A公司出差的员工要访问公司局域网的文件服务器上的共享文件夹doc,文家服务器的IP地址为10.1.1.2。出差的员工使用***连接到公司的局域网,***服务器的IP为192.168.1.2。出差员工的计算机的操作系统为windows XP,IP地址为192.168.1.11(假设一样2个地址为互联网的IP地址)。出差员工能使用UNC路径访问局域网中的文件服务器,并且在实现以上功能时,需要满足以下的条件:
要求所有出差的员工都在一个组中,只授权该组有登录权限。
所有用户只能在每天9:00到18:00的时间内链接***服务器。
要求身份验证方式比较安全。
要求传输数据采用增强加密的方式。
试验的拓扑如下:
![clip_image002](https://i-blog.csdnimg.cn/blog_migrate/9bae0ac6d8a19869dd03e69491090b32.png)
实验的前期准备工作
1、 准备三台VM,分别作为***服务器,***客户端,文件服务器。
2、 ***服务器需添加两块网卡,其中外网用VMNET1,内网用VMNET2。
3、 文件服务器的网卡为VMNET2,IP为10.1.1.2
4、 客户机的网卡为VMNET1,IP地址为192.168.1.11
5、 在***服务器上创建windows域帐户user1(代表一个出差的员工),创建全局组group,将user1添加为group的成员
6、 在文件服务器上创建文件夹c:\doc作为FTP站点的主目录,并给user1添加写入权限
7、 注意:***是DC,域名sina.com,且要将文件服务器加入到域中,客户机在***服务器上进行身份的验证
具体的试验步骤如下
(一) 激活路由和远程访问服务
使用管理员登录到***服务器
打开开始——管理工具——路由和远程访问
在路由和远程访问控制台中,右击服务器,从弹出的快捷菜单中选择“配置并启用路由和远程访问”命令
在路由和远程访问服务器安装向导的窗口中,单击下一步
在配置窗口中,选择第一个单选按钮“远程访问(拨号或***),单击下一步
(二)、下面要配置一下用户的拨入属性
打开AD用户和计算机,右击用户user1,从弹出的快捷菜单中选择属性——拨入
在“远程访问权限(拨入或***)中,选择“通过远程访问策略控制访问”菜单
注意:需要提升域功能级别,才会有该选项卡,默认是没有的
![clip_image020](https://i-blog.csdnimg.cn/blog_migrate/b34620370147cf4044ca3e8f482edc69.png)
(三)、为了达到公司的要求,下面还要编辑一下远程访问策略的设置
打开“路由和远程访问”控制台,在服务器下的目录树中单击“远程访问策略”,并右击远程访问策略表中的第一个策略,从弹出的快捷菜单中选择“属性”(如果没有策略,则创建一个)
在“策略状况”中添加条件“windows-group”,组选择已创建好的“group”
![clip_image022](https://i-blog.csdnimg.cn/blog_migrate/03d826338cdad3ae34ac5651aca1169d.png)
![clip_image024](https://i-blog.csdnimg.cn/blog_migrate/5eb0fdacd13402142384bd7fb8f1687e.png)
确定之后,又回到了属性选项卡,勾选“授予远程访问权限”
单击“编辑配置文件”按钮(见上图),选择“身份验证”选项卡,勾选“Microsoft加密身份验证版本2(MS-CHAPV2)”复选框
选择“加密”选项卡,分别勾选“基本加密”、“增强加密”、“最强加密”复选框,单击确定
单击远程访问策略的“确定”按钮,完成,远程访问策略的配置。
(四)、至此,服务器端的配置已完成,下面开始配置客户端,让客户端可以访问***服务器,要新建客户机的网络连接,关于新建客户端连接的方法在此不再以截图的方式显现,可以参考前面关于***配置的文章
在客户机上的控制面板——网络连接中,右击新建连接向导,从弹出的快捷方式中选择新建连接
在网络连接类型中选择第二个“连接到我的工作场所的网络”
在网络连接中选择“虚拟专用网络连接”
输入公司名“benet”
输入***服务器的主机名或IP地址“192.168.1.2”
在可用连接的窗口中,选中“任何人可用”
完成客户端的配置
单击“连接”,会提示正在核对用户名和密码,正在网络上注册该计算机,然后连接成功。
注意:如果报错说没有远程拨入权限,请检查user1的拨入属性是否设置正确,如果正确,那么进一步检查远程访问策略是否设置了拒绝的权限
注意:如果连接成功建立,但是不能访问文件服务器,那么请检查默认网关的设置,文件夹的共享权限和NTFS权限设置