公司的规模越来越大，各地分公司和出差在外地的员工都要与公司总部随时交换机密的商务信息。如何在你的局域网上实现一个安全、方便、低成本的远程访问服务？如果你的网络是基于NT的，那么采用Windows 2000 Server将是你的最佳选择。

远程访问的连接方式

什么是“远程访问服务”？举个例子：你通过电话线拨号到ISP，那就是远程访问，而你的ISP即为你提供了远程访问服务。可见，所谓的远程访问是指，客户端利用WAN技术，通过某种远程连接方式（如Modem+电话线）登录到本地网络中。至于“远程”也未必千里之外，可能就在隔壁。显然，远程访问服务（Remote Access Service，RAS）就是允许计算机通过某种远程连接来访问本地的网络资源，为那些没有条件与本地网络直接相连的用户提供接入服务。

微软在Windows 2000 Server 内提供的远程网络服务，较之以前版本有不少新特点：首先，远程访问服务可以和Windows 2000 Active Directory集成在一起，作为Windows 2000 域的一部分。其次，提供更可靠的安全控制（如：MS-CHAP V2、可扩展的身份验证协议、RADIUS 客户、账户锁定等），更方便的管理手段（如：路由和远程访问管理、带宽分配协议、远程访问策略），更多种的远程服务协议（如：支持第二层隧道协议、支持 AppleTalk Macintosh客户机远程访问 、转发IP多播通讯）。

Windows 2000采用的远程访问方式，是远程客户方式（与之对应的是远程控制方式），在此方式下需要在服务器上安装远程服务软件，或者专门设立一个远程访问服务器。远程客户机与在本地的客户机的操作相比，只是接入方式不同而已，客户使用标准工具（如：Windows 资源管理器）访问资源。 Windows 2000的远程访问服务器，是作为“路由和远程访问”服务的一部分，可以提供两种不同的远程访问连接方式。

1. 拨号网络连接

我们常见的通过电话线+Modem方式就是这种连接方式。此方式下，远程客户机使用非永久的物理连接到远程访问服务器的物理端口上。一旦建立连接后，拨号网络客户机和拨号网络服务器之间就有了直接的物理连接。

2. 虚拟专用网络连接

虚拟专用网络（VPN）是远程客户机使用基于 TCP/IP协议 的专门的隧道协议（如PPTP、L2TP），通过虚拟专用网络服务器的虚拟端口，穿越其他网络（如Internet），实现一种逻辑上的直接连接。我们常见的虚拟连接的例子是，异地员工通过拨号网络连接到当地的ISP，经由Internet连入公司的远程访问服务器，此服务器应答客户机的虚拟呼叫，在客户机和公司内部的局域网之间传递数据，就像在Internet上打了个隧道。

Windows 2000的远程访问组成

Windows 2000的远程访问网络，一般包括以下几部分：

1.远程访问服务器

Windows 2000 Server 远程访问服务器就是一台激活了路由和远程访问服务的计算机，提供远程客户访问整个网络的共享资源，或者限制只能到远程访问服务器的资源上访问。服务器必须有至少一个调制解调器或一个多端口适配器、模拟电话线或其他 ＷＡＮ 连接。如果服务器提供对网络的访问，还必须安装网卡，并连入服务器提供访问的网络上。对经Ｉｎｔｅｒｎｅｔ访问虚拟专用网络，一般服务器应有到Ｉｎｔｅｒｎｅｔ的永久性连接（如果ＩＳＰ支持Ｄｅｍａｎｄ－Ｄｉａｌ连接，也可以是非永久连接）。

2.远程访问客户

连接到运行Windows 2000的远程访问服务器上的拨号网络客户机可以是Windows NT/ 2000、Windows 9x、MS-DOS以及任何微软的PPP客户机，也可以是使用TCP/IP、IPX、NetBEUI或AppleTalk的非 Microsoft PPP客户机。客户机必须安装有调制解调器、模拟电话线或其他 WAN 连接、远程访问软件，远程客户不需要网卡。

3.远程访问协议

远程访问协议是在WAN上传输信息的规范。NT还支持PPP、SLIP（Serial Line Internet Protocol串行线路网际协议）和Microsoft RAS（NetBEUI）等远程访问协议。

4.LAN协议

Windows 2000 远程访问支持TCP/IP、IPX、AppleTalk和NetBEUI局域网协议访问Internet/UNIX、NetWare服务器和Apple Macintosh。

5.隧道协议

隧道协议是用来创建VPN客户机到 VPN 服务器上的安全连接。Windows 2000 远程服务器支持PPTP 和 L2TP两种隧道协议。

6.广域网

Windows NT RAS允许远程客户由调制解调器或者Modem池（Modem Pool）通过标准的电话线拨入网络，也支持远程客户用ISDN、X.25、ATM实现较快的广域网连接，或者串行端口连接（RS-232C Null Modem）、并行端口连接、红外连接等直接连接。

7.Internet访问支持

Windows 2000 远程访问服务器可以提供远程客户接入Internet服务，如同你的ISP。

8.安全性规则

Windows 2000 具有登录和域的安全性检查、安全主机支持、数据加密、远程身份验证拨入用户服务 (RADIUS)、智能卡、回叫复查、账户锁定等安全措施，为远程客户提供安全的网络访问，使得远程访问甚至比本地访问更安全。

Windows 2000 远程访问全部的特色和可能的配置如图1所示。

图1 Windows 2000远程访问服务组成

安装远程访问服务器

安装 Windows 2000 服务器时，“路由和远程访问服务”组件已经自动安装，但是该服务处于非激活状态，需要手工启用和配置。下面以服务器用调制解调器拨号连接方式为例，具体介绍远程访问服务的安装与设置，其他方式的远程接入设备的安装请参阅相关资料。

步骤1：

安装调制解调器。首先确保调制解调器正确连接到电话线和计算机上。一般符合即插即用的调制解调器均能被Windows 2000检测到并自动安装。如果你的调制解调器不能自动安装，请使用“控制面板”中的“电话和调制解调器选项”的“调制解调器”标签手动安装调制解调器。

步骤2：

经由“管理工具”→“路由和远程访问”，屏幕将出现“路由和远程访问”窗口。选中该窗口左边“树”中的“本地”，然后选“操作”选单中的“配置并启用路由和远程访问”项，屏幕出现“路由和远程访问服务安装向导”欢迎窗口，单击“下一步”按钮。

图2 用户远程访问授权

步骤3：

根据向导选择“远程访问服务器”，单击“下一步”按钮，选择现有的或者添加一个远程客户协议（如：TCP/IP），按“下一步”。

步骤4：

如果你在步骤3选择TCP/IP协议，向导将会要求你指出如何对远程客户分配IP地址，选择“来自一个指定的地址范围”，你也可以选择“自动”让DHCP服务器或者远程访问服务器为你自动生成，按“下一步”。

步骤5：

如在上一步选择了指定远程客户的IP地址，你将在这步通过“新建”按钮，设置远程客户静态的IP地址（如：起始IP地址：192.168.181.2，结束IP地址：192.168.181.6）后，单击“下一步”按钮。

步骤6：

选择不使用RADIUS，单击“下一步”按钮，最后按“完成”按钮，至此，激活了路由和远程访问服务。

现有的网络用户，需要经远程访问授权后，才可以在远地访问远程访问服务器及网络。方法是，通过管理工具“Active Directory用户和计算机”(如远程访问服务器是独立服务器用“计算机管理”)，选择用户后右击鼠标，选浮动选单的“属性”项，打开“拨入”标签，如图2所示。可以设置远程访问权限、回拨属性等。

远程访问服务器的管理

远程访问服务器启用后，日常的管理还是较方便的，主要在“管理工具”→“路由和远程访问”窗口进行，如图3所示。下面就具体介绍远程访问服务器几种日常管理方法。

1.重新配置远程访问服务器

从“树”中选择要设置的远程访问服务器，右击鼠标选择浮动选单的“属性”项。将会出现远程访问服务器属性对话框，在此你可以重新设置远程访问服务器验证的安全策略、远程客户IP地址分配方式、PPP的属性和事件日志的策略。

2.使用远程访问策略

“远程访问策略”是Windows 2000新引入的安全机制，不仅Windows 2000 路由远程访问服务器，用它来决定接受或拒绝连接尝试，Windows 2000 Internet 验证服务器 (IAS)也使用远程访问策略。远程访问策略设置的具体方法和步骤，在线帮助十分详细（有具体方案），不再赘述。顺便说一下，Windows 2000“远程访问策略”，对于网络管理员来说绝对是一个好东西，值得好好研究。

3.对已拨入的远程客户的管理

对于已经拨入RAS服务的远程客户和客户机，可以通过图2所示窗口中，选择“远程访问客户端”，然后在窗口左边的详细窗格选中用户。右击鼠标，可以察看用户的状态、强制断开用户的连接、向远程用户发送消息等。

图3 “路由和远程访问”窗口

如果你通过电话线实现远程连接，只要利用Windows 95/98安装好调制解调器和拨号网络程序，就可实现与远程访问服务器的连接，与你拨入ISP的方法没有什么区别。不过需要注意“拨号网络/属性”中“服务器类型”标签的配置要和服务器端一致。连入远程访问服务器后，你就可以使用标准工具（如：网络邻居）访问资源，除了速度慢些外和在局域网上没有任何区别。

在安全方面的几点建议

在局域网上提供远程访问服务后，对局域网的安全管理来说是一个不小的挑战。下面笔者把在远程访问服务器安全管理工作中需要注意的几个方面列出，供大家参考。

1. 不允许除Win 2000的远程访问服务器以外的机器应答远程访问请求，整个网络最好只有一处提供远程访问服务。

2. 设专门的远程访问服务器，并将该服务器置于中心机房。

3. 使用远程访问策略，控制远程访问客户的拨入时间。对于偶尔使用远程访问可以采用人工控制远程服务器的启动和停止。

4. 对固定的用户最好采取回叫的方式实现远程连接，当然这要增加你的电话费，但这是远程访问最重要的安全策略。

5. 通过远程访问服务器的IP地址分配，限制远程用户的IP地址，进而利用防火墙控制和隔离远程访问客户。

6. 对于远程访问的口令采取某种加密鉴别（如：MS-CHAP），以保证用户口令在远程线路上安全传送。

随着Internet的普及，通过电话线直接连接RAS的方式有被VPN替代的趋势，但是VPN一般需要在Internet上有固定的IP地址，这是绝大多数中小公司所不具备的。而在实际工作中要求提供远程访问服务的需求众多，所以利用传统的“调制解调器+电话线+RAS”实现远程连接还是有广泛的用途的。