IT2web

Системному администратору Windows Server

Главная --> RRAS --> Обзор возможностей Routing and Remote Access

Обзор возможностей Routing and Remote Access



Индекс материала
Обзор возможностей Routing and Remote Access
Настройка и управление
Мастер настройки
Новые средства маршрутизации
Сравнение функциональных возможностей ICS и NAT
Новое открытие DHCP
VPN в стиле Windows 2000
Использование политик
RRAS: новые средства управления
Команды Netsh.
Другие возможности
Подумайте о переходе на новую версию
Все страницы

Настало время рассмотреть новые средства удаленного доступа, предоставляемые этой операционной системой. В Windows 2000 реализованы полностью обновленные средства удаленного доступа, обеспечивающие более высокий уровень управляемости, надежности, безопасности и удобства использования – Routing and Remote Access Services (RRAS).

RRAS - вчера и сегодня

Routing and Remote Access предоставляет дополнительные функции по сравнению с RAS в Windows NT 4.0 и выпущенным позже его обновлением - RRAS Windows 2003/2008. При этом Routing and Remote Access свободен от недостатков, с которыми сталкивались пользователи RAS и RRAS.

Во-первых, усовершенствована управляемость. Те, кому приходилось сталкиваться с управлением RAS-серверов NT 4.0, знают, что пользовательский интерфейс модуля управления RRAS, мягко говоря, нельзя назвать интуитивным. Так, программное обеспечение можно настроить для создания виртуальной частной сети из нескольких локальных сетей, но из-за недостатка средств управления и подробной документации это мало кому удалось сделать.

Во-вторых, повышена надежность (стабильность). Впрочем, недостаточная стабильность является проблемой не только RRAS, но и Windows NT 4.0 в целом. Нестабильность операционной системы снижает надежность построенных на ее основе виртуальных частных локальных сетей – особенно по сравнению с системами аппаратной маршрутизации. Полученные от системных администраторов замечания оказали существенное влияние на разработку Windows 2000 Routing and Remote Access.


 

Настройка и управление

С первой минуты использования Routing and Remote Access администратор может оценить усилия разработчиков Microsoft. В отличие от Windows NT 4.0, где RRAS необходимо устанавливать в качестве отдельной службы и настраивать с помощью модуля настройки сети в панели управления, установка службы Routing and Remote Access интегрирована в Windows 2000 Server, Windows 2000 Advanced Server и Windows 2000 Datacenter Server по умолчанию. Теперь для установки Routing and Remote Access не требуется выполнять три дополнительные операции (установку RAS c CD-ROM, обновление RRAS и запуск последнего пакета обновлений), как это было для NT 4 RAS и RRAS.

Хотя служба Routing and Remote Access по умолчанию не активизирована, настройка и запуск достаточно просты. Для настройки сервера Routing and Remote Access необходимо запустить консоль управления Routing and Remote Access (см. Рисунок 1). Программа настройки обеспечивает все функции для настройки удаленных серверов и групп серверов, так что администратор системы имеет возможность выполнять настройку с любого из серверов или же с собственной рабочей станции Windows 2000 Professional. На любом сервере Windows 2000 консоль управления Routing and Remote Access запускается из Start/Programs/Administrative Tools; для запуска с Windows 2000 Professional необходимо установить пакет административных программ, для этого требуется выполнить файл adminpak.msi, расположенный в каталоге i386 установочного компакт-диска.


 

Мастер настройки

Для настройки сервера необходимо запустить консоль управления Routing and Remote Access. Выберите в левой панели имя сервера, а в меню Action (Действие) - пункт Configure and Enable Routing and Remote Access, запустится мастер настройки Routing and Remote Access.

В диалоговом окне мастера программа установки позволяет выбрать одну из пяти стандартных конфигураций: Internet connection server, Remote access server, Virtual private network (VPN) server, Network router, or Manually configured server.(Рисунок 2). Таким образом значительно упрощается процесс настройки серверов Routing and Remote Access, особенно если планируется использовать сервер для одной из перечисленных выше задач. Если же предполагается задействовать один и тот же сервер для выполнения разных задач (скажем, чтобы он выполнял функции маршрутизатора и принимал клиентские запросы VPN), можно либо выбрать одну из заданных конфигураций, а затем вручную произвести необходимые дополнительные настройки, либо сразу приступить к ручной настройке.

Каждый из предлагаемых вариантов настройки (кроме варианта Manually configured server) требует указания дополнительных сведений для осуществления данного типа настройки. Так, при выборе пункта Internet connection server мастер просит указать, какую из служб, Internet Connection Sharing (ICS) или Network Address Translation (NAT), следует использовать, а также запрашивает дополнительную информацию для настройки выбранной службы. При выборе пункта Remote access server необходимо задать протоколы, поддерживаемые для удаленных пользователей, а также дополнительные настройки для выбранных протоколов – например, DHCP для назначения IP-адресов клиентам RAS или сервер Remote Authentication Dial-In User Service (RADIUS) для аутентификации пользователей.

В большинстве случаев после завершения работы мастера потребуется произвести дополнительную настройку сервера RAS. Но, несмотря на это, мастер позволяет сэкономить много времени при настройке сервера Routing and Remote Access, а также обеспечивает корректное определение всех важных для функционирования системы параметров. Так, одна из ошибок начинающих администраторов заключается в том, что некоторые параметры не определены или указаны конфликтующие значения.


Новые средства маршрутизации

Хотя многие считают, что основной задачей Routing and Remote Access является обеспечение доступа по коммутируемым соединениям для удаленных пользователей, не менее важна и функция маршрутизации. Routing and Remote Access, как и ее предшественница NT 4.0 RRAS, превращает сервер Windows 2000 в практически полнофункциональный программный маршрутизатор, который может использоваться для выполнения нескольких задач.

Одной из наиболее значимых функций является поддержка NAT в Windows. Протокол NAT описан комитетом IETF в документе RFC 1631. В каком-то смысле NAT является аналогом ICS – механизма совместного использования соединения Internet, предлагаемого Windows 2000 Server, Windows 2000 Pro, Windows Millennium Edition (Windows Me) и Windows 98 Second Edition (Win98SE). Подобно ICS, сервер NAT выполняет преобразование частных, немаршрутизируемых внутренних IP-адресов в маршрутизируемые внешние адреса Internet, позволяя, таким образом, использовать подключение к Internet одного компьютера всеми компьютерами локальной сети. Но только Windows 2000 Server поддерживает NAT, реализуя его как дополнительный протокол маршрутизации в рамках Routing and Remote Access.

Для установки NAT можно воспользоваться функцией инсталляции Internet connection server мастера установки RRAS Setup Wizard. Можно также установить NAT вручную из консоли управления RRAS – для этого достаточно в IP Routing щелкнуть правой кнопкой мыши General, выбрать New Routing Protocol и указать в списке вариантов Network Address Translation (NAT).

После установки NAT необходимо настроить внутренний и внешний адаптеры сервера (т.е. для локальной сети и Internet). Для этого достаточно щелкнуть правой кнопкой мыши на каждом адаптере, открыть Properties и в появившемся диалоговом окне выбрать подходящий вариант Private interface to be connected to the private network or Public interface connected to the Internet. Эту операцию следует обязательно выполнить для обоих адаптеров. Такая установка определяет способ использования сервером адаптеров и необходима для нормального функционирования NAT.

При более внимательном сравнении с ICS становится очевидно, что NAT обладает рядом важных преимуществ. Во-первых, NAT позволяет применять сервер Routing and Remote Access в качестве агента-посредника для серверов WINS и DNS и клиентов NAT. Таким образом, запросы клиентов локальной сети могут направляться серверу WINS. Правда, клиенты не могут использовать агента для регистрации в базе данных WINS, они могут только определять соответствующий имени адрес. NAT обеспечивает большую гибкость в использовании внутренних адресов IP локальной сети (ICS использует диапазон адресов 192.168.x.x для клиентов локальной сети, причем серверу ICS присваивается адрес 192.168.0.1). Кроме того, NAT поддерживает множественные публичные адреса IP (ICS допускает только один) и может успешно преобразовывать и поддерживает клиентские протоколы типа PPTP (а ICS – нет). Наконец, NAT позволяет открывать Internet-клиентам доступ к службам локальной сети, таким как серверы Web и FTP.

При выборе пункта Internet connection server мастер настройки Routing and Remote Access автоматически устанавливает и конфигурирует NAT. При этом мастер требует указать сетевые адаптеры для локальной сети и Internet. При необходимости мастер может настроить подключение к провайдеру по коммутируемой линии при обращении к Internet в качестве Internet-адаптера NAT. Если домены у вас не используются, мастер предлагает вместо NAT задействовать ICS. Сравнение возможностей ICS и NAT приведено ниже в Таблице 1.


 

Таблица 1: Сравнение функциональных возможностей ICS и NAT.

Функция ICS NAT
Разделение одного адреса IP для подключения к Internet нескольких компьютеров локальной сети
Да
Да
Поддержка DNS для клиентов
Да
Да
Поддержка WINS для клиентов
Нет
Да
Поддержка множественных маршрутизируемых Internet-адресов IP для сервера
Нет
Да
Включает службу DHCP Allocator для предоставления автоматической адресации для клиентов IP
Да
Да
Возможность настройки и конфигурирования службы DHCP Allocator
Нет
Да
Предоставление сквозной службы PPTP для поддержки клиентов
Нет
Да
Содержит редактор для поддержки дополнительных протоколов и портов.
Нет
Да

Кроме того, в Routing and Remote Access добавлена поддержка протокола Internet Group Management Protocol (IGMP). Хосты IP используют IGMP, чтобы оповещать маршрутизаторы, поддерживающие IGMP, о наличии в данном сегменте сети групп многоадресной рассылки IP-multicast. Routing and Remote Access включает в себя компоненты сервера и proxy для IGMP. Когда маршрутизатор IGMP обнаруживает группу многоадресной рассылки из клиентов локальной сети в той же сети, в которой находится интерфейс с поддержкой IGMP, агент IGMP посылает пакеты IGMP о наличии такой группы от этого интерфейса к серверу (хотя в системе могут существовать множественные интерфейсы, поддерживающие маршрутизацию IGMP). Основное назначение протокола IGMP – позволить клиентам локальной сети выполнять приложения, требующие поддержки IP multicast (благодаря возможностям эффективного использования полосы пропускания для групповой передачи мультимедийных потоков эта технология получает все большее распространение).

На сервере Routing and Remote Access можно включить или заблокировать поддержку компонентов маршрутизатора и агента IGMP для каждого интерфейса, при этом поддержка агента IGMP может быть включена только для одного интерфейса (сетевого адаптера). Чтобы включить поддержку маршрутизатора или агента IGMP, надо в левой панели консоли управления Routing and Remote Access в разделе IP Routing выбрать IGMP. Для этого достаточно щелкнуть правой кнопкой мыши на IGMP и выбрать в меню Action элемент New Interface.

Кроме того, потребуется установить по крайней мере один диапазон групповых адресов на сервере. Групповые IP-адреса могут находиться в диапазоне между 239.0.0.0 и 239.254.255.255. Консоль управления RRC в разделе IP Routing\General позволяет настроить адреса как один или несколько диапазонов – это делается на вкладке Multicast Scopes диалогового окна Properties. Помимо новых протоколов NAT и IGMP, Routing and Remote Access еще с версии NT 4.0 RRAS поддерживает протоколы динамической маршрутизации Open Shortest Path First (OSPF) и Routing Information Protocol version 2 (RIP2).


 

Новое открытие DHCP

Routing and Remote Access содержит несколько новых функций, которые относятся к поддержке DHCP. Одна из этих функций – DHCP Allocator, являющийся компонентом NAT. В сущности, DHCP Allocator представляет собой «усеченную» версию полноценного сервера DHCP, позволяющую серверу Routing and Remote Access с включенной поддержкой NAT предоставлять клиентам NAT адреса IP. DHCP Relay Agent позволяет серверу Routing and Remote Access передавать запросы клиентов DHCP из одного сегмента сети к серверу в другом сегменте (если сервер Routing and Remote Access подключен к обоим сегментам).

При этом DHCP Relay Agent поддерживает функцию DHCP Inform, которая позволяет клиентам RAS, работающим под Windows 2000, Windows Me и Windows 98 получать дополнительную информацию о конфигурации IP от сервера DHCP после того, как установлено соединение по коммутируемой линии.

Поддержка DHCP Inform играет важную роль, так как клиенты RAS получают адрес IP не от сервера DHCP, и, таким образом, не могут воспользоваться некоторыми возможностями DHCP. Если сервер RAS сконфигурирован как DHCP, именно RAS получает адрес для клиента и передает вместе с другой информацией об IP-конфигурации путем стандартного обмена по протоколу PPP. При этом клиенты RAS, работающие под Windows 2000, Windows Me, и Windows 98 могут передавать, а сервер Routing and Remote Access, соответственно, принимать сообщения DHCPINFORM, которые позволят клиентам RAS получать информацию о конфигурации IP от сервера DHCP. Эта информация замещает или дополняет информацию о конфигурации, полученную клиентами RAS от сервера Routing and Remote Access.

Сервер Routing and Remote Access принимает от клиента сообщение DHCPINFORM и передает серверу DHCP, а затем передает клиенту ответ, полученный от сервера DHCP. Эта информация включает сведения о конфигурации (например, дополнительные или альтернативные серверы WINS и DNS), имя домена DNS и шлюз по умолчанию. Когда клиент получает параметры DHCP, заменяющие полученные изначально от сервера Routing and Remote Access, новые параметры записываются на место старых. Для работы этого механизма необходимо, чтобы в одной из локальных сетей, к которым подключен сервер Routing and Remote Access, находился сервер DHCP. Кроме того, для правильного функционирования необходимо добавить в раздел IP Routing/DHCP Relay Agent консоли управления RAS каждый из сетевых интерфейсов, для которых требуется включить поддержку DHCP (система автоматически выполняет это для Internet-интерфейса).

 


VPN в стиле Windows 2000

Routing and Remote Access содержит несколько усовершенствований, касающихся построения виртуальных частных сетей VPN. Во-первых, включена поддержка протокола Layer 2 Tunneling Protocol (L2TP). Протокол L2TP, определяемый спецификацией RFC 2661, является следующим этапом развития частных протоколов туннелирования, таких как PPTP от Microsoft и Layer 2 Forwarding (L2F) от Cisco Systems. Для защиты дейтаграмм PPP при передаче через соединения VPN протокол L2TP поддерживает безопасный протокол IP Security (IPSec), а не Microsoft Point-to-Point Encryption (MPPE), как это было для PPTP. Поэтому клиент RAS, требующий использования L2TP, должен поддерживать также и IPSec (сегодня этому требованию удовлетворяет только Windows 2000).

Значительной доработке подверглись функции администрирования VPN, начиная с мастера настройки сервера Routing and Remote Access. Вариант Virtual private network (VPN) server, как и другие предлагаемые мастером, запрашивает всю необходимую информацию для настройки сервера VPN, в том числе просит указать адаптер подключения к Internet. Надо отметить, что подключение к Internet должно осуществляться через сетевую плату, а не через модем, так что сервер VPN должен иметь по меньшей мере две сетевых платы (или хотя бы одну с двумя портами). После получения всех необходимых сведений мастер автоматически настраивает сервер Routing and Remote Access и может поддерживать до 128 соединений PPTP и 128 соединений L2TP.

Чтобы вручную изменить эти значения по умолчанию после завершения работы мастера, нужно щелкнуть правой кнопкой мыши на Ports в левой панели консоли управления Routing and Remote Access и выбрать Properties. Вы получите список всех портов, доступных на сервере Routing and Remote Access, в том числе драйверов минипорта WAN для PPTP и L2TP (если, конечно, они оба присутствуют). Для изменения числа портов, доступных для каждого из протоколов, а также для определения направления соединения (входящие/исходящие) выделите протокол, щелкните Configure, и появившемся диалоговом окне Configure Device установите нужные параметры.

Пункт настройки сервера Виртуальная частная сеть (VPN) позволяет настроить агента DHCP Relay Agent таким образом, чтобы клиенты Routing and Remote Access могли использовать поддержку DHCP Inform и IGMP для работы приложений IP multicast. Также автоматически настраивается политика доступа по умолчанию, и фильтры создаются таким образом, что сервер Routing and Remote Access принимает только соединения PPTP и L2TP, а остальной трафик отвергает. Аналогично работала функция PPTP Filtering в Windows NT 4.0. Если вам необходимо создать дополнительный трафик с использованием других протоколов, или же вы поменяли настройки сервера Routing and Remote Access для выполнения других задач, например, маршрутизации и удаленного доступа, то, возможно, потребуется изменить или удалить эти фильтры.

Как и в Windows NT 4.0 RRAS, поддержка VPN в Routing and Remote Access обеспечивает возможность маршрутизации между локальными сетями по коммутируемым соединениям и через локальную сеть (теперь с поддержкой L2TP и PPTP). Процесс настройки маршрутизации между локальными сетями стал существенно проще, чем в NT 4.0.

 


Использование политик

Routing and Remote Access позволяет для управления доступом удаленных пользователей применять политики, тогда как Windows NT 4.0 RAS предоставляет возможность только настройки привилегий пользователей и установки параметров обратного вызова. Routing and Remote Access существенно расширяет возможности управления подключением пользователей к серверу. Политика удаленного доступа определяет набор необходимых условий и настроек соединения, используемых сервером при авторизации попыток подключения.

Управление политиками осуществляется с помощью консоли управления Routing and Remote Access в разделе Remote Access Policies. Здесь вы можете разрешить или запретить авторизацию пользователей на сервере Routing and Remote Access в соответствии с набором критериев:

  • тип устройства, через которое пытается подключиться пользователь (модем, порт VPN)
  • идентификатор вызывающего, в том числе, номер вызывающего или системы
  • по времени суток и дню недели
  • по принадлежности к группам Windows 2000

При использовании сервера аутентификации Internet Authentication Service (IAS) в сочетании с Routing and Remote Access можно учитывать дополнительные критерии.

Политики удаленного доступа позволяют настроить широкий спектр параметров для подключений по коммутируемым линиям. Например, можно ограничить максимальное время соединения, надежность аутентификации и шифрования, возможность динамического выделения полосы пропускания в многозвенных соединениях. Применение политик удаленного доступа позволяет устанавливать соединение только в том случае, когда его параметры удовлетворяют хотя бы одной из установленных политик. Если же таких политик нет, сервер отвергает соединение даже в том случае, если для данной учетной записи удаленный доступ разрешен. Политики удаленного доступа сохраняются локально на серверах Routing and Remote Access или же, если серверы Routing and Remote Access настроены на использование сервера аутентификации RADIUS, на сервере IAS. Поскольку сервер IAS позволяет хранить все корпоративные политики удаленного доступа централизованно, применение IAS может значительно облегчить управление доступом к сети с использованием множества серверов Routing and Remote Access.

По умолчанию мастер настройки сервера Routing and Remote Access создает одну базовую политику, предоставляющую возможность подключения пользователям, для которых разрешен удаленный доступ. Это эквивалентно настройке Enable dial-in privileges в Windows NT 4.0 User Manager. Для создания дополнительных политик необходимо запустить консоль управления Routing and Remote Access и перейти в раздел Remote Access Policies. Команда New Remote Access Policy в меню Action запускает мастер Add Remote Access Policy.


 

RRAS: новые средства управления

Новизна средств управления Routing and Remote Access не ограничивается только наличием удобной консоли управления и мастером настройки. В Routing and Remote Access включено несколько дополнений, которые могут облегчить работу администратора. Поддержка RADIUS обеспечивает централизованные средства аутентификации, администрирования и ведения учетных записей в гетерогенной сети, использующей разные типы оборудования для доступа по коммутируемым линиям. Windows 2000 поддерживает RADIUS как для сервера, так и для клиента. Клиентская часть в этом случае состоит из сервера Routing and Remote Access, подключенного к серверу RADIUS для обеспечения аутентификации пользователей или учета расходования ресурсов удаленными пользователями.

Реализованная в Routing and Remote Access поддержка протокола RADIUS обеспечивает возможность независимой настройки аутентификации и учетных записей. Другими словами, можно настроить сервер на использование Windows или RADIUS как для аутентификации, так и для учетных записей, при этом не обязательно работать с одним и тем же провайдером. Хотя предлагаемый клиент RADIUS предназначен для работы с произвольным сервером RADIUS, Microsoft предлагает собственный вариант сервера RADIUS – IAS. Использование IAS в качестве сервера RADIUS позволяет централизованно хранить политики удаленного доступа для всех серверов Routing and Remote Access и управлять ими. IAS лучше выбрать в том случае, если компания поддерживает гетерогенную корпоративную сеть или предоставляет свои услуги в качестве провайдера доступа в Internet и должна обеспечить поддержку RADIUS для нескольких устройств доступа к сети, при этом требуются средства централизованного управления политиками доступа или необходима система учета доступа удаленных пользователей. Кроме того, RADIUS позволяет обеспечить однократную регистрацию при организации доступа к группам серверов, поддерживающих этот протокол.

Windows 2000 также предоставляет упрощенные средства администрирования серверов Routing and Remote Access. Команду Net Shell (Netsh) можно использовать для настройки большинства сетевых компонентов. Команды Netsh и Netsh в Ras позволяют настраивать практически любые параметры серверов Routing and Remote Access, включая авторизацию сервера в AD, настройку, добавление и управление портами, протоколами и предоставляемыми услугами, сохранение и восстановление информации о конфигурации сервера. Команду Netsh можно использовать даже в пакетных файлах и сценариях для выполнения полностью автоматической установки и настройки серверов Routing and Remote Access.

Netsh поддерживает как интерактивный, так и пакетный режимы работы. Так, для просмотра конфигурации RAS IP для сервера нужно ввести команду

netsh

затем на появившееся приглашение netsh ввести

ras

и далее

ip

а затем

show config

Тот же результат можно получить просто введя команду

netsh ras ip show config

В любом случае, команды Netsh можно вводить как в оперативном, так и в автономном режимах. По умолчанию (в оперативном режиме) система исполняет команды сразу при вводе с консоли Netsh. При работе в автономном режиме система накапливает команды в очереди, не выполняя их на сервере Routing and Remote Access до тех пор, пока не встретит команду Commit. Для отмены ожидающих в очереди команд можно ввести Abort. Кстати, в файле справки Microsoft ошибочно указывает команду Flush вместо Abort. Переключение режимов производится в любой момент в командной строке Netsh командами Online и Offline.

Существует также третий способ – выполнение команд в пакетном режиме (сценарии). Для этого в командной строке Netsh следует ввести Exec Scriptfile для выполнения файла сценария, содержащего последовательность команд Netsh. Можно также воспользоваться специальным ключом f в командной строке.

Нельзя не упомянуть о самой полезной команде – Dump, которая создает файл сценария с текущей конфигурацией сервера Routing and Remote Access. Команда Netsh Dump может быть выполнена на любом уровне командной строки Netsh в зависимости от объема интересующей информации. Так, в главном приглашении Netsh команда Dump выдаст полную информацию о сетевой конфигурации сервера (в то время как при вводе Dump в приглашении Netsh Ras выдаст только информацию о настройках RAS). Для сохранения в файл сведений о настройках RAS и маршрутизации следует ввести две команды:

Netsh 
netsh ras dump > filename
netsh routing dump > filename

Где filename – имя файла сценария, который вы собираетесь создать из результатов работы команды Dump.


 

При изменении настроек сервера Routing and Remote Access в интерактивном режиме или из пакетного файла/сценария, следует всегда сначала использовать команду Dump для сохранения текущего состояния компьютера – это позволит вернуться назад, если с новой конфигурацией возникнут проблемы. В Таблице 2 приведен список всех команд Netsh, относящихся к Routing and Remote Access.

Таблица 2: Команды Netsh.

Команда
Описание
ras aaaa add/delete/set/show acctserver Выводит список или выполняет настройку серверов учетных записей RADIUS
ras aaaa add/delete/set/show authserver Выводит список или выполняет настройку серверов аутентификации RADIUS
ras aaaa set/show accounting Настраивает или показывает провайдера учетных записей.
ras aaaa set/show authentication Настраивает или показывает провайдера аутентификации.
ras add/delete/show authtype Настраивает или показывает допустимые типы аутентификации.
ras add/delete/show client Показывает список подключенных в данный момент удаленных пользователей.
ras add/delete/show link Настраивает или показывает настройку программного сжатия и расширений протокола управления соединением (Link Control Protocol LCP).
ras add/delete/show multilink Настраивает или показывает настройку multilink и BAP
ras add/delete/show registeredserver Настраивает или показывает настройки, является ли указанный сервер удаленного доступа членом групп безопасности серверов RAS и IAS службы каталога AD указанного домена. Изменения, производимые командами ras add registeredserver и ras delete registeredserver не вступают в силу сразу после выполнения, так как Windows 2000 кэширует информацию AD. Чтобы изменения вступили в силу раньше, следует перезапустить компьютер Windows 2000.
ras appletalk set access Настраивает или показывает настройку, выполняет ли система пересылку трафика AppleTalk от клиента удаленного доступа в сети, к которым подключен сервер удаленного доступа.
ras appletalk set negotiation Настраивает или показывает текущую конфигурацию, происходит ли обмен с удаленными соединениями по протоколу AppleTalk.
ras appletalk show config Показывает настройку удаленного доступа для протокола AppleTalk.
ras ip add/delete range Добавляет или удаляет диапазон адресов из статического пула адресов IP.
ras ip delete pool Удаляет пул статических адресов IP.
ras ip set access Изменяет настройки системы по пересылке трафика IP от клиентов удаленного доступа в сети, к которым подключен сервер удаленного доступа.
ras ip set addrassign Настраивает метод назначения сервером удаленного доступа адресов IP для входящих соединений.
ras ip set addrreq Определяет, могут ли клиенты удаленного доступа или маршрутизаторы коммутируемых соединений запрашивать собственные адреса IP.
ras ip set negotiation Определяет, производит ли система согласование IP для соединений удаленного доступа.
ras ip show config Показывает настройку удаленного доступа IP.
ras ipx set access Настраивает или показывает настройку, выполняет ли система пересылку трафика IPX от клиента удаленного доступа в сети, к которому подключен сервер удаленного доступа
ras ipx set negotiation Определяет, производит ли система согласование IPX для соединений удаленного доступа.
ras ipx set nodereq Определяет, могут ли клиенты удаленного доступа запрашивать собственные адреса узлов IPX.
ras ipx set pool Настраивает диапазон адресов сети IPX.
ras ipx set/show netassign Настраивает метод назначения сервером удаленного доступа адресов IPX для входящих соединений.
ras ipx show config Показывает настройку удаленного доступа IPX.
ras netbeui set access Настраивает или показывает настройку, выполняет ли система пересылку трафика NetBEUI от клиентов удаленного доступа в сети, к которым подключен сервер удаленного доступа
ras netbeui set/show negotiation Определяет, производит ли система согласование NetBEUI для соединений удаленного доступа.
ras netbeui show config Показывает настройку удаленного доступа NetBEUI.
ras set/show authmode Настраивает или показывает настройку установок аутентификации удаленных пользователей, подключающихся по коммутируемой линии, а также показывает, когда выполняется аутентификация.
ras set/show tracing Настраивает или показывает настройку трассировки.
ras set/show user Настраивает или показывает настройку удаленного доступа для учетных записей пользователей.
ras show activeservers Выводит список всех серверов удаленного доступа, работающих в сети под Windows 2000

Routing and Remote Access также предоставляет усовершенствованные средства ведения журналов (трассировки). Существует три уровня ведения журнала:

  • Трассировка событий - регистрация в системном журнале Windows всех событий, которые относятся к Routing and Remote Access.
  • Трассировка процедур локальной аутентификации и учетных записей - при настройке системы Windows 2000 в качестве провайдера услуг аутентификации или учетных записей для сервера Routing and Remote Access на компьютере будет создан отдельный файл журнала для регистрации событий, связанных с этими службами. Данный журнал размещается в папке \%systemroot%\system32\logfiles (то есть, как правило, C:\winnt\system32\logfiles) в файле Iaslog.log. Для настройки параметров файла журнала, например, использовать формат IAS 1.0 или ODBC, надо открыть диалоговое окно Properties для элемента Local File в меню Remote Access Logging в левой панели консоли управления
  • Трассировка RADIUS - при настройке Routing and Remote Access для использования сервера RADIUS (т.е. IAS) для аутентификации и ведения учетных записей Routing and Remote Access позволяет включить ведение системного журнала на удаленном сервере RADIUS.

Помимо перечисленных журналов, можно включить режим трассировки практически для любого компонента Routing and Remote Access. Это можно сделать как с помощью консоли управления, так и из командной строки.

Использовать средства управления ведением журналов стало значительно удобнее, чем в Windows NT 4.0. Теперь можно в консоли управления Routing and Remote Access включать и отключать ведение журнала для всех компонентов по отдельности в диалоговом окне Properties каждого компонента. Так, чтобы включить журнал для сервера Routing and Remote Access и протокола PPP, следует щелкнуть правой кнопкой мыши на имени сервера в консоли управления, выбрать Properties и перейти на вкладку Event Logging.

Ту же настройку можно произвести из командной строки, для этого достаточно ввести команду

netsh ras set tracing component 

где component означает название компонента Routing and Remote Access (например, PPP), для которого вы собираетесь настроить параметры протокола. Чтобы включить или отключить трассировку сразу для всех компонентов, нужно ввести команду

netsh ras set tracing * 

В отличие от других событий Routing and Remote Access, для которых записи ведутся в системном журнале Windows, журнальные записи для компонентов Routing and Remote Access ведутся в папке \%windir%\tracing folder (т.е., C:\winnt\tracing). Система создает отдельные файлы журнала для каждого компонента, используя соответствующие имена файлов (так, протоколу PPP соответствует файл журнала ppp.log).

 


Другие возможности

Routing and Remote Access предлагает и другие необходимые пользователям функции. Так, в Routing and Remote Access снято имевшееся в Windows NT 4.0 ограничение, не позволявшее задействовать более 256 портов на сервере. Routing and Remote Access позволяет серверу обслуживать практически неограниченное число портов (конечно, существуют еще аппаратные ограничения, как, например, полоса пропускания, объем доступной оперативной памяти, быстродействие процессора).

Кроме того, Routing and Remote Access позволяет сократить число нежелательных подключений по коммутируемым линиям, для удаленных пользователей и маршрутизаторов, соединяющих различные локальные сети, по мере необходимости. Можно включать фильтр «соединение-по-требованию» (demand-dial), для запрета использования соединений по требованию для определенных типов трафика. Можно также установить период времени, когда разрешено подключаться удаленным пользователям. Разумное применение этих ограничений позволяет существенно сократить корпоративные расходы на оплату коммутируемых соединений.

Если вы используете многозвенные соединения RAS, стоит обратить внимание на имеющуюся в Routing and Remote Access поддержку протоколов Bandwidth Allocation Protocol (BAP) и Bandwidth Allocation Control Protocol (BACP). Эти протоколы, обычно реализуемые в аппаратных маршрутизаторах с поддержкой многозвенных соединений (таких, как линии ISDN с двумя каналами данных по 64-Кбит), позволяют Windows 2000 автоматически добавлять и отключать соединения RAS по мере изменения требований к полосе пропускания или в зависимости от времени соединения. Для использования динамического выделения полосы пропускания необходимо включить данный режим на сервере и клиенте, а затем в консоли управления Routing and Remote Access настроить параметры политик. Настройка параметров протоколов BAP и BACP осуществляется в диалоговом окне Properties сервера Routing and Remote Access. Находясь в консоли управления Routing and Remote Access, щелкните правой кнопкой мыши на имени сервера в левой панели, перейдите на вкладку PPP и установите флажок Dynamic bandwidth control using BAP or BACP.

Другим преимуществом Routing and Remote Access является возможность определять несколько диапазонов IP-адресов для предоставления клиентам доступа к серверу (в Windows NT 4.0 можно было использовать только один непрерывный диапазон адресов). Routing and Remote Access также поддерживает протоколы Extensible Authentication Protocol (EAP) и Microsoft Challenge Handshake Authentication Protocol (MSCHAP 2.0). EAP позволяет Routing and Remote Access использовать подключаемые модули аутентификации для устройств типа смарт-карт, обеспечивая таким образом совместимость с различными современными устройствами и технологиями. MSCHAP 2.0 обеспечивает повышенный уровень безопасности для удаленных клиентов Windows, подключающихся по коммутируемым линиям (необходима поддержка этого протокола клиентом, которая имеется в Windows 2000, Windows Me, Win98 и Win95 с DUN версии 1.3). Протокол также обеспечивает более надежное шифрование паролей и взаимную аутентификацию между клиентом RAS и сервером, в отличие от односторонней аутентификации, реализованной в MSCHAP 1.0.


 

Подумайте о переходе на новую версию

Обновленная служба Routing and Remote Access в Windows 2000 предлагает множество новых полезных функций, обеспечивает более широкие возможности управления и повышенную надежность по сравнению с Windows NT 4.0 RAS и RRAS. Принимая во внимание более тесную интеграцию службы с операционной системой, усовершенствованный интерфейс управления, возможность использования политик для удаленных клиентов и создания безукоризненного подключения к Internet через ICS и NAT, можно с уверенностью сказать, что Routing and Remote Access действительно облегчит жизнь системного администратора. Даже если в вашей компании еще не используются службы каталога AD, перечисленные выше возможности дают достаточно оснований для перевода серверов удаленного доступа с NT 4.0 RAS и RRAS на Windows 2000 с Routing and Remote Access.

Шон Дейли

Шон Дейли - один из редакторов журнала Windows NT Magazine и президент компании iNTellinet Solutions, занимающейся консалтингом и сетевой интеграцией. Имеет сертификат MCSE. Последней из его книг была «Optimizing Windows NT», выпущенная издательством IDG Books. С ним можно связаться по адресу: Этот e-mail адрес защищен от спам-ботов, для его просмотра у Вас должен быть включен Javascript Этот e-mail защищен от спам-ботов. Для его просмотра в вашем браузере должна быть включена поддержка Java-script .

 

Яндекс.Метрика