遠程訪問服務

所謂的遠程訪問是指客户端利用WAN技術，通過某種遠程連接方式（如Modem+電話線）登錄到本地網絡中，至於“遠程”也未必千里之外，可能就在隔壁。顯然，遠程訪問服務（Remote Access Service，RAS）就是允許計算機通過某種遠程連接來訪問本地的網絡資源，為那些沒有條件與本地網絡直接相連的用户提供接入服務。 ^[1] 

遠程訪問主要是提供用户通過電話網撥號上網（包括ADSL）功能，使得遠程的用户、網線不易鋪設到的用户或者出差在外地的用户都可以通過電話撥號的方式連入網絡。 ^[2]  RAS-遠程訪問服務：一種微軟公司的實用工具，用來實現一個遠程設備通過撥號線路連接到中央服務器。RAS支持通過撥號鏈路實現IPX,TCP/IP和NetBEUI連接。RAS能夠在Windows for Workgroups內得到，在WindowsNT中提供更強大的版本。在WIN95/98下同樣方便地集成為遠程網絡訪問（RNA）或撥號網絡（DUN）。

Windows Server 2003具有遠程訪問功能，該功能使用户可以遠程訪問企業網絡，就像使用物理連接着一樣。 ^[3]  Windows系統為開發人員提供兩種撥號網絡開發接口，一種是遠程訪問服務API，另一種是Windows Internet API。 ^[4] 

在Windows Server 2003系統中，“遠程訪問”不再侷限於通過調制解調器、ISDN等撥號工具進行遠程撥號連接，還包括VPN通信方式所進行的的非撥號連接，所依賴的就是“路由和遠程訪問”服務。 ^[5] 

Windows Server 2003的遠程訪問網絡，一般包括以下幾部分：

Windows Server 2003遠程訪問服務器就是一台激活了路由和遠程訪問服務的計算機，提供遠程客户訪問整個網絡的共享資源，或者限制只能到遠程訪問服務器的資源上訪問。服務器必須有至少一個調制解調器或一個多端口適配器、模擬電話線或其它WAN連接。如果服務器提供對網絡的訪問，還必須安裝網卡，並連入服務器提供訪問的網絡。對經Internet訪問的虛擬專用網絡，一般服務器應有到Internet的永久性連接。 ^[1] 

連接到遠程訪問服務器上的客户機可以是Windows NT/2000/XP、Windows 9x、MS-DOS以及任何Microsoft客户機，也可以是使用TCP/IP、IPX、NetBEUI或AppleTalk的非Microsoft客户機。客户機必須安裝有調制解調器、模擬電話線或其它其它WAN連接、遠程訪問軟件。 ^[1] 

遠程訪問協議是在WAN上傳輸信息的規範，支持PPP、SLIP（Serial Line Internet Protocal，串行線路網際協議）和Microsoft RAS(NetBEIU)等遠程訪問協議。 ^[1] 

Windows Server 2003遠程訪問支持TCP/IP、IPX、Apple Talk和NetBEUI局域網協議訪問Internet/UNIX、NetWare服務器和Apple Macintosh。 ^[1] 

隧道協議是用來創建VPN客户機到VPN服務器上的安全連接。Windows Server 2003遠程服務器支持PPTP和L2TP兩種隧道協議。 ^[1] 

Windows Server 2003遠程訪問允許遠程客户由調制解調器或Medem池通過標準的電話線撥入網絡，也支持遠程客户用ISDN、X.25、ATM實現較快的廣域網連接，或串行端口連接、並行端口連接、紅外連接等直接連接。

Windows Server 2003遠程訪問服務器可以提供遠程客户接入Internet服務。 ^[1] 

Windows Server 2003具有登錄和域的安全性檢查、安全主機支持、數據加密、遠程身份驗證撥入用户服務（RADIUS）、智能卡、回叫複查、賬户鎖定等安全措施，為遠程客户提供安全的網絡訪問，使得遠程訪問甚至比本地訪問更安全。 ^[1] 

實現遠程訪問有多種方式，但主要有以下兩類：

（1）將計算機直接連入公司網絡，方式是通過撥號調制解調器、ISDN等；

（2）通過在Internet上（WIFI、光纜、DSL、以太網等）開闢專用通道或者VPN連入公司網絡。 ^[6] 

如果在外地出差的員工想訪問公司LAN內資源，分公司想訪問總公司LAN內資源時，我們該怎麼做？ 可以利用windows 2003的RAS服務搭建VPN（虛擬專用網絡）實現。

1.專線或者windows2003的RAS(remote access server)遠程訪問服務,允許

客户機通過VPN或者撥號連接遠程訪問內部網絡.

2.WINDOWS中的安全用户驗證協議;

EAP(可擴展驗證協議) 是PPP協議的一種擴展

CHAP(握手身份驗證協議) 服務器發送一個查問到客户機，客户機發送響應

回服務器（包含HASH過後的查問響應和密碼），服務器對存在其上的查問響應

和密碼進行HASH運算後對比。相同，則通過驗證。（該協議比較流行）

PAP協議(口令驗證協議) 服務器要求客户機提供用户名和密碼，在

網絡中明文傳輸，不夠安全。

3.RAS客户端與RAS服務器連接類型:

PSTN（公共電話交換網）;兩端都需要Modem,服務器端需要做Modem池,供很多客户

連接.

ISDN（綜合業務數字網）;兩端需要ISDN適配器.

1.VPN在LAN間創建傳輸數據的網絡隧道,數據傳輸時被加密,保證安全性.

2.VPN基於兩種協議,PPTP(點到點隧道協議),L2TP(第二層隧道協議).

PPTP將PPP楨封裝成IP數據包,基與TCP連接,創建,維護,終止隧道並將PPP楨加密

或壓縮.由於windows採用 MPPE協議加密(microsoft點到點協議)必須採用EAP,或

者MS-CHAP的身份驗證協議.

L2TP將PPP幀封裝成UDP消息,可作為internet或者專用網絡的隧道協議.利用IPSEC

進行信息加密.（IPSEC是網絡層協議,它提供了IP報文安全性.）

2003已將RAS安裝,但未激活.

1.管理工具--路由和遠程訪問......激活RAS服務.

2.添加RAS服務器

3.配置服務器屬性."安全"選擇"windows身份驗證" "IP" 中設置客户端IP的獲得方式

4.管理用户撥入屬性.有域存在,在"AD用户與計算機"中的"USER"修改用户屬性中的

"撥入"項 為 "允許訪問"

5.配置遠程訪問策略

根據需求不同有三種方式

1.內連網VPN 企業總部與分支機構通過internet構建的虛擬網

2.撥號VPN 企業員工通過撥號構建的虛擬網

3.外連網VPN 不同企業間通過internet構建的虛擬網

VPN服務器必須有雙網卡,一塊連外網,一塊連內.

1)創建一個撥號連接

WINNIN RAS2600遠程訪問服務器以低廉的價格提供複雜的遠程訪問與本地LAN之間的連接通過完全支持RADIUS認證和計帳以及PPP、PAP、CHAP、SLIP和CSLIP,RAS2600成為企業或Internet服務商的理想的遠程訪問服務器。它對所有通過PPP撥號上網的的客户提供固定回叫。並對通過Windows NT4.0或Windows95撥號上網的客户提供漫遊回叫。RAS2600將PPP功能併入一體化的主機中，並集16個V90 56K MODEM於一體，使用簡潔、 結構緊湊、性能可靠,顯示出極強的競爭力。通過網絡瀏覽器，在網上任何地點，JETset Web GUI都能進行完整的端口管理，從而使得維護和調試非常方便。RAS2600還提供其它管理工具，如SNMP、BOOTP、FLASH存儲器和一個本地管理端口。

固定回叫：用户拔號登錄後,RAS2600自動斷線,然後按指定的號碼拔出

漫遊回叫：程用記拔號後,RAS2600接收遠程用户輸入的號碼,自動斷線,然後RAS26000按照指定的號碼拔出

閒置斷線時間(idle timer)：指定的時間內未輸入按鍵時RAS2600自動斷線

允許訪問時間(session timer)：許用户訪問服務器的時間

證券營業部遠程訪問系統

税務、銀行、保險系統

郵電撥號、備份網絡

CISCO、華為、博達、2509/2511配套

SPECIALIX、CHASE、GTS、MOXA配套