 |
帖子主题: [推荐]第四章 配置能远程控制和访问的系统 |
头衔:论坛总管理员
|
Admin   |
荣誉:管理员
职务:总版主
级别:圣骑士
积分:547
经验:3330
文章:271
注册:03-01-20 23:27
|
|
|
 发表: 2006-06-08 17:17:00 人气:13951   | 楼主 |
[推荐]第四章 配置能远程控制和访问的系统
因为公司比较大,有好几个办公室,服务器又在单独的一个机房里。彭彭这几天做网管,为调试网络服务,经常在各个办公室之间穿梭,一会儿到机房调整服务器配置,一会儿又到办公室查看客户机配置,非常辛苦。
没有什么方法,能够让彭彭不用这么辛苦地跑来跑去呢?比如设置服务器的时候,能不能在办公室就可以加以控制呢?彭彭记得平时在看《电脑报》的时候,上面好像提到过一种远程控制的方法。公司的服务器都是使用Windows 20000 Server ,应该可以做到吧。经过几天的研究,彭彭终于找到了一种最常见的远程控制方法——Telnet。
4.1 Telnet服务器配置
Windows 2000 Telnet 服务器允许 Telnet 客户连接到服务器上,登录该服务器,并运行字符模式应用程序。Windows 2000 中的 Telnet 服务器在任何给定时间内最多可支持两个 Telnet 客户。
先解释一下Telnet服务
Telnet服务是客户使用Telnet命令连接到运行Telnet 服务器软件的远程计算机上,一旦连接之后,就可以与 Telnet 服务器进行通讯。通讯、游戏、系统管理和本地登录模拟是 Telnet 使用的几种典型类型。比较常见的应用如BBS就是使用Telnet进行登录的,又如高端的路由器和交换机也是使用Telnet进行配置与管理的。Telnet连接服务器之后的具体操作取决于服务器的操作方式。
4.1.1 在Windows 2000 Server架设Telnet服务器
Windows 2000 Server在默认安装的情况下自带了Telnet服务器。可以通过“管理工具”启动Telnet服务器。
1.打开“控制面板”中的“管理程序”,双击“Telnet服务器管理”图标,启动Telnet服务(图4.1.1)。
2.Telnet服务窗口是一个命令行窗口,可通过窗口显示的菜单进行操作配置。
0) 退出这个应用程序
1) 列出当前用户
2) 结束一个用户的会话…
3) 显示/更改注册表设置…
4) 开始服务
5) 停止服务
在这里,选项后面带“…”省略号的表示还有子选项。先选择“4”启动Telnet服务(图4.1.2)。
图4.1.2 启动Telnet服务
3.如果希望停止Telnet服务,可以直接选择“5”停止Telnet服务。
到这里,彭彭就以为Telnet服务成功了,只要在客户端计算机上用Telnet命令登录到服务器,使用服务器所支持的账号访问就可以了。可是当彭彭到客户端计算机上,打开“开始→运行”命令,在上面键入:“telnet 211.45.90.9”(图4.1.3)。
图4.1.3 启用Telnet客户端
窗口上却显示了以下文字(图1.4.4):
NTLM Authentication failed due to insufficient credentials. Please login with clear text username and password
Server allows NTLM authentication only
Server has closed connection
图4.1.4 Telnet客户端窗口
为什么不能登录呢?为什么没有出现要求用户输入用户名和密码的对话框呢?彭彭百思不得其解。Telnet窗口显示的内容是:“NTLM认证因为没有合适证书失败,请登录时清除用户名和密码,服务器仅仅允许NLTM认证,服务器已经关闭了链接。”看来是没有NTLM引起的。什么是NTML呢?经过一番查证,彭彭终于知道,所谓NTLM是一种“身份验证机制”,主要是用于Windows NT 4.0的,需要使用“消息队列”工具来制作证书。看到这里,彭彭感觉到,这个太麻烦了,虽然这种方法使用了加密的密钥,安全性很高。但在我们公司一般的Telnet操作都是在内网,使用账号和密码就可以了。那么应该怎样改成那种登录方式呢?
Windows 2000中的验证
Windows 2000支持几种用来验证那些对系统有账号用户身份管理的协议,它们包括验证拨号连接的协议和验证通过Internet访问网络的外部用户的协议。但是在Windows 2000域中对于网络验证只有两种选择:
Kerberos第五版:Kerberos第五版验证协议是使用Windows 2000计算机网络验证的默认协议。
Windows NT局域网管理器(NTLM):NTLM协议是Windows NT 4.0操作系统中网络验证的默认协议。它在Windows 2000中仍然为了低级客户和服务器的兼容性而保留。NTLM也用来验证登录使用Windows 2000的单机。
使用Windows 3.11、Windows 95、Windows 98或者Windows NT 4.0的计算机在Windows 2000域中使用NTLM协议进行网络验证。在需要Windows NT 4.0的服务器验证和访问Windows NT 4.0域中资源时,运行Windows 2000的计算机使用NTLM。但是当有一个选择时,在Windows 2000中选择的协议就会是Kerberos第五版。
Kerberos验证的好处
Kerberos协议比NTLM更加灵活、有效,并且更加安全。使用Kerberos验证的好处是:
①服务器更加高效的验证。使用NTLM验证,应用程序服务器为了验证每一个用户必须连接到域控制器。使用Kerberos 验证,服务器不再需要连接到域控制器了。它能够通过检查当前用户的信用证书验证客户。客户能够一次获得特定服务器的信用证书,并且在网络登录对话中再使用它们。
②相互验证。NTLM允许服务器检验它们客户的身份。它不允许客户检验服务器身份,或者一个服务器检验另一个服务器的身份。NTLM验证是为假定服务器处于纯粹的网络环境中而设计的。Kerberos协议不需要任何假设。网络连接两端的团体都能够知道另一端的团体所声称的内容。
③授权验证。Windows服务在自己访问需要资源时模拟客户。许多情况下,服务能够通过访问本地计算机中的资源为客户完成工作。NTLM和Kerberos都提供服务所需要的模拟其本地客户的信息。然而,一些分布式应用程序设计则用来使前端服务在连接到其它计算机上的后端服务时必须模拟客户。Kerberos协议有代理机制,它允许服务在连接到其它服务时模拟其客户。不需要存在NTLM。
④简化信任管理。Kerberos协议的好处之一是Windows 2000域之间的信任验证是通过默认的双向和传递,多域网络不再需要明确的、点到点信任关系的复杂网络。相反,能够组织大型网络中的许多域到传递的、相互的信任树中。如果网络包含超过一个树时,整个森林将接受任何树中的域发出的信任证书。
⑤协同工作能力。Microsoft对于Kerberos协议的实现是基于Internet工程任务组(IETF)推荐的标准途径规范的。因此,当Kerberos第五版用做验证时,Windows 2000中此协议的实现是建立在同其它网络协同工作能力基础之上的。
4.1.2 配置Telnet服务
彭彭希望把Telnet服务登录配置成账号与密码登录的方式,看了一上午的Windows帮助之后,终于找到了方法。
1.再次启动Telnet服务,在命令行窗口中选“3)显示/更改注册表设置”(图4.1.5),显示出3的子选项。在3的子选项中共有9个选项。
0) 退出这个菜单
1) AllowTrustedDomain
2) AltKeyMapping
3) DefaultDomain
4) DefaultShell
5) LoginScript
6) MaxFailedLogins
7) NTM
8) TelnetPort
图4.1.5 显示/更改注册表设置
2.选择“7)NTLM”,出现对话“你确实想更改这个值吗?[y/n]”,键入“Y”,并回车;
在“NTLM[当前值 = 2:可接受的值 0、1或2 ] :”后填入“0”。
在“你确实想将NTLM设置为:0 ?[y/n]”后填入“y”(图4.1.6)。
图4.1.6 更改NTLM值
在这里选择“0”,表示使用用户名及密码方式登录。要清楚了解其他选项的含义请见下表“显示/更改注册表设置”。
3.虽然NTLM的值已经修改,但还是要重启一次Telnet服务才能生效。在随后的步骤中,选择“5”停止Telnet服务,再按“4”再次启动Telnet服务;选“0”表示回到上一级菜单。
这时候,修改Telnet服务的验证方式就完成了。
同样,如果需要更改Telnet服务的默认登录端口23的话,也可以再在“3)显示/更改注册表设置”中选择“8)TelnetPort”,按照上述步骤进行修改。下表列出了“3)显示/更改注册表设置”所有键值的含义。
显示/更改注册表设置
4.1.3 在客户端登录Telnet
Windows 98/2000/XP系统都自带了Telnet.exe程序,可以登录Telnet服务。使用命令行“Telnet 服务器IP地址/域名”,可以直接登录Telnet服务器。
1.打开“运行”命令,在上面键入“telnet 211.45.90.9”,系统提示输入用户名及密码(图4.1.7)。填入服务器的账号和密码。
图4.1.7 Telnet客户端登录
2.当填入正确的账号之后,进入Telnet服务窗口(图4.1.8),在这个窗口中可以输入各种控制命令,就好像直接在服务器操作一样,可以对服务器做很多控制和修改。在需要退出的时候键入“exit”。
图4.1.8 Telnet服务窗口
修补Windows的Telnet服务漏洞
Windows 2000 Telnet 服务存在多个重大安全漏洞
公布日期:2001年6月8日
涉及程序:Telnet Services
受影响的系统:Microsoft Windows 2000
描述:Windows 2000 Telnet服务存在多个重大安全漏洞。
详细情况:微软发布安全公告,指出Windows 2000中的Telnet服务存在多个漏洞。
1.提升权限漏洞
当一个Telnet服务进程建立时,该服务会创建一个命名管道,并用它来执行命令。但是,该管道的名字能被预见。如果Telnet发现一个已存在的管道名,将直接用它。攻击者利用此漏洞,能预先建立一个管道名,当下一次Telnet创建服务进程时,便会在本地System环境中运行攻击者代码。
2.拒绝服务漏洞
有四个漏洞能引起D.o.S攻击:
A.攻击者能建立大量的空闲Telnet登录进程从而阻止其他合法用户登录;
B.攻击者反复地建立、终止Telnet进程会耗尽服务器的handles,从而造成拒绝服务;
C.攻击者通过构造一个特殊的登录命令能导致Telnet拒绝服务;
D.只需要使用普通用户的权限通过一个系统调用便能终止Telnet服务。
3.泄露敏感信息漏洞
攻击者通过Telnet服务能获得Guest账号的一些敏感信息,该漏洞和MS01-026中的漏洞相仿。
解决方案:
下载安装补丁Microsoft Windows 2000 Professional, Server, Advanced Server:MS下载:http://www.microsoft.com/Downloads/Release.asp?ReleaseID=30508 ;Microsoft Windows 2000 Datacenter Server:Windows 2000 Datacenter Server补丁与硬件相关,请与原始设备供应商联系。
其它信息:
1.提升权限漏洞需要攻击者有在本地执行代码的权力。
2.拒绝服务漏洞通过重启服务器能恢复正常。
3.获得Guest敏感信息漏洞只有Guest账户在本地机上被禁止而在信任域上被激活的情况下才能利用。
4.2 远程终端服务
彭彭上次配置了Telnet服务之后,总算轻松了几天,因为不用来回跑了。不过有一天老板交待的一个任务又让彭彭在机房与办公室之间来回跑了好几趟。主要是因为上次彭彭配了个域名缓存服务器,办公室所有机器的DNS都指向这个服务器,有时候上某个网站上不了,老板就怀疑是彭彭的DNS服务器有问题,经常让彭彭去查DNS服务器。这个操作可为难彭彭了,上次做的Telnet服务执行指令是没有问题的,不过想操作DNS服务器窗口就不行了。怎么才能在本机操作服务器桌面呢?功夫不负有心人,彭彭到论坛上询问这个问题的时候,论坛上的兄弟告诉他使用Windows 2000 Server的“终端服务”可以完成所要求的操作。
4.2.1 终端服务介绍
终端服务提供了通过作为终端仿真器工作的“瘦客户机”软件远程访问服务器桌面的能力。终端服务只把该程序的用户界面传给客户机。客户机返回键盘和鼠标单击动作,以便由服务器处理。每个用户都只能登录并看到它们自己的会话,这些会话由服务器操作系统透明地进行管理,而且与任何其他客户机会话无关。客户软件可以运行在多个客户机硬件设备上,包括计算机和基于 Windows 的终端。其他设备,如 Macintosh 计算机或基于 UNIX 的工作站,也可以使用其他第三方的软件连接到终端服务器。
终端服务可以在应用服务器模式或远程管理模式下在服务器上进行配置。作为应用服务器,终端服务提供了一种有效而可*的方式,通过网络服务器分发基于 Windows 的程序。在应用服务器模式下,终端服务为可能无法正常运行 Windows 的计算机显示 Windows 2000 的桌面以及目前基于 Windows 的大多数应用程序。在远程管理模式下使用时,终端服务提供了远程访问的能力,可以从网络上的任何地方虚拟管理服务器。
终端服务有以下好处 :
更快地显示Windows 2000的桌面。终端服务架设了一座从旧式桌面迁移到 Windows 2000 Professional 的桥梁,为非计算机桌面以及需要进行硬件升级才能在本地完全运行 Windows 2000 操作系统的计算机提供了一种虚拟的 Windows 2000 桌面环境。终端服务客户可使用多种不同的桌面平台,包括 MS-DOS、基于 Windows 的终端、Macintosh 和 UNIX。(与 MS-DOS、Macintosh 和基于 UNIX 的计算机的连接需要附加的软件,大家经常看到的无盘工作站也是用这种功能完成的。)
充分利用已有的硬件。终端服务扩展了分布式计算模型,允许计算机同时作为瘦客户机和具有完整功能的个人计算机操作。当计算机在现有的网络上时,可以继续使用,同时也可作为能仿真 Windows 2000 Professional 桌面的瘦客户机使用。
程序的集中配置。使用运行在 Windows 2000 Server 上的终端服务,所有程序的执行、数据的处理以及数据的存储都在服务器上进行,程序得以集中配置。终端服务可确保所有客户机都能访问当前版本的程序。软件只能在服务器上安装一次,而不能安装在你单位的每个桌面上,这样可减少单独更新计算机所花费的成本。
远程管理。终端服务提供了对 Windows 2000 Server 的远程管理,为系统管理员提供了从任何客户机通过广域网或拨号连接远程管理服务器的一种方法。
4.2.2 安装终端服务
1.终端服务需要重新定制服务器组件,打开“控制面板”中的“添加/删除程序”,单击“添加/删除程序”的“添加/删除Windows组件”(图4.2.1)。
图4.2.1 “添加/删除程序”窗口
2.在打开的“Windows组件向导”中,选择“终端服务”,点击“下一步”按钮继续(图4.2.2)。
图4.2.2 安装终端服务
3.选择“远程管理模式”,表示可以使用终端服务程序对服务器进行远程管理(图4.2.3)。点击“下一步”按钮进行安装,中间可能需要Windows 2000 Server的安装光盘。
图4.2.3 选择远程管理模式
4.安装成功的“终端服务”会有三个图标生成在“管理工具”中(图4.2.4)。
图4.2.4 已经安装成功的终端服务
4.2.3 客户端程序的生成与使用
一、客户端程序生成
在Windows 2000 Server的“管理工具”中找到“终端服务客户端生成器”图标,双击打开,弹出“创建安装盘”窗口,插入干净的软盘到软驱中,单击“确定”开始(图4.2.5)。本操作需要两张空白软盘。
图4.2.5 创建安装盘
下面显示了客户端生成程序正在格式化和复制安装程序到软盘中(图4.2.6、图4.2.7)。
图4.2.6 格式化软盘 图4.2.7 复制安装文件到软盘
做好软盘之后,把软件拿到客户端计算机上安装,客户端操作系统可以是Windows 98/2000,也可以是Windows XP。
二、使用客户端程序登录服务器
1.安装好客户端程序之后,启动客户端程序(图4.2.8),在服务器一栏中填入服务器的域名或者IP地址 ;在屏幕区域中选择终端窗口的显示分辨率。如果网速较慢的话,也可以选中“启用数据压缩”和“将位图缓存到磁盘”两个选项。
图4.2.8 终端服务客户端
2.填好以上内容之后,单击“连接”按钮进行连接,如果服务端服务正常的话,可以看到服务器窗口(图4.2.9)。
图4.2.9 服务器窗口
3.填入服务器的账号和密码,单击“确定”就可以进入服务器了,就跟在服务器面前操作一模一样(图4.2.10)。
图4.2.10 服务器桌面
彭彭完成上面的操作之后,心花怒放,想着以后再也不用到处跑了,只要在一台计算机面前就可以控制所有的服务器,真是方便呀。可是彭彭转念一想,这个功能要是别人也会,而且他也有服务器密码,那不就能控制服务器了吗?而彭彭又不知道是谁在控制,这样安全性就太差了。幸好Windows的终端服务还有一个组件:终端服务管理器。
彭彭打开终端服务管理器,看到管理器列出了当前正在连接的会话(图4.2.11)。这回就可以知道有谁在使用终端服务了。不过仍然看不出来是谁在用呀,怎么办呢?还好,彭彭会一点网络控制命令,他查出来了终端服务的侦听端口号是3389。所以他在服务器的命令行程序上键入“netstat an”,程序就显示出了目前正在连接3389端口的IP地址了(图4.2.12)。
图4.2.11 终端服务管理器
图4.2.12 与3389端口连接的IP地址
通过以上的配置,彭彭真的有点感觉到了做网管的乐趣了,大部分时间可以不离开自己的座位就可以直接操作服务器。
4.3 Windows 2000下的VPN
老板这几天心血来潮,学起别人做SOHO一族,这不,老板向彭彭要求,让自己在家上网也可以调用公司其他机器的打印机,还要调用局域网中其他机器的文件。这下可苦了彭彭这个半吊子网管了,因为公司的计算机都在代理服务器的后面,外网是没办法直接访问的。不过是老板要求的,而且老板正在兴头上,没办法,彭彭只好找了本书啃起来。
啃了几天书,搜索了好些个网站,彭彭发现,如果要将外网的机器划入到内网来并能在局域网内一样进行通信,则需要做一个VPN的设置。
4.3.1 VPN到底是什么
看来老板的要求是可以实现的了。彭彭画了一个简略的网络示意图 (图4.3.1)。公司采用Windows 2000 Server做代理服务器代理上网和发布网站。而老板则在家中上网,主要是电话拨号,老板在家联上公网之后,再建立到公司的VPN通道,再由公司的VPN服务器分配公司局域网内部IP给老板的C机,到时候,老板就像在办公室上网一样方便了。
图4.3.1 VPN通道示意图
虚拟专用网(VPN)可以让企业利用现存的Internet来建立自己的内部网,适用于大型的、在各个分散的地方有分公司的而且需要将各地的网络联起来的企业。VPN为这种连接提供了一种安全廉价的高性能解决方案,将企业分散在各地的网络通过现有的公共网络连接起来。VPN适用于任何类型的网络:专用 Intranet 或 Internet。VPN采用的隧道协议有许多优点,比如用户通过拨号网络联入Internet,接受ISP分配的动态IP地址,接着访问企业内部网,而企业网一般均采用防火墙等安全措施来保护自己的网络,那么我们通过ISP拨号上网时就不能穿过防火墙访问企业内部网,只能访问企业的Web服务器。而采用隧道协议后,拨号用户不仅可以得到ISP的动态IP地址,还可以得到企业内部网的IP 地址,通过对PPP帧进行封装,用户数据包可以穿过防火墙到达企业内部网。用户付出的仅仅是拨ISP的市话费用,不必直接拨号到企业内部。传统上,如果远程用户需要访问企业内部网,一般是直接拨号到企业内部的远程访问服务器,建立的费用是很低廉,但使用时拨的是长途电话,费用就很高了。如果用专线,则费用就更加昂贵了。
4.3.2 在Windows 2000 Server中支持VPN
彭彭把这一层想通后,说干就干,马上就在公司的服务器上调试了起来。
1.打开“控制面板”中的“管理工具”,可以看到“路由与远程访问”图标,双击该图标(图4.3.2)。
图4.3.2 路由与远程访问
2.打开“路由与远程访问”窗口之后,可以在窗口的右边看到关于“路由与远程访问”的基本操作。例如,该服务器名叫Server5,则可以在左列的“Server5(本地)”上按右键(图4.3.3),选择“配置并启用路由选择选项”。
图4.3.3 配置并启用路由选择选项
3.接着可以看到“路由与远程访问服务器”的安装向导,点击“下一步”按钮继续(图4.3.4)。
图4.3.4 远程访问向导
4.在向导中选择“虚拟专用网络(VPN)服务器”,并点击“下一步”按钮继续(图4.3.5)。
图4.3.5 选择“虚拟专用网络(VPN)服务器”
5.选择远程客户使用的协议,因为一般情况下都是使用TCP/IP协议,所以可以选择“是,所有可用协议都在列表上”,并点击“下一步”按钮继续(图4.3.6)。
图4.3.6 选择远程客户协议
6.选择Internet连接。一般的VPN服务器至少都有两块网卡,一块对外网,一块对内部局域网。在这里是指选择对外网的连接(图4.3.7)。
图4.3.7 选择外网连接
7.和上一步的操作一样,需要选择一块对内的网卡连接,选好之后点击“下一步”继续(图4.3.8)。
图4.3.8 选择内部网络连接
8.IP地址指定,如果该服务器上已经配置了DHCP服务,可以选择“启动”,使用DHCP服务器分配地址。点击“下一步”按钮继续(图4.3.9)。
图4.3.9 启用DHCP服务器分配地址
9.管理多个远程访问服务器。如果有多个远程访问服务器,而且账号非常多的话,可以使用RADIUS服务器,不过一般情况下,可以选择“不,我现在不想设置此服务器使用RADIUS”(4.3.10)。
图4.3.10 不使用RADIUS服务器
RADIUS
“远程身份验证拨入用户服务(RADIUS)”是一个工业标准协议(RFC 2138和2139中的“远程身份验证拨入用户服务(RADIUS)”和“RADIUS 计账”),它为分布式拨号网络提供身份验证、授权和计账服务。RADIUS客户机通常是Internet服务提供商(ISP)使用的拨号服务器,比如你使用Modem拨号时所使用的账号,就可以由RADIUS服务器提供,在使用过程中,ISP拨入服务器向RADIUS服务器发送用户和连接信息。RADIUS服务器对RADIUS客户机的请求进行验证和授权。
Windows 2000远程访问服务器包含一个RADIUS客户机,这样远程访问服务器就可被ISP或企业远程访问用户使用,它们将RADIUS用作身份验证和计账方案。
可以单独配置Windows 2000远程访问服务器身份验证和计账提供程序。因此,远程访问服务器可以使用 Windows 2000 作为它的身份验证提供程序,而使用RADIUS作为计账提供程序,可以配置多个RADIUS服务器,这样,如果主RADIUS服务器不能用了,就自动使用从RADIUS服务器。
对于某些Internet服务提供商和企业远程访问环境,远程访问设备由来自不同制造商的不同类型的多个远程访问设备组成。在不同种类的远程访问环境中,必须存在单个标准来提供远程访问的用户凭据身份验证和远程访问活动计账。
在很多这样的环境中,将使用远程身份验证拨入用户服务(RADIUS)。RADIUS是一种“客户机/服务器”协议,其中RADIUS客户机将身份验证和计账请求发送到RADIUS服务器。RADIUS检查服务器用户账户上的远程访问身份验证凭据并记录远程访问计账事件。
10.最后,经过一段时间的系统设置后,“远程与路由访问”窗口显示“虚拟专用网络”配置成功,并在左列窗口中显示具体所支持的接口与协议(图4.3.11)。
图4.3.11 配置成功的VPN服务器
4.3.3 配置账号访问策略
看来也不是很难嘛,彭彭暗自想,以后只要在客户端装一个VPN客户端拨号程序就可以了,访问的时候只要在客户端填上服务器的地址和服务器的账号就可以了呀。为了验证自己的配置是否正确,彭彭把服务器的一个Users组中的账号和地址给了外网的一个通过Modem拨号上网的朋友,请他通过VPN客户端登录服务器测试一下。不一会儿,朋友报告说,不能进入,提示该账号没有远程登录权限。幸亏没有直接推荐给老板,要不准挨骂。
到底是什么原因呢?提示账号没有远程登录权限,看来与账号设置有关呀,彭彭带着疑问打开了Windows的用户管理。
一、新增账号
1.彭彭的服务器为了管理的方便,已经升级到了域模式,需要管理账号的时候要通过打开“管理工具”中的“Active Directory 用户和计算机”(图4.3.12)。
图4.3.12 管理Active Directory 中的对象
2.在“Active Directory 用户和计算机”窗口中的左边列表中选择“Users”组,可以看到右边列表显示了整个域所有的账号和类型说明。现在需要给VPN服务器专门建立一个访问的账号,在右边列表空白处打开右键菜单,选择“新建”菜单中的“用户”命令(图4.3.13)。
图 4.3.13 新建用户
3.在“新建对象-用户”窗口按照提示填入新账号的一些信息,如用户的姓名、登录名等(图4.3.14)。
图4.3.14 新建账号
4.填入该账号的密码(图4.3.15)。密码框下面的四个选项现在可以不选。填好密码之后点击“下一步”继续。
图4.3.15 设置密码
5.这时可以看到,在“Active Directory 用户和计算机”窗口中,刚才新建的账号已经成功(图4.3.16)。
图4.3.16 新建成功的账号
二、修改账号的权限
在刚刚新建的账号上按右键,选择“属性”(图4.3.17),打开“属性”面板中的“拨入”标签,在“远程访问权限(拨入或VPN)”中选择“允许访问”,并按“确定”完成修改。
图4.3.17 修改用户拨入权限
4.4 客户端拨入配置
老板家里有两台电脑,分别装了Windows XP和Windows 98,为了方便老板在任意一台机器上都可以访问到公司的网络,彭彭找到了在不同的操作系统中拨入VPN的方法。
4.4.1 Windows XP中的设置
1.在桌面的“网上邻居”图标上按右键,选择“属性”,打开“网络连接”窗口(图4.4.1)。并打开“文件”菜单中的“新建连接”命令。
图4.4.1 网络连接窗口
2.使用网络连接向导。该向导是一个综合的网络连接向导,可以设置拨号、VPN、串行连接等服务(图4.4.2)。
图4.4.2 连接向导
3.选择网络类型,在这里选择“连接到我的工作场所的网络”,点击“下一步”继续(图4.4.3)。
图4.4.3 选择网络类型
4.在这里选择“虚拟专用网络连接”,点击“下一步”按钮继续(图4.4.4)。
图4.4.4 虚拟专用网络连接
5.填入这个远程连接的名称,可以根据具体情况来设置,填好之后点击“下一步”按钮继续(图4.4.5)。
图4.4.5 建立远程连接名
6.拨入VPN网络的前提是计算机已经接通网络,所以在这里只要填入对方服务器的地址(可以是域名也可以是IP地址)即可。点击“下一步”继续(图4.4.6)。
图4.4.6 填入VPN服务器地址
7.已经完成本VPN客户端的安装。单击“完成”之后,系统会在“网络连接”栏目中生成一个连接对象(图4.4.7)。
图4.4.7 完成连接向导
8.最后,弹出连接对话框,填入VPN服务器所支持远程拨入的账号和密码,单击“连接”开始连接(图4.4.8)。
图4.4.8 开始连接VPN服务器
9.如果服务器账号及服务设置都正确的话,就可以看到提示框显示“正在网络上注册您的计算机”,完成之后,也会在系统托盘中显示“虚拟专用连接”已经建立(图4.4.9、图4.4.10)。
图4.4.9 正在网络上注册计算机 图4.4.10 虚拟专用连接建立成功
4.4.2 Windows 98 中的设置
1.在Windows 98 的桌面上右击“网上邻居”选择“属性”(图4.4.11)。在“网络属性”窗口中单击“添加”按钮。
图4.4.11 打开网络属性
2.选择“适配器”,单击“添加”按钮继续(图4.4.12)。
图4.4.12 选择网络组件类型
3.在“选择 网络适配器”中,可以看到Windows 98系统默认支持的硬件,在左边的厂商列表中选择“Microsoft”,选好之后,右边会有三个选择,选择中间的“Microsoft 虚拟专用网络适配器”,单击“确定”开始安装(图4.4.13)。
特别说明:“Microsoft 虚拟专用网络适配器”需要“拨号适配器”的支持,所以还需要安装“拨号适配器”。
图4.4.13 添加虚拟专用网络适配器
4.等待一会儿,就可以看到“网络属性”面板中已经添加了“Microsoft 虚拟专用网络适配器”一项,单击“确定”按钮开始安装。
在安装过程中,系统可能会提示需要Windows 98的安装光盘,插入光盘完成安装。文件复制完成之后,需要重新启动一次。
5.从这里开始建立VPN拨号连接,双击打开桌面上“我的电脑”图标。找到“拨号网络”图标,双击打开(图4.4.14)。
图4.4.14 “我的电脑”窗口
6.使用拨号网络向导,点击“下一步”继续(图4.4.15)。
图4.4.15 拨号网络向导
7.如果该机器没有配置过拨号网络,则系统将另外弹出窗口要求填入所在地区和该地区的电话区号,填好之后,单击“关闭”按钮(图4.4.16)。
图4.4.16 填入电话区号
8.选择连接的设置,在这里当然选择刚刚安装的“Microsoft VPN Adapter”,点击“下一步”继续(图4.4.17)。
图4.4.17 选择“Microsoft VPN Adapter”
9.填入VPN服务器的域名或者地址,填好之后点击“下一步”继续(图4.4.18),就建立好VPN连接了。
图4.4.18 填入服务器IP地址
10.建好的VPN连接会显示在“拨号网络”窗口中。这时可以双击“我的连接”图标打开连接(图4.4.19)。
图4.4.19 在拨号网络中的VPN连接
11.在连接窗口中填入服务器支持的账号和密码后,单击“连接”按钮继续(图4.4.20)。
图4.4.20 连接窗口
不管是Windows 98还是Windows 2000/XP,建立VPN连接之后,就和使用局域网没什么区别了。
4.5 拨入服务器配置
老板在试了一段时间彭彭给他配的VPN网络后,感觉很不错,不过,他又提出来,每次上公司的网络都要先拨上163,实在麻烦,能不能直接拨到公司服务器上来,从服务器代理上网呢?这样不就既进了内网又省了上网费了吗?老板很为自己的想法而得意。这真苦了彭彭,老板这个要求简直……(为什么老板家里不装宽带,那不就解决了吗!彭彭心里那个恨啊),如果拨入的电话很多的话,那么我这里岂不就成了电信局!设置成只接收一门电话可以吗?
带着这个疑问,彭彭又上网搜索去了,功夫不负有心人,还真给彭彭找到了方法,不过这种方法早就有了,应该算是比较古老的技术了吧。原来普通计算机加上Modem再接上电话线就可以了。只要对方用Modem直拨本地的电话号码,本地Modem就可以和对方建立起通信链路。
彭彭所在的公司Modem还是有的,彭彭把Modem安装到了服务器上面,装好驱动后开始了拨入的调试。
4.5.1 服务器端(被叫端)的设置
Modem拨号分成主叫(也就是拨号端)和服务器端(也就是被叫端)。服务器端用来接收客户端的拨号,并验证客户端的账号配置。
1.桌面上右击“网上邻居”,选择“属性”,在打开的“网络属性”窗口中双击“新建连接”。打开“网络连接向导”,点击“下一步”继续(图4.5.1)。
图 4.5.1 网络连接向导
2.选择“接受传入的连接”,点击“下一步”继续(图4.5.2)。
图4.5.2 接受传入连接
3.选择接收传入连接的设备,在这里选中Modem,点击“下一步”继续(图4.5.3)。
图4.5.3 选择Modem设备
4.在“传入的虚拟专用连接”中选择“不允许”(图4.5.4)。在已经连上Internet网络时可以选择“允许”,因为这里是电话直拨,所以不选。
图4.5.4 不允许VPN连接
5.选择允许拨入的账号,一般可以单独开一个Users级别的账号用于来宾机拨入(图4.5.5)。
图4.5.5 选择允许拨入的账号
6.选择连接建立时所使用的协议,如果需要共享文件夹,一般选默认(图4.5.6)。
图4.5.6 选择网络组件
7.最后,完成连接向导,拨号服务器就做好了。这时就可以让客户端拨入了(图4.5.7)。
图4.5.7 完成的连接
4.5.2 拨入端的设置
拨入端也就是主叫端,用来拨号到服务器。
1.第一步和服务器端一样,第二步中需要选择“拨号到专用网络”,点击“下一步”继续(图4.5.8)。
图4.5.8 拨号到专用网络
2.选中拨号所用的设备,当然是“调制解调器”,点击“下一步”继续(图4.5.9)。
图4.5.9 选择Modem设备
3.在这一步中填入对方的电话号码,就是连接到对方服务器端的电话号码。如果需要拨长途,可选中“选中拨号规则”,再填入相应的区号等。填好之后单击“下一步“继续(图4.5.10)。
图4.5.10 输入电话号码
4.是否允许其他用户使用这个连接,可根据需要选择。点击“下一步”继续(图4.5.11)。
图4.5.11 连接权限设置
5.完成拨号设置,如果经常需要使用这条连接,可以选中“在我的桌面上添加一快捷方式”(图4.5.12)。
图4.5.12 建立好的拨号连接
6.开始拨号,填入服务器设置的用户账号,单击“拨号”开始拨号(图4.5.13、图4.5.14)。
图4.5.13 拨号窗口 图4.5.14 正在拨号
7.拨通建立连接后,通过在“命令行程序”下键入“ipconfig”,可观察到“直接连接2”使用了PPP协议,并且自动分配了IP地址(图4.5.15)。
图4.5.15 用ipconfig查看当前网络配置
通过“网上邻居”查找计算机功能就可以看到“直接连接2”连接的另外一台机器,这时就可以像局域网一样相互进行操作了。
彭彭把这个拨号的方法教给老板,老板学会之后,回家试了一下,感觉非常满意,把彭彭大大表扬了一番,这可把彭彭给乐坏了。
|
|
9 7 1 8 : 此主题共有1帖 此页1帖 每页100帖 |
|
|
|
回复帖子 注意: *为必填项 |
|
|
Copyright © 2018 外贸网站建设,SOHO英文网页制作,网站设计公司--伊路网络工作室 版权所有
本论坛内容纯属发表个人意见,与雪风伊路网络科技立场无关
论坛域名:bbs.elut.cn
页面执行时间:81毫秒
