Windows-Server-2003-網(wǎng)絡(luò)基本架構(gòu)的實現(xiàn)和管理-13

WindowsServer2003

網(wǎng)絡(luò)基本架構(gòu)的

實現(xiàn)和管理第1章了解TCP/IP協(xié)議組第2章在多子網(wǎng)網(wǎng)絡(luò)中分

配IP地址第3章使用路由和遠程訪

問配置路由第4章配置客戶端IP地址第5章使用DHCP分配IP

地址第6章管理和監(jiān)視

DHCP第7章解析名稱第8章使用DNS解析主機名第9章管理和監(jiān)視域名系統(tǒng)第10章安裝和配置Windows

Internet名稱服務(wù)第11章找出一般連接性問題第12章使用IPSec和證書保

護網(wǎng)絡(luò)通信第13章配置網(wǎng)絡(luò)訪問第14章管理并監(jiān)視網(wǎng)絡(luò)訪問第13章配置網(wǎng)絡(luò)訪問網(wǎng)絡(luò)訪問基礎(chǔ)結(jié)構(gòu)簡介配置VPN連接配置撥號連接配置無線連接控制用戶對網(wǎng)絡(luò)的訪問使用IAS集中網(wǎng)絡(luò)訪問身份驗證和策略管理網(wǎng)絡(luò)訪問基礎(chǔ)結(jié)構(gòu)簡介網(wǎng)絡(luò)訪問基礎(chǔ)結(jié)構(gòu)的組件網(wǎng)絡(luò)訪問服務(wù)器的配置要求網(wǎng)絡(luò)訪問客戶端網(wǎng)絡(luò)訪問身份驗證和授權(quán)可用的身份驗證方法13.1網(wǎng)絡(luò)訪問基礎(chǔ)結(jié)構(gòu)簡介多媒體演示介紹網(wǎng)絡(luò)訪問基礎(chǔ)結(jié)構(gòu)網(wǎng)絡(luò)訪問基礎(chǔ)結(jié)構(gòu)概述及網(wǎng)絡(luò)訪問服務(wù)協(xié)同工作的工作原理完成多媒體后，能夠：解釋網(wǎng)絡(luò)訪問基礎(chǔ)結(jié)構(gòu)的組件描述網(wǎng)絡(luò)訪問組件提供遠程訪問的解決方案描述遠程訪問進程的工作原理網(wǎng)絡(luò)訪問基礎(chǔ)結(jié)構(gòu)的組件網(wǎng)絡(luò)訪問服務(wù)器IAS服務(wù)器DHCP服務(wù)器域控制器網(wǎng)絡(luò)訪問服務(wù)網(wǎng)絡(luò)訪問客戶端驗證服務(wù)ActiveDirectory（不是必需的）撥號客戶端無線訪問點無線客戶端VPN客戶端13.1.1網(wǎng)絡(luò)訪問基礎(chǔ)結(jié)構(gòu)的組件網(wǎng)絡(luò)訪問服務(wù)器的配置要求要配置網(wǎng)絡(luò)訪問服務(wù)器，需了解：服務(wù)器是否作為路由器身份驗證方法及其提供者客戶端可以訪問的網(wǎng)絡(luò)資源IP地址的分配PPP配置選項事件日志的選項對客戶端來說，網(wǎng)絡(luò)訪問服務(wù)器就像是網(wǎng)絡(luò)的網(wǎng)關(guān)13.1.2網(wǎng)絡(luò)訪問服務(wù)器的配置要求網(wǎng)絡(luò)訪問客戶端客戶端類型描述VPN客戶端通過共享網(wǎng)絡(luò)或者公共網(wǎng)絡(luò)連接到網(wǎng)絡(luò)仿效專用網(wǎng)絡(luò)的點對點鏈接撥號客戶端通過通信網(wǎng)絡(luò)連接到網(wǎng)絡(luò)創(chuàng)建一個到專用網(wǎng)絡(luò)中遠程訪問服務(wù)器的某個端口的物理連接

通過調(diào)制解調(diào)器或者ISDN網(wǎng)卡撥入遠程訪問服務(wù)器無線客戶端通過紅外或射頻技術(shù)連接到網(wǎng)絡(luò)包括不同設(shè)備類型13.1.3網(wǎng)絡(luò)訪問客戶端網(wǎng)絡(luò)訪問身份驗證和授權(quán)網(wǎng)絡(luò)訪問服務(wù)器網(wǎng)絡(luò)訪問客戶端域控制器身份驗證當遠程用戶試圖訪問網(wǎng)絡(luò)時（交互登錄），驗證連接到網(wǎng)絡(luò)服務(wù)的用戶標識121

授權(quán)驗證連接是允許的，登錄成功后發(fā)生授權(quán)行為213.1.4網(wǎng)絡(luò)訪問身份驗證和授權(quán)可用的身份驗證方法遠程和無線驗證方法包括：CHAPPAPSPAPMS-CHAPMS-CHAPv2EAP-TLSPEAPMD-5質(zhì)詢推薦使用智能卡驗證用戶身份13.1.5可用的身份驗證方法可用的身份驗證方法13.1.5可用的身份驗證方法身份驗證方法說明質(zhì)詢握手身份驗證協(xié)議（CHAP，ChallengeHandshakeAuthenticationProtocol）有許多網(wǎng)絡(luò)訪問服務(wù)器和客戶端的供應(yīng)商使用CHAP路由和遠程訪問服務(wù)支持CHAP密碼身份驗證協(xié)議（PAP，PasswordAuthenticationProtocol）使用純文本的密碼，是最簡單的身份驗證協(xié)議Shiva密碼身份驗證協(xié)議（SPAP，ShivaPasswordAuthenticationProtocol）一種簡單的加密密碼的身份驗證協(xié)議Shiva遠程訪問服務(wù)器支持SPAPMicrosoft質(zhì)詢握手身份驗證協(xié)議（MS-CHAP，MicrosoftChallengeHandshakeAuthenticationProtocol）MicrosoftWindows95客戶端使用MS-CHAP僅支持Microsoft客戶端Microsoft質(zhì)詢握手身份驗證協(xié)議版本2（MS-CHAPv2，MicrosoftChallengeHandshakeAuthenticationProtocolversion2）執(zhí)行雙向身份驗證MicrosoftWindows2000及后續(xù)操作系統(tǒng)默認安裝MS-CHAPv2作為遠程訪問身份驗證協(xié)議可用的身份驗證方法13.1.5可用的身份驗證方法第13章配置網(wǎng)絡(luò)訪問網(wǎng)絡(luò)訪問基礎(chǔ)結(jié)構(gòu)簡介配置VPN連接配置撥號連接配置無線連接控制用戶對網(wǎng)絡(luò)的訪問使用IAS集中網(wǎng)絡(luò)訪問身份驗證和策略管理配置VPN連接VPN連接的工作原理VPN連接的組件VPN連接的加密協(xié)議VPN服務(wù)器的配置要求配置VPN連接的遠程訪問服務(wù)器的方法配置VPN連接的遠程訪問客戶端的方法配置遠程訪問服務(wù)器使用智能卡驗證身份的方法課堂練習(xí)配置VPN連接13.2配置VPN連接域控制器VPN客戶端VPN服務(wù)器VPN連接的工作原理VPN（VirtualPrivateNetwork，虛擬專用網(wǎng)絡(luò)）擴展了專用網(wǎng)絡(luò)的容量，包括跨越Internet等共享或公共網(wǎng)絡(luò)的鏈路，有了VPN，就能仿效點對點鏈路3VPN服務(wù)器驗證并且授權(quán)客戶端2VPN服務(wù)器應(yīng)答客戶端的請求4VPN服務(wù)器傳輸數(shù)據(jù)VPN客戶端請求VPN服務(wù)器113.2.1VPN連接的工作原理VPN連接的組件VPN隧道

隧道協(xié)議

隧道數(shù)據(jù)VPN客戶端VPN服務(wù)器地址和名稱服務(wù)器分配DHCP服務(wù)器域控制器身份驗證傳輸網(wǎng)絡(luò)13.2.2VPN連接的組件遠程用戶連接到總公司網(wǎng)絡(luò)遠程訪問服務(wù)器分公司連接到分公司遠程訪問服務(wù)器VPN連接的加密協(xié)議使用L2TP/IPSec的遠程訪問服務(wù)器的例子

分類描述PPTP（Piont-to-PointTunnelingProtocol，點對點隧道協(xié)議）采用用戶級別的點對點協(xié)議身份驗證方法和微軟點對點機密方法(MPPE)加密數(shù)據(jù)L2TP/IPSec（LayerTwoTunnelingProtocol，第二層隧道協(xié)議）在IPSec加密的網(wǎng)絡(luò)中采用用戶級別的點對點身份驗證方法推薦使用的VPN網(wǎng)絡(luò)訪問的身份驗證方法是：帶證書的L2TP/IPSec13.2.3VPN連接的加密協(xié)議

VPN服務(wù)器的配置要求添加遠程訪問服務(wù)器/VPN服務(wù)器之前：確認連接到Internet的網(wǎng)絡(luò)接口和連接到專用網(wǎng)絡(luò)的網(wǎng)絡(luò)接口確認遠程客戶端是從你所在專用網(wǎng)絡(luò)的DHCP服務(wù)器，還是從正在配置的VPN服務(wù)器接收IP地址確認VPN客戶端的連接請求是由RADIUS服務(wù)器，還是由正在配置的VPN服務(wù)器進行身份驗證13.2.4VPN服務(wù)器的配置要求配置VPN連接的遠程訪問服務(wù)器的方法演示：在ActiveDirectory中注冊遠程訪問服務(wù)器配置VPN連接的遠程訪問服務(wù)器在服務(wù)器上配置可用端口的數(shù)目13.2.5配置VPN連接的遠程訪問服務(wù)器的方法配置VPN連接的遠程訪問客戶端的方法演示：配置VPN連接的遠程訪問客戶端13.2.6配置VPN連接的遠程訪問客戶端的方法配置遠程訪問服務(wù)器使用智能卡驗證身份的方法演示：配置遠程訪問服務(wù)器使用智能卡驗證13.2.7配置遠程訪問服務(wù)器使用智能卡驗證身份的方法課堂練習(xí)配置VPN連接目的： 配置VPN連接13.2.8課堂練習(xí)配置VPN連接第13章配置網(wǎng)絡(luò)訪問網(wǎng)絡(luò)訪問基礎(chǔ)結(jié)構(gòu)簡介配置VPN連接配置撥號連接配置無線連接控制用戶對網(wǎng)絡(luò)的訪問使用IAS集中網(wǎng)絡(luò)訪問身份驗證和策略管理配置撥號連接撥號網(wǎng)絡(luò)訪問的工作原理撥號連接的組件撥號連接的身份驗證方法遠程訪問服務(wù)器的配置要求配置撥號連接的遠程訪問服務(wù)器的方法配置撥號連接的遠程訪問客戶端的方法13.3配置撥號連接撥號網(wǎng)絡(luò)訪問的工作原理域控制器撥號客戶端撥號網(wǎng)絡(luò)是遠程訪問客戶端對遠程訪問服務(wù)器上的物理端口進行短暫撥號連接的過程，該客戶端使用遠程通信提供程序提供的服務(wù)3遠程訪問服務(wù)器驗證并授權(quán)客戶端2遠程訪問服務(wù)器應(yīng)答客戶端請求4遠程訪問服務(wù)器傳輸數(shù)據(jù)撥號客戶端請求遠程訪問服務(wù)器1遠程訪問服務(wù)器13.3.1撥號網(wǎng)絡(luò)訪問的工作原理撥號連接的組件撥號客戶端地址和名稱服務(wù)器分配DHCP服務(wù)器域控制器身份驗證遠程訪問服務(wù)器廣域網(wǎng)選項：電話、ISDN、X.25或者ATM局域網(wǎng)和遠程訪問協(xié)議13.3.2撥號連接的組件撥號可用的身份驗證方法包括：撥號連接的身份驗證方法遠程訪問服務(wù)器遠程訪問用戶最強的身份驗證方法：帶有EAP-TLS的智能卡雙重驗證CHAPPAPSPAPMS-CHAPMS-CHAPv2EAP-TLSEAP-MD5質(zhì)詢13.3.3撥號連接的身份驗證方法遠程訪問服務(wù)器的配置要求添加撥號遠程訪問服務(wù)器之前：確認客戶端是否從DHCP服務(wù)器或者遠程訪問服務(wù)器接收到IP地址確認是否通過RADIUS或者遠程訪問服務(wù)器驗證連接身份驗證用戶是否有為撥號訪問所配置的用戶賬戶

13.3.4遠程訪問服務(wù)器的配置要求配置撥號連接的遠程訪問服務(wù)器的方法演示：配置撥號連接的遠程訪問服務(wù)器13.3.5配置撥號連接的遠程訪問服務(wù)器的方法配置撥號連接的遠程訪問客戶端的方法演示：配置撥號連接的遠程訪問客戶端修改撥號連接的設(shè)置13.3.6配置撥號連接的遠程訪問客戶端的方法第13章配置網(wǎng)絡(luò)訪問網(wǎng)絡(luò)訪問基礎(chǔ)結(jié)構(gòu)簡介配置VPN連接配置撥號連接配置無線連接控制用戶對網(wǎng)絡(luò)的訪問使用IAS集中網(wǎng)絡(luò)訪問身份驗證和策略管理配置無線連接無線網(wǎng)絡(luò)訪問概述無線連接的組件無線標準無線網(wǎng)絡(luò)的身份驗證方法WindowsXPProfessional客戶端對于無線網(wǎng)絡(luò)訪問的配置要求為無線連接配置網(wǎng)絡(luò)訪問客戶端的方法13.4配置無線連接網(wǎng)絡(luò)訪問服務(wù)器IAS服務(wù)器DHCP服務(wù)器域控制器無線訪問點無線客戶端無線網(wǎng)絡(luò)訪問概述無線網(wǎng)絡(luò)技術(shù)是通過標準網(wǎng)絡(luò)協(xié)議和電磁波——不是網(wǎng)絡(luò)電纜在網(wǎng)絡(luò)設(shè)備之間傳輸信號標準描述WLAN基礎(chǔ)結(jié)構(gòu)客戶端連接到無線訪問點WLAN對等網(wǎng)無線網(wǎng)絡(luò)用戶不通過電纜直接與其他計算機通信13.4.1無線網(wǎng)絡(luò)訪問概述無線連接的組件DHCP服務(wù)器遠程訪問服務(wù)器域控制器無線客戶端（站）無線訪問點地址和名稱服務(wù)器分配身份驗證端口13.4.2無線連接的組件無線標準標準描述802.11IEEE開發(fā)的無線局域網(wǎng)定義OSI數(shù)據(jù)鏈路層的物理和MAC部分802.11b11Mbps易受無線信號干擾適用于家庭和小型商業(yè)用戶802.11a54Mbps使得無線局域網(wǎng)能更好地執(zhí)行視頻和會議應(yīng)用程序在密集區(qū)域運行良好不與802.11、802.11b和802.11g兼容802.11g802.11b的改良版，并與之兼容

帶寬54Mbps，但范圍比802.11b小802.1x登錄到網(wǎng)絡(luò)前首先需要驗證用戶身份可以在無線局域網(wǎng)或者有線局域網(wǎng)中使用需要更多硬件和基礎(chǔ)結(jié)構(gòu)上的投資13.4.3無線標準無線網(wǎng)絡(luò)的身份驗證方法802.1x的驗證方法描述EAP-MS-CHAPv2提供雙向驗證通過證書驗證服務(wù)器，通過基于密碼的憑據(jù)驗證用戶身份EAP-TLS提供雙向驗證，提供最強大的身份驗證和密鑰確定方法通過證書驗證服務(wù)器和客戶端PEAP支持EAP-TLS和EAP-MS-CHAPv2加密協(xié)商過程13.4.4無線網(wǎng)絡(luò)的身份驗證方法選擇網(wǎng)絡(luò)類型：訪問點計算機對計算機任何可用的網(wǎng)絡(luò)為選中的網(wǎng)絡(luò)類型配置合適的身份驗證方法平衡安全級別和部署工作：最高安全性，選擇帶證書的PEAP(EAP-TLS)部署最簡單，選擇帶密碼的PEAP(EAP-MS-CHAPv2)WindowsXPProfessional客戶端對于無線網(wǎng)絡(luò)訪問的配置要求13.4.5WindowsXPProfessional客戶端對于無線網(wǎng)絡(luò)訪問的配置要求為無線連接配置網(wǎng)絡(luò)訪問客戶端的方法演示：為無線連接配置網(wǎng)絡(luò)訪問客戶端13.4.6為無線連接配置網(wǎng)絡(luò)訪問客戶端的方法第13章配置網(wǎng)絡(luò)訪問網(wǎng)絡(luò)訪問基礎(chǔ)結(jié)構(gòu)簡介配置VPN連接配置撥號連接配置無線連接控制用戶對網(wǎng)絡(luò)的訪問使用IAS集中網(wǎng)絡(luò)訪問身份驗證和策略管理控制用戶對網(wǎng)絡(luò)的訪問用戶賬戶撥入權(quán)限為網(wǎng)絡(luò)訪問配置用戶賬戶的方法遠程訪問策略遠程訪問策略配置文件遠程訪問策略的處理方法配置遠程訪問策略的方法配置遠程訪問策略配置文件的方法課堂練習(xí)控制用戶訪問網(wǎng)絡(luò)13.5控制用戶對網(wǎng)絡(luò)的訪問用戶賬戶撥入權(quán)限通過配置撥入屬性控制用戶遠程訪問級別：遠程訪問權(quán)限（撥入或VPN）驗證呼叫方ID回撥選項

分配靜態(tài)IP地址應(yīng)用靜態(tài)路由13.5.1用戶賬戶撥入權(quán)限用戶賬戶撥入權(quán)限13.5.1用戶賬戶撥入權(quán)限為網(wǎng)絡(luò)訪問配置用戶賬戶的方法演示提升域功能級別在Windows2000純模式域中為用戶賬戶配置撥入屬性13.5.2為網(wǎng)絡(luò)訪問配置用戶賬戶的方法遠程訪問策略遠程訪問策略是由以下元素組成的命名規(guī)則：條件：將一個或多個屬性和試圖連接的客戶端設(shè)置進行比較遠程訪問權(quán)限：如果滿足條件，則要判斷是否授予遠程訪問權(quán)限配置文件：應(yīng)用到授權(quán)連接（通過用戶賬戶或策略權(quán)限設(shè)置授權(quán)）的屬性集13.5.3遠程訪問策略遠程訪問策略13.5.3遠程訪問策略條件遠程訪問權(quán)限配置文件遠程訪問策略配置文件撥入限制IP屬性IP地址分配IP篩選驗證加密高級設(shè)置遠程

訪問用戶13.5.4遠程訪問策略配置文件多重鏈接遠程訪問策略的處理方法還有要處理的策略嗎？開始嘗試的連接符合策略的條件嗎？是丟棄連接忽略用戶撥入屬性設(shè)置為假嗎？遠程訪問的權(quán)限設(shè)置為拒絕訪問嗎？是是否否下一個策略否用戶賬戶屬性中設(shè)置為拒絕嗎？是用戶賬戶屬性中設(shè)置為允許嗎？嘗試的連接符合用戶賬戶和配置文件的設(shè)置嗎？是是接收連接丟棄連接否否是否否13.5.5遠程訪問策略的處理方法配置遠程訪問策略的方法演示配置遠程訪問策略配置遠程訪問策略的新條件13.5.6配置遠程訪問策略的方法配置遠程訪問策略配置文件的方法演示：配置遠程訪問策略配置文件13.5.7配置遠程訪問策略配置文件的方法課堂練習(xí)控制用戶訪問網(wǎng)絡(luò)目的： 控制用戶對網(wǎng)絡(luò)的訪問13.5.8課堂練習(xí)控制用戶訪問網(wǎng)絡(luò)第13章配置網(wǎng)絡(luò)訪問網(wǎng)絡(luò)訪問基礎(chǔ)結(jié)構(gòu)簡介配置VPN連接配置撥號連接配置無線連接控制用戶對網(wǎng)絡(luò)的訪問使用IAS集中網(wǎng)絡(luò)訪問身份驗證和策略管理使用IAS集中網(wǎng)絡(luò)訪問身份驗證和策略管理RADIUSIAS

集中身份驗證的工作原理配置IAS服務(wù)器的網(wǎng)絡(luò)訪問身份驗證配置遠程訪問服務(wù)器使用IAS身份驗證的方法課堂練習(xí)用IAS集中網(wǎng)絡(luò)訪問身份驗證13.6使用IAS集中網(wǎng)絡(luò)訪問身份驗證和策略管理RADIUSRADIUS（RemoteAccessDial-InUserService，遠程訪問撥號用戶訪問）是廣泛使用的協(xié)議，基于客戶端/服務(wù)器模型，為網(wǎng)絡(luò)訪問啟用集中身份驗證、授權(quán)和記賬RADIUS是VPN、撥號和無線網(wǎng)絡(luò)的管理網(wǎng)絡(luò)訪問標準通過RADIUS可以實現(xiàn)跨多種類型網(wǎng)絡(luò)的集中管理RADIUS服務(wù)器從RADIUS客戶端或者RADIUS代理處接收和處理連接請求或者記賬消息13.6.1RADIUSIASIAS（InternetAuthentication