首页业界动态基础网络服务高级网络服务网络技术相关下载 登录论坛 @联系我们
WinSVR.ORG > 信息 > 高级网络服务 > 路由和远程访问 > 深入理解远程访问策略
现在时间是: 2018-11-21 16:52
深入理解远程访问策略

(2006-01-16 09:26)

深入理解远程访问策略

 

虚拟专用网络(VPN)连接基础一文中我们曾经提及,你可以通过以下两种方式来控制用户的远程拨入:

  • 在用户账户的拨入属性中设置为允许访问拒绝访问来显式控制VPN客户的远程拨入;

  • 在用户账户的拨入属性中设置为通过远程访问策略控制访问,然后创建远程访问策略来控制用户的远程拨入。

那么,它们之间有什么区别呢?

它们之间的主要区别在于:显式控制方式只能针对单个用户进行设置,而通过远程访问策略控制访问可以针对多个用户或用户组进行设置。

远程访问策略RAP)是定义是否授权VPN客户远程访问的一系列规则集合,每个RAP具有一个或多个匹配条件、一组配置文件设置和一个远程访问权限设置。 如果设置为通过远程访问策略控制访问,当VPN客户发起连接请求时,VPN服务器按照优先级顺序(顺序值越低的RAP具有越高的优先级)对RAP进行评估,并且应用第一个匹配VPN客户连接请求的RAP中的授权设置。当VPN客户的连接请求匹配某个远程访问策略的所有匹配条件时,VPN服务器根据此远程访问策略的授权设置来决定是否允许VPN客户的拨入,并且根据此RAP的配置文件来决定如何处理此VPN客户的远程拨入。

如果使用显式控制方式,当VPN客户发起连接请求时,VPN服务器只是根据发起连接请求的用户账户的拨入属性来简单的允许或拒绝VPN客户的远程访问。而采用通过远程访问策略控制访问时,VPN服务器 评估是否授权VPN客户的远程拨入的过程如下:

  • VPN服务器按照优先级顺序(顺序值越低的RAP具有越高的优先级)对RAP进行评估。如果VPN客户的连接请求匹配某个RAP的所有匹配条件,则检查远程访问策略的远程访问权限设置:

    • 如果远程访问权限被设置为授予远程访问权限,则允许VPN客户的远程拨入并应用RAP的配置文件来处理VPN连接;

    • 如果远程访问权限被设置为拒绝远程访问权限,则拒绝VPN客户的远程拨入;

  • 如果VPN客户的连接请求不匹配此RAP的任何条件,则处理下一远程访问策略。

  • 如果没有任何远程访问策略匹配VPN客户的连接请求,则拒绝VPN客户的远程拨入。

默认情况下,在Windows Server 2003中预定义了以下两个远程访问策略,不过它们的远程访问权限设置为拒绝远程访问权限,即拒绝匹配条件的VPN客户的远程拨入:

  • 到Microsoft路由和远程访问服务器的连接:定义的匹配条件为RRAS服务器特征字符串等于“^311$”,这代表 到Microsoft路由和远程访问服务器的远程访问连接。如果VPN客户向Microsoft路由和远程访问服务发起连接请求,则匹配此RAP。

  • 到其他访问服务器的连接:定义的匹配条件为任何时间发起的VPN客户连接请求,此RAP匹配任何VPN客户连接的请求。

在远程访问策略中,你可以设置以下匹配条件:

  • VPN客户身份验证方式;

  • VPN客户发起连接请求的电话号码或连接到的电话号码;

  • VPN客户发起连接请求的日期和时间;

  • VPN客户使用的链路协议;

  • RRAS服务器特征字符串;

  • VPN客户请求的服务类型;

  • VPN客户使用的隧道类型;

  • VPN客户所属于的Windows用户组;

  • 其他还可以在IAS服务器中使用的匹配条件,如RADIUS客户端的友好名称、IP地址等等;

对于每一个VPN客户的远程拨入,路由和远程访问服务完整的处理过程分为两部分:

  • 处理授权:如上文中所描述的显式控制或通过远程访问策略控制,从而决定是否允许VPN客户的远程拨入;

  • 处理连接:当允许VPN用户远程拨入时,路由和远程服务将处理和VPN客户之间的连接。路由和远程访问服务将结合用户账户拨入属性中的设置和第一个匹配VPN客户连接请求的远程访问策略中的配置文件设置来处理与VPN客户之间的连接。如果 两者之间出现冲突,用户账户拨入属性中的设置将覆盖远程访问策略中的配置文件设置。不过用户账户拨入属性中可用设置比较少,主要使用的是远程访问策略中的配置文件中的设置。

需要注意的是,处理连接和处理授权是独立进行的,即采用何种授权方式不会影响连接的处理。即使你通过显式控制来处理授权,但是当路由和远程访问服务处理连接时,同样会使用第一个匹配VPN客户连接请求的远程访问策略中的配置文件设置。如果没有匹配VPN客户请求的远程访问策略,则路由和远程访问服务会拒绝VPN客户的远程拨入;如果VPN客户端的连接设置不匹配远程访问策略配置文件中的设置,则同样会拒绝VPN客户的远程拨入。提示的错误信息均为错误649:本账户没有拨入的权限

配置文件由一组应用到远程VPN客户连接的连接选项设置组成,默认情况下不会对配置文件进行设置,即对VPN客户的远程访问连接没有任何限制。你可以通过以下选项来设置VPN服务器如何进行与VPN客户的远程访问连接:

  • 空闲超时时间

  • 最大会话时间

  • 允许拨入的时间;

  • 加密强度;

  • 身份验证方式;

  • IP数据包筛选器;

  • 多重链接设置;

  • 分配VPN客户端IP地址的方式(用户账户中的拨入设置具有更高的优先权)等等;

远程访问策略对于本地计算机是唯一的,不过你可以通过本地的路由和远程访问管理控制台或者Internet验证服务管理控制台来管理本地计算机上的远程访问策略。如果服务器运行路由和远程访问服务,并且配置为使用Windows身份验证提供程序,则路由和远程访问服务使用本地的远程访问策略,并且只是应用到VPN客户到本地路由和远程访问服务器的连接;如果服务器运行路由和远程访问服务,并且配置为使用RADIUS身份验证提供程序,则路由和远程访问服务使用RADIUS服务器上的远程访问策略,一个RADIUS服务器上的远程访问策略可以应用到多个路由和远程访问服务器。Windows服务器中的RADIUS服务即Internet 验证服务IAS),关于Internet 验证服务更详细的信息,请参见Internet验证服务使用指南一文。



作者:风间子
责任编辑:风间子

[1] [2] [3] 下一页>>
上一篇:How to :配置Windows Server 2003作为网络间的路由器
下一篇:深入理解ICS和NAT
相关信息:

How to :部署Windows server 2003中的站点到站点VPN连接
How to :配置Windows Server 2003作为网络间的路由器
虚拟专用网络(VPN)连接基础
深入理解ICS和NAT
深入理解路由和远程访问服务中的筛选器和基本防火墙

热点信息 TOP 10
虚拟专用网络(VPN)连接基础
How to :部署Windows Server 2003中的远程访问VPN服务
深入理解ICS和NAT
深入理解路由和远程访问服务中的筛选器和基本防火墙
How to :部署Windows server 2003中的站点到站点VPN连接
深入理解远程访问策略
How to :配置Windows Server 2003作为网络间的路由器
Windows Server 2003 SP2 与 NAT 的兼容性问题

搜索 SEARCH
关键字:
包含:
搜索于:

Powered by: WinSVR.ORG
Copyright © 2006-2017 WinSVR.ORG, All Rights Reserved.