拨入限制
如图4.56所示,在[拨入限制]选项卡上可以设置以下拨入限制。
断开前空闲时间:设置空闲时限,在此时限内没有会话活动时将自动断开连接。
限制最大会话长度到:设置保持连接状态的最长时限,超过该时限自动断开连接。
限制在这些天和时间访问:如果连接尝试的日期和时间与此处所配置的日期和时间不匹配,将拒绝连接尝试。默认情况下,不设置此属,并且远程访问服务器没有日期或时间限制。当不允许进行连接尝试时,远程访问服务器不会断开活动的连接。
仅限制拨入此号码:如果连接尝试的拨入号码与此处配置的拨入号码不匹配,则将拒绝连接尝试。默认情况下,不设置此属性,允许所有的拨入号码。
限制拨入媒介:设置用于连接的介质类型,如果连接尝试的拨入介质与配置的拨入介质不匹配,将拒绝连接尝试。默认情况下,允许所有的拨入介质类型。作为示范,这里选中[Async(Modem)],表示只允许通过调制解调器拨入。
IP限制
如图4.57所示,在[IP]选项卡上可以设置IP限制。
在[IP地址分配策略]区域指定客户是否可以请求连接的特定IP地址。默认情况下,使用程访问服务的器的设置。
在[IP数据包筛选器]区域设置通过该连接的IP数据包过滤规则。其中[来自客户端]设置接收(输入)包过滤,[到客户端]设置发送(输出)包过滤。这里定义的筛选器用于与远程访问策路相匹配的所有连接。
多重链接
如图4.58所示,在(多重链接)选项卡上可以设置多链路连接及其使用的最大端口数,还可以设置带宽分配协议(BAP)策略,此策略决定BAP的用法和BAP线路断线的时间。不过前提是远程访问服务器必启用多链路和BAP以执行配置文件的多链路属性。
身份验证
如图4.59所示,在[身份验证]选项卡上可以设置连接使用的身份验证协议,前提是远程访问服务器必须启用相应的身份验证类型。默认情况下,启用Microsoft加密身份验证(MS-CHAP和Microsoft加密身份验证版本2(MS-CHAP v2)。
设置加密级别
如图4.60所示,在[加密]选项卡上可以设置加密强度。
无加密:选中该选项。表示允许无加密的连接,如果要请求加密,可清除该选项。
基本加密:选中该选项,对于拨号连接和基于PPTP的VPN连接,使用带有40位密钥的Microsoft点对点加密(MPPE) ,对于基于IPSec的VPN连接上的L2TP,使用56位的DES加密。
强加密:选中该选项,对于拨号连接和基于PPTP的VPN连接,使用带有56位密钥的MPPE。对于基于IPSec的VPN连接上的L2TP,使用56位的DES加密。
最强加密:选中该选项,对于拨号连接和基于PPTT的VPN连接,使用带有128位密钥的MPPE。对于基于IPSec的VPN连接上的L2TP,使用三倍DES(3DES)加密。此选项只在北美版本的Windows2000上才可用。
设置RADIUS参数
如图4.61所示,在[高级]选项卡上可以设置高级属性,定义由IAS服务器发回到RADIUS客户端的RADIUS属性。默认情况下,将 "帧协议"(Framed-Protocal)设置为"PPP",并将 "服务类型"(Service-Type)设置为"帧"(Framed)。
(11)设置好用户配置文件参数后,单击[确定]按钮回到[用户配置文件]对话框。单击[完成]按钮,完成远程访问策略的添加。
不能对Windows组属性使用运行Windows2000的独立远程访问服务器的内置本地组。
管理多个远程访问策略
对于复杂的远程访问,往往要设置多个远程访问策略。当用户进行远程连接尝试时,将按远程访问策略的顺序检查是否匹配,如果第一个远程访问策胳的条件不匹配,将检查下一个远程策略的条件。管理员可以调整远程访问策略的顺序,通常都是将较特殊的远程访问策略接顺序放置在较普遍的远程访问策略之前。
打开[路由和远程访问]控制台,单击[远程访问策略],右侧详细窗格中将显示远程访问策略列表。选中相应的策略,单击鼠标右键,从快捷菜单申选择[上移]或[下移]来调整顺序,如图4.62所示。
远程访问策略管理模式
在Windows2000中,管理远程访问权限和连接设置的主要模式有3种。
用户访问
通过Windows2000本地模式域中的策略进行访问
通过Windows2000混合模式域中的策略进行访问
其中后两种也统称为策略访问模式。
此处描述的管理模式是推荐的控制远程访问方法,可以混合使用这些模式来管理远程访问。必须仔细地执行这些操作以产生预期的结果。不正确的配置可能导致连接尝试在应该接受时被拒绝,而在应该拒绝时被接受。
1.用户访问
采用这种管理模式,用户账户拨入属性设置中的远程访问权限决定了远程访问权限。通过将远程访问权限设置为 "允许访问"或 "拒绝访问",可以启用或禁用每个用户的远程访问。
如果将用户访问权限设置为 "允许访问"或 "拒绝访问",那么远程访问策略上的远程访问权限设置将被有效替代。然而,仍然可以修改远程访问策略的条件和配置文件属性来控制连接,例如加密请求和空闲超时。
可以使用多个远程访问策略管理用户访问模式的远程访问。每个远程访问策略有自己的配置文件设置。因为当用户账户上的远程访问权限被设置为"允许访问时,配置文件可能会拒绝连接尝试。所以必须仔细配置这些设置。如果连接尝试与策略条件匹配但与配置文件设置不匹配,或与任一远程访问策略都不匹配,则拒绝连接尝试。
在用户访问模式中,可以实现3种授权。
明确允许:用户账户的远程访问权限被设置为 "允许访问。并且连接尝试与符合配置文件
设置和用户账户拨入属性设置的策略条件相匹配。
明确拒绝:将用户账户的远程访问权限设置成 "拒绝访问"。
隐含拒绝;连接尝试不与任何远程访问策略的条件相匹配。
在Windows2000中,用户访问管理模式与Windows NT 4.0 RAS服务器上的管理远程访问等价。可以在独立远程访问服务器、Windows2000本地模式域成员的远程访问服务器。Windows2000混合模式域成员的远程访问服务器或Windows NT 4.0域成员的远程访问服务器上使用用户访问管理模式。如果有Windows NT 4.0RAS或IAS服务器,可以使用这种模式。
2.通过Windows2000本地模式城中的策略进行访问
采用这种模式,每个用户账户上的远程访问权限设置为 "通过远程访问策略控制访问",并且远程访问权限由远程访问策略上的远程访问权限设置决定。因此;远程访问策略上的远程访问权限设置决定了远程访问权限是被允许或被拒绝。
这种策略访问模式可以实现3种授权。
?明确允许:将远程访问策略的远程访问权限被设置为 "授予远程访问权限",并且连接尝试与根据配置文件设置和用户账户拨入属性设置的策略条件相匹配。
?明确拒绝:远程访问策略上的远程访问权限设置为 "拒绝远程访问",并且连接尝试与策略条件相匹配。
?隐含拒绝:连接尝试与任何远程访问策略的条件不匹配。
默认情况下。将默认远程访问策略上的远程访问权限设置为 "拒绝远程访问权限"。如果使用这种模式并且不添加任何远程访问策略,也不更改默认的远程访问策略,那么将不允许任何用户远程访问。如果将设置更改为"授予远程访问权限",那么将允许所有的用户远程访问。
Windows2000的本地模式域的策昭访问管理模式适用于非域成员的独立远程访问服务器。如果有WindowsNT 4.0 RAS或IAS服务器,则不能使用Windows2000本地模式域的策略访问模式。
如果使用Windows2000本地模式域的策略访问管理模式,并且不使用组来指定哪个用户获得访问权,然后验证禁用Guest账户并将远程访问权限设置为 "拒绝访问"。
3.通过Windows2000混合模式域中的策略进行访问
采用这种模式,每个用户账户上的远程访问权限设置为 "允许访问",删除默认的远程访问策略。并创建独立的远程访问策略来定义允许连接的类型。如果连接尝试与符合配置文件设置和用户账户拨入属性设置的策略条件匹配,那么将接受连接。
在运行Windows2000混合模式域成员Windows2000的远程访问服务器上,"通过访问策略控制访问"选项对用户账户上的远程访问权限是不可用的。
此管理模式也适用于运行Windows NT4.0 域成员的Windows2000远程访问服务器。
这种策略访问模式可以实现3种授权方案。
?明确允许;连接尝试与符合配置文件设置和用户账户拨入属性设置的策略条件相匹配。
?明