы, должны работать Windows Server 2012 R2 или Windows Server 2016.
Возможности шлюза RAS
Шлюз RAS включает следующие возможности.
VPN типа «сеть — сеть». Эта функция шлюза RAS позволяет подключать две сети в различных физических расположениях через Интернет с помощью VPN-подключения типа «сеть — сеть». Если у вас есть главный офис и несколько филиалов, можно развернуть пограничным шлюз RAS в каждом расположении и создать подключения типа «сеть — сеть», чтобы обеспечить поток сетевого трафика между расположениями. Для CSP, которые размещают множество клиентов в своем центре обработки данных, шлюз RAS предоставляет многоклиентское решение шлюза, которое позволяет клиентам получать доступ к ресурсам и управлять ими через VPN-подключения типа «сеть — сеть» с удаленных сайтов, что позволяет передавать сетевой трафик между виртуальными ресурсами в центре обработки данных и их физической сетью.
VPN-подключение типа «точка — сеть«. Эта функция шлюза RAS позволяет сотрудникам Организации или администраторам подключаться к сети организации из удаленных расположений. Для развертывания одного клиента шлюза RAS удаленные сотрудники могут подключаться к сети Организации с помощью VPN-подключения. Это подключение позволяет использовать внутренние сетевые ресурсы, такие как веб-сайты интрасети и файловые серверы. Для многоклиентские развертывания администраторы сети клиента могут использовать VPN-подключения типа «точка — сеть» для доступа к ресурсам виртуальной сети в центре обработки данных CSP.
Динамическая маршрутизация с помощью протокол BGP (BGP). Протокол BGP снижает потребность в ручной настройке маршрутов в маршрутизаторах, так как является протоколом динамической маршрутизации и автоматически определяет маршруты между сайтами, связанными с помощью межсайтовых подключений VPN. Если в Организации есть несколько сайтов, подключенных с помощью маршрутизаторов с поддержкой BGP, таких как шлюз RAS, BGP разрешает маршрутизаторам автоматически рассчитывать и использовать действительные маршруты друг к другу в случае сбоя или нарушения работы сети. Дополнительные сведения см. в документе RFC 4271.
Преобразование сетевых адресов (NAT). Преобразование сетевых адресов (NAT) позволяет совместно использовать подключение к общедоступному Интернету через единый интерфейс с одним общедоступным IP-адресом. Компьютеры в частной сети используют частные, не поддерживающие маршрутизацию адреса. NAT сопоставляет частные адреса с общедоступным адресом. Эта функция шлюза RAS позволяет сотрудникам Организации с одними развертываниями клиентов получать доступ к Интернет ресурсам из шлюза. Для CSP эта функция позволяет приложениям, работающим на виртуальных машинах клиента, получать доступ к Интернету. Например, виртуальная машина клиента, настроенная в качестве веб-сервера, может связываться с внешними финансовыми ресурсами для обработки транзакций кредитных карт.
Сценарии развертывания шлюза RAS
Ниже приведены рекомендуемые сценарии развертывания для шлюза RAS.
Enterprise ребро — развертывание одного клиента. при развертывании одного клиента Enterprise можно подключить один физический к нескольким другим физическим расположениям через интернет с помощью функции VPN типа «сеть — сеть», а протокол BGP (BGP) позволяет использовать динамическую маршрутизацию. Вы также можете предоставить удаленным сотрудникам доступ к сети Организации с помощью VPN-подключений типа «точка — сеть» и подключений DirectAccess. (Подключения DirectAccess всегда включены, а также предоставляют преимущество, позволяющее легко управлять компьютерами, подключенными с помощью DirectAccess, так как они подключены при каждом подключении к Интернету.) можно также настроить один клиент Enterprise шлюзы RAS с помощью NAT, чтобы компьютеры в интрасети могли легко обмениваться данными с интернетом.
Поставщик облачных служб ребро — развертывание с несколькими клиентами. многоклиентское развертывание шлюза RAS для csp позволяет предлагать клиентам все функции, доступные при развертывании Enterprise пограничных клиентов. VPN-подключения типа «сеть — сеть» между виртуальными сетями клиента в центре обработки данных и сетевыми расположениями клиентов в Интернете означают, что клиенты быстро обращаются к своим облачным ресурсам в любое время. VPN-доступ типа «точка — сеть» для клиентов означает, что администраторы клиента всегда могут подключаться к своим виртуальным сетям в центре обработки данных для управления ресурсами. BGP обеспечивает динамическую маршрутизацию и поддерживает подключение клиентов к их ресурсам даже при возникновении проблем с сетью в Интернете или в других местах. И NAT позволяет виртуальным машинам клиента подключаться к ресурсам в Интернете, например ресурсам для обработки кредитных карт.
Средства управления шлюзами RAS
Ниже перечислены средства управления для шлюза RAS.
в Windows Server 2016 для развертывания маршрутизатора шлюза RAS необходимо использовать команды Windows PowerShell. дополнительные сведения см. в разделе командлеты удаленного доступа для Windows Server 2016 и Windows 10.
в System Center 2012 R2 диспетчер виртуальных машин (VMM) шлюз RAS называется Windows шлюза сервера. В программном интерфейсе VMM доступен ограниченный набор параметров конфигурации протокол BGP (BGP), включая локальный IP-адрес BGP и номера автономных систем (ASN), список одноранговых IP-адресов BGPи значения ASN. Тем не менее вы можете использовать команды удаленного доступа Windows PowerShell для BGP, чтобы настроить все остальные функции шлюза Windows Server. дополнительные сведения см. в разделе диспетчер виртуальных машин (VMM) и командлеты удаленного доступа для Windows Server 2016 и Windows 10.
Ras сервер что это
Термины, необходимые для понимания материала:
Служба удаленного доступа (RAS)
Программный интерфейс телефонной связи (ТАР1)
Телефонная книга RAS
Приемы и знания, которыми вы должны овладеть:
Установка и настройка RAS
Настройка телефонной книги RAS
Реализация мер безопасности RAS
RAS (служба удаленного доступа) является надежным и безопасным способом распространения сетевых соединений на удаленные компьютеры. Модемы и другие коммуникационные устройства в подключениях RAS выполняют функции сетевых адаптеров. Удаленный клиент RAS может обращаться и работать со всеми ресурсами, с которыми может работать стандартный клиент с сетевым подключением. В этой главе вы узнаете все, что необходимо знать для успешного ответа на вопросы по RAS в сертификационном экзамене Microsoft.
Коммуникационные возможности RAS в Windows NT 4 заметно улучшились по сравнению с версией 3.51. Многие новые особенности, в том числе простота установки, процесс настройки и общее поведение, были позаимствованы из Windows 95. RAS обслуживает до 256 одновременных соединений, выполняет функции брандмауэра (firewall), шлюза или маршрутизатора, а также обеспечивает безопасность.
RAS устанавливает соединение по следующим типам связи:
. PSTN (коммутируемые телефонные линии);
. ISDN (цифровая связь с интегрированными службами);
. Сеть Х.25 с коммутацией пакетов.
В подключениях RAS используются стандартные протоколы локальных сетей. Таким образом, при установке связи через RAS сетевое взаимодействие может осуществляться с использованием протоколов TCP/IP, IPX/SPX и NetBEUI. Поскольку в соединении используются реальные сетевые протоколы, удаленный клиент RAS действует так, словно он подключен к сети локально. Единственное отличие заключается в том, что скорость пересылки данных в соединении RAS ниже, чем при физическом подключении к сети. На экзамене вам встретятся вопросы, в которых будет проверяться ваше понимание этого факта. Всегда помните, что клиент работает одинаково независимо от способа подключения (локального или через RAS).
Клиентом RAS называется любой компьютер, который может установить модемную или иную связь с сервером RAS и установить разрешенное соединение. Хотя подключения RAS оптимизированы для операционных систем Microsoft, при наличии необходимых программ, протоколов и при соответствующей настройке доступ может быть предоставлен и системам других типов.
Связи, устанавливаемые между клиентом и сервером с применением RAS, называются глобальными (WAN, Wide Area Network) связями. Поскольку RAS чаще всего используется для подключения компьютеров (или целых локальных сетей) к централизованной сети, находящейся на большом расстоянии, такая связь является глобальной. Коммуникационные протоколы, используемые для установки соединения RAS, называются протоколами глобальных сетей (протоколами WAN). Windows NT поддерживает два протокола WAN:
. SLIP. Протокол SLIP (Serial Line Internet Protocol) поддерживает TCP/IP, но не поддерживает IPX/SPX или NetBEUI. SLIP не поддерживает DHCP, следовательно, каждому клиенту должен быть присвоен адрес IP. Кроме того, SLIP не поддерживает шифрование паролей. Этот протокол предусмотрен лишь для того, чтобы сервер NT мог выступать в роли клиента при подключении к серверу Unix; он не может использоваться для обслуживания входящих подключений в NT.
. РРР. Протокол РРР поддерживает ряд других протоколов, включая AppleTalk, TCP/IP, IPX/SPX и NetBEUI. Он разрабатывался для расширения возможностей протокола SLIP. РРР поддерживает DHCP и шифрование паролей. В настоящее время он является самым распространенным и общепринятым протоколом глобальных сетей.
Windows NT Server может обслуживать до 256 входящих подключений RAS. Об NT как о сервере RAS необходимо запомнить следующее:
. RAS поддерживает приложения NetBIOS и Windows Sockets.
. RAS поддерживает подключения РРТР (Point-to-Point Tunneling Protocol), тем самым обеспечивая безопасное взаимодействие компьютеров с Windows NT через Интернет. Кроме того, RAS поддерживает многоканальный протокол МР (Multilink PPP), в котором могут объединяться несколько подключений.
РРТР (Point-to-Point Tunneling Protocol)
РРТР, как и все остальные сетевые протоколы, необходимо установить на вкладке Protocols приложения Network.
Windows NT позволяет объединить пропускную способность нескольких физических линий, что приводит к увеличению общей пропускной способности подключения RAS. Объединение нескольких коммуникационных каналов позволяет увеличить общую пропускную способность с наименьшими затратами. Протокол МР должен поддерживаться как клиентом, так и сервером. Он не может использоваться с возможностью ответного вызова (см. далее в этой главе).
Флажок для включения многоканальноеT находится в диалоговом окне Network Protocol Configuration (см. рис. 10.1 в этой главе).
ТАРI (программный интерфейс телефонной связи) и телефонные книги
В Windows NT программный интерфейс телефонной связи (TAPI) обеспечивает стандартные средства управления голосовой и факсимильной связью и пересылкой данных. TAPI может использоваться для управления многими системами РВХ и автоматизированными коммуникационными устройствами, хотя соответствующее оборудование и не поставляется с NT.
TAPI автоматически устанавливается при установке модема или компонентов RAS NT. Его присутствие необходимо для управления любым коммуникационным устройством. При каждой попытке установления модемного соединения TAPI управляет модемом и следит за процессом подключения. После того как связь будет установлена, TAPI продолжает наблюдать за связью.
Диалоговое окно Dialing Properties (вызывается из приложения Modem панели управления) управляет тем, как TAPI использует модем при звонках. Вы можете управлять параметрами междугородной связи, использованием телефонной карточки для междугородных звонков, префиксами выхода на линию и тоновым/импульсным набором. Кроме того, можно определить несколько конфигураций для звонков из различных мест. Если вы путешествуете с портативным компьютером NT Server, для каждого регулярно посещаемого города можно определить специальный профиль телефонной связи.
TAPI также управляет элементами телефонной книги, используемыми в подключениях RAS. Все функции и возможности модема и типов модемной связи настраиваются через интерфейс, которым управляет TAPI.
RAS устанавливается с вкладки Services приложения Network. Правильная установка RAS требует определенной подготовки и знаний. Во время установки необходимо помнить следующее:
1. Начните с физической установки или подключения модема. Если во время установки RAS не будет установлен модем, вам все равно придется установить его.
2. Установите RAS с вкладки Services приложения Network.
3. Выберите порт связи.
4. Добавьте установленный модем как устройство RAS.
5. Укажите, как должен использоваться порт:
. Только для исходящих звонков (Dial out only).
. Только для входящих звонков (Receive calls only).
. Для выполнения обоих действий (Dial out and receive calls).
6. Выберите протоколы локальной сети (см. рис. 10.1):
. Если порт был настроен только для исходящих звонков, можно выбрать только исходящие протоколы.
. Если порт был настроен только для входящих звонков, можно выбрать только входящие протоколы.
. Если порт был настроен для выполнения обоих действий, выбираются как входящие, так и исходящие протоколы.
7. Настройте конкретные параметры каждого входящего протокола (см. рис. 10.2 и 10.3).
После установки RAS необходимо проверить конфигурацию порта и модема с помощью приложений Port и Modem панели управления.
Если RAS была настроена на прием входящих звонков, порт и модем не могут использоваться другими приложениями. RAS блокирует доступ к порту, чтобы следить за входящими звонками.
Маршрутизация, шлюзы и брандмауэры
Клиентам RAS, использующим сетевые протоколы, можно разрешить доступ ко всей сети или ограничить его сервером RAS. Если доступ клиентов RAS ограничивается сервером RAS, то RAS выполняет функции брандмауэра (firewall), то есть предотвращает любой внешний доступ за пределами сервера. Если клиентам RAS разрешен доступ ко всей сети, RAS используется как маршрутизатор. Если единственным используемым протоколом является NetBEUI, RAS выступает в роли шлюза, который обеспечивает доступ к сети для немаршрути-зируемого протокола NetBEUI.
Телефонная книга RAS
Для управления и работы с модемной связью RAS используется телефонная книга RAS. Эта утилита, Dial-Up Networking (DUN), находится в папке Programs >. Accessories меню Start. При первом запуске DUN запускается мастер RAS Wizard, который поможет вам создать первый элемент телефонной книги. При каждом последующем запуске открывается диалоговое окно Phonebook. В нем можно создать и модифицировать параметры удаленного доступа для каждого соединения RAS.
Элементы телефонной книги содержат следующую информацию:
. Имя, номер телефона и используемый модем.
. Тип сервера и параметры протокола.
. Параметры системы безопасности.
. Параметры Х.25 (в случае необходимости).
RAS предусматривает несколько уровней и типов безопасности, которые защищают сеть от неуполномоченного удаленного доступа. В следующих разделах средства безопасности рассматриваются более подробно.
Для повышения или понижения уровня безопасности соединения Windows NT применяются следующие средства:
. Вкладку Security элемента телефонной книги для исходящих соединений RAS.
. Диалоговое окно Network Protocol Configuration для входящих соединений RAS (см. рис. 10.1).
Параметр, определяющий шифрование данных в RAS, может принимать три значения:
1. Любые пароли, включая обычный текст.Значение обладает минимальными ограничениями. Оно используется в тех случаях, когда пользователи не слишком беспокоятся о своих паролях. Допускается соединение с любой проверкой подлинности, обеспечиваемой сервером, следовательно, оно пригодится при подключениях к серверам без программного обеспечения Microsoft.
2. Шифрование паролей. Значение пригодится в тех ситуациях, когда пересылка пароля в текстовом виде нежелательна, и при подключении к серверам без программного обеспечения Microsoft.
3. Шифрование паролей Microsoft. При выборе этого значения должен использоваться протокол MS-CHAP (Microsoft Challenge Authentication Handshake Protocol), следовательно, оно пригодится при подключении к серверам Microsoft. Если установлен флажок шифрования данных (Require Data Encryption), все пересылаемые по сети данные шифруются. Шифрование в Windows NT осуществляется с помощью алгоритма RSA (Rivest-Shamir-Adleman) Data Security Incorporated RC4. Если пересылаемые данные не удастся правильно дешифровать, соединение автоматически разрывается.
. Запрет ответного вызова (No Call Back). Значение принимается по умолчанию. Оно означает, что при установлении пользователем соединения RAS он не получит ответного вызова.
. Номер задается вызывающей стороной(Set By Caller). Номер ответного вызова задается пользователем. Это хороший способ сэкономить на междугородных звонках, потому что сервер перезванивает клиенту по номеру, задаваемому пользователем.
. Номер задан ранее (Preset To). Настройка ответного вызова осуществляется заранее. Уровень безопасности при этом повышается, потому что пользователь может звонить лишь с предварительно заданных телефонных номеров.
Вход в систему через RAS
Дополнительные возможности RAS
Эта глава отнюдь не исчерпывает всех возможностей RAS. Чтобы получить дополнительные сведения о RAS, просмотрите справочные материалы, перечисленные в конце главы. Тем не менее ниже приведен краткий список важнейших средств и возможностей RAS, необходимых для сдачи экзамена.
Автодозвоном (autoDial) называется способность NT запоминать местонахождение ресурсов, доступ к которым осуществляется с помощью RAS. Для этого создается таблица, связывающая сетевые адреса с элементами телефонной книги. При последующих обращениях к этому ресурсу RAS заново устанавливает соединение через глобальную сеть, чтобы снова получить доступ к ресурсу без дополнительного взаимодействия с пользователем. По умолчанию автодоз-вон включен. Автодозвон еще не функционирует на IPX/SPX, однако он работает с TCP/IP и NetBEUI.
Второй журнал, DEVICE.LOG, можно включить только из реестра. Ключу Logging из раздела \HKEY_LOCAL_MACHINE\SYSTEM\ CuiTentControlSet\Services\RasMain\Parameters следует присвоить 1. Файл DEVICE.LOG хранится в каталоге \%winntroor%\system32\ras.
Программа Event Viewer также регистрирует некоторые данные RAS, которые могут облегчить диагностику и расшифровку сообщений. По умолчанию информация обо всех ошибках сервера, пользовательских попытках подключений, разрывах связи и т. д. записывается в системный журнал.
Для обслуживания сетевых соединений RAS использует протоколы как глобальной, так и локальной сетей. Чаще всего протоколом глобальной сети является РРР. Протоколом локальной сети может быть любой из протоколов, установленных на сервере RAS. Набор протоколов может как совпадать с набором протоколов вашей локальной сети, так и отличаться от него. Используется первый найденный общий протокол клиента и сервера. Следовательно, для модемных подключений RAS следует правильно настроить порядок привязки, чтобы самый важный протокол обладал наивысшим приоритетом.
В ситуациях, когда используется статическое преобразование имен, для достижения оптимальной скорости преобразования и трафика глобальной сети следует поместить файлы HOSTS (DNS) и LMHOSTS (WINS) на локальный жесткий диск клиента RAS. Однако при этом могут возникнуть проблемы с поддержанием последних версий этих файлов на нескольких удаленных клиентах.
Вопросы для подготовки к экзамену
If no standards are in place for the operating system, protocol or the method of access for your remote clients, what is the highest level of security you can implement and still allow your users to connect via RAS?
A. Allow Any Authentication Including Clear Text
В. Microsoft Encrypted Authentication
D. Require Encrypted Authentication
При отсутствии стандартов на операционную систему, протокол и метод доступа для удаленных клиентов какой максимальный уровень безопасности можно реализовать, чтобы ваши пользователи не потеряли возможности подключения через RAS?
А. Любые пароли, включая обычный текст (Allow Any Authentication Including Clear Text)
В. Шифрование паролей Microsoft (Microsoft Encrypted Authentication)
D. Шифрование паролей (Require Encrypted Authentication)
Which of the following statements about PPP and SLIP are true? [Check all correct
A. PPP supports encrypted passwords; SLIP does not.
B. SLIP supports NetBEUI, IPX/SPX, and TCP/IP; PPP only supports TCP/IP.
C. PPP supports DHCP; SLIP does not.
D. SLIP is used to access Unix servers.
E. PPP is the most commonly used WAN protocol.
Какие из следующих утверждений о PPP и SLIP верны? [Пометьте все правильные ответы]
А. PPP поддерживает шифрование паролей, а SUP не поддерживает.
В. SUPпoддepживаeтNetBEUI,IPX/SPXиTCP/IP;PPPпoддepживаeт тoлько TCP/IP.
С. PPP поддерживает ОНСР, a SLIP не поддерживает.
D. SLIP используется для подключения к серверам Unix.
Whkh of the following NT networking activities are supported by a РРР RAS connection? [Check all correct answers]
A. Printer share access
C. WinSOCK API applications over TCP/IP
D. Interprocess Communications (IPC)
Е. User logon authentication
Какие из следующих сетевых операций NT поддерживаются соединением РРР RAS? [Пометьте все правильные ответы]
А. Общий доступ к принтерам
В. Именованные каналы
С. Приложения WinSOCK API через TCP/IP
D. Interprocess Communications (IPC)
Е. Проверка подлинности пользователя при входе
Поскольку клиент, подключенный через RAS, ничем не отличается от клиента, подключенного напрямую (не считая скорости пересьшки данных), все стандартные сетевые операции выполняются и для подключений через глобальную сеть. Следовательно, верны все пять ответов.
While connected to the office LAN, you create a shortcut on your desktop that points to a documents folder located on the LAN’s file server. After working with a few files from this folder, you close your RAS session. Later, you attempt to reopen the files you edited earlier. What happens?
A. Access is denied because no link to the LAN exists.
В. The file is pulled from the network cache.
C. A file with a similar name on your local hard drive is accessed instead.
D. RAS AutoDial attempts to reconnect to the office LAN.
Во время подключения к офисной локальной сети вы создаете на рабочем столе ярлык для папки с документами, находящейся на файловом сервере локальной сети. Поработав с некоторыми файлами из этой палки, вы завершаете сеанс RAS. Позднее вы пытаетесь снова открыть ранее редактировавшиеся файлы. Что происходит?
А. В доступе к файлу будет отказано, поскольку не существует подключения к локальной сети.
В. Файл извлекается из сетевого кэша.
С. Происходит обращение к файлу с тем же именем на локальном жестком диске.
D. RAS пытается подключиться к офисной локальной сети посредством автодозвона.
Where can you find information related to RAS problems to aid in troubleshooting? [Check all correct answers]
Где можно найти диагностическую информацию о проблемах RAS? [Пометьте
все правильные ответы]
What is the best method for offering reliable and secure access to your network over the Internet for your remote users?
A. Internet Information Server
В. Serial Line Interface Protocol
С. Point-to-Point Tunneling Protocol
D. Require Encrypted Authentication
Как лучше всего организовать надежный и безопасный доступ к вашей сети через Интернет для удаленных пользователей?
A. Internet Information Server
В. SLIP (Serial Line Interface Protocol)
С. РРТР (Point-to-Point Tunneling Protocol)
D. Шифрование паролей
You have a field technician who travels extensively around the country. Her schedule changes often, and she rarely visits the same places twice. It is important that she is able to connect to the office LAN periodically, but your organization’s security policy requires callback security on all RAS connections. How can you configure her account so that she is able to gain access, while also supporting your organization’s security?
A. Set the callback security to No Call Back only for her account.
В. Enable callback security with Set By Caller selected.
С. Set the callback security to Preset To with her home phone number.
D. Set the callback security to Roaming, and give her the page number to configure the callback number remotely.
Е. Turn on the callback Caller ID capture.
У вас работает технический специалист, которому приходится много ездить по стране. Его расписание часто меняется, и он редко посещает одно место дважды. Необходимо обеспечить ему возможность периодического подключения к офисной локальной сети, однако в соответствии с правилами безопасности вашей организации для всех соединений RAS должен использоваться ответный вызов. Как настроить его учетную запись, чтобы обеспечить ему подключение к сети с соблюдением правил безопасности вашей организации?
А. Запретить ответный вызов только для его учетной записи.
В. Разрешить ответный вызов с заданием номера вызывающей стороной.
С. Настроить ответный вызов на заданный заранее номер его домашнего телефона.
D. Настроить ответный вызов для перемещаемого пользователя и предоставить ему специальный номер для удаленной настройки номера обратного вызова.
Е. Включить запись идентификатора вызывающей стороны для ответного вызова.
Which protocols can be used over a RAS connection?
A. TCP/IP, NetBEUI, but not NWLink
В. TCP/IP, NWLink, but not NetBEUI
D. TCP/IP, NetBEUI, and NWLink
Какие протоколы могут использоваться в соединениях RAS?
A. TCP/IP, NetBEUI, но не NWLink
В. TCP/IP, NWLink, но не NetBEUI
D. TCP/IP, NetBEUI и NWLink
What are the possible uses of a null-modem cable? [Check all correct answers]
A. Attach a workstation to a domain.
B. Enable subnet routing.
C. Test a RAS server locally.
D. Establish a VPN over the Internet.
Е. Temporarily connect two LANs.
Каковы возможные применения нуль-модемного кабеля? [Пометьте все правильные ответы]
А. Подключение рабочей станции к домену.
В. Обеспечение маршрутизации в подсетях.
С. Локальное тестирование сервера RAS.
D. Создание виртуальных частных сетей (VPN) в Интернете.
Е. Временное соединение двух локальных сетей.
^bur LAN uses both NetBEUI and NWLink protocols. Your RAS server supports NetBEUI and TCP/IP, bound in that order. A RAS client also uses both NetBEUI and TCP/IP, bound in that order. Which of the following activities cannot occur over a RAS connection made between the client and the server?
A. Accessing a directory list of NetBIOS share names
В. Accessing resources on the LAN
С. Accessing resources on the RAS server
D. Accessing WinSOCK applications
В вашей локальной сети используются протоколы NetBEUI и NWLink. Ваш сервер RAS поддерживает протоколы NetBEUI и TCP/IP, привязанные в этом порядке. Клиент RAS тоже поддерживает протоколы NetBEUI и TCP/IP, привязанные в этом порядке. Какая из перечисленных ниже операций не может выполняться через подключения RAS, установленные между клиентом и сервером?
А. Обращение к списку каталогов общих сетевых имен NetBIOS
В. Работа с ресурсами локальной сети
С. Работа с ресурсами на сервере RAS
D. Работа с приложениями WinSOCK
If static name resolution is used, what is the proper location of the HOSTS and LMHOSTS files to optimize the lookup time?
A. Both HOSTS and LMHOSTS should be stored on the RAS clients.
В. HOSTS should be stored on the RAS server, and LMHOSTS should be stored on the RAS clients.
С. Both HOSTS and LMHOSTS should be stored on the RAS server.
D. HOSTS should be stored on the RAS clients, and LMHOSTS should be stored on the RAS server.
Если используется статическое преобразование имен, где должны находиться файлы HOSTS and LMHOSTS для оптимизации времени преобразования?
А. Файлы HOSTS и LMHOSTS должны храниться на клиенте RAS.
С. Файлы HOSTS и LMHOSTS должны храниться на сервере RAS.
Найдите на компакт-диске TechNet (или в его электронной версии на www.microsoft.com) ключевые выражения ‘RAS’, ‘Remote Access’, ‘РРР’ и ‘modems’.