在各地有分公司和出差的员工需要访问总部网络的资源时,通过远程访问服务,可以让远程客户能够安全登录企业网络,从而安全使用网络资源.Windows Server 2003远程访问服务提供了两种远程访问连接方式:拨号网络和×××.
 
×××的组成要素:×××客户端,×××服务器,隧道,×××连接,隧道协议,传输网络等.
 
默认情况下,配置了远程访问服务后,是不允许任何用户远程拨入的.因为默认的远程访问策略为"拒绝远程访问".用户拨入属性为"拒绝访问".如果将默认的远程访问策略全部删除,同样也会拒绝所有用户的拨入.
 
在进行远程访问时,要请注意远程访问服务器的Administrator密码不能为空.否则不能连接到服务器.
 
在工作组环境下,若客户端想要访问局域网内的资源,必需要有×××服务器和内部服务器(如文件服务器等)的用户名和相应的权限.才能够拨入内网.若在域环境下,则可以直接通过域用户拨入.
 
Windows Server 2003 ×××服务开启的端口是L2TP(1701 UDP),PPTP(1723 TCP).这个可以通过路径C:\WINDOWS\system32\drivers\etc\下的services文件查看,用记事本打开即可.
 
默认情况下.RAS客户机访问网络资源的权限是根据用户账户拨入属性和远程访问策略共同决定的.当用户尝试连接时,根据下列边辑接受或拒绝连接:
1>检查远程访问策略表中的第一个策略,如果没有策略,则拒绝连接尝试,
2>如果策略的所有条件并不与连接尝试完全匹配,则转到下一个策略,如果没有其他策略,则拒绝连接尝试.
3>如果策略的所有条件与连接尝试匹配,检查"Ignore-User-Dialin-Properries"属性的值,默认为Faule.当这个值为Faule时,则检查尝试连接的用户账户"拨入"属性的设置.如果用户账户属性设置为"拒绝访问",则拒绝连接尝试如果设置为"允许访问",则应用用户账户属性和配置文件属性,如果连接尝试同时符合账户属性和配置文件属性的设置,则接受连接尝试.如果不符合,则拒绝连接尝试.如果设置为"通过远程访问策略控制访问",则检查策略的远程访问权限设置,如果是"拒绝远程访问权限",则将拒绝该尝试连接.如果是"授予远程访问权限",则将使用用户账户属性和配置文件属性,此时,如果连接尝试同时符合用户账户属性和配置文件属性和设置,则接受连接尝试,如果不符合,则拒绝连接尝试.
4>如果"Ignore-User-Dialin-Properties"属性设置为True,则检查策略的远程访问权限的设置.如果是"拒绝远程访问权限",则将拒绝连接尝试.如果"授予远程访问权限",则将使用配置文件属性,如果连接尝试与配置文件属性的设置不匹配,则拒绝连接尝试,否则,接受连接 尝试.
写了这么多,可以简单归纳为:
                          策略处理
                               ↓有
                         用户拨入属性
                      ↓                      ↓
                     允许       远程访问策略
                      ↓                    ↓
                      ↓                 权限
                       ↓             /
                        配置文件
                              ↓通过
                            连接
 
明白了这个过程,对于排错也就有依有椐了.
对于配置×××服务,也可在路由器上实现.有时间再补上来.