1、安装远程访问服务器前需要注意的事项:
  • 正确配置操作系统
  • 对服务器满足网络所需要的最佳安全性作了正确的配置。
  • 该计算机上必须有两个网络接口,一个接口连接到Internet,另一个连接到专用网络。
  • 已为网络接口安装了所有的网络协议。
 
2、远程访问服务器类型及各自主要作用:
远程访问/×××服务器——在Windows Server 2003系统中可以利用“路由和远程访问”服务将服务器配置为允许远程用户通过拨号连接或虚拟专用网(×××)连接访问专用网络上的资源
注:远程访问/×××服务器还可以提供网络地址转换(NAT),通过NAT,专用网络上的计算机可以共享到Internet的单个连接。通过×××和NAT,用户的×××客户端可以确定专用网络上计算机的IP地址,但Internet上的其他计算机则不能。
运行“路由和远程访问”的服务器可以提供两个不同类型的远程访问连接:
  • 拨号网络
  • 虚拟专用网 
 
3、Windows Server 2003 “路由和远程访问”服务特性
Windows Server 2003 系统的“路由与远程访问”服务提供以下新功能——
(1)支持L2TP/IPSec身份验证中的预共享密钥
  • 预共享密钥的优缺点
  • 选择预共享密钥时需考虑的问题
  • 预共享密钥和连接管理器管理工具包
(2)网络地址转换(NAT)集成以及静态和动态的数据包筛选
配置NAT接口以使用基本防火墙、简单动态数据包筛选器,或使用传入或传出静态数据包筛选器。
  • 基本防火墙的工作原理
    • 基本防火墙是一种全状态的防火墙,它将网络通信的动态数据包筛选与一组静态数据包筛选器组合在一起。基本防火墙监视通过已启用基本防火墙的接口传递通信。
  • 使用基本防火墙的注意事项 :基本防火墙只提供对公用接口的保护
  • 基本防火墙的日志记录与设置 
(3)支持NAT上的L2TP/IPSec连接
(4)对没有本地WINS或DNS服务器的小型网络的广播名称解析
如果在RRAS的服务器上启用广播名称解析,则远程访问客户端可以解析计算机的全名和NETBIOS名称,以及远程网络上没有配置DNS或WINS服务器的任何其他资源。使用广播名称功能可以解决没有本地WINS或DNS服务器的小型网络或分支机构可以解决企业资源网络名称的问题。该功能不需要配置远程访问客户端,并且在远程访问服务器上默认是启用的。
4、路由和远程访问服务的安装 
实验单独用一篇博文给出
5、远程和访问服务器的属性配置和安全配置
属性配置:
(1)拨号远程访问设计考虑
  • IP地址分配
  • 需要的传入端口数
  • 确定远程访问策略管理模式
  • 创建拨号远程访问连接的远程访问策略
  • 使用IAS服务器集中管理身份验证、授权和记账
  • 使用连接管理器
(2)拨号远程访问服务器的基本属性配置
  • 路由和远程访问服务器角色的配置
  • IP协议配置
  • PPP协议设置
  • 远程访问日志配置
(3)远程访问服务器的端口配置
 
安全配置:
安全性从三个方面考虑:1、保护运行RRAS的服务器安全  2、保护服务器与其客户端之间通信的安全  3、使用安全的身份验证方法
远程访问和路由的安全考虑:
  • 谁可以启用、配置和禁用“路由和远程访问”
  • 如何打开“路由和远程访问”
  • 支持远程访问的客户端操作系统
  • 是否需要强密码
  • 是否向用户提供受管理的客户端
  • 如何将远程访问解决方案文档化
  • 是否使用Windows身份验证或RADIUS
  • 是否限制远程访问
  • 网络对路由组件的需求
  • 是否可简化网络拓扑
  • 使用的隧道协议
  • 是否使用数据包筛选器、防火墙和其他网络通信保护
  • 使用的日志记录的级别
用户拨入权限配置:
(1)安全措施怎样在连接时起作用
以下步骤描述了从远程访问客户端到运行“路由和远程访问”的服务器配置为使用Windows身份验证的呼叫过程中所发生的事件。
  • 远程访问客户端拨打远程访问服务器
  • 服务器向客户端发生质询
  • 客户端给服务器发送加密的应答,其中包含用户名、域名和密码
  • 服务器根据正确的用户账户数据库检查该响应
  • 如果用户账户有效且身份验证凭据正确,则服务器将使用该用户账户的拨入属性和远程访问策略来授权连接;如果启用回叫,则服务器会挂起连接,回叫客户端,并继续连接协商进程。
(2)建立连接之后的安全性
(3)设置选项配置
(4)配置注意事项
 
远程访问账户锁定:
可以使用远程访问账户锁定功能,指定在拒绝用户访问之前远程访问身份验证对有效用户账户失败的次数。
一旦启用远程访问账户锁定,在指定的失败尝试次数之后,字典***就会失效。确定以下两个远程访问账户锁定变量:
  • 拒绝进一步尝试之前允许失败尝试的次数
  • 失败尝试计数器复位的频率
 
RRAS的安全设置步骤:
  实验单独用一篇博文给出
6、远程访问策略的创建和配置
远程访问策略是一组定义如何授权或拒绝连接的有序规则。每个规则有一个或多个 条件、一组 配置文件和一个远程访问 权限设置
用户账户的拨入属性设置优先于远程访问策略中对应选项设置。
(1)远程访问策略验证:
远程访问策略在授连接之前会对一些连接设置进行验证:
    • 远程访问权限
    • 组成员身份
    • 连接类型
    • 当天的时间
    • 身份验证方法
    • 高级条件:包括访问服务器标识,访问客户端的电话号码或MAC地址,是否忽略用户账户拨入属性,是否允许未经身份验证的访问。 
授权访问:
两种方式:(1)按用户  (2)按组
注:将用户庄户上的远程访问权限设置为“通过远程访问策略控制访问”,建议不要使用组以外的方式管理网络访问。
远程访问策略与路由和远程访问服务:
    • 将IAS安装为远程身份验证拨入用户服务(RADIUS)服务器。
    • 对与各个远程访问服务器或×××对应的RADIUS客户端配置IAS.
    • 在IAS服务器上,创建所有运行路由和远程访问服务的服务器将使用的一组中心策略。
    • 将每个运行路由和远程访问服务的服务器配置为IAS服务器的RADIUS客户端。
(2)远程访问策略的配置元素:
远程访问策略的三要素:a、条件  b、远程访问权限  c、配置文件
配置文件的组成:拨入限制、IP、多重链接、身份验证、加密和高级
  说明:此篇博文是理论部分,实验部分另外用一篇博文给出。