第10章遠(yuǎn)程桌面和遠(yuǎn)程訪問服務(wù)器

第10章遠(yuǎn)程桌面和遠(yuǎn)程訪問服務(wù)器第一頁，共36頁。課件制作人聲明本課件共18個(gè)Powerpoint文件（每章一個(gè)）。教師可根據(jù)教學(xué)要求自由修改此課件（增加或刪減內(nèi)容），但不能自行出版銷售。對于課件中出現(xiàn)的缺點(diǎn)和錯誤，歡迎讀者提出寶貴意見，以便及時(shí)修訂。第二頁，共36頁。第10章遠(yuǎn)程桌面和遠(yuǎn)程訪問服務(wù)器10.1使用遠(yuǎn)程桌面管理服務(wù)器10.2使用遠(yuǎn)程桌面連接到其他計(jì)算機(jī)10.3遠(yuǎn)程訪問概述10.4VPN簡介10.5本章實(shí)驗(yàn)環(huán)境第三頁，共36頁。第10章遠(yuǎn)程桌面和遠(yuǎn)程訪問服務(wù)器（續(xù)）10.6配置遠(yuǎn)程訪問10.7站點(diǎn)間VPN概述第四頁，共36頁。10.1使用遠(yuǎn)程桌面管理服務(wù)器第五頁，共36頁。使用遠(yuǎn)程桌面管理的好處使用遠(yuǎn)程桌面管理可以提供以下一些好處。支持對WindowsServer2008的完全管理。使用遠(yuǎn)程桌面連接，系統(tǒng)管理員可以從運(yùn)行WindowsServer2008或以前版本W(wǎng)indows操作系統(tǒng)的計(jì)算機(jī)上來完全管理運(yùn)行WindowsServer2008的計(jì)算機(jī)。從任意位置訪問服務(wù)器。使用遠(yuǎn)程桌面管理，我們可以在世界上的任何地點(diǎn)，通過廣域網(wǎng)（WAN）、虛擬專用網(wǎng)（VPN）或撥號連接來訪問遠(yuǎn)程服務(wù)器。訪問配置設(shè)置。使用遠(yuǎn)程桌面管理，可以遠(yuǎn)程訪問服務(wù)器的大多數(shù)的配置設(shè)置，包括控制面板。使用遠(yuǎn)程桌面會話，我們可以訪問MMC、ActiveDirectory、Microsoft系統(tǒng)管理服務(wù)器、網(wǎng)絡(luò)配置工具和大多數(shù)的其他管理工具。第六頁，共36頁。10.2使用遠(yuǎn)程桌面連接到其他計(jì)算機(jī)使用遠(yuǎn)程桌面連接，可以從一臺運(yùn)行Windows的計(jì)算機(jī)訪問另一臺運(yùn)行Windows的計(jì)算機(jī)，條件是兩臺計(jì)算機(jī)連接到相同網(wǎng)絡(luò)或連接到Internet。例如，可以在家中的計(jì)算機(jī)使用所有工作計(jì)算機(jī)上的程序、文件及網(wǎng)絡(luò)資源，就像坐在工作場所的計(jì)算機(jī)前一樣。若要連接到遠(yuǎn)程計(jì)算機(jī)，該遠(yuǎn)程計(jì)算機(jī)必須為開啟狀態(tài)，必須具有網(wǎng)絡(luò)連接，遠(yuǎn)程桌面必須可用，必須能夠通過網(wǎng)絡(luò)訪問該遠(yuǎn)程計(jì)算機(jī)，還必須具有連接權(quán)限。若要獲取連接權(quán)限，你必須位于允許遠(yuǎn)程訪問的用戶列表中。第七頁，共36頁。在服務(wù)器上啟用遠(yuǎn)程桌面第八頁，共36頁。授予普通用戶遠(yuǎn)程連接的權(quán)限第九頁，共36頁。通過遠(yuǎn)程桌面連接到服務(wù)器第十頁，共36頁。將資源映射到遠(yuǎn)程服務(wù)器第十一頁，共36頁。10.3遠(yuǎn)程訪問概述遠(yuǎn)程桌面技術(shù)僅可以使管理員遠(yuǎn)程登錄到開啟了遠(yuǎn)程桌面的服務(wù)器上，并且只能同時(shí)支持兩個(gè)并發(fā)連接。如果需要經(jīng)常訪問遠(yuǎn)程網(wǎng)絡(luò)中的多臺服務(wù)器，遠(yuǎn)程桌面技術(shù)就顯得力不從心了。通過將WindowsServer2008中的“路由和遠(yuǎn)程訪問”功能，將系統(tǒng)配置為遠(yuǎn)程訪問服務(wù)器，則可以將遠(yuǎn)程工作人員或流動工作人員連接到公司網(wǎng)絡(luò)上，遠(yuǎn)程用戶可以像其計(jì)算機(jī)物理連接到公司網(wǎng)絡(luò)上一樣進(jìn)行工作。此時(shí)，就可以訪問公司網(wǎng)絡(luò)中的任何一臺服務(wù)器，包括FTP、Web、文件服務(wù)器等。第十二頁，共36頁。遠(yuǎn)程訪問概述（續(xù)）利用遠(yuǎn)程訪問連接的用戶可以使用通過LAN連接的用戶通?？捎玫乃蟹?wù)（包括文件共享和打印共享、Web服務(wù)器訪問和消息傳遞等）。例如，在運(yùn)行“路由和遠(yuǎn)程訪問”的服務(wù)器上，客戶端可以使用Windows資源管理器來建立驅(qū)動器連接和連接到打印機(jī)。由于遠(yuǎn)程訪問完全支持驅(qū)動器號和通用命名約定(UNC)名稱，所以，大多數(shù)商用應(yīng)用程序和自定義應(yīng)用程序不必進(jìn)行修改即可使用。第十三頁，共36頁。10.4VPN簡介WindowsServer2008的“虛擬專用網(wǎng)（VPN）”可以讓遠(yuǎn)程用戶和局域網(wǎng)之間，通過Internet（或其他公用網(wǎng)絡(luò)）來建立起一個(gè)安全的通信管道。為了實(shí)現(xiàn)VPN功能，我們需要在內(nèi)網(wǎng)搭建一臺VPN服務(wù)器，以便讓VPN客戶端來連接。第十四頁，共36頁。VPN的概念VPN（VirtualPrivateNetwork，虛擬專用網(wǎng)絡(luò)）是當(dāng)前應(yīng)用較為廣泛的技術(shù)，我們可以使用VPN技術(shù)讓出差的用戶通過Internet訪問內(nèi)網(wǎng)，通過配置站點(diǎn)間VPN可以將兩個(gè)局域網(wǎng)通過Internet連接起來?？梢园裋PN理解成是虛擬出來的企業(yè)內(nèi)部專線。它可以通過特殊的加密通訊協(xié)議在連接在Internet上的位于不同地方的兩個(gè)或多個(gè)企業(yè)內(nèi)部網(wǎng)之間建立一條專有的通訊線路，就好比是架設(shè)了一條專線一樣，但是它并不需要真正的去鋪設(shè)光纜之類的物理線路。VPN技術(shù)原是路由器具有的重要技術(shù)之一，但目前在交換機(jī)、防火墻設(shè)備或WindowsServer2008等軟件里也都支持VPN功能，一句話，VPN的核心就是利用公共網(wǎng)絡(luò)建立虛擬私有網(wǎng)。第十五頁，共36頁。設(shè)置管理員密碼第十六頁，共36頁。VPN的使用場合第十七頁，共36頁。VPN的使用場合（續(xù)）第十八頁，共36頁。VPN使用的協(xié)議VPN中的隧道是由隧道協(xié)議形成的，VPN使用的隧道協(xié)議主要有三種：點(diǎn)到點(diǎn)隧道協(xié)議（PPTP）、第二層隧道協(xié)議（L2TP）以及IPSec。第十九頁，共36頁。10.5本章實(shí)驗(yàn)環(huán)境第二十頁，共36頁。10.6配置遠(yuǎn)程訪問在SJZRAS上配置VPN服務(wù)器第二十一頁，共36頁。配置用戶允許撥入第二十二頁，共36頁。在RemotePC上配置VPN客戶端第二十三頁，共36頁。查看遠(yuǎn)程撥入的用戶第二十四頁，共36頁。配置VPN使用L2TP協(xié)議第二十五頁，共36頁。配置RemotePC啟用L2TPVPN客戶端第二十六頁，共36頁。10.7站點(diǎn)間VPN概述站點(diǎn)到站點(diǎn)VPN連接是一種請求撥號連接，它使用VPN隧道協(xié)議（例如PPTP或L2TP/IPSec）來連接專用網(wǎng)絡(luò)的兩個(gè)部分。每個(gè)VPN路由器都提供一個(gè)與VPN路由器所屬網(wǎng)絡(luò)的路由連接。在站點(diǎn)到站點(diǎn)VPN連接中，任何一個(gè)路由器通過VPN連接發(fā)送的數(shù)據(jù)包通常都不在路由器上初始化，而是由呼叫路由器（VPN客戶端）初始化這個(gè)連接，應(yīng)答路由器（VPN服務(wù)器）偵聽連接請求，接收來自呼叫路由器的連接請求，并根據(jù)請求建立連接。呼叫路由器向應(yīng)答路由器證明自己的身份。在使用共有身份驗(yàn)證協(xié)議（例如MS-CHAPv2或EAP-TLS）時(shí)，應(yīng)答路由器也向呼叫路由器證明自己身份。第二十七頁，共36頁。站點(diǎn)間VPN身份驗(yàn)證和數(shù)據(jù)加密方法站點(diǎn)間VPN連接的身份驗(yàn)證采用三種不同的形式。使用PPP身份驗(yàn)證的用戶級身份驗(yàn)證。為了建立VPN連接，VPN服務(wù)器使用點(diǎn)對點(diǎn)協(xié)議（PPP）用戶級身份驗(yàn)證方法對正在嘗試連接的VPN客戶端進(jìn)行身份驗(yàn)證，并驗(yàn)證VPN客戶端是否擁有相應(yīng)的授權(quán)。如果使用相互身份驗(yàn)證，VPN客戶端也將對VPN服務(wù)器進(jìn)行身份驗(yàn)證。使用Internet密鑰交換（IKE）的計(jì)算機(jī)級身份驗(yàn)證。為了建立Internet協(xié)議安全（IPSec）安全關(guān)聯(lián)，VPN客戶端和VPN服務(wù)器使用IKE協(xié)議交換計(jì)算機(jī)證書或預(yù)共享密鑰。在任何一種情況下，VPN客戶端和VPN服務(wù)器均將在計(jì)算機(jī)級別進(jìn)行相互身份驗(yàn)證。強(qiáng)烈建議使用計(jì)算機(jī)證書身份驗(yàn)證，因?yàn)檫@種身份驗(yàn)證方法比其它方法要強(qiáng)大的多。VPN只對L2TP/IPSec連接執(zhí)行計(jì)算機(jī)級身份驗(yàn)證。第二十八頁，共36頁。站點(diǎn)間VPN身份驗(yàn)證和數(shù)據(jù)加密方法（續(xù)）數(shù)據(jù)源身份驗(yàn)證和數(shù)據(jù)完整性。為了驗(yàn)證通過VPN連接發(fā)送的數(shù)據(jù)是否源自連接的另一端并且在傳輸中未被修改，數(shù)據(jù)中包含基于加密密鑰（只有發(fā)送方和接收方知道）的加密校驗(yàn)和。數(shù)據(jù)源身份驗(yàn)證和數(shù)據(jù)完整性只可用于L2TP/IPSec連接。第二十九頁，共36頁。單向和雙向初始化連接路由器請求撥號接口名稱用戶憑據(jù)中的用戶帳戶名