Document icon

远程用户和移动用户的远程访问


发表时间:1999年9月13日,星期一将本文发给同事

目录

路由和远程访问服务

回到页首

介绍

一个公司是否成功关键的标准是能否提高工作效率。在数字化信息时代,雇员如果能在任何地方获取他们所需的信息,以及与另外的同事进行沟通,可以提高雇员的工作效率。使用Windows® 2000操作系统,任何商业机构能通过集成的路由和远程访问服务提供通用的远程拨号网络访问服务(访问私有的LAN)。采用这种技术,Windows,Novell,Apple和基于UNIX的客户系统都能在任何地方任何时间可靠的访问公司的网络,获取所需的重要的商业文件。

Windows 2000 Server系列能提供大量比Windows NT® 4.0操作系统中所提供的远程访问解决方案更强大功能的技术。这种增强可以分为如下三类:

  • 更优秀的客户端集成
  • 更有效的管理工具和服务
  • 更好的集成客户-服务模式平台

最好的客户-服务模式远程访问服务

Windows 2000 Server的远程访问服务是一种成熟的,完整的基于Windows Server操作系统的第三代服务。本身,它提供丰富认证服务和协议,简化了运行于Windows CE、Windows 95、Windows 98、Windows NT Workstation和Windows 2000专业版上客户的连通性,同样也能简化Novell,Apple,和基于UNIX的各种客户的连接。但是,只有运行于Windows 2000专业版下的客户能使远程访问者获得完全的网络和通讯的服务,技术以及特性。

Windows 2000 Server与Windows 2000专业版客户端硬件,安全技术,QoS,远程拨号连接,虚拟专用网络(VPN),以及网络应用软件服务等无缝地配合操作。Windows 2000支持单一签名认证和通过这些服务认证。Windows 2000 Server和客户端采用基于智能卡访问的标准服务和VPN加密技术协同工作,获得廉价但是改良的安全性能。对运行于Windows 2000 的客户网络软件服务允许远程用户和他的同事通过E-Mail进行通讯,也可以通过使用基于多媒体协作的 NetMeeting®会议软件和internet messenger应用来进行通讯。并且,Windows 2000 Server远程访问服务能满足不同机构对远程访问解决方案的安全性和互操作性的要求。


多种媒体支持

回到页首

Windows 2000 Server支持许多高性能媒体类型,也广泛的支持各种已经实现的网络拓扑结构(例如简单的Modem拨号连接)。多种媒体支持由以下的改良的技术补充:

  • 更有效的TCP/IP协议栈
  • 对数字信号处理器卸载服务的完全支持
  • 网络通讯数据压缩
  • 多个低带宽连接链路合并
  • 群集和负载平衡服务
  • QoS队列协议,包括808.1p,ATM,RSVP和DiffServ。
  • 慢速链路的集成服务(ISSLOW)

增强硬件和软件服务确保基于Windows 2000的客户机能通过Windows 2000远程访问服务或Windows 2000 VPN Server集群来直接访问公司的网络。其结果是一个高可靠性,扩展性和非常有用的解决方案,提供高性能的远程访问网络服务。


有效的管理工具和服务

回到页首

管理工具和服务包括比Windows NT 4.0中所提供的具有明显改良的工具和服务,类似于Windows 2000路由和远程访问服务。在Windows 2000中,有许多新工具,新技术,其中新的目录集成服务允许对远程访问基础结构采取可扩展的基于策略的管理。一个IT管理者可以增强网络对于远程用户和移动用户的性能,或是改善网络的安全性,也可以收集对网络使用模式的信息来更好的管理机构的网络基础结构。这种增强的新服务导致机构在面对新的市场机会是运作更有效更灵活。

服务向导和新的远程访问工具集

通过提供一个配置服务器的向导和丰富的帮助文件,Windows 2000 Server简化了远程访问服务的设置。这个向导引导IT管理者一步一步的设置远程访问服务,并提供对详细配置信息和要点的帮助文件入口。由于远程访问的安装启用只针对小范围的远程访问用户,这个向导也帮助进行网络适配卡和认证以及认证策略进行配置。配置好服务之后,可以专门对使用活动目录的目录服务来生成客户帐号和设置拨号访问权限。对于更大的安装启用,采用Internet认证服务,网络访问策略可以应用于用户组,当然这种服务也能通过路由和远程访问服务管理工具来获得。

丰富的基于策略的管理

由于远程访问具有重要的商业价值,许多机构发现必须在他们的大部分雇员中支持这种服务。管理远程访问网络因此需要管理许多的用户和系统。有效的管理需要从策略上来管理所有的系统。

这种基于策略的管理可以通过基于协议和目录的标准来有效的完成。活动目录支持例如轻量级目录访问协议(LDAP)和远程访问拨号用户服务等标准,来增强访问远程系统的能力。这些服务能显著的集中和简化对各种网络的管理任务。使用文档开放架构,应用程序界面(APIs),LDAP,和RADIUS,活动目录可以管理对远程访问用户通过网络访问如路由器和交换机等设备的认证。Windows 2000在它的Internet Authentication Service(IAS)中包括完整的RADIUS服务。

支持RADIUS认证和扩展RADIUS属性编辑工具以及活动目录的集成,可以使运行于Windows 2000下的服务器更好的管理大型的,异构的远程访问环境。Windows 2000在IAS中集成了远程访问服务和活动目录。这样,网络管理者可以应用已经设计好的基于策略的远程访问管理规则,根据整个远程访问网络基础结构来实现具体的帐号服务。

一些可用于LAS和活动目录,包括强制RADIUS权限策略规则的参数基于下面一些方面:

  • IP地址
  • 网络访问服务器(NAS)的生产商
  • 用户所在的组
  • 服务请求
  • 所用的协议
  • 用户拨叫的电话号码
  • 起始电话号码
  • 所用的物理端口
  • 日期和时间
  • 最初的客户IP地址

当改进全面的安全设施和远程访问基础结构的管理效率,这个具体的策略管理层次有助于增强和保护当前的投资。基于RADIUS的帐号服务对更有效的网络成本管理提供更好的安全监控,容量编制,以及收费服务。另外,对RADIUS的支持提供将外部资源利用和服务水平更简便地另人满意地执行。由于活动目录服务的杠杆作用,IT管理者可以集中管理直接拨号和VPN服务的配置和策略。

增强的拨号管理服务

远程访问方案必须讨论客户端和服务端的管理话题。当前存在的许多端对端解决方案不能充分的处理网络客户的需求。这种不完整的解决方案导致最终的结果是更高的管理和维护费用。Windows 2000提供一套独一无二的集成的管理工具和服务集合,它包括对于远程访问用户的组服务,可以解决大范围的各种问题。

Windows 2000将电话号码簿的管理和客户连接管理器配置工具即连接管理器系统管理工具(Connection Manager Administration Kit)集成起来,生成一个灵活的全面的远程访问解决方案。这个集成方案可以让IT管理者采用电话号码簿的管理工具生成定制的拨号远程访问电话号码簿,然后将这个电话号码簿在一个基于Windows 2000的Web应用服务上公布,这个应用服务称为连接点服务(Connection Point Service)。这些电话号码簿中包含远程访问拨号的电话号码以及当前电话号码点所提供的服务。当前电话号码点可以采取特殊的安全配置,确保所有通过公用网络对它的连接都是安全的。一旦电话号码本被生成和公布,IT管理者可以使用连接管理器系统管理工具(CMAK)的向导来生成用户和用户组的配置文件,其中包含定制图形,帮助文件,电话号码簿,远程访问许可证,以及自动连接动作。

自动连接动作将应用服务和不同的连接过程的状态综合起来。CMAK向导生成一个定制的,易于分布的,自安装的可执行文件,当它在客户机上打开时,它可以通过新建立的基础结构和电话号码簿服务自动配置远程访问。管理者可以控制这些电话号码如何提供给正在拨号的客户端用户。管理者能使用这个界面来指导用户使用成本最低的访问号码,而其中指明一些成本更高的备用号码用于一些特殊情况。

这个全面的集成客户端工具和服务端服务的集合可以使网络管理者授权各个雇员有效的使用拨号和VPN远程访问选项。另外,这种解决方案能使管理者在有任何基础结构的变化时,可以远程有系统地升级远端客户。采用Windows 2000的增强远程拨号访问管理服务,可以减少管理和张号的成本,拨号费用,降低法律风险以及繁重的维护工作。

高质量的远程访问

随着网络访问和信息的增加,远程访问网络变得越来越拥挤。为了满足这种增加的需求,Windows 2000支持高带宽的传输媒体,客户配置工具如CMAK,以及对基于策略的管理服务来调节访问。Windows 2000也提供一个集成标准QoS技术的应用服务平台,提供更好的网络信息流量。

Windows 2000专业版和服务器版支持网络QoS技术,从特殊媒体ATM服务到普通的协议:

  • 资源保留协议(Resource Reservation Protocol,RSVP),它用于对网络请求QoS,以及显示QoS的性能和需求。
  • 子网带宽管理器/指定子网带宽管理器(Subnet Bandwidth Manager/Designated Subnet Bandwidth Manager,SBM/DSBM),它是对RSVP的扩展,用于共享网络。
  • Differentiated Services,用于分类信息包,申请时序和队列操作
  • 802.1协议,用于在LANS中支持QoS。
  • 公共开放协议服务(Common Open Protocol Services,COPS),用于将策略信息传递到网络设备。

Windows 2000集成了对WAN和LAN协议的支持,提供一个现实的端对端的QoS解决方案。其他的对QoS技术的支持,如对慢速链路的集成服务(Integrated Services over Slow Links,ISSLOW),可以改善采用慢速Modem进行远程访问的性能。

通过对多标准的支持,以及使用活动目录作为QoS的集中策略存储器,Windows 2000帮助网络管理者有效的管理网络运转。Windows 2000中的访问控制服务(Access Control Service,ACS)简化了采用基于策略的流控制来管理存储在活动目录中的用户帐号。使用这些策略,IT管理者可以更好的控制网络的流量,应用的性能,带宽的利用。能够更好的管理网络流量,就能提供更加可靠的网络。

通过对Internet,活动目录,QoS标准的支持,以及采用技术先进的网络产品,基于Windows 2000的网络解决方案能够优化不同的网络应用,改善公司网络的核心交换机和路由器上的信息拥挤状况。采用QoS技术和标准的网络管理工具,网络管理者可以更有效的控制带宽分配。其结果是为关键应用和用户提供更好质量的和更可靠的服务。


结论

回到页首

Windows 2000为忙于通过不同网络客户端来进行远程访问的远程用户和移动用户提供了最好的解决方案,这种方案集成了Windows 2000专业版中的各种网络技术。Windows 2000服务器版能提供一个独立的远程访问解决方案。由于对直接远程访问和基于Internet连接的双重支持,Windows 2000可以为任何机构提供最好技术和最经济的WAN基础结构。

Windows 2000使机构保持唯一的对网络认证的基于策略的集中管理和控制,而通过在任何能提供服务的区域提供安全的本地访问来降低成本。其结果是提供易于使用的通用型的解决方案,这种方案消除了由于一处出问题影响整个系统的危险,以及与这种依赖于单一服务提供方式相关的危险。