Windows-Server-2003-网络基本架构的实现和管理-13

WindowsServer2003

网络基本架构的

实现和管理第1章了解TCP/IP协议组第2章在多子网网络中分

配IP地址第3章使用路由和远程访

问配置路由第4章配置客户端IP地址第5章使用DHCP分配IP

地址第6章管理和监视

DHCP第7章解析名称第8章使用DNS解析主机名第9章管理和监视域名系统第10章安装和配置Windows

Internet名称服务第11章找出一般连接性问题第12章使用IPSec和证书保

护网络通信第13章配置网络访问第14章管理并监视网络访问第13章配置网络访问网络访问基础结构简介配置VPN连接配置拨号连接配置无线连接控制用户对网络的访问使用IAS集中网络访问身份验证和策略管理网络访问基础结构简介网络访问基础结构的组件网络访问服务器的配置要求网络访问客户端网络访问身份验证和授权可用的身份验证方法13.1网络访问基础结构简介多媒体演示介绍网络访问基础结构网络访问基础结构概述及网络访问服务协同工作的工作原理完成多媒体后，能够：解释网络访问基础结构的组件描述网络访问组件提供远程访问的解决方案描述远程访问进程的工作原理网络访问基础结构的组件网络访问服务器IAS服务器DHCP服务器域控制器网络访问服务网络访问客户端验证服务ActiveDirectory（不是必需的）拨号客户端无线访问点无线客户端VPN客户端13.1.1网络访问基础结构的组件网络访问服务器的配置要求要配置网络访问服务器，需了解：服务器是否作为路由器身份验证方法及其提供者客户端可以访问的网络资源IP地址的分配PPP配置选项事件日志的选项对客户端来说，网络访问服务器就像是网络的网关13.1.2网络访问服务器的配置要求网络访问客户端客户端类型描述VPN客户端通过共享网络或者公共网络连接到网络仿效专用网络的点对点链接拨号客户端通过通信网络连接到网络创建一个到专用网络中远程访问服务器的某个端口的物理连接

通过调制解调器或者ISDN网卡拨入远程访问服务器无线客户端通过红外或射频技术连接到网络包括不同设备类型13.1.3网络访问客户端网络访问身份验证和授权网络访问服务器网络访问客户端域控制器身份验证当远程用户试图访问网络时（交互登录），验证连接到网络服务的用户标识121

授权验证连接是允许的，登录成功后发生授权行为213.1.4网络访问身份验证和授权可用的身份验证方法远程和无线验证方法包括：CHAPPAPSPAPMS-CHAPMS-CHAPv2EAP-TLSPEAPMD-5质询推荐使用智能卡验证用户身份13.1.5可用的身份验证方法可用的身份验证方法13.1.5可用的身份验证方法身份验证方法说明质询握手身份验证协议（CHAP，ChallengeHandshakeAuthenticationProtocol）有许多网络访问服务器和客户端的供应商使用CHAP路由和远程访问服务支持CHAP密码身份验证协议（PAP，PasswordAuthenticationProtocol）使用纯文本的密码，是最简单的身份验证协议Shiva密码身份验证协议（SPAP，ShivaPasswordAuthenticationProtocol）一种简单的加密密码的身份验证协议Shiva远程访问服务器支持SPAPMicrosoft质询握手身份验证协议（MS-CHAP，MicrosoftChallengeHandshakeAuthenticationProtocol）MicrosoftWindows95客户端使用MS-CHAP仅支持Microsoft客户端Microsoft质询握手身份验证协议版本2（MS-CHAPv2，MicrosoftChallengeHandshakeAuthenticationProtocolversion2）执行双向身份验证MicrosoftWindows2000及后续操作系统默认安装MS-CHAPv2作为远程访问身份验证协议可用的身份验证方法13.1.5可用的身份验证方法第13章配置网络访问网络访问基础结构简介配置VPN连接配置拨号连接配置无线连接控制用户对网络的访问使用IAS集中网络访问身份验证和策略管理配置VPN连接VPN连接的工作原理VPN连接的组件VPN连接的加密协议VPN服务器的配置要求配置VPN连接的远程访问服务器的方法配置VPN连接的远程访问客户端的方法配置远程访问服务器使用智能卡验证身份的方法课堂练习配置VPN连接13.2配置VPN连接域控制器VPN客户端VPN服务器VPN连接的工作原理VPN（VirtualPrivateNetwork，虚拟专用网络）扩展了专用网络的容量，包括跨越Internet等共享或公共网络的链路，有了VPN，就能仿效点对点链路3VPN服务器验证并且授权客户端2VPN服务器应答客户端的请求4VPN服务器传输数据VPN客户端请求VPN服务器113.2.1VPN连接的工作原理VPN连接的组件VPN隧道

隧道协议

隧道数据VPN客户端VPN服务器地址和名称服务器分配DHCP服务器域控制器身份验证传输网络13.2.2VPN连接的组件远程用户连接到总公司网络远程访问服务器分公司连接到分公司远程访问服务器VPN连接的加密协议使用L2TP/IPSec的远程访问服务器的例子

分类描述PPTP（Piont-to-PointTunnelingProtocol，点对点隧道协议）采用用户级别的点对点协议身份验证方法和微软点对点机密方法(MPPE)加密数据L2TP/IPSec（LayerTwoTunnelingProtocol，第二层隧道协议）在IPSec加密的网络中采用用户级别的点对点身份验证方法推荐使用的VPN网络访问的身份验证方法是：带证书的L2TP/IPSec13.2.3VPN连接的加密协议

VPN服务器的配置要求添加远程访问服务器/VPN服务器之前：确认连接到Internet的网络接口和连接到专用网络的网络接口确认远程客户端是从你所在专用网络的DHCP服务器，还是从正在配置的VPN服务器接收IP地址确认VPN客户端的连接请求是由RADIUS服务器，还是由正在配置的VPN服务器进行身份验证13.2.4VPN服务器的配置要求配置VPN连接的远程访问服务器的方法演示：在ActiveDirectory中注册远程访问服务器配置VPN连接的远程访问服务器在服务器上配置可用端口的数目13.2.5配置VPN连接的远程访问服务器的方法配置VPN连接的远程访问客户端的方法演示：配置VPN连接的远程访问客户端13.2.6配置VPN连接的远程访问客户端的方法配置远程访问服务器使用智能卡验证身份的方法演示：配置远程访问服务器使用智能卡验证13.2.7配置远程访问服务器使用智能卡验证身份的方法课堂练习配置VPN连接目的： 配置VPN连接13.2.8课堂练习配置VPN连接第13章配置网络访问网络访问基础结构简介配置VPN连接配置拨号连接配置无线连接控制用户对网络的访问使用IAS集中网络访问身份验证和策略管理配置拨号连接拨号网络访问的工作原理拨号连接的组件拨号连接的身份验证方法远程访问服务器的配置要求配置拨号连接的远程访问服务器的方法配置拨号连接的远程访问客户端的方法13.3配置拨号连接拨号网络访问的工作原理域控制器拨号客户端拨号网络是远程访问客户端对远程访问服务器上的物理端口进行短暂拨号连接的过程，该客户端使用远程通信提供程序提供的服务3远程访问服务器验证并授权客户端2远程访问服务器应答客户端请求4远程访问服务器传输数据拨号客户端请求远程访问服务器1远程访问服务器13.3.1拨号网络访问的工作原理拨号连接的组件拨号客户端地址和名称服务器分配DHCP服务器域控制器身份验证远程访问服务器广域网选项：电话、ISDN、X.25或者ATM局域网和远程访问协议13.3.2拨号连接的组件拨号可用的身份验证方法包括：拨号连接的身份验证方法远程访问服务器远程访问用户最强的身份验证方法：带有EAP-TLS的智能卡双重验证CHAPPAPSPAPMS-CHAPMS-CHAPv2EAP-TLSEAP-MD5质询13.3.3拨号连接的身份验证方法远程访问服务器的配置要求添加拨号远程访问服务器之前：确认客户端是否从DHCP服务器或者远程访问服务器接收到IP地址确认是否通过RADIUS或者远程访问服务器验证连接身份验证用户是否有为拨号访问所配置的用户账户

13.3.4远程访问服务器的配置要求配置拨号连接的远程访问服务器的方法演示：配置拨号连接的远程访问服务器13.3.5配置拨号连接的远程访问服务器的方法配置拨号连接的远程访问客户端的方法演示：配置拨号连接的远程访问客户端修改拨号连接的设置13.3.6配置拨号连接的远程访问客户端的方法第13章配置网络访问网络访问基础结构简介配置VPN连接配置拨号连接配置无线连接控制用户对网络的访问使用IAS集中网络访问身份验证和策略管理配置无线连接无线网络访问概述无线连接的组件无线标准无线网络的身份验证方法WindowsXPProfessional客户端对于无线网络访问的配置要求为无线连接配置网络访问客户端的方法13.4配置无线连接网络访问服务器IAS服务器DHCP服务器域控制器无线访问点无线客户端无线网络访问概述无线网络技术是通过标准网络协议和电磁波——不是网络电缆在网络设备之间传输信号标准描述WLAN基础结构客户端连接到无线访问点WLAN对等网无线网络用户不通过电缆直接与其他计算机通信13.4.1无线网络访问概述无线连接的组件DHCP服务器远程访问服务器域控制器无线客户端（站）无线访问点地址和名称服务器分配身份验证端口13.4.2无线连接的组件无线标准标准描述802.11IEEE开发的无线局域网定义OSI数据链路层的物理和MAC部分802.11b11Mbps易受无线信号干扰适用于家庭和小型商业用户802.11a54Mbps使得无线局域网能更好地执行视频和会议应用程序在密集区域运行良好不与802.11、802.11b和802.11g兼容802.11g802.11b的改良版，并与之兼容

带宽54Mbps，但范围比802.11b小802.1x登录到网络前首先需要验证用户身份可以在无线局域网或者有线局域网中使用需要更多硬件和基础结构上的投资13.4.3无线标准无线网络的身份验证方法802.1x的验证方法描述EAP-MS-CHAPv2提供双向验证通过证书验证服务器，通过基于密码的凭据验证用户身份EAP-TLS提供双向验证，提供最强大的身份验证和密钥确定方法通过证书验证服务器和客户端PEAP支持EAP-TLS和EAP-MS-CHAPv2加密协商过程13.4.4无线网络的身份验证方法选择网络类型：访问点计算机对计算机任何可用的网络为选中的网络类型配置合适的身份验证方法平衡安全级别和部署工作：最高安全性，选择带证书的PEAP(EAP-TLS)部署最简单，选择带密码的PEAP(EAP-MS-CHAPv2)WindowsXPProfessional客户端对于无线网络访问的配置要求13.4.5WindowsXPProfessional客户端对于无线网络访问的配置要求为无线连接配置网络访问客户端的方法演示：为无线连接配置网络访问客户端13.4.6为无线连接配置网络访问客户端的方法第13章配置网络访问网络访问基础结构简介配置VPN连接配置拨号连接配置无线连接控制用户对网络的访问使用IAS集中网络访问身份验证和策略管理控制用户对网络的访问用户账户拨入权限为网络访问配置用户账户的方法远程访问策略远程访问策略配置文件远程访问策略的处理方法配置远程访问策略的方法配置远程访问策略配置文件的方法课堂练习控制用户访问网络13.5控制用户对网络的访问用户账户拨入权限通过配置拨入属性控制用户远程访问级别：远程访问权限（拨入或VPN）验证呼叫方ID回拨选项

分配静态IP地址应用静态路由13.5.1用户账户拨入权限用户账户拨入权限13.5.1用户账户拨入权限为网络访问配置用户账户的方法演示提升域功能级别在Windows2000纯模式域中为用户账户配置拨入属性13.5.2为网络访问配置用户账户的方法远程访问策略远程访问策略是由以下元素组成的命名规则：条件：将一个或多个属性和试图连接的客户端设置进行比较远程访问权限：如果满足条件，则要判断是否授予远程访问权限配置文件：应用到授权连接（通过用户账户或策略权限设置授权）的属性集13.5.3远程访问策略远程访问策略13.5.3远程访问策略条件远程访问权限配置文件远程访问策略配置文件拨入限制IP属性IP地址分配IP筛选验证加密高级设置远程

访问用户13.5.4远程访问策略配置文件多重链接远程访问策略的处理方法还有要处理的策略吗？开始尝试的连接符合策略的条件吗？是丢弃连接忽略用户拨入属性设置为假吗？远程访问的权限设置为拒绝访问吗？是是否否下一个策略否用户账户属性中设置为拒绝吗？是用户账户属性中设置为允许吗？尝试的连接符合用户账户和配置文件的设置吗？是是接收连接丢弃连接否否是否否13.5.5远程访问策略的处理方法配置远程访问策略的方法演示配置远程访问策略配置远程访问策略的新条件13.5.6配置远程访问策略的方法配置远程访问策略配置文件的方法演示：配置远程访问策略配置文件13.5.7配置远程访问策略配置文件的方法课堂练习控制用户访问网络目的： 控制用户对网络的访问13.5.8课堂练习控制用户访问网络第13章配置网络访问网络访问基础结构简介配置VPN连接配置拨号连接配置无线连接控制用户对网络的访问使用IAS集中网络访问身份验证和策略管理使用IAS集中网络访问身份验证和策略管理RADIUSIAS

集中身份验证的工作原理配置IAS服务器的网络访问身份验证配置远程访问服务器使用IAS身份验证的方法课堂练习用IAS集中网络访问身份验证13.6使用IAS集中网络访问身份验证和策略管理RADIUSRADIUS（RemoteAccessDial-InUserService，远程访问拨号用户访问）是广泛使用的协议，基于客户端/服务器模型，为网络访问启用集中身份验证、授权和记账RADIUS是VPN、拨号和无线网络的管理网络访问标准通过RADIUS可以实现跨多种类型网络的集中管理RADIUS服务器从RADIUS客户端或者RADIUS代理处接收和处理连接请求或者记账消息13.6.1RADIUSIASIAS（InternetAuthentication