本章主要内容:
1、利用智能镜像技术管理用户和计算机
2、数据备份和设备容错
3、设备容错
4、Windows 2000 虚拟专用网络
13.1 利用智能镜像技术管理用户和计算机
13.1.1 智能镜像的概述
智能镜像(IntelliMirror) 将集中计算的优点和分布式计算的性能及灵活性结合起来。通过在服务器和客户端同时使用 IntelliMirror,用户的数据、应用程序和设置在所有的环境中都跟随用户。管理员也可以使用这些功能来执行 Windows 2000 操作系统的远程安装。
Windows 2000 IntelliMirror 功能:
§ 用户数据管理:支持将用户数据镜像到网络和所选网络数据的本地副本中。
通过将数据从计算机镜像到网络来保护重要的工作,除了有受到完全保护的数据之外,用户还可以使用网络上的任意 Windows 2000 计算机,而且总可以访问自己的数据。
IntelliMirror 用户数据管理功能使用以下技术:
§ Active Directory
§ 组策略
§ 脱机文件
§ 同步管理器
§ 磁盘配额
§ 漫游用户配置文件
§ 软件安装和维护:允许管理员集中管理软件的安装、修复、更新和删除。
管理员可以使用 IntelliMirror 的软件安装和维护功能来安装和维护计算机上的应用程序。如果有任意应用程序需要更新,网络管理员都可以从服务器上对其进行更新。
§ 用户设置管理:允许管理员集中定义用户和计算机的计算环境设置。还包括将用户设置镜像到网络中。
IntelliMirror 用户设置管理功能规定用户首选项和设置--与用户文档管理及软件安装和维护相同的基本功能。无论用户登录到网络上的哪台计算机,用户的首选项和设置仍然有效。这也允许管理员代表单位定义设置,并强制执行这些设置。
IntelliMirror 用户设置管理功能使用以下技术:
§ Active Directory
§ 组策略
§ 脱机文件
§ 漫游用户配置文件
§ 远程安装服务:支持更简便的安装和配置,并允许将操作系统远程安装到整个企业的所有计算机上。
13.1.2 脱机文件
使用脱机文件,即使没有连接到网络也可以继续处理网络文件和程序。
如果断开与网络的连接或移除便携式计算机,指定为可以脱机使用的共享网络条目与连接到网络时完全相同。可以象通常一样继续处理。对这些文件和文件夹的访问权限与连接到网络时相同。当连接状态变化时,"脱机文件"图标将出现在状态区中,状态区上会显示提示信息,通知用户这一变化。当网络连接恢复或插接便携式计算机时,所有脱机时所作的更改均将更新到网络上。用户和网络上的其他人对同一文件作出更改时,用户可以选择将用户的文件版本保存到网络、保留其他版本或两个版本均保存。
用户可以手动启动同步,也可以将"同步管理器"设置为在脱机文件与网络同步时控制同步。"同步管理器"还控制执行完全同步还是快速同步。完全同步可以确保获得每个指定为允许脱机使用的网络文件的最新版本。快速同步比完全同步速度快得多,但是可能不提供每个指定为可以脱机使用的网络文件的最新版本。
Microsoft 网络上的任何共享文件或文件夹均可以指定为允许脱机使用。用户可以允许脱机使用来自任何支持基于"服务器消息块"(SMB) 文件和打印机共享的计算机(包括 Windows 95、Windows 98 和 Windows NT 4.0)上的文件。但在 Novell NetWare 网络上不能使用"脱机文件"。
系统管理员可以设置共享文件夹,使在该共享文件夹中打开的每个网络文件均自动指定为可以脱机使用,或仅指定允许脱机使用所选的网络文件。
如果文件的快捷方式被允许脱机使用,该文件即可脱机使用,但是如果文件夹的快捷方式被允许脱机使用,该文件夹的内容将无法脱机使用。
13.1.2.1 脱机工作原理
"脱机文件"通知用户网络连接的状态是否变化。当网络连接的状态变化时,"脱机文件"图标将出现在状态区,状态区上会显示信息提示,通知用户这一变化。如果信息提示通知用户处于脱机状态,用户可以继续象通常一样使用文件,也可以单击状态区中的"脱机文件"图标,获得有关连接状态的详细信息。
即使脱机工作断开网络或便携式计算机出坞,仍可以在"我的电脑"或"网上邻居"中浏览网络驱动器或共享文件夹。断开的网络驱动器上将出现红叉。网络连接断开后,用户将只能看到可以脱机使用的文件和创建的文件。
无论是连接到网络还是脱机工作,对网络文件和文件夹的权限均保持不变。例如,如果用户断开网络,映射网络驱动器上的只读文档仍保持只读。
断开网络后,可以打印到本地打印机,但无法打印到网络上的共享打印机。取而代之,该文件被后台处理,并在重新连接网络时打印到网络打印机。
重新连接网络后,"同步管理器"将使用脱机工作时所作的更改来更新网络文件。
13.1.2.2 设置计算机以便使用"脱机文件"
步骤1 打开"我的电脑"
步骤2 在"工具"菜单上,单击"文件夹选项"。
步骤3 在"脱机文件"选项卡上,确保选中了"启用脱机文件"复选框,如图 13.1。
步骤4 选中"注销前同步所有脱机文件"以便进行完全同步。清除该选项则进行快速同步。
13.1.2.3 使文件或文件夹可以脱机使用
步骤1 在"我的电脑"或"网上邻居"中,单击要指定为可以脱机使用的共享网络文件或文件夹。
步骤2 在"文件"菜单上,单击"允许脱机使用",如图13.2。
注意
§ 只有将计算机设置为使用"脱机文件","允许脱机使用"才会出现在"文件"菜单上。有关将计算机设置为使用"脱机文件"的信息,请参阅相关主题。
§ 第一次允许脱机使用条目时,"脱机文件"向导会引导用户完成该过程。"正在同步"对话框消失后,该条目即可脱机使用。
可允许脱机使用共享网络文件夹中的单个文件或整个共享网络文件夹。如果允许脱机使用整个文件夹,该共享文件夹中的所有文件在下一次计算机同步时,将自动可以脱机使用。
§ 如果文件的快捷方式被允许脱机使用,该文件即可脱机使用,但是如果文件夹的快捷方式被允许脱机使用,该文件夹的内容将无法脱机使用。
§ 当网络连接的状态变化时,"脱机文件"图标将出现在状态区,状态区上会显示提示信息,通知用户这一变化。如果提示信息通知用户处于脱机状态,用户可以继续象通常一样使用文件,也可以单击状态区中的"脱机文件"图标,获得有关连接状态的详细信息。
§ 要取消文件或文件夹的脱机使用许可,请右键单击该条目并再次单击"允许脱机使用",清除复选标记。
13.1.2.4 更改"脱机文件"对网络断开的响应方式
步骤1 打开 "我的电脑"。
步骤2 在"工具"菜单上,单击"文件夹选项"。
步骤3 在"脱机文件"选项卡上,单击"高级"。
步骤4 在"网络连接丢失时"下,执行下列操作之一:
§ 单击"通知我,然后开始脱机工作",接收已断开连接的通知并继续使用脱机文件和文件夹。
§ 单击"不允许计算机脱机工作",使用户断开网络连接时无法使用脱机文件和文件夹。 如图13.3
13.1.3 软件安装和维护
软件安装帮助管理员在企业中在服务器上完成客户机中应用程序安装和维护。
§ 如果用组策略以指派的方式安装应用程序,将在用户登录的客户机的"开始"菜单中创建一个应用程序的快捷方式,并在注册表中创建相应的文件关联,当用户使用该程序的时候它才被完整安装。这与以前的安装方式有了很大的区别,应用程序采用了Windows安装服务,应用程序的安装过程由Windows 2000 系统管理和执行,提高了应用程序的可操作性和可管理性。
§ 如果用组策略发布应用程序,发布的应用程序将出现在客户机的"控制面板"中的"添加/删除程序"项中,发布的应用程序是否安装由用户自己决定。当用户或应用程序需要打开某个文件时,在注册表中该文件与要安装的应用程序关联,这时才显示安装界面,用户称之为"文档激活",同时发布的应用程序还支持传统的程序安装方法。
§ 对客户机上应用程序的修复是由Windows 安装服务来完成的每当激活一个由授权的Windows 服务管理的应用程序时,Windows服务将定时检查应用程序的有效性,在程序损坏时自动完成丢失文件或错误设置的修复工作。
用户可以利用两种方式管理应用程序的安装:指派(Assign)和发布(Published)
13.1.3.1 指派
指派:当希望所选组策略对象中的每个用户均可以在计算机上安装该应用程序,可采用指派应用程序
步骤1 从"Active Directory 用户和计算机"、"Active Directory 站点和服务"或作为独立的 Microsoft 管理控制台管理单元打开组策略。
步骤2 要对计算机分配软件,请双击"计算机配置"。要对用户分配或发布软件,请双击"用户配置"。
步骤3 双击"软件设置"。
步骤4 在控制台树中,单击"软件安装",然后单击"操作"菜单,选择"新建",选择"程序包…" 如图 13.4
步骤5 选择 Windows 安装程序包,选择部署方式"已指派"如图 13.5。
完成程序包的添加 如图 13.6
用户可以利用运行程序和文件激活的方式安装程序,但用户不能删除指派的应用程序,如果用户删除了它,在用户下次登录到客户机时将被再次通知指派的应用程序
发布:
13.1.3.2 发布程序
如果希望用户决定是否安装应用程序则可以利用发布的方式,操作步骤同上,只是在选择部署类型的时候选择"已发布"。
计算机或用户的"软件安装"属性的设置在安装程序属性中的"部署" 标签中常用选项如图13.7。
当这个组策略对象不再适用于某个计算机或用户时,自动删除相应的应用程序。
在客户机的"控制面板"中的"添加/删除程序"项中显示该程序包,安装方式有两种:
基本选项:安装程序的常用选项
最大选项:安装程序的所以选项(默认设置)
用户可以利Windows 2000 server 安装盘中附带的veritas software中的Winstall制作工具如图13.8,制作需要发布的程序包。
通过以上介绍用户可以看到利用组策略中的软件安装功能提高了工作效率,减轻了工作负担,使得软件的安装、维护和管理更为灵活和简便。
13.1.4 组策略
组策略设置定义了系统管理员需要管理的用户桌面环境的多种组件,例如,用户可用的程序、用户桌面上出现的程序以及"开始"菜单选项。使用组策略管理单元,可以为特定用户组创建特定的桌面配置。所指定的组策略设置包含在组策略对象中,而组策略对象又和所选择的站点、域或组织单位的 Active Directory 对象相关联。组策略包括影响用户的"用户配置"和影响计算机的"计算机配置"。利用组策略及其扩展,可以:
§ 通过管理模板管理基于注册表的策略。组策略创建包含注册表设置的文件,这些注册表设置被写入到注册表数据库的"用户或本地计算机"部分。登录到给定的工作站或服务器用户特定的用户配置文件写在注册表的 HKEY_CURRENT_USER (HKCU) 下,而计算机特定设置写在 HKEY_LOCAL_MACHINE (HKLM) 下。
§ "指派脚本"(例如启动或关机,登录和注销)。
§ 重定向文件夹从本地计算机上的"Documents and Settings"文件夹到网络位置。
§ 管理应用程序(分配、发布、更新或者修复)。为此,用户可以使用软件安装扩展。
§ 指定安全选项有关安全组选项的设置,请参阅安全设置联机帮助。
13.1.4.1 如何以及何时应用组策略
用户及计算机策略:
用户策略(位于组策略中"用户配置"节点下的设置),在用户登录时获得。计算机策略设置位于"计算机配置"下,在计算机启动时获得。"用户和计算机"是接收策略的唯一 Active Directory 对象类型。具体地说,安全组没有他们要应用的策略。由于性能方面的原因,安全组可以通过"应用组策略"的访问控制项 (ACE) 来筛选该策略,该访问控制项可以设置为"允许"或"拒绝"或保留为不配置。
应用顺序:
策略按如下顺序应用:
唯一的本地组策略对象。
站点组策略对象,按照行政管理指定的顺序。
域组策略对象,按照行政管理指定的顺序。
对于组织单位组策略对象,按照从大组织单位到小的组织单位顺序(从父组织单位到子组织单位),而在每个组织单位级别中,则按照行政管理指定的顺序。
默认情况下,这些策略不一致时,后应用的策略将覆盖以前应用的策略。但是,如果这些设置不一致,前后的策略都将作为有效策略。
用安全组成员身份筛选策略:
组策略对象的安全组 ACE 可以设置为"未配置"(没有优先级)、"允许"或"已拒绝"。"已拒绝"的优先级高于"允许"。
阻止策略继承:
从更高级站点、域或组织单位继承的策略可以在该站点、域或组织单位级别被拒绝。
从更高级别执行策略:
可以在组策略对象级别将某些策略设置为"禁止替代",否则该策略将被子组织单位策略覆盖。
13.1.4.2 配置及管理组策略
编辑组策略对象:
步骤1 打开要编辑的组策略对象。
步骤2 双击详细信息窗格中的项目更改其设置
创建新的组策略对象:
步骤1 打开 Active Directory 用户和计算机,创建链接到域或组织单位的组策略对象。
或打开 Active Directory 站点和服务,创建链接到站点的组策略对象。
步骤2 在控制台中,右键单击新建的组策略对象要链接到的站点、域或组织单位。(保存在当前域中。)
步骤3 单击"属性",然后单击"组策略"选项卡, 如图 13.9。
步骤4 单击"新建",键入组策略对象的名称,然后单击"关闭"。
将组策略对象链接到站点、域或组织单位:
步骤1 打开 Active Directory 用户和计算机,创建链接到域或组织单位的组策略对象。
或打开 Active Directory 站点和服务,创建链接到站点的组策略对象。
步骤2 在控制台中,右键单击组策略对象应该链接到的站点、域或组织单位。
步骤3 单击"属性",然后单击"组策略"选项卡。
步骤4 要将组策略对象添加到"组策略对象链接"列表中,请单击"添加"。出现"添加组策略对象链接"对话框。
步骤5 单击"全部"选项卡如图13.10,单击所需的组策略对象,然后再单击"确定"。
步骤6 在站点、域或组织单位的"属性"对话框中,单击"确定"。
13.2 数据备份
13.2.1 数据备份
如果系统遭受硬件或存储媒体故障,则"备份"工具可以帮助用户保护数据免受意外的损失。例如,可以使用"备份"在硬盘上创建数据的副本,然后在其他存储设备(例如硬盘或磁带)上存档该数据。如果硬盘上的原始数据被意外删除或覆盖,或因为硬盘故障而不能访问该数据,那么用户可以十分方便的从存档副本中还原该数据。
使用"备份",可以:
§ 在硬盘上存档选择的文件和文件夹。
§ 将存档文件和文件夹还原到硬盘或其他任何可以访问的磁盘上。
§ 创建紧急修复磁盘 (ERD),如果系统文件损坏或意外被擦除,该磁盘可以帮助用户修复它们。
§ 备份任何远程存储数据和存储在已装入驱动器的任何数据。
§ 备份系统状态,它包含注册表、Active Directory 数据库,和"证书服务"数据库。
§计划常定期份以保持存档数据是最新的。
可以使用"备份"来备份和还原文件分区表 (FAT) 或 NTFS 文件系统卷上的数据。然而,如果从 Windows 2000 中使用的 NTFS 卷上备份了数据,则推荐用户也将该数据还原到 Windows 2000 中使用的 NTFS 卷中去,否则,用户可能会丢失一些数据以及文件和文件夹特性,例如权限、加密文件系统 (EFS) 设置、磁盘配额信息、已安装驱动器信息和"远程存储"信息。
"备份"实用程序支持五种方法备份计算机或网络上的数据,它们是:
§ 副本备份
副本备份复制所有选中的文件,但不将这些文件标记为已经备份。如果用户想在正常和增量备份之间备份文件,复制是很有用的,因为复制不影响其他备份操作。
§ 每日备份
每日备份复制执行每日备份的当天中修改的所有选中的文件。已备份文件在备份后不做标记(换言之,不清除存档属性)。
§ 差异备份
从上次正常或增量备份后,创建或修改的差异备份副本文件。备份后不标记为已备份文件(换言之,不清除存档属性)。如果执行了正常和差异备份的组合,还原文件和文件夹要求用户执行了上一次正常和差异备份。
§ 增量备份
增量备份只备份上一次正常或增量备份后,创建或改变的文件。备份后标记文件(换言之,清除存档属性)。如果使用正常和增量备份的组合,用户需要具有上一次普通备份集和所有增量备份集,以便还原数据。
§ 普通备份
普通备份复制所有选中文件,并且备份后标记每个文件(换言之,清除存档属性)。使用普通备份,用户只需要最近备份的文件或磁带的副本来还原所有文件。第一次创建备份集时,通常执行普通备份。
13.2.2 备份文件和文件夹
"备份"使用户可以将数据备份到文件或磁带。将数据备份到文件时,必须指定文件要保存的名称和位置。备份文件的扩展名通常为 .bkf,但是用户可以将该扩展名更改为用户喜欢的扩展名。备份文件可以保存到硬盘、软盘或任何其他可以保存文件的可移动或不可移动媒体。
将数据备份到磁带时,计算机必须接有磁带设备。同样,磁带也由可移动存储管理。尽管"备份"与"可移动存储"一同工作,但可能须使用"可移动存储"来执行某些维护任务,例如准备和弹出磁带。
下列四个步骤描述了一个简单的备份操作:
步骤1 选择要备份的文件、文件夹和驱动器
"备份"为用户提供了计算机中驱动器、文件和文件夹的目录树视图,可以使用该视图来选择要备份的文件和文件夹。用户可以象使用 Windows 资源管理器一样使用此目录树视图来打开驱动器和文件夹并选择文件。
步骤2 为备份数据选择存储媒体或文件位置
备份程序为选择存储媒体提供了两个选项:
可以将数据备份到存储设备上的一个文件。存储设备可以是硬盘、Zip 磁盘或任何类型的可以保存文件的可移动或不可移动媒体。该选项始终是可用的。可以将数据备份到磁带设备。该选项只有在用户的计算机安装了磁带设备后才可以使用。如果将数据备份到磁带设备,该媒体将由"可移动存储"管理。
步骤3 设置备份选项
"备份"提供了一个"选项"对话框,可以使用该对话框自定义备份操作。使用"选项"对话框可以:
选择备份类型。备份类型包括:副本、每日、差异、增量和普通。
选择是否需要日志文件记录备份操作。如果选择了该选项,还可以选择需要完整的日志文件还是摘要日志文件。选择是否需要备份存储在已装入驱动器中的数据。
指定要排除在备份操作之外的文件类型。选择是否需要验证数据备份的正确性。
步骤4 开始备份如图 13.11
开始备份操作时,"备份"会提示用户输入有关该备份作业的信息,并允许用户设置高级备份选项。在提供了信息或更改了备份选项之后,备份程序将开始备份选定的文件和文件夹。
即使用户已计划该备份操作在无人参与的情况下运行,程序仍会提示用户输入有关备份作业的信息。不过,在用户提供了信息后,"备份"不会立即开始备份文件,而是将计划好的备份加入任务计划程序。
注意:用户可以使用"备份"在 FAT 或 NTFS 卷上备份和还原数据。但是,如果已经备份的数据来自 Windows 2000 使用的 NTFS 卷,建议用户仍将数据还原到 Windows 2000 使用的 NTFS 卷,否则会丢失数据以及部分文件和文件夹特性。例如,如果从 Windows 2000 中使用的 NTFS 卷中备份数据,然后还原到 Windows NT 4.0 下的 FAT 卷或 NTFS 卷中,将可能丢失权限、加密文件系统 (EFS) 设置、磁盘配额信息、已装入驱动器信息和远程存储信息。
13.2.3 使用批处理文件备份数据
可以使用带有各种命令行参数的 "ntbackup" 命令从批处理文件中执行备份操作。然而,在使用批处理文件备份数据时有两个重要的限制条件:
§ 使用 "ntbackup" 命令只能备份整个文件夹。不能指派单个文件进行备份。但是,用户可以从命令行中指派备份选项文件 (.bks file),命令行中包含要备份的文件的列表。要创建备份选项文件,必须使用备份实用程序的 GUI 版本。
§ "ntbackup" 命令不支持使用通配符。例如,键入 "*.txt" 将不会备份扩展名为 .txt 的文件。
13.2.4 还原文件和文件夹
以下四个步骤描述了简单的还原操作:
步骤1 选择要还原的文件和文件夹
"备份"为用户提供了已备份文件和文件夹的树状视图,可以通过该树状视图选择要还原的文件和文件夹。用户可以像使用 Windows 资源管理器一样使用此树状视图来打开驱动器和文件夹并选择文件。
步骤2 选择备份文件和文件夹要还原到的位置。
"备份"允许为被还原的文件选择三个目的地中的一个:
将备份数据还原到数据的原始文件或文件夹。如果还原已损坏或丢失的文件和文件夹,可以使用该选项。
将备份数据还原到备用文件夹。如果选择该选项,则备份文件夹和文件的结构将保留在备用文件夹中。如果将来可能需要一些旧文件,但是不希望覆盖或更改磁盘上的任何当前文件或文件夹,可以使用该选项。
将备份文件还原到单个文件夹。该选项不保留备份文件夹和文件的结构。备份文件位被放在一个文件夹中。如果在搜索文件时不知道它的位置,可以使用该选项。
步骤3 设置还原选项
"备份"在"选项"对话框中提供了"还原"选项卡,在此处可以选择文件和文件夹的还原方式。必须在三个选项中选择一个:
§ "不要替换本机上的文件"。这就可以避免覆盖硬盘上的文件。它是还原文件最安全的方法。
§ "仅当磁盘上的文件是旧的情况下,替换文件"。如果自从上次备份数据以来做了任何更改,这将确保对文件所做的更改不会丢失。
§ "无条件替换本机上的文件"。这将用备份集中的文件替换硬盘上的所有文件。如果自从上次备份数据以来做了任何更改,该选项将删除这些更改。
步骤4 开始还原操作如图 13.12
开始还原操作后,"备份"将要求用户确认已准备好还原数据。还可以设置高级还原选项,包括:是否要还原安全设置、可移动存储数据库和交接点数据。
注意:
用户可以使用"备份"在 FAT 或 NTFS 卷上备份和还原数据。但是,如果已经备份的数据来自 Windows 2000 使用的 NTFS 卷,建议用户仍将数据还原到 Windows 2000 使用的 NTFS 卷,否则会丢失数据以及部分文件和文件夹特性。例如,如果从 Windows 2000 中使用的 NTFS 卷中备份数据,然后还原到 Windows NT 4.0 下的 FAT 卷或 NTFS 卷中,将可能丢失权限、加密文件系统 (EFS) 设置、磁盘配额信息、已装入驱动器信息和远程存储信息。
13.3 设备容错
13.3.1 使用 RAID
§ 创建镜像卷
步骤1 打开磁盘管理。
步骤2 右键单击要创建镜像卷的动态磁盘上的未分配空间,然后单击"创建卷"。
步骤3 在创建卷向导中,单击"下一步",单击"镜像卷",然后按屏幕上的指令操作。
注意:
§ 至少需要两个动态磁盘才能创建镜像卷。
§ 镜像卷具备容错能力。
§ 镜像卷不能扩展或者分成带区。
§ 镜像卷的两个副本(镜像)使用相同的驱动器号。
§ 创建 RAID-5 卷
步骤1 打开磁盘管理。
步骤2 右键单击要创建 RAID-5 卷的动态磁盘上的未分配空间,然后单击"创建卷"。
步骤3 在创建卷向导中,单击"下一步",单击"RAID-5 卷",然后按屏幕上的指令操作。
13.3.2 UPS 设备的使用
应该将以下 Windows 服务与为计算机所选择的不间断电源 (UPS) 设备相结合使用:UPS、报警器、信使和事件日志。其他建议,请参阅最佳操作。要配置 UPS 设备,请在"控制面板"中,单击"UPS"。应该根据所使用的 UPS 设备支持的特性来进行配置。Windows 2000 支持的三种特性是:
§ 主电源故障检测。
§ 电量不足检测。
§ UPS 关闭功能。
要确定正确的设置,请仔细阅读 UPS 设备的用户手册或与制造商联系。根据 UPS 支持特性的不同,可能需要在"UPS"对话框中的"UPS 特征"下输入其他设置。可以以几种方法控制 UPS 服务。一种方法是在"UPS"对话框中配置设置。显示消息并询问是否需要启动 UPS 设备。另一种启动设备的方法是单击"控制面板"中的"服务"。
13.4 Windows 2000 虚拟专用网络
13.4.1 什么是虚拟专用网络 (VPN)?
虚拟专用网络 (VPN) 是专用网络的延伸,它包含了类似 Internet 的共享或公共网络链接。通过 VPN 可以以模拟点对点专用链接的方式通过共享或公共网络在两台计算机之间发送数据。虚拟专用联网是创建和配置虚拟专用网络的行为。
要模拟点对点链路,应压缩或包装数据,并加上一个提供路由信息的报头,该报头使数据能够通过共享或公用网络到达其终点。要模拟专用链路,为保密起见应加密数据。不用密钥,从共享或者公共网络截取的数据包是很难解密的。封装和加密专用数据之处的链接是虚拟专用网络 (VPN) 连接。
通过远程访问和路由连接,组织可以使用 VPN 连接将长途拨号或租用线路换成本地拨号或者到 Internet 服务提供者(ISP)的租用线路。
在 Windows 2000 中有两种类型的 VPN 技术:
1. 点对点隧道协议 (PPTP)
对于数据加密,PPTP 使用用户级的点到点协议 (PPP) 身份验证方法及 Microsoft 点到点加密 (MPPE)。
2. 带有 IP 协议安全 (IPSec) 的第二层隧道协议 (L2TP)
L2TP 使用用户级 PPP 身份验证方法和带有 IPSec 数据加密的机器级证书。
13.4.2 Windows 2000 中虚拟专用网络的新特性
Windows 2000 为虚拟专用网络提供下列新功能:
§ 第二层隧道协议
除了点对点隧道协议 (PPTP) 之外,Windows 2000 包含行业标准"第二层隧道协议 (L2TP)",该协议用于与 Windows 2000 网际协议安全 (IPSec) 连接以创建安全的虚拟专用网络连接。
§ 远程访问策略
远程访问策略是一套条件和连接设置,可在设置远程访问权限和连接属性方面向网络管理员提供更大的灵活性。通过远程访问策略,可以强制对 VPN 用户使用强大的身份验证和加密,以及对拨号用户使用一组不同的身份验证和加密约束。
§ MS-CHAP 版本 2
Microsoft Challenge Handshake Authentication Protocol (MS-CHAP) 版本 2 在远程访问连接的协商过程中主要加强传递安全凭证的安全性和加密关键字生成。MS-CHAP 特别设计版本 2 来身份验证虚拟专用网络连接。
§ 可扩展的身份验证协议
可扩展身份验证协议 (EAP) 允许将新的身份验证方法用于远程访问,远程访问特性对基于智能卡的安全部署尤其重要。EAP 是允许其他身份验证模块插入 Windows 2000 远程访问 PPP 设备的接口。Windows 2000 支持 EAP-MD5 CHAP, EAP-TLS(用于智能卡和基于证书的身份验证),以及将 EAP 消息传送到 RADIUS 服务器。
§ 帐户锁定
帐户锁定是一项安全的性能,它在配置号码对身份验证失败后拒绝访问。帐户锁定用于防止那种借助词典进行的攻击。借助词典进行攻击是指非法用户企图使用已知的用户名,再用词典里的常用单词列表作为密码尝试登录。帐户锁定在默认情况下是禁用的。
13.4.3 虚拟专用网络组件
Windows 2000 VPN 的连接包括下列组件:
§ VPN 服务器
接受 VPN 客户 VPN 连接的计算机。
§ VPN 客户
将 VPN 连接初始化为 VPN 服务器的计算机。VPN 客户可能是一台单独的计算机,也可能是路由器。
§ 隧道
连接中封装数据的部分。
§ VPN 连接
连接中加密数据的部分。对典型的安全 VPN 连接,数据沿连接的相同部分进行加密和压缩。
§ 隧道协议
用来管理隧道及压缩专用数据的协议。要成为 VPN 连接,隧道传输的数据也必须加密。Windows 2000 包括 PPTP 和 L2TP 信道协议。
§ 隧道数据
数据经常在专用点对点的链接间发送。
§ 传输互联网络
压缩数据所通过的、共享的或公共的网络。对 Windows 2000,传输互联网络通常是 IP 网络。传输互联网络可以是 Internet 或基于 IP 的专用 intranet。
如图 13.13显示虚拟专用网络的组成。
13.4.4 VPN 服务器的通用配置
下面让用户举例说明如何配置VPN服务器。假设要为 Electronic, Inc. 部署 VPN,网络管理员将进行分析并作出相关的设计决定:
§ 网络配置
§ 远程访问策略配置
§ 域配置
§ 安全配置
13.4.4.1 网络配置
网络配置的关键要点是:
Electronic, Inc. intranet 使用带有 255.240.0.0 子网掩码的 172.16.0.0 和带有 255.255.0.0 子网掩码的 192.168.0.0 的专用网络。企业校园网段使用子网 172.16.0.0 而分支办公室使用子网 192.168.0.0。
VPN 服务器计算机通过使用 T3(也叫 DS-3)专用 WAN 链接可以直接连接到 Internet。
Internet 上 WAN 适配器的 IP 地址是 207.46.130.1,由 Electronic, Inc. 公司的 Internet 服务提供商 (ISP)
分配。WAN 适配器的 IP 地址是指 Internet 上域名为 vpn.electronic.nt2000.com。VPN 服务器计算机直接与 intranet 网段连接,此网段包含 RADIUS 服务器、商业伙伴访问的文件和 Web 服务器以及连接到 Electronic, Inc. 公司企业园 intranet 其余部分的路由器。intranet 网络节段的 IP 网络 ID 是 172.31.0.0,子网掩码是 255.255.0.0。 使用 IP 地址静态池配置 VPN 服务器计算机以分配远程访问客户端和呼叫路由器。
如图13.14显示 Electronic, Inc. VPN 服务器的网络配置。
根据 Electronic, Inc. 的企业校园 intranet 网络配置,VPN 服务器计算机如下配置。
1. 在 VPN 服务器中安装硬件
根据适配器制造商的说明,将安装用于连接 intranet 段的网卡和用于连接 Internet 的 WAN 适配器。安装并运行驱动程序后,则适配器将作为本地连接显示在 Network 和 Dial-up Connections 文件夹中。
2. 配置 LAN 和 WAN 适配器上的 TCP/IP
对于 LAN 适配器,配置子网掩码为 255.255.0.0 的 IP 地址 172.31.0.1。对 WAN 适配器,配置子网掩码为 255.255.255.255 的 IP 地址 207.46.130.1。对于每个适配器来说,不配置默认网关。DNS 和 WINS 服务器地址也同时被配置。
3. 安装路由和远程访问服务
运行"路由选择和远程访问安装"向导。在向导内启用远程访问和 LAN 以及 WAN 路由,所有端口都可以进行路由和远程访问,并且 L2TP 连接需要 IPSec 加密。
在向导内将配置 IP 地址从 172.31.255.1 到 172.31.255.254 的静态 IP 地址池。这将创建最多 253 个 VPN 客户端的静态地址池。
4. 启用 EAP 身份验证方法
如果允许使用基于智能卡的远程访问 VPN 客户和基于证书的呼叫路由器,网络管理员应该启用 VPN 上的"可扩展身份验证协议"。
5. 配置静态路由以访问 intranet 和 Internet 站点
要到达 intranet 位置,请用以下设置配置静态路由:
接口:连接到 intranet 的 LAN 适配器
目标: 172.16.0.0
子网掩码: 255.240.0.0
网关: 172.31.0.2
跃点数: 1
要到达 Internet 位置,请用以下设置配置静态路由:
接口:WAN 适配器与 Internet 连接
目标: 0.0.0.0
子网掩码: 0.0.0.0
网关: 0.0.0.0
跃点数: 1
注意:因为 WAN 适配器创建了与 ISP 的点对点连接,任何地址都可以输入到网关中。例如网关地址 0.0.0.0。0.0.0.0 是未指定的 IP 地址。
6. 增加 PPTP 和 L2TP 端口的数目
默认情况下,只有 5 个 L2TP 端口和 5 个 PPTP 端口可启用 VPN 连接。将 L2TP 和 PPTP 端口数增加到 253。
7. 在 IPSec 数据包筛选器上配置 PPTP 和 L2TP
IPSec 数据包筛选器上的 PPTP 和 L2TP 都配置在连接到 Internet 的 WAN 适配器上。
13.4.4.2 远程访问策略配置
为了从 Windows NT 4.0 环境中轻松过渡过来,Electronic, Inc. 的网络管理员决定采用由用户访问的管理模型。远程访问通过将单个用户帐户的拨入权限设置为"允许访问"或"禁止访问"来控制。远程访问策略被用于应用基于组成员关系的不同的 VPN 连接设置,而名为"如果拨入权限启用就允许访问"的默认远程访问策略将被删除。
13.4.4.3 域配置
要利用对不同类型地 VNP 连接应用不同的连接设置的功能,请创建以下 Windows 2000 组:
§ VPN_ 用户
用于远程访问 VPN 连接
§ VPN_ 路由器
用于从 Electronic 公司分支机构的路由器-路由器 VPN 连接
§ VPN_ 合作者
用于从 Electronic 公司业务伙伴的路由器-路由器 VPN 连接
Electronic, Inc. 拥有一个混合模式的域。
13.4.4.4 安全性配置
要启用通过 IPSec 的 L2TP 连接、远程客户使用智能卡以及路由器使用 EAP-TLS,请将 Electronic, Inc. 域配置为自动注册所有域成员的机器证书。
返回