服务器管理完整版教学课件最全ppt整套教程电子讲义（必威体育精装版）.ppt

可手工连接 可手工连接 远程访问策略简介 远程访问策略的元素 远程访问策略的验证过程 配置远程访问策略 一组定义如何授权或拒绝连接的有序规则 每个规则有一个或多个条件、一组配置文件设置和一个远程访问权限设置 连接尝试至少与一个远程访问策略相匹配时，才会授权连接 远程访问策略存放在远程访问服务器或RADIUS服务器上 远程访问策略（Remote access policies） 包含以下元素: 条件：与连接请求进行比较的一个或多个属性 远程访问权限：如果远程访问策略的所有条件都满足，那么远程访问权限或者允许或者拒绝 配置文件：当远程访问连接被验证后（通过用户帐户或策略的权限设置），应用于连接的一组属性 拨入限制 IP属性 IP地址分配 IP过滤器 多链路 验证 加密 高级设置 远程访问用户 配置文件 有可以处理的策略吗? 开始 连接请求与策略的条件匹配吗? Yes 拒绝连接请求 用户帐户拨入属性中的远程访问权限是否设置为通过远程访问策略控制访问? 远程访问权限被设置为拒绝访问吗? Yes Yes No No 执行下一个策略 No 用户帐户拨入属性中的远程访问权限是否设置为拒绝访问？ No 连接请求与用户帐户及配置文件的设置匹配吗? Yes 接受连接请求 拒绝连接请求 No Yes Yes No 什么是VPN？ VPN的类型？ 配置远程访问PPTP/L2TP VPN 配置站点到站点PPTP/L2TP VPN 配置远程访问L2TP/IPSec VPN(数字证书）－－课后作业 配置站点到站点L2TP/IPSec VPN(数字证书）－－课后作业（5和6选1做） 了解域和活动目录的相关知识，为企业设计活动目录的结构 在服务器上安装活动目录，把服务器提升为域控制器；把成员服务器、用户计算机加入到域中 活动目录引入后，各服务器需要根据域的特点重新进行配置，例如：用户和组需要在域中进行创建、文件夹的安全和共享权限需要分配给域用户等 如果资源分布在多台服务器上，那就需要在每台服务器分别为每一员工建立一个用户（共M*N个），员工则需要在每台服务器上（共M台）登录。 有了域，员工只需要在域中拥有一个域用户，因此管理员只须为员工创建一个域用户；员工只需要在域中登录一次就可以访问域中的资源了，实现了单一登录。 用户信息是存放在域中的域控制器(DC，Domain Controller)上，上图中，可以在服务器中选定一台或者几台服务器作为域控制器。有多台域控制器时，各个域控制器是平等的，每个域控制器上都有所在域的全部用户的信息，域控制器之间需要同步这些信息。而其它不是域控制器的服务器仅仅是提供资源。 一台域中的服务器如果安装了活动目录，它就成为了域控制器；反之，域控制器就是安装了活动目录的服务器。 域控制器（DC，Domain Controller）上存放有域中所有用户、组、计算机等信息（实际上域控制器存放的信息还不止这些），域控制器把这些信息存放在活动目录中。 在TCP/IP网络中，DNS（Domain Name System）是用来解决计算机名字和IP地址的映射关系的，Windows Server 2008的活动目录和DNS是紧密不可分的，活动目录使用DNS服务器来登记域控制器的IP、各种资源的定位等，在一个域林中至少要有一个DNS服务器存在，所以安装活动目录时需要同时安装DNS。此外，Windows Server 2008中域的命名也是采用DNS的格式来命名的。 对象：有用户、计算机、打印机、组等等。每个对象都有自己的属性以及属性值。 组织单元（OU，Organization Unit）：组织单元用来组织对象：用户、打印机、服务器、组、应用程序等，组织单元把这些对象按逻辑进行分组，便于管理、查找、授权和访问。组织单元是类型为容器的对象，所谓的容器是可以包含其它对象的对象。值得注意的是组织单元是在某个域下的。 1. 域名与控制器的安装位置 中小企业，为简单起见，在网络中只安装一个域控制器 域的名字应该和DNS域名一样，为： 其它所有计算机加入到域中 2. 组织单元的设计 我们这里根据公司的行政架构来设计OU 各部门的用户、组、计算机、打印机等均放到对应的组织单元上 网卡1 网卡1 /24 域控制器： DNS:(通过升级域安装) /24 域控制器： 网卡1 /24 的成员服务器 1 2 3 DNS: DNS: VPN拓扑图 VPN服务器 DNSDHCPWINS IP:/24 内网卡 外网卡 1 2 3 IP: DNS: IP: IP:00 VPN客户端 VPN 1号机为内网的DNS(通过升级域自动安装)和域控制器，域为(域控制器安装见P464) 1号机同时是DHCP/WINS服务器。 2号机是VPN服务器(加入域，见P466) 3号机是