RRAS Routing and Remote Access Service (Farsi User Guide)
Resource: Windows 2000 Server Resource kit Internetworking Guide

Winteacher.com > Part2 > RRAS > Step1 > Managing Remote Access

Managing Remote Access

برای نگهداری یک RAS سرور موارد زیر مواردی می باشند که Admin باید به آنها توجه کند و تصمیم صحیحی در مورد آنها بگیرد.

.

1.Where is the user account data to be stored?

Managing Users

قبل از اینکه Admin شروع به راه اندازی یک RAS Serv بکند باید اول مشخص کند که User Database خود در کجا قرار دارد بر روی یک PDC که افراد عضو یک Domain می باشند و یا بر روی

چند سرور مجزا که در این صورت باید یک RADIUS Server ایجاد کند و RAS Server های مربوط به هر Users Database را به عنوان Client آن RADIUS Server داشته باشد تا یک جور

مرکزیت دادن به عمل Authentication  را ایجاد کند توسط Radius Server.

.
2.How are addresses assigned to remote access clients?

Managing Addresses

برای PPP Connections می توان از Protocol های IPX و IP و Apple Talk و بر روی Client و سرور استفاده کرد برای اینکه سیستم ها بتوانند از طریق IPX با RAS Serv ارتباط برقرار

کنند باید بر روی سرور IPX Protocol با Node Address معرفی شده باشد  همین طور در مورد Apple Talk .

.
3.Who is allowed to create remote access connections?

Managing Access

برای اینکه یک User توسط RAS Server شناسایی شود باید در قسمت Dial-in Property آن User این اجازه داده شود و نیز در Windows 2000 server یک Policy نیز وجود دارد که در

Win NT وجود ندارد و آن RAP Remote Access Policy می باشد که آن نیز برای شناسایی افراد به کار می رود .

 

RAP (Remote Access Policy)

توسط RAP می توان موارد زیادی را که مد نظر Admin شبکه می باشد را بکار برد برای

 Authentication  افراد . مواردی مانند ساعات مورد نظر وصل شدن افراد و گروه بندی

User ها و ...

 در این شکل افراد اگر خارج از زمانی که به رنگ آبی می باشد با RAS Server ارتباط برقرار

کنند سرور ارتباط را برقرار نمی کند .

 
 
 
 
 
 
.
  4.How does the remote access server verify the identity
 Access By User Account of the user attempting the remote access connection?
 
 
 
 

Example 1 Account Properties (ADS)

در شکل بالا  زمانی که می خواهید یک فرد را مستقیما اجازه استفاده از سرویس Dial-in

را بدهید می توانید گزینه Allow Access را انتخاب کنید . البته بشرطی که در RAS

شما Policy مخالف با این Account ایجاد نکرده باشید .مثلا وجود بک Group

که این Account عضو آن نباشد و...

اولین راه برای  مشخص کردن افرادی که می توانند از سرور RAS سرویس بگیرند مشخص کردن تک تک افراد می باشد

 که در قسمت Property هر User در ADS می توان مشخص کرد .در قسمت Dial-in Tab

شما می توانید در قسمت Remote Access Permission Dial-in or VPN گزینه Allow Access را

انتخاب  کنید .

.
Control Access Through Remote Access Policy

اگر این گزینه انتخاب شود سیستم توسط RAP موجود در RAS Server هر User را یررسی می کند .

برای اطلاعات بیشتر به قسمت Access by Policy در زیر رجوع کنید .

 

اگر نمی خواهید از سرویس VPN افراد استفاده کنند این گزینه را انتخاب کنید و در RAS Server یک RAP مبنی بر اینکه

فقط ارتباط از طریق Dial-in برقرار شود را انتخاب کنید . در شکل زیر می توانید ببینید که کلیه تایپ ها بجز VPN انتخاب

 

Figure 7.2 Remote Access Policy Conditions for Dial-Up Access by User Account (NAS-Port-Type)

 

شده .و این Policy جلوگیری می کند از ارتباطات VPN توسط این RAS Serv در شبکه .

 
 
 
 
 
.

بعد از اینکه مانند بالا در RAP مشخص شده که VPN Connection ایجاد نشود در مرحله بعد شما در RAP در قسمت Profile Tab باید بهترین موارد Security مانند شکل زیر را انتخاب کنید .

Figure 7.3 Remote Access Policy Profile Settings for Dial-Up Access by User Account (Authentication Tab)

 در این قسمت باید بهترین و موارد را برای امنیت بیشتر در زمان شناسایی افراد را به کار برد . که در اینجا از دو مورد زیر

MS-CHAP and MS-CHAP v2 استفاده شده .

 
 
Unauthenticated access

زمانی که می خواهیم سیستم هایی که این دو Protocol MS-CHAP,MS-CHAP v2 را پشتیبانی نمی کنند نیز با

سرور بتوانند ارتباط بر قرار کنند از این گزینه استفاده می شود .

 
 
 

برای اطلاعات بیشتر  به قسمت PPP Authentication Protocols  مراجعه کنید .

 
 
 
 
 
 
 
 
 
.

Access by Policy (Control Access Through Remote Access Policy)

 

راه دوم این می باشد که شما گزینه Control access through Remote Access Policy را برای افراد انتخاب کنید .

افراد یا Account های موجود در Stand-alone Server و  Member Server  و  Windows 2000 Native Mode Domain  می توانند از این گزینه استفاده کنند .

در این جا شما اول باید یک Group در ADS ایجاد کنید مثلا بنام Dialin1 سپس افرادی که مورد نظر شما می باشند را عضو آن گروه کنید البته شما هر Account را که

عضو این گروه می کنید باید گزینه Control Access Through Remote Access Policy  را در Property آن فعال کنید . سپس در RAP موجود در RAS Server یک Policy مبنی بر اینکه

فقط این گروه Dialin1 می تواند دسترسی به سرویس داشته باشند را ایجاد می کنید . مانند شکل زیر شما یک Policy مبنی بر مشخص کردن نام یک Group در شبکه Add می کنید سپس این RAP را در حالت

Grant قرار می دهید .البته در شکل زیر عمل  ایجاد یک Policy برای یک گروه رخ نداده.

مراحل بالا را در جداول زیر می توانید مشاهده کنید .

Table 7.4 Remote Access Policy Conditions for Dial-Up Access by User Account

Conditions

Setting

NAS-Port-Type

Select all except Virtual.

Windows-Groups

Dialin1 (example)

Table 7.5 Remote Access Policy Profile Settings for Dial-Up Access by User Account

Profile Tab

Setting

Authentication tab

Enable Microsoft encrypted authentication version 2 (MS-CHAP v2) and Microsoft encrypted authentication (MS-CHAP) (example)

 

RRAS Routing and Remote Access Service (Farsi User Guide)

LastUpdate:2005/04/05

Winteacher.com > Part2 > RRAS > Step1 > Managing Remote Access