网络基本架构的实现和管理windows server 2003 网络基本架构的实现和管理13

Windows Server 2003 网络基本架构的实现和管理,第1章 了解 TCP/IP 协议组第2章 在多子网网络中分 配 IP 地址第3章 使用路由和远程访 问配置路由第4章 配置客户端 IP 地址第5章 使用 DHCP 分配 IP 地址第6章 管理和监视 DHCP第7章 解析名称,第8章 使用 DNS 解析主机名第9章 管理和监视域名系统第10章 安装和配置 Windows Internet 名称服务第11章 找出一般连接性问题第12章 使用 IPSec 和证书保 护网络通信第13章 配置网络访问第14章 管理并监视网络访问,第13章 配置网络访问,网络访问基础结构简介配置 VPN 连接配置拨号连接配置无线连接控制用户对网络的访问使用 IAS 集中网络访问身份验证和策略管理,网络访问基础结构简介,网络访问基础结构的组件网络访问服务器的配置要求网络访问客户端网络访问身份验证和授权可用的身份验证方法,13.1 网络访问基础结构简介,多媒体演示 介绍网络访问基础结构,网络访问基础结构概述及网络访问服务协同工作的工作原理完成多媒体后，能够：解释网络访问基础结构的组件描述网络访问组件提供远程访问的解决方案描述远程访问进程的工作原理,网络访问基础结构的组件,网络访问服务器,IAS服务器,DHCP 服务器,域控制器,网络访问服务网络访问客户端验证服务Active Directory（不是必需的）,拨号客户端,无线访问点,无线客户端,VPN 客户端,13.1.1 网络访问基础结构的组件,网络访问服务器的配置要求,要配置网络访问服务器，需了解：,服务器是否作为路由器身份验证方法及其提供者客户端可以访问的网络资源IP 地址的分配PPP 配置选项事件日志的选项,对客户端来说，网络访问服务器就像是网络的网关,13.1.2 网络访问服务器的配置要求,网络访问客户端,13.1.3 网络访问客户端,网络访问身份验证和授权,网络访问服务器,网络访问客户端,域控制器,1,2,1,2,13.1.4 网络访问身份验证和授权,可用的身份验证方法,远程和无线验证方法包括：,CHAPPAPSPAPMS-CHAP,MS-CHAP v2EAP-TLSPEAPMD-5 质询,推荐使用智能卡验证用户身份,13.1.5 可用的身份验证方法,可用的身份验证方法,13.1.5 可用的身份验证方法,可用的身份验证方法,13.1.5 可用的身份验证方法,第13章 配置网络访问,网络访问基础结构简介配置 VPN 连接配置拨号连接配置无线连接控制用户对网络的访问使用 IAS 集中网络访问身份验证和策略管理,配置 VPN 连接,VPN 连接的工作原理VPN 连接的组件VPN 连接的加密协议VPN 服务器的配置要求配置 VPN 连接的远程访问服务器的方法配置 VPN 连接的远程访问客户端的方法配置远程访问服务器使用智能卡验证身份的方法课堂练习 配置 VPN 连接,13.2 配置 VPN 连接,域控制器,VPN 客户端,VPN 服务器,VPN 连接的工作原理,VPN（Virtual Private Network，虚拟专用网络） 扩展了专用网络的容量，包括跨越 Internet 等共享或公共网络的链路，有了 VPN，就能仿效点对点链路,13.2.1 VPN 连接的工作原理,VPN 连接的组件,VPN 隧道隧道协议隧道数据,VPN 客户端,VPN 服务器,地址和名称服务器分配,DHCP服务器,域控制器,身份验证,13.2.2 VPN 连接的组件,远程用户连接到总公司网络,远程访问服务器,分公司连接到分公司,远程访问服务器,VPN 连接的加密协议,使用 L2TP/IPSec 的远程访问服务器的例子,13.2.3 VPN 连接的加密协议,VPN 服务器的配置要求,添加远程访问服务器/ VPN 服务器之前：,确认连接到 Internet 的网络接口和连接到专用网络的网络接口确认远程客户端是从你所在专用网络的 DHCP 服务器，还是从正在配置的 VPN 服务器接收 IP 地址确认 VPN 客户端的连接请求是由 RADIUS 服务器，还是由正在配置的 VPN 服务器进行身份验证,13.2.4 VPN 服务器的配置要求,配置 VPN 连接的远程访问服务器的方法,演示：,在 Active Directory 中注册远程访问服务器配置 VPN 连接的远程访问服务器在服务器上配置可用端口的数目,13.2.5 配置 VPN 连接的远程访问服务器的方法,配置 VPN 连接的远程访问客户端的方法,演示：配置 VPN 连接的远程访问客户端,13.2.6 配置 VPN 连接的远程访问客户端的方法,配置远程访问服务器使用智能卡验证身份的方法,演示：配置远程访问服务器使用智能卡验证,13.2.7 配置远程访问服务器使用智能卡验证身份的方法,课堂练习 配置 VPN 连接,目的：配置 VPN 连接,13.2.8 课堂练习 配置 VPN 连接,第13章 配置网络访问,网络访问基础结构简介配置 VPN 连接配置拨号连接配置无线连接控制用户对网络的访问使用 IAS 集中网络访问身份验证和策略管理,配置拨号连接,拨号网络访问的工作原理拨号连接的组件拨号连接的身份验证方法远程访问服务器的配置要求配置拨号连接的远程访问服务器的方法配置拨号连接的远程访问客户端的方法,13.3 配置拨号连接,拨号网络访问的工作原理,域控制器,拨号客户端,拨号网络是远程访问客户端对远程访问服务器上的物理端口进行短暂拨号连接的过程，该客户端使用远程通信提供程序提供的服务,远程访问服务器,13.3.1 拨号网络访问的工作原理,拨号连接的组件,拨号客户端,地址和名称服务器分配,DHCP服务器,域控制器,身份验证,远程访问服务器,广域网选项：电话、ISDN、X.25 或者 ATM,局域网和远程访问协议,13.3.2 拨号连接的组件,拨号可用的身份验证方法包括：,拨号连接的身份验证方法,远程访问服务器,远程访问用户,最强的身份验证方法：带有 EAP-TLS 的智能卡,双重验证,13.3.3 拨号连接的身份验证方法,远程访问服务器的配置要求,添加拨号远程访问服务器之前：,确认客户端是否从 DHCP 服务器或者远程访问服务器接收到 IP 地址确认是否通过 RADIUS 或者远程访问服务器验证连接身份验证用户是否有为拨号访问所配置的用户账户,13.3.4 远程访问服务器的配置要求,配置拨号连接的远程访问服务器的方法,演示：配置拨号连接的远程访问服务器,13.3.5 配置拨号连接的远程访问服务器的方法,配置拨号连接的远程访问客户端的方法,演示：,配置拨号连接的远程访问客户端修改拨号连接的设置,13.3.6 配置拨号连接的远程访问客户端的方法,第13章 配置网络访问,网络访问基础结构简介配置 VPN 连接配置拨号连接配置无线连接控制用户对网络的访问使用 IAS 集中网络访问身份验证和策略管理,配置无线连接,无线网络访问概述无线连接的组件无线标准无线网络的身份验证方法Windows XP Professional 客户端对于无线网络访问的配置要求为无线连接配置网络访问客户端的方法,13.4 配置无线连接,网络访问服务器,IAS服务器,DHCP 服务器,域控制器,无线访问点,无线客户端,无线网络访问概述,无线网络技术是通过标准网络协议和电磁波不是网络电缆在网络设备之间传输信号,13.4.1 无线网络访问概述,无线连接的组件,13.4.2 无线连接的组件,无线标准,13.4.3 无线标准,无线网络的身份验证方法,13.4.4 无线网络的身份验证方法,选择网络类型：访问点计算机对计算机任何可用的网络为选中的网络类型配置合适的身份验证方法平衡安全级别和部署工作：最高安全性，选择带证书的 PEAP (EAP-TLS)部署最简单，选择带密码的 PEAP (EAP-MS-CHAP v2),Windows XP Professional 客户端对于无线网络访问的配置要求,13.4.5 Windows XP Professional 客户端对于无线网络访问的配置要求,为无线连接配置网络访问客户端的方法,演示：为无线连接配置网络访问客户端,13.4.6 为无线连接配置网络访问客户端的方法,第13章 配置网络访问,网络访问基础结构简介配置 VPN 连接配置拨号连接配置无线连接控制用户对网络的访问使用 IAS 集中网络访问身份验证和策略管理,控制用户对网络的访问,用户账户拨入权限为网络访问配置用户账户的方法远程访问策略远程访问策略配置文件远程访问策略的处理方法配置远程访问策略的方法配置远程访问策略配置文件的方法课堂练习 控制用户访问网络,13.5 控制用户对网络的访问,用户账户拨入权限,通过配置拨入属性控制用户远程访问级别：,远程访问权限（拨入或 VPN）验证呼叫方 ID 回拨选项 分配静态 IP 地址应用静态路由,13.5.1 用户账户拨入权限,用户账户拨入权限,13.5.1 用户账户拨入权限,为网络访问配置用户账户的方法,演示,提升域功能级别在 Windows 2000 纯模式域中为用户账户配置拨入属性,13.5.2 为网络访问配置用户账户的方法,远程访问策略,远程访问策略是由以下元素组成的命名规则：,条件：将一个或多个属性和试图连接的客户端设置进行比较远程访问权限：如果满足条件，则要判断是否授予远程访问权限配置文件：应用到授权连接（通过用户账户或策略权限设置授权）的属性集,13.5.3 远程访问策略,远程访问策略,13.5.3 远程访问策略,远程访问策略配置文件,远程访问用户,13.5.4 远程访问策略配置文件,远程访问策略的处理方法,还有要处理的策略吗？,开始,尝试的连接符合策略的条件吗？,是,丢弃连接,忽略用户拨入属性设置为假吗？,远程访问的权限设置为拒绝访问吗？,是,是,否,否,下一个策略,否,用户账户属性中设置为拒绝吗？,是,用户账户属性中设置为允许吗？,尝试的连接符合用户账户和配置文件的设置吗？,是,是,接收连接,丢弃连接,否,否,是,否,否,13.5.5 远程访问策略的处理方法,配置远程访问策略的方法,演示,配置远程访问策略配置远程访问策略的新条件,13.5.6 配置远程访问策略的方法,配置远程访问策略配置文件的方法,演示：配置远程访问策略配置文件,13.5.7 配置远程访问策略配置文件的方法,课堂练习 控制用户访问网络,目的：控制用户对网络的访问,13.5.8 课堂练习 控制用户访问网络,第13章 配置网络访问,网络访问基础结构简介配置 VPN 连接配置拨号连接配置无线连接控制用户对网络的访问使用 IAS 集中网络访问身份验证和策略管理,使用 IAS 集中网络访问身份验证和策略管理,RADIUS IAS 集中身份验证的工作原理配置 IAS 服务器的网络访问身份验证配置远程访问服务器使用 IAS 身份验证的方法课堂练习 用 IAS 集中网络访问身份验证,13.6 使用 IAS 集中网络访问身份验证和策略管理,RADIUS,RADIUS（ Remote Access Dial-In User Service，远程访问拨号用户访问）是广泛使用的协议，基于客户端/服务器模型，为网络访问启用集中身份验证、授权和记账,RADIUS 是 VPN、拨号和无线网络的管理网络访问标准通过 RADIUS 可以实现跨多种类型网络的集中管理RADIUS 服务器从 RADIUS 客户端或者 RADIUS 代理处接收和处理连接请求或者记账消息,13.6.1 RADIUS,IAS,IAS （ Internet Authentication Service， Internet 验证服务）是 Windows Server 2003 的组件，是一个工业标准，与 RADIUS 服务器兼容。IAS 为 VPN、拨号和无线连接执行集中身份验证、授权、审核和记账,13.6.2 IAS,集中身份验证的工作原理,RADIUS 服务器,RADIUS 客户端,客户端,域控制器,远程访问服务器,13.6.3 集中身份验证的工作原理,配置 IAS 服务器的网络访问身份验证,演示：,在 Active Directory 中授权 IAS 服务器配置 IAS 服务器的 RADIUS 客户端,13.6.4 配置 IAS 服务器的网络访问身份验证,配置远程访问服务器使用 IAS 身份