確保遠端存取

Overview

發佈日期: 2003 年 5 月 22 日 | 更新日期: 2006 年 4 月 13 日

本頁內容

簡介
開始之前
設定 IAS 伺服器
針對遠端存取建立使用者群組與原則
設定遠端存取伺服器
建立服務設定檔
散佈服務設定檔給使用者
相關資訊

簡介

如果貴公司允許或想讓使用者從遠端位置連線到內部網路,一般而言這表示您要設計解決方案,幫助使用者方便地連線到網路資源。不過,您也必須將攻擊者對相同資源進行未授權的風險降到最低。遠端存取解決方案讓使用者在使用家中電腦時,或差旅中使用筆記型電腦等行動裝置時,大量增加產能與彈性。不過,此類解決方案也增加攻擊者進行以下動作的機會:

  • 攔截遠端使用者與內部網路間傳輸的資訊。

  • 成功模擬合法的遠端存取使用者,建立未授權的遠端存取連線

  • 直接存取儲存在內部網路的資訊

本指南以及 Microsoft® Windows Server™™ 2003 作業系統,有助於設計可靠、合乎成本效益、易於使用且易於管理的遠端存取解決方案。本指南的解決方案依賴虛擬私人網路 (VPN) 技術,讓遠端使用者可以從執行 Microsoft Windows® XP Professional 或 Windows XP 家用版作業系統的內部網路連線電腦,連線到內部網路。本指南說明如何針對特定環境設定解決方案,且附上詳細資訊連結讓您自訂解決方案,有助於符合您環境的要求。

本指南的步驟告訴您如何:

  • 指定哪些使用者可以從遠端位置連線到內部網路,以及他們必須使用的連接埠與網路通訊協定。

  • 設定遠端存取伺服器,處理來自遠端位置的連線。您可以設定遠端存取伺服器利用預先共用金鑰、特定連接埠、特定位址及其他方法,來授權及管理連線。如果使用者多次意圖使用不正確密碼來連線,您也可以設定伺服器阻擋連線。這種方式採取隨機順序的字元送出作為密碼,以防止攻擊者取得存取權限。

  • 建立自訂的遠端存取連線 (稱為服務設定檔),讓您分配給想要從遠端位置連線到內部網路的使用者。藉由建立與分散服務設定檔,您可以簡化連線程序而減少支援成本,並且有助於確保遠端位置連線皆使用您選擇的方法與通訊協定。

完成這些步驟後,您的遠端存取伺服器會讓使用者,使用您建立的服務設定檔來進行連線。連線需求包括,使用特定通道通訊協定與特定連接埠,及使用預先共用金鑰。您的遠端存取伺服器會依據您指定的其他準則,額外篩選內部網路的進出流量。

注意:本文中所有逐步教學指示,都是來自於您安裝作業系統時,依預設出現的「開始」功能表。如果您已經修改「開始」功能表,步驟可能會有些微差異。

以下是一則範例個案,有助瞭解小型或中型企業為何要使用本指南所述步驟。

Contoso Pharmaceuticals 想讓員工在家裡及差旅時,在遠端工作。不過,公司擔心內部網路暴露在未授權存取的危險,且未授權使用者可能攔截敏感資訊。公司也擔心遠端存取解決方案過於複雜,對小型 IT 部門造成困難。

Contoso 決定讓未加入企業網域的遠端使用者,採用虛擬私人網路 (VPN)。公司希望連線時使用最安全的通道通訊協定,第二層通道通訊協定 (L2TP),並使用網際網路通訊協定安全性 (IPSec) 來增強連線安全性。不過,公司缺少 IT 人員來維護認證解決方案。公司決定,遠端存取連線採用預先共用金鑰,足以符合安全性需求。為了簡化預先共用金鑰的散佈、易於解決遠端存取連線的問題,並針對使用者清楚區分遠端存取連線,公司決定使用「連線管理員系統管理組件」,針對使用者建立服務設定檔。關於額外的安全保障,公司決定以個人識別碼 (PIN) 加密這些服務設定檔,使用者在安全服務設定檔之前,必須鍵入個人識別碼。

開始之前

本指南說明如何使用特定字元組,協助確保環境中的遠端存取。如果您的環境不符合本指南所述環境,或是您需要額外的安全考量,您使用的步驟可能必須稍微相異,或是您可能要調整設定。本指南針對的環境有下列特性:

  • 具備電話與網路結構、已租用位址空間,且已註冊網域名稱。

  • 所有遠端電腦與筆記型電腦都執行 Windows XP Professional 或 Windows XP Home Edition,且可以透過網際網路服務提供者 (ISP) 連線到網際網路。

  • 內部網路具備四台執伺服器執行 Windows Server 2003 標準版;75 個工作站執行 Windows XP Professional 或 Microsoft Windows 2000 Professional;1 個無線存取點;一台纜線數據機或數位用戶線路 (DSL) 數據機。

    • 第一台伺服器 SVR1,是以 Active Directory® 目錄服務設定,扮演網域控制站的角色,此伺服器也設定作為網域名稱系統 (DNS) 伺服器、動態主機設定通訊協定 (DHCP) 伺服器,以及檔案與列印伺服器。SVR1 已使用私人 IP 位址 192.168.0.2 設定。

    • 第二台伺服器 SVR2 是以 Active Directory 設定作為網域控制站,此伺服器也設定作為 DNS 伺服器、DHCP 伺服器及網際網路驗證服務 (IAS),功能是提供遠端驗證撥號使用者服務 (RADIUS) 驗證。SVR2 已使用私人 IP 位址 192.168.0.3 設定。

    • 第三台伺服器 SVR3,是設定作為應用程式伺服器。SVR3 已使用私人 IP 位址 192.168.0.4 設定。

    • 第四台伺服器 SVR4,是以兩個網路介面卡設定。第一個網路介面卡允許伺服器與內部網路間傳輸流量,且此介面卡已使用私人 IP 位址 192.168.0.7 設定。第二個網路介面卡允許伺服器與防火牆裝置間傳輸流量,且此介面卡是以私人 IP 位址 192.168.1.2 設定。本指南會說明如何設定 SVR4 作為遠端存取伺服器。

    • SVR4 以及纜線數據機或 DSL 數據機之間已經安裝防火牆裝置,此裝置具備兩個網路介面卡,且能夠進行網路位址轉譯穿越 (NAT-T)。網路介面卡允許防火牆與內部網路間傳輸聯絡,且 SVR4 已使用兩個位址設定:私人 IP 位址 192.168.1.1 傳輸 SVR4 進出流量,以及私人 IP 位址 192.168.01 傳輸內部網路其餘進出流量。網路介面卡允許防火牆與纜線數據機傳輸流量,是以公用 IP 位址 206.73.118.2 設定。防火牆已設定用來轉送 SVR4 (遠端存取伺服器) 的進出 VPN 流量,且以其他規則設定防火牆,以防止內部網路受到外部攻擊。如需關於設定防火牆搭配使用 IPSec 的更多資訊,請參閱 Microsoft 網站上的《Configuring Firewalls (英文)》,網址為 http://go.microsoft.com/fwlink/?LinkID=22817

    • 已安裝纜線或 DSL 數據機,允許防火牆與內部網路間傳輸流量。此數據機已使用公用 IP 位址 206.73.118.1 設定。

  • 網路上已設定群組原則,現有群組已套用適當的群組原則設定與權限。

  • 每台電腦皆已實施所有重要的硬體更新。

  • 所有的 Service Pack 已經正確套用到每台電腦,但執行 Windows XP 的電腦不在此限,這類電腦僅可套用 Service Pack 1。如果特定電腦未安裝 Service Pack 1,或您不知道是否已經安裝,您可以造訪 Microsoft 網站上的 Windows Update 頁面,網址為 http://go.microsoft.com/fwlink/?LinkID=22630,讓 Windows Update 掃描電腦以取得可用更新。如果 Service Pack 1 是可用更新,請在繼續進行本指南程序之前加以安裝。

  • 所有執行 Windows XP 的電腦都會啟用網際網路連線防火牆 (ICF),並加以正確設定。

  • 已授權的 IT 人員已經確認內部 IT 原則與程序、核准建議工作,且法律顧問已經認可這些原則與程序符合適用的法律與法條。

以下的圖表描繪本指南所述的環境。此範例的部份參考說明出現在本指南其他處,以助於釐清步驟。

確保遠端存取的範例環境

確保遠端存取的範例環境

設定 IAS 伺服器

如果您想讓筆記型電腦及 PDA 等裝置進行無線存取,您可以在內部網路新增網際網路驗證服務 (IAS) 伺服器,讓管理更簡化。藉由新增 IAS 伺服器,您可以在網路新增集中連線驗證、授權與帳戶管理。IAS 伺服器讓您能夠僅使用一台伺服器來監視連線企圖、檢查記錄以及管理原則。

雖然無線裝置/IAS 伺服器的設定與維護超出本指南的範圍,但本指南為了讀者設想,仍包含一些 IAS 管理遠端存取部份的基本設定步驟。如需關於 IAS 的更多資訊,請參閱 Microsoft 網站上《Internet Authentication Service (英文)》,網址為 http://go.microsoft.com/fwlink/?LinkID=17820

  • 安裝和設定網際網路驗證服務

    1. 按一下 [開始],按一下 [控制台],按兩下 [新增/移除程式],然後按一下 [新增/移除 Windows 元件]。

    2. 按一下 [網路服務],然後按一下 [詳細資料]。

    3. 選擇 [網際網路驗證服務] 核取方塊,然後結束精靈。

    4. 按一下 [開始],按一下 [控制台],按兩下 [系統管理工具],然後按兩下 [網際網路驗證服務]。

    5. 在 [網際網路驗證服務] 按一下右鍵,然後按一下 [在 Active Directory 中登錄伺服器]。[在 Active Directory 中登錄伺服器] 對話方塊出現時,按一下 [確定]。[已登錄的伺服器] 對話方塊出現時,按一下 [確定]。

    6. 在主控台樹狀目錄,按兩下 [RADIUS 用戶端],然後按一下 [新增 RADIUS 用戶端]。

    7. 在「新增 RADIUS 用戶端」精靈的 [名稱及位址] 頁面上,於 [易記名稱] 中鍵入遠端存取伺服器名稱,於 [用戶端位址 (IP 或 DNS)] 鍵入遠端存取伺服器的 IP 位址,然後按一下 [下一步]。

    8. 在 [其他資訊] 頁面上,於 [共用密碼] 及 [確認共用密碼],為遠端存取伺服器鍵入相同的共用密碼。

    9. 按一下 [完成]。

提示:您設定遠端存取伺服器時,會再次需要共用密碼。確認您記下遠端存取伺服器的密碼,且將密碼保管在安全位置。

針對遠端存取建立使用者群組與原則

您身為系統管理員,規劃遠端存取解決方案時可能會碰到一個問題,也就是您對使用者用來連線的電腦幾乎或完全無法控制。您可以使用 Active Directory,協助控制哪些使用者可從遠端位置連線到內部網路,及控制他們必須使用哪些網路通訊協定或通訊協定。藉由限制連線到內部網路的使用者數量,可以減少機會不讓攻擊者模擬使用者、存取您的網路。藉由限制連線為單一通道通訊協定,可減少攻擊者存取您網路的方式,也可以減少機會不讓未授權者讀取您的遠端存取流量。

遠端連線最安全的通用方法是使用 L2TP/IPSec。L2TP 是工業標準網際網路通道通訊協定。IPSec 是一套密碼編譯保護服務及安全性通訊協定。針對使用 L2TP 通訊協定的 VPN 連線,IPSec 提供電腦層級驗證以及資料加密。LT2T 連線建立之前,IPSec 在遠端存取電腦與遠端存取伺服器間交涉,以確保密碼與資料。

在 Active Directory 建立群組及在 IAS 設定原則後,您可以僅允許群組中的使用者連線,且可以要求使用者使用 L2TP/IPsec 連線。

需求

為了執行以下工作,您必須:

  • 登入成為 Domain Admins 群組的成員。

  • 建立一份清單,包含您允許遠端存取的所有使用者。

  • 若要建立 VPN 連線的群組

    1. 在網域控制站上,按一下 [開始],按一下 [控制台],按兩下 [系統管理工具],然後按兩下 [Active Directory 使用者和電腦]。

    2. 在網域底下的主控台樹狀目錄,在 [使用者] 按一下右鍵,指向 [新增],然後按一下 [群組]。

    3. 在 [新物件 –群組] 對話方塊,將 VPNUsers 鍵入 [群組名稱],然後按一下 [確定]。

    4. 詳細資料窗格中,連按兩下 [VPNUsers]。

    5. 在 [VPNUsers 內容] 對話方塊,按一下 [成員] 索引標籤,然後按一下 [新增]。

    6. 在 [使用者、連絡人、電腦或群組] 對話方塊的 [輸入物件名稱來選取],新增您想要授予遠端存取權限的使用者或群組,然後按一下 [確定]。

    7. 按一下 [確定],儲存 VPNUsers 群組的變更。

      注意:本指南假設您的 Active Directory 網域是 Windows Server 2003 功能網域。如果您的 Active Directory 網域功能等級不是 Windows Server 2003,您也許需要為 VPNUsers 群組的所有使用者帳戶,手動啟用遠端群組權限。

接下來請建立遠端存取原則,確保僅有 VPNUsers 群組的使用者,才能建立VPN 連線到您的內部網路。

  • 若要建立 VPN 連線的遠端存取原則

    1. 在您的 IAS 伺服器 (圖表中的 SVR2),按一下 [開始],按一下 [控制台],按兩下 [系統管理工具],然後按兩下 [網際網路驗證服務]。

    2. 在主控台樹狀目錄,在 [遠端存取原則] 按一下右鍵,然後按一下 [新增遠端存取原則]。

    3. 在 [歡迎使用新增遠端存取原則精靈] 頁面,按一下 [下一步]。

    4. 在 [原則設定方法] 頁面的 [原則名稱] 方塊,鍵入 L2TP VPN Access,然後按一下 [下一步]。

    5. 在 [存取方法] 頁面,按一下 [VPN],然後按一下 [下一步]。

    6. 在 [使用者或群組存取] 頁面,按一下 [群組],然後按一下 [新增]。

    7. 在 [選擇群組] 對話方塊的 [輸入物件名稱來選取] 方塊,鍵入 VPNUsers。指定位置作為貴公司網域,然後按一下 [確定]。VPNUsers 群組是在 [使用者或群組存取] 頁面上,新增到群組清單。按一下 [下一步]。

    8. 在 [驗證方法] 頁面,依預設是選取 MS-CHAP v2 驗證通訊協定。按一下 [下一步]。

    9. 在 [原則加密等級] 頁面,清除 [基本加密] 以及 [增強式加密] 核取方塊,然後按一下 [下一步]。

    10. 在 [正在完成新增遠端存取原則精靈] 頁面,按一下 [完成]。

提示:如果您有其他遠端存取原則,請確認新的存取原則排序正確,以利正常執行。

現在,指定使用者必須使用 L2TP 連線。

  • 若指定遠端存取原則的通道通訊協定

    1. 在 [網際網路驗證服務」的詳細資料窗格,連按兩下 [遠端存取原則],以滑鼠右鍵按一下 [L2TP VPN Access] 原則,然後按一下 [內容]。

    2. 在 [L2TP VPN Access Properties] 對話方塊,按一下 [新增]。

    3. 在 [選擇屬性] 對話方塊,按一下 [通道類型],然後按一下 [新增]。

    4. 在 [通道類型] 對話方塊,按一下 [第二層通道通訊協定],按一下 [新增],然後按一下 [確定] 兩次。

驗證新設定

為了驗證您剛剛設定好的設定,請開啟「Active Directory 使用者和電腦」,確認 VPNUsers 群組存在,且包含您願意允許遠端存取的所有使用者。開啟 IAS,確認 L2TP VPN Access原則列在其中,且內容已經過適當設定。

設定遠端存取伺服器

「路由及遠端存取」是 Windows Server 2003 的一種服務,功能是提供多重通訊協定路由服務及撥號與 VPN 遠端存取。藉由設定「路由及遠端存取」,您可以協助建立符合企業需求的遠端存取伺服器。

您可以用多種方法設定「路由及遠端存取」;它的設計很彈性。不管您如何設定「路由及遠端存取」,都可以採取一些動作增強確保遠端存取伺服器。為協助減少攻擊點,您應該針對不想允許的通道通訊協定,將連接埠一律移除。為了協助預防隨機密碼攻擊,您應該限制使用者在帳戶鎖定之前指定認證的次數。您也可以設定輸入與輸出篩選器,拒絕特定連接埠與通訊協定之外的所有流量,但如果遠端存取伺服器已經有防火牆執行相同功能,此步驟就不是很必要。

除了確保遠端存取伺服器外,您可以設定協助內部網路免於直接攻擊。如果您設定遠端存取伺服器提供網路位址轉換 (NAT),伺服器會成為 IP 路由器,轉換內部網路與網際網路之間轉送的封包位址。設定遠端存取伺服器提供 NAT,可協助提供具安全性的彈性。您也可以要求連線時使用 L2TP,而不是點對點通道通訊協點 (PPTP),藉此確保 VPN 連線本身。如果您無法部署認證,您仍可以設定遠端存取伺服器與用護端使用預先共用金鑰,就能執行 L2TP/IPSec。

需求

為了執行以下工作,您必須:

  • 登入成為 Administrator 或 Domain Admin 群組的成員。

  • 知道 DHCP 伺服器與 IAS (RADIUS) 伺服器的 IP 位址。

  • 知道預先共用金鑰。

  • 若要設定與啟用「路由及遠端存取」

注意:依照伺服器的硬體與設定而定,您也許會在「路由及遠端存取伺服器安裝精靈」,看見下列步驟未提及的其他頁面。

  1. 按一下 [開始],按一下 [控制台],連按兩下 [系統管理工具],然後連按兩下 [路由及遠端存取]。

  2. 在主控台樹狀目錄,右鍵按一下您想要設定與啟用 [路由及遠端存取] 的伺服器 (即圖表中的 SVR4),然後按一下 [設定和啟用路由及遠端存取路由及遠端存取]。

  3. 在 [歡迎使用路由及遠端存取伺服器安裝精靈] 頁面,按一下 [下一步]。

  4. 在 [設定] 頁面上,按一下 [虛擬私人網路 (VPN) 存取和 NAT],然後按一下 [下一步]。

  5. [VPN 連線] 頁面上,在 [網路介面] 中按一下伺服器連線到網際網路的介面,然後按一下 [下一步]。

  6. [網路選取] 頁面上,在 [網路介面] 中按一下伺服器連線到網際網路的介面,然後按一下 [下一步]。

  7. 在 [IP 位址指派] 頁面上,依預設 [自動] 是選取狀態。按一下 [下一步]。

  8. 在 [正在管理多個遠端存取伺服器] 頁面上,按一下 [是,設定這台伺服器與 RADIUS 伺服器一起工作],然後按一下 [下一步]。

  9. [RADIUS 伺服器選取項目] 頁面上,在 [主要的 RADIUS 伺服器] 鍵入執行 IAS 的伺服器 IP 位址,在 [共用密碼] 鍵入共用密碼,然後按一下 [下一步]。

  10. 在 [完成路由及遠端存取伺服器安裝精靈] 頁面,按一下 [完成]。

  11. 出現關於設定 [DHCP 轉接代理] 的訊息時,按一下 [確定]。

接下來,設定 DHCP 轉接代理,轉送從遠端存取用戶端送到 DHCP 伺服器的 DHCP 訊息。本設定允許 DHCP 訊息從遠端存取用戶端,傳送到您網域控制站的 DHCP 伺服器。

  • 若要設定 DHCP 轉接代理

    1. 在 [路由及遠端存取] 的主控台樹狀目錄,按兩下您的遠端存取伺服器,按兩下 [IP 路由],右鍵按一下 [DHCP 轉接代理],然後按一下 [內容]。

    2. 在 [DHCP 轉接代理內容] 對話方塊,於 [伺服器位址] 鍵入主要 DHCP 伺服器的 IP 位址,然後按一下 [新增]。依照您網路中擁有的 DHCP 伺服器數量,多次重複此動作。所有伺服器都出現在清單中時,按一下 [確定]。

您可以善用 L2TP/IPSec 安全性,而不需要使用預先共用金鑰來部署認證。預先共用金鑰是非 NULL 字串,可由 256 個 Unicode 字元隨意組合。Unicode 是一種字元編碼標準,幾乎可呈現世界上所有書寫語言,所以您的字元選擇不受限於標準鍵盤上的英數字元。雖然預先共用金鑰的安全性比不上認證,但預先共用金鑰若由至少 128 個 Unicode 字元組成,且沒有明顯模式可循,對於大部份企業需求來說已經足夠。針對所有連線,遠端存取伺服器僅能使用一個預先共用金鑰。如果您將預先共用金鑰包含在「連線管理員」服務設定檔中,就不需要選擇使用者便於鍵入的金鑰。

  • 若要設定「路由及遠端存取」使用預先共用金鑰

    1. 在 [路由及遠端存取] 的主控台樹狀目錄,右鍵按一下您的遠端存取伺服器,然後按一下 [內容]。

    2. 按一下 [安全性] 索引標籤,選擇 [允許為 L2TP 連線自訂 IPSEC 原則] 核取方塊。

    3. 在 [預先共用金鑰] 方塊,鍵入預先共用金鑰,然後按一下 [確定]。

      提示:為避免打錯預先共用金鑰,您可以先在一份文件鍵入,然後將金鑰剪下,貼到需要的欄位中,例如 [預先共用金鑰] 方塊。不過,如果您選擇此方法,請確認這份包含預先共用金鑰的文件安全無虞。

接下來,從遠端存取伺服器移除 PPTP 連接埠。此步驟可減少攻擊點,提供額外安全性。

  • 若要移除 PPTP 連接埠

    1. 在 [路由及遠端存取] 的主控台樹狀目錄,按一下您的遠端存取伺服器。

    2. 以滑鼠右鍵按一下 [連接埠],然後按一下 [內容]。

    3. 在 [連接埠內容] 對話方塊,按一下 [WAN Miniport (PPTP)],然後按一下 [設定]。

    4. 清除 [遠端存取連線] (只適用輸入),及 [指定撥號路由連線] (輸入及輸出) 核取方塊。在 [最多的連接埠數目],鍵入 1,然後按一下 [確定]。

    5. 此時會出現一個對話方塊警告,您正在減少此裝置的連接埠數目。按一下 [是],然後按一下 [確定]。所有 PPTP 連接埠都會停用。

本節說明,設定輸入篩選器及輸出篩選器的基本程序。本節也提供連接埠與通訊協定表,有助於決定遠端伺服器需要哪些連接埠與通訊協定。

  • 若要設定輸入篩選器

    1. 在 [路由及遠端存取] 的主控台樹狀目錄,按一下 [NAT 或基本防火牆]。

    2. 右鍵按一下連線到防火牆的介面,然後按一下 [內容]。

    3. 在內容方塊的 [NAT 或標準防火牆] 索引標籤,按一下 [輸入篩選器]。

    4. 在 [輸入篩選器] 對話方塊,按一下 [新增]。

    5. 在 [新增 IP 篩選器] 對話方塊,按一下 [通訊協定],指定您想要設定的通訊協定。在 [目的地連接埠] 中,鍵入您希望的連接埠號碼,然後按一下 [確定]。

      注意:關於一般常用的通訊協定與連接埠清單,請參閱本節稍後的<篩選器的通訊協定與連接埠>。

    6. 在 [輸入篩選器] 對話方塊,檢查您已經新增的所有篩選器,然後按一下 [丟棄所有封包 (除了那些符合下列條件的封包以外)],再按一下 [確定],返回到內容對話方塊的 [NAT 或基本防火牆] 索引標籤。再次按一下 [確定],返回到主控台樹狀目錄。

  • 若要設定輸出篩選器

    1. 在 [路由及遠端存取] 的主控台樹狀目錄,按一下 [NAT 或基本防火牆]。

    2. 右鍵按一下連線到防火牆的介面,然後按一下 [內容]。

    3. 在內容方塊的 [NAT 或標準防火牆] 索引標籤,按一下 [輸出篩選器]。

    4. 在 [輸出篩選器] 對話方塊,按一下 [新增]。

    5. 在 [新增 IP 篩選器] 對話方塊,按一下 [通訊協定],指定您想要設定的通訊協定。在 [目的地連接埠],鍵入您希望的連接埠號碼,然後按一下 [確定]。

      注意:關於一般常用的通訊協定與連接埠清單,請參閱本節稍後的<篩選器的通訊協定與連接埠>。

    6. 在 [輸出篩選器] 對話方塊,檢查您已經新增的所有篩選器,然後按一下 [丟棄所有封包 (除了那些符合下列條件的封包以外)],再按一下 [確定],返回到內容對話方塊的 [NAT 或基本防火牆] 索引標籤。再次按一下 [確定],返回到主控台樹狀目錄。

注意:如果您尚未執行本指南稍早提及的「設定 IAS 伺服器」步驟,請在您的 IAS 伺服器上新增遠端存取伺服器作為 RADIUS 用戶端。如需關於新增 RADIUS 用戶端的詳細資訊,請參閱 Microsoft 網站上的《To add RADIUS clients (英文)》,網址為 http://go.microsoft.com/fwlink/?LinkID=20031

篩選器的通訊協定與連接埠

下表詳細列出您可能允許的常見連接埠與通訊協定,取決於您的遠端存取設定。並非此處列出的所有連接埠,都符合您的遠端存取伺服器需求。例如,如果您僅允許 L2TP,您不用設定 PPTP 的篩選器。相同地,此表的連接埠可能不完全符合您的特定網路需求。

用於通訊協定的連接埠

通訊協定

連接埠

用於

TCP

25

Simple Mail Transfer Protocol (SMTP)

TCP

67

DHCP (如果遠端存取伺服器使用外部 DHCP 伺服器)

TCP

80

全球資訊網 (超文字傳輸協定(HTTP)

TCP

110

郵局通訊協定,版本 3 (POP3)

TCP

1701

L2TP

TCP

1723

PPTP

UDP

53

DNS (用於外部網站的名稱解析)

UDP

67

DHCP (如果遠端存取伺服器使用外部 DHCP 伺服器)

UDP

500

IPSec

UDP

1701

L2TP

UDP

1723

PPTP

UDP

4500

IPSec 搭配 NAT

47

  

Generic Routing Encapsulation (GRE)

50

  

封裝安全性承載 (ESP) (針對使用 NAT-T 的防火牆)


注意:為了支援 Windows Update,您必須允許 TCP 流量傳輸進出連接埠 80,以及UDP流量傳輸進出連接埠 53。依照網路設定而定,您也許必須在遠端存取伺服器、防火牆,或兩者皆設定這些篩選器。

下節說明如何在驗證嘗試失敗三次後,鎖定帳戶三小時大部份使用者應該可以在三次嘗試內提供正確密碼。下節也說明如何在三小時之內手動還原遠端存取。

  • 若要設定遠端存取帳戶鎖定

    1. 在 IAS 伺服器 (範例中的 SVR2),按一下 [開始],按一下 [執行],鍵入 regedit,然後按一下 [確定]。此步驟會開啟登錄編輯程式。

      注意:編輯登錄若不正確,可能會嚴重損毀您的系統。變更登錄之前,您應該備份電腦上所有有價值的資料。

    2. 開啟 [HKEY_LOCAL_MACHINE] 資料夾,再開啟 [SYSTEM] 資料夾,再開啟 [CurrentControlSet] 資料夾,再開啟 [Services] 資料夾,再開啟 [RemoteAccess] 資料夾,再開啟 [Parameters] 資料夾,然後開啟 [AccountLockout] 資料夾。

    3. 右鍵按一下 [MaxDenials],然後按一下 [修改]。

    4. 在 [數值資料],鍵入 3,然後按一下 [確定]。此值會啟用遠端存取帳戶鎖定,並指定使用者在帳戶鎖定之前,可以輸入三次不正確密碼。

    5. 右鍵按一下 [ResetTime (mins)],然後按一下 [修改]。

    6. 按一下 [十進位]。在 [數值資料],鍵入 180,然後按一下 [確定]。此值可變更使用者帳戶的持續鎖定時間,範圍從 48 小時到 3 小時。

    7. 關閉登錄編輯程式。

提示:如果要在指定持續期間結束前,手動重設鎖定帳戶,請刪除下列與使用者帳戶名稱對應的登錄子機碼:HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\RemoteAccess\Parameters\AccountLockout\
網域名稱:使用者名稱

驗證新設定

如果要驗證您剛剛設好的新設定,您可以執行數種測試,除了下列方法外也可執行其他方法:

  • 在內部網路以外的電腦 (例如家中電腦) 建立遠端存取連線,設定為使用L2TP 且具備正確的預先共用金鑰。使用 VPNUsers 群組成員之一的認證建立連線。如需有關如何建立 L2TP/IPSec 遠端存取連線的更多資訊,請參閱適當作業系統的線上說明。

  • 設定連線使用 PPTP,並驗證即使在使用者認證正確的情況下,連線仍然失敗。

  • 重新設定連線使用 L2TP,使用錯誤密碼三次,驗證使用者是否遭到鎖定三小時。

如果要儘可能確認設定正確,您應該以兩種方法測試這些設定,第一種是使用手動建立遠端存取連線,第二種是使用「連線管理員系統管理組件」建立的遠端存取連線,如下一章節所述。

建立服務設定檔

您可以允許使用者,對您的網路建立自己的遠端存取連線。不過,要排除個別建立的連線問題可能很困難,特別是對於小型的 IT 部門而言。此外,夠複雜的預先共用金鑰,會讓您的使用者極難手動鍵入。如果要簡化預先共用金鑰的散佈,以及排解使用者的任何遠端存取問題,您可以使用「連線管理員系統管理組件」,建立可散佈的自訂遠端存取連線。此類型的自訂連線稱為服務設定檔,可以大量簡化使用者的遠端存取。他們不需要建立自己的遠端存取連線,只要安裝一個連線就可以。

本節說明如何安裝「連線管理員系統管理組件 (CMAK)」,以及如何用它建立服務設定檔。您可以在任何伺服器上安裝 CMAK,但是基於安全性原因,您絕不應該安裝在直接連線到內部網路的伺服器上。服務設定檔完成後是一個自我解壓縮的可執行檔,可以散佈於磁片、CD 或企業內部網路。為了額外增加安全性,服務設定檔是以 PIN 加密。

需求

為了執行以下工作,您必須:

  • 登入成為 Administrator 或 Domain Admin 群組的成員。

  • 知道遠端存取伺服器的外部介面 IP 位址。

  • 知道預先共用金鑰。

  • 知道 PIN。

  • 若要安裝「連線管理員系統管理組件」

    1. 按一下 [開始],指向 [控制台],然後按一下 [新增或移除程式]。

    2. 按一下 [新增/移除 Windows 元件],按一下 [Management and Monitoring Tools],然後按一下 [詳細資料]。

    3. 選擇 [連線管理員系統管理組件] 核取方塊,然後結束精靈。

本指南所述的服務設定檔包含預先共用金鑰,且以個人識別碼 (PIN) 加密,所以僅有具備此 PIN 的使用者才能安裝。如果要建立符合企業需求的「連線管理員」服務設定檔,您可以使用規劃工作表。關於「連線管理員系統管理組件」的工作表範例,請參閱 Microsoft 網站上的《Job Aids for Windows Server 2003 Deployment Kit (英文)》,按一下 Job Aids Deploying Network Services.zip,網址是 http://go.microsoft.com/fwlink/?LinkID=22700

  • 若要建立服務設定檔

    1. 按一下 [開始],按一下 [控制台],連按兩下 [系統管理工具],然後連按兩下 [連線管理員系統管理組件]。

    2. 在 [歡迎使用連線管理員系統管理組件精靈] 頁面,按一下 [下一步]。

    3. 在 [服務設定檔選擇] 頁面,確認選取 [新增設定檔],然後按一下 [下一步]。

      注意:檔名限制為八個字元,且不可包含特殊字元,例如 & 符號或虛線。

    4. 在 [服務及檔案名稱] 頁面上,鍵入您希望的完整名稱,在使用者安裝服務設定檔並用來連線時,它會出現在 [服務名稱](例如,VPN connection to work)。在 [檔案名稱] 鍵入您想要使用的檔名 (例如 workVPN),然後按一下 [下一步]。

      注意:檔名限制為八個字元,且不可包含特殊字元,例如 & 符號或虛線。

    5. 在 [領域名稱] 頁面上,按一下 [下一步]。

    6. 在 [合併服務設定檔] 頁面上,按一下 [下一步]。

    7. 在 [VPN 支援] 頁面上,選擇 [來自這個設定檔的電話簿] 核取方塊。在 [VPN 伺服器名稱或 IP 位址],按一下 [永遠使用相同的 VPN 伺服器],鍵入 VPN 伺服器的外部網路位址,然後按一下 [下一步]。

    8. 在 [VPN 項目] 頁面上,按一下預設項目,然後按一下 [編輯]。

    9. 按一下 [安全性] 索引標籤。在 [安全性設定],按一下 [使用進階安全性設定],然後按一下 [設定]。

    10. 在 [驗證方法] 底下,清除 [Microsoft CHAP (MS-CHAP)] 核取方塊。在 [VPN 策略],按一下 [只使用第二層通道通訊協定 (L2TP)]。選擇 [當使用 L2TP/IPSec 時,使用預先共用金鑰] 核取方塊。按 [確定] 兩次,返回到 [VPN 項目] 頁面,然後按一下 [下一步]。

    11. 在 [預先共用金鑰] 頁面上,鍵入預先共用金鑰於 [請輸入金鑰]。確認 [使用 PIN 來加密預先共用金鑰] 核取方塊是選取狀態,然後鍵入 PIN 碼於 [輸入 PIN] 以及 [確認 PIN]。按一下 [下一步]。

      注意:PIN 包含的 Unicode 字元必須不少於 4 個,不多於 15個。PIN 愈長愈安全,但也讓使用者愈難以正確鍵入。

    12. 在 [電話簿] 頁面上,清除 [自動下載電話簿更新] 核取方塊,然後按一下 [下一步]。

    13. 在 [撥號網路項目] 頁面上,按一下 [下一步]。

    14. 在 [路由表更新] 頁面上,按一下 [下一步]。

    15. 在 [自動 Proxy 設定] 頁面上,按一下 [下一步]。

    16. 在 [自訂操作] 頁面上,按一下 [下一步]。

    17. 在 [登入點陣圖] 頁面上,按一下 [下一步]。

    18. 在 [電話簿點陣圖] 頁面上,按一下 [下一步]。

    19. 在 [圖示] 頁面上,按一下 [下一步]。

    20. 在 [通知區域捷徑功能表] 頁面上,按一下 [下一步]。

    21. 在 [說明檔] 頁面上,按一下 [下一步]。

    22. 在 [支援資訊] 頁面上,按一下 [下一步]。

    23. 在 [連線管理員軟體] 頁面上,按一下 [下一步]。

    24. 在 [授權合約] 頁面上,按一下 [下一步]。

    25. 在 [其他檔案] 頁面上,按一下 [下一步]。

    26. 在 [準備好要建立服務設定檔] 頁面上,選取 [進階自訂] 核取方塊,然後按一下 [下一步]。

    27. 在 [進階自訂] 頁面上,按一下 [區段名稱] 中的 [連線管理員],在 [金鑰名稱] 鍵入 Dialup,然後在 [數值] 中鍵入 0

    28. 按一下 [套用],然後按一下 [下一步]。設定檔建立時,會有一個命令提示字元視窗開啟然後關閉。[完成連線管理員系統管理組件精靈] 頁面出現時,按一下 [完成]。

驗證設定

在您複製或散佈設定檔之前,應該確認它運作正常。在散佈之前沒有測試服務設定檔,可能會導致許多非必要的成本與支援問題。

  • 若要測試服務設定檔

注意:在散佈服務設定檔給使用者之前,一律加以測試。

  1. 將您使用 CMAK 精靈建立的可執行檔,儲存在磁片或其他可移動媒體 (如需有關如何實施的更多資訊,請參閱下節的「準備服務設定檔以供散佈」)。連按兩下可執行檔,在網際網路連線電腦上安裝服務設定檔,此電腦必須不屬於您的企業網路,但符合您的企業需求 (例如,執行 Windows XP Home Edition 的家中電腦)。

  2. 詢問您是否安裝設定檔時,按一下 [是]。

  3. 出現提示要求 PIN 時,請鍵入,然後按一下 [確定]。如果您不鍵入 PIN 或鍵入了錯誤 PIN,服務設定檔就不會進行安裝。

  4. 詢問誰要進行此連線時,請確認選取 [僅限自己使用],然後按一下 [確定]。

  5. 服務設定檔結束安裝時,會出現 [連線管理員] 對話方塊。針對 VPNUsers 群組中的一個使用者帳戶,輸入使用者名稱、密碼及網域名稱,然後按一下 [內容]。

  6. 按一下 [進階] 索引標籤。選取 [網際網路連線防火牆] 核取方塊,並清除 [網際網路連線共用] 核取方塊 (如果它是選取狀態)。設定完成時,按一下 [確定]。

    提示:如果您的所有遠端使用者都執行 Windows XP,您可以在 CMAK 精靈的 [進階自訂] 部份設定 EnableICF 與 DisableICS 金鑰,這樣就可以自動設定 [網際網路連線防火牆] 與 [網際網路連線共用] 設定。

  7. 按一下 [連線],確認服務設定檔正確連線到您的內部網路。如果服務設定檔連線失敗,請檢查遠端存取電腦、VPN 伺服器及 IAS 伺服器的記錄檔,並檢查服務設定檔規劃工作表所記錄的設定,以排除服務設定檔的問題。

    提示:如果您的所有遠端使用者都執行 Windows XP,您可以在 CMAK 精靈的 [進階自訂] 部份設定 EnableICF DisableICS 金鑰,這樣就可以自動設定 [網際網路連線防火牆] 與 [網際網路連線共用] 設定。

散佈服務設定檔給使用者

您可以使用多種方式,散佈服務設定檔給使用者。例如,您可以使用下列一或多種方式進行散佈:在磁片或 CD 上複製服務設定檔後散佈給使用者、預先在公司筆記型電腦上安裝服務設定檔;在內部網路上儲存服務設定檔,讓使用者下載設定檔到他們希望的媒體中,並且可以帶回家。

需求

為了執行以下工作,您必須:

  • 登入成為 Administrator 群組的成員。

  • 可存取您想要用來散佈設定檔的媒體裝置或網路位置。

  • 若要準備服務設定檔以供散佈

    1. 在您建立服務設定檔的伺服器上,開啟 Windows 檔案總管。

    2. 瀏覽至 Program Files\Cmak\Profiles\FileName 目錄,其中 FileName 是您給予服務設定檔的檔名。

    3. 將此目錄中的可執行檔,複製到磁片或其他可移動媒體裝置。此檔案內含服務設定檔。

注意:如果您的使用者以「網際網路連線共用 (ICS)」,來共用家中電腦之間的網際網路連線,請指示他們不要從 ICS 主機電腦使用服務設定檔。如果他們在 ICS 主機上安裝服務設定檔,請指示他們在使用服務設定檔時停用 ICS。否則,家中的其他網路使用者,可能會不小心透過您的內部網路連線來傳輸流量。

散佈 PIN

您決定如何散佈服務設定檔後,也必須決定如何散佈 PIN,讓使用者可以安裝設定檔。PIN 不能散佈在和服務設定檔相同的地方,也不能以相同方法散佈,因為如果相同,會增加未授權使用者安裝服務設定檔的可能性。例如,不要將 PIN 寫入文字檔案後,置於服務設定檔的同一磁片。您應該依據最能符合安全需求的方法來散佈 PIN。您可以使用電話、安全電子郵件,或在使用者登出安裝磁片時散佈 PIN。

相關資訊

如需關於本指南提及遠端存取技術的詳細資訊,請參閱以下文件:

如需更多有關進階技術與最新開發的詳細資訊,請參閱以下文件:


顯示: