Автоматизация сетевого подключения
Средство автонабора номера позволяет автоматизировать процесс установки сетевого подключения или подключения удаленного доступа. Когда данная возможность включена, сетевые адреса сопоставляются с конечными пунктами удаленных подключений, что позволяет автоматически устанавливать подключение при обращении к удаленному ресурсу.
Процесс подключения для любого клиента Microsoft можно также автоматизировать с помощью простого пакетного файла и команды rasdial, либо с помощью специального приложения Windows NT или Windows 2000, которое поддерживает удаленный доступ.
См. также
Использование окна терминала в процессе удаленного входа
Если на сервере PPP или SLIP, к которому выполняется подключение, требуется входить в систему с помощью экрана эмуляции терминала, нужно настроить параметры сценария для данного сетевого подключения на использование окна терминала. В этом случае после установки соединения с удаленной системой появляется текстовое окно, в котором отображается последовательность операций входа в систему. Выполните в этом окне все действия, необходимые для входа на удаленный компьютер. Дополнительные сведения см. в разделе Чтобы войти на удаленный компьютер с помощью окна терминала. Можно также автоматизировать процесс входа в удаленную систему, как описано в разделе Автоматизация процесса входа в удаленную систему с помощью сценариев Switch.inf.
В некоторых коммерческих сетях перед процедурой входа на экран выводятся большие меню со списком предоставляемых услуг. При входе на серверы SLIP, обычно работающие под управлением UNIX, иногда приходится выполнять длинную последовательность команд, которые обновляют файлы, собирают данные о пользователе или настраивают подключение SLIP. Новые серверы PPP, как правило, запрашивают лишь имя пользователя и пароль.
Примечание
Если удаленный компьютер является сервером удаленного доступа, работающим под управлением Windows, то использовать окно терминала при входе не нужно. В этом случае процесс входа полностью автоматизирован.
Мобильные пользователи и сертификаты
Мобильные пользователи должны включать на своих компьютерах поддержку сертификатов. Если системный администратор перед выдачей компьютера пользователю не установил на нем сертификаты компьютера и пользователя, то пользователь должен сам подключиться к корпоративной сети, применяя обычные методы парольной проверки подлинности, и получить необходимые сертификаты. Подключившись, пользователь присоединяет свой компьютер к корпоративному домену, получает сертификаты и устанавливает политику сертификатов. При следующем подключении к корпоративной сети он сможет использовать методы проверки подлинности с помощью сертификатов, такие как протокол EAP.
Чтобы включить использование сертификатов на компьютере, выполните следующие действия.
Войдите в корпоративную сеть, используя подключение удаленного доступа или сетевое подключение по протоколу PPTP, а также протокол проверки подлинности, такой как MS-CHAP или MS-CHAP v2. При этом компьютер будет включен в корпоративный домен и получит сертификаты компьютера.
Запросите сертификат пользователя. Дополнительные сведения о запросе сертификатов см. в разделах Запрос сертификата, Отправка запроса на сертификат пользователя через Интернет и Запрос сертификатов.
Создайте другое подключение, использующее проверку подлинности с помощью сертификатов. Подключитесь снова, используя такие методы проверки подлинности, как EAP или IPSec. Дополнительные сведения о включении режима использования смарт-карты или других сертификатов см. в разделе Чтобы включить проверку подлинности с помощью смарт-карт или других сертификатов.
Системный администратор может избавить пользователя от необходимости выполнять эти операции, установив сертификаты компьютера и пользователя на переносной компьютер перед выдачей его пользователю.
Примечание
Для автоматического получения сертификатов компьютера необходимо установить политику открытых ключей (с помощью оснастки «Групповая политика»), которая автоматически регистрирует компьютеры, нуждающиеся в сертификатах. Если процесс получения сертификатов компьютера не автоматизирован, необходимо войти на компьютер с учетной записью администратора, установить службы сертификации и запросить сертификат компьютера. Дополнительные сведения см. в разделах Управление сертификатами компьютера и Управление сертификатами учетной записи пользователя.
Наблюдение за сетевыми подключениями
Команда Состояние позволяет просматривать сведения об активном подключении.
С помощью команды Состояние могут быть получены следующие данные.
Продолжительность работы подключения.
Начальная скорость подключения.
Для одноканального подключения и для отдельных составляющих многоканального подключения эта скорость согласовывается (и фиксируется) во время установки подключения или канала. Для многоканального подключения эта скорость равна сумме скоростей отдельных каналов. При добавлении или удалении каналов общая скорость меняется.
Для подключений по локальной сети — число байтов, переданных и принятых с момента установки соединения. Для подключений других типов — число байтов, переданных и принятых байтов с момента установки соединения, а также статистика сжатия данных и исправления ошибок.
Средства диагностики подключения (если таковые есть). Например, средство устранения неполадок сетей Windows, программа TCP/IP Autoping и программа настройки Windows IP для TCP/IP. Такие средства явно регистрируются в XOX их разработчиками (как в корпорации Майкрософт, так и в любой другой организации).
Дополнительные сведения см. в разделе Чтобы выбрать режим наблюдения за подключением.
Примечание
Если компьютер настроен на прием входящих подключений, то для каждого подключающегося пользователя в папку «Сетевые подключения» будет добавляться значок подключения с именем этого пользователя. Для получения сведений о конкретном входящем подключении щелкните его правой кнопкой мыши и выберите команду Состояние.
Настройка сетевого подключения
Конфигурация любого сетевого подключения или подключения удаленного доступа задается набором параметров. Для каждого подключения определяются такие параметры, как номер телефона, число попыток повторного набора номера и т. п. Эти параметры, применяющиеся до или после установки подключения, не влияют на настройку других подключений. Например, если один из серверов часто оказывается занят, то подключение к нему можно настроить на десятикратное повторение набора номера. Для другого сервера, менее загруженного, можно задать подключение удаленного доступа с тремя попытками установить связь. Параметры повторного набора номера первого подключения никак не повлияют на число попыток набора номера для второго подключения — их никогда не будет больше трех. Для настройки подключения удаленного доступа не нужно изменять никакие параметры, не относящиеся к данному подключению.
Изменение некоторых сетевых параметров подключения может повлиять на другие подключения. Например, если добавить в список доступных сетевых компонентов какого-либо подключения протокол IPX/SPX, то этот протокол хотя и не будет включен, но станет доступен другим подключениям, установленным на этом же компьютере.
Параметры можно изменять и для активных подключений. Разрешается также переименовывать активные подключения. Однако для сохранения изменений может потребоваться повторное подключение. В таком случае соединение разрывается, измененные параметры сохраняются, после чего подключение сразу же восстанавливается.
Для каждого подключения задается минимальный набор необходимых для успешного соединения параметров. Эти параметры расположены на вкладке Общие. Например, для подключений по локальной сети на этой вкладке достаточно указать лишь сетевой адаптер. Для подключений удаленного доступа вкладка Общие содержит такие необходимые сведения, как устройство для подключения, номер телефона и коды города и страны.
Для исходящих подключений на вкладках Параметры, Безопасность, Сеть и Доступ можно задать дополнительные параметры конфигурации.
Для входящих подключений дополнительные параметры задаются на вкладках Пользователи и Сеть.
Другие дополнительные параметры настраиваются в диалоговом окне, вызываемом командой Дополнительные параметры меню Дополнительно папки «Сетевые подключения». Изменив надлежащим образом эти параметры, можно добиться повышения производительности. Например, порядок обращения к службам доступа к сети и сетевым протоколам определяется в диалоговом окне Дополнительные параметры. Если подключение локальной сети обеспечивает доступ к сетям NetWare и Microsoft Windows, использующим протоколы TCP/IP и IPX, но используется главным образом для работы в сети Microsoft Windows с протоколом TCP/IP, то можно переместить элемент Сеть Microsoft Windows в начало списка Службы доступа к сети на вкладке Порядок служб доступа, а элемент Протокол Интернета (TCP/IP) — в начало списка привязки для узла Служба доступа к файлам и принтерам сетей Microsoft на вкладке Адаптеры и привязки. Изменение порядка служб доступа к сети и порядка привязки протоколов позволит повысить производительность.
XOX
См. также
Ответный вызов
Функция ответного вызова предписывает серверу удаленного доступа отключиться после получения вызова клиента и выполнить ответный вызов. Такая возможность позволяет снизить расходы и обеспечивает дополнительную защиту сети. Поскольку сразу после вызова клиента соединение разрывается и ответный вызов выполняет сервер, расходы пользователя на оплату услуг телефонной связи уменьшаются. Требование ответного вызова укрепляет безопасность сети, так как доступ к серверу становится возможным только для пользователей, находящихся в определенном месте. Разрыв связи и незамедлительный ответный вызов по заранее определенному номеру позволяет предотвратить большинство попыток несанкционированного доступа с использованием чужих учетных данных.
Если администратор включил функцию ответного вызова как обязательное средство, то после получения вызова от клиента сервером удаленного доступа происходит следующее.
Сервер проверяет правильность имени пользователя и пароля.
Если они правильны, сервер отключается и выполняет ответный вызов.
Если ответный вызов разрешен администратором и настроен на клиентском компьютере с помощью команды меню Параметры удаленного доступа, то после получения вызова сервером удаленного доступа происходит следующее.
Сервер проверяет правильность имени пользователя и пароля.
Если они правильны, на локальном компьютере открывается диалоговое окно Ответный вызов.
Пользователь вводит в этом окне номер для ответного вызова и ожидает, пока сервер отключится и выполнит ответный вызов.
Если нужно отменить ответный вызов и сохранить подключение к серверу, нажмите клавишу ESC.
Дополнительные сведения о настройке параметров ответного вызова см. в разделе Чтобы настроить ответный вызов.
Примечания
Полномочия пользователей в отношении ответного вызова определяются системным администратором. Администратор может запретить использование ответного вызова, разрешить ответный вызов с параметрами, задаваемыми пользователем, или потребовать обязательного выполнения ответного вызова по заданному номеру. Чтобы получить сведения о доступных возможностях ответного вызова, обратитесь к системному администратору.
Если компьютер настроен на прием входящих подключений, можно включить на нем принудительное использование ответного вызова. Дополнительные сведения см. в разделе Чтобы настроить ответный вызов для входящих подключений.
Устранение неполадок, связанных со сценариями удаленного входа
Все данные, передаваемые между сетевым подключением, модемом и удаленным устройством, в том числе сообщения об ошибках, обнаруженных удаленным устройством, можно заносить в журнал.
В журнале можно просматривать команды модема. Если включить ведение журнала, команды, адресуемые модему, будут записываться в файл системный_корневой_каталог\ModemLog_модель.txt. Модель — это имя модема в том виде, в котором оно фигурирует в списке установленных модемов. Сведения о журнале команд модема см. в разделе Ведение и просмотр журнала команд модема.
Администрирование сети VPN
Используя политики доступа в сети, обслуживаемой сервером удаленного доступа, системный администратор может настроить параметры пользователя виртуальной частной сети (VPN) так, чтобы укрепить безопасность сетевой среды, например повысить требуемые уровни проверки подлинности и шифрования данных и паролей. Эти требования будут распространяться либо на отдельных пользователей, либо на группу (или профиль) пользователей. Например, системный администратор может настроить параметры удаленного доступа для профиля группы таким образом, чтобы проверка подлинности всех пользователей этой группы производилась по протоколу EAP (Extensible Authentication Protocol), а их данные шифровались с использованием 128-разрядного ключа. Такие меры безопасности будут автоматически вводиться при подключении любого пользователя данного профиля к серверу удаленного доступа.
Подключение VPN следует настроить в соответствии с политиками, установленными администратором сети. Дополнительные сведения о настройке подключений см. в разделе Чтобы настроить подключение.
Безопасность IP-адресов
В локальной сети могут использоваться незарегистрированные IP-адреса (или адреса, зарезервированные в InterNIC для частных сетей, например, в диапазоне 10.x.y.z), а для поддержания связи через Интернет необходим действительный общий IP-адрес. Внутри конверта, пересылаемого по виртуальной частной сети, содержатся пользовательские пакеты, в которых указан адрес отправителя и адрес в частной сети назначения. Так как пакеты шифруются, адресные данные удаленной частной сети будут защищены. В Интернете виден лишь общий IP-адрес. Для организаций, внутренние IP-адреса которых не согласованы с InterNIC, это очень существенно, так как позволяет избежать административных расходов, связанных с изменением IP-адресов для удаленного доступа через Интернет.
См. также
Поддержка сетевых протоколов в VPN
Так как виртуальные частные сети (VPN) поддерживают большинство общераспространенных сетевых протоколов, клиенты сетей Ethernet, TCP/IP и IPX могут легко использовать подключения VPN. Все сетевые протоколы, поддерживаемые службой удаленного доступа, соответственно поддерживаются и сетью VPN. Это означает, что пользователи могут запускать в удаленном режиме программы, работающие с конкретными сетевыми протоколами. В результате снижаются затраты на настройку и сопровождение подключений VPN.
XOX
См. также
Повышенная безопасность сетей VPN
Для проверки подлинности подключений виртуальных частных сетей (VPN), поддерживающих протокол PPTP или L2TP, применяются методы проверки на уровне пользователей, основанные на протоколе PPP. К этим методам относятся протоколы Password Authentication Protocol (PAP), Challenge Handshake Authentication Protocol (CHAP), Shiva Password Authentication Protocol (SPAP), Microsoft Challenge Authentication Protocol (MS-CHAP) и (как необязательное средство) Extensible Authentication Protocol (EAP).
Благодаря новым возможностям, предлагаемым протоколами EAP (Extensible Authentication Protocol) и IPSec (Internet Protocol security), виртуальные частные сети обеспечивают повышенную безопасность для удаленных пользователей. Например, если сервер удаленного доступа настроен на проверку по протоколу EAP, то на подключениях удаленного доступа и подключениях VPN к этому серверу будет использоваться высший уровень проверки подлинности. Системный администратор может пользоваться средствами проверки подлинности и шифрования, предоставляемыми протоколом PPP (Point-to-Point Protocol), применять фильтрацию PPTP на сервере удаленного доступа и настраивать серверы удаленного доступа в Интернете на обслуживание только клиентов PPTP, прошедших проверку подлинности и использующих шифрование данных; в результате усиливается безопасность данных и заметно повышается эффективность управления удаленными пользователями.
В некоторых средах используются настолько секретные данные, что их приходится физически изолировать и скрывать от большинства пользователей организации. Примерами таких данных являются сведения финансового характера и данные о персонале предприятия. Организации могут использовать подключения VPN, проходящие через сервер VPN, для физического изолирования серверов с особо секретными данными, в то же время предоставляя отдельным сотрудникам безопасный доступ к этим данным. Пользователь корпоративной интрасети, имеющий соответствующие разрешения, может установить удаленное клиентское подключение VPN к серверу VPN и работать с защищенными ресурсами закрытой части сети. Кроме того, для обеспечения конфиденциальности данных весь трафик, передаваемый по виртуальной частной сети, шифруется. Для пользователей, не обладающих разрешениями на установку подключения VPN к серверу VPN, этот сервер останется скрытым.
См. также
Преимущества VPN с точки зрения стоимости
Виртуальные частные сети (VPN) позволяют пользователям, работающим в пути и дома, подключаться к локальным сетям своих организаций через Интернет, неся при этом значительно меньше расходов, чем в случае традиционных решений удаленного доступа. Очевидно, что выгоднее пользоваться коммутатором телефонной компании, чем протягивать собственные телефонные линии и приобретать персональный коммутатор; точно так же при вызове сервера удаленного доступа, поддерживающего PPTP, по IP-адресу или DNS-имени задействуются уже имеющиеся маршрутизаторы Интернета, коммутаторы ATM и цифровые и аналоговые линии, причем без ущерба для безопасности.
Подключиться к виртуальной частной сети можно с помощью сетевого адаптера, аналогично тому, как к обычному удаленному серверу подключаются через модем. Сети VPN избавляют организации от расходов на приобретение и обслуживание таких компонентов, как банки модемов и выделенные аналоговые телефонные линии. Модемы и связанная с ними инфраструктура сосредоточены у поставщика услуг Интернета, что никак не отражается на уровне безопасности и не ограничивает возможности управления удаленными подключениями. Безопасный доступ по сети VPN к частным данным обеспечивается за счет дополнительной проверки подлинности, шифрования и сжатия данных пользователей.
См. также
передает данные при помощи
Сеть X. 25 передает данные при помощи протокола коммутации пакетов, действуя в обход зашумленных телефонных линий. Этот протокол основывается на развитой всемирной сети узлов пересылки пакетов, с помощью которых пакеты X.25 доставляются по своим адресам назначения.
Компонент «Сетевые подключения» поддерживает протокол X.25, позволяя использовать устройства сборки и разборки пакетов (PAD) и платы X.25. На локальном компьютере вместо устройств PAD и интеллектуальных плат можно также использовать модемы и специальные службы удаленного доступа по сети X.25 (такие, как Sprintnet и Infonet).
Для осуществления подключения клиенты удаленного доступа, использующие XOX или Windows 2000 Server, могут либо использовать плату X.25, либо соединиться с устройством PAD X.25. Для приема входящих подключений X.25 на компьютере XOX или Windows 2000 Server, необходимо использовать плату X.25.
Дополнительные сведения об установке платы X.25 см. в разделе Чтобы установить оборудование X.25.
Дополнительные сведения о создании подключения X.25 см. в разделе Чтобы создать подключение удаленного доступа по сети X.25.
