Сеть и удаленный доступ к сети

         

Матералы RCF по протоколу PPPoE


RFC (Request for Comments— рабочее предложение) — это постоянно пополняемое собрание рабочих материалов (технических отчетов, проектов протоколов и описаний стандартов протоколов), используемых разработчиками и пользователями Интернета. Стандарты маршрутизации определены в документах RFC, опубликованных группой IETF (Internet Engineering Task Force) и другими рабочими группами. В следующей таблице перечислены документы RFC, относящиеся к PPPoE.

Номер RFC

Название

2516 A Method for Transmitting PPP Over Ethernet (PPPoE)



Материалы RFC по протоколу PPP


RFC (Request for Comments— рабочее предложение) — это постоянно пополняемое собрание рабочих материалов (технических отчетов, проектов протоколов и описаний стандартов протоколов), используемых разработчиками и пользователями Интернета. Стандарты маршрутизации определены в документах RFC, опубликованных группой IETF (Internet Engineering Task Force) и другими рабочими группами. В следующей таблице перечислены документы RFC, относящиеся к PPP.

Номер RFC

Название

1549 PPP in HDLC Framing
1552 The PPP Internetwork Packet Exchange Control Protocol (IPXCP)
1334 PPP Authentication Protocols
1332 The PPP Internet Protocol Control Protocol (IPCP)
1661 Link Control Protocol (LCP)
1990 PPP Multilink Protocol
2125 The PPP Bandwidth Allocation Protocol (BAP), The PPP Bandwidth Allocation Control Protocol (BACP)
2097 The PPP NetBIOS Frames Control Protocol (NBFCP)
1962 The PPP Compression Control Protocol (CCP)
1570 PPP LCP Extensions
2284 PPP Extensible Authentication Protocol (EAP)



Мобильные пользователи и сертификаты


Мобильные пользователи должны включать на своих компьютерах поддержку сертификатов. Если системный администратор перед выдачей компьютера пользователю не установил на нем сертификаты компьютера и пользователя, то пользователь должен сам подключиться к корпоративной сети, применяя обычные методы парольной проверки подлинности, и получить необходимые сертификаты. Подключившись, пользователь присоединяет свой компьютер к корпоративному домену, получает сертификаты и устанавливает политику сертификатов. При следующем подключении к корпоративной сети он сможет использовать методы проверки подлинности с помощью сертификатов, такие как протокол EAP.

Чтобы включить использование сертификатов на компьютере, выполните следующие действия.

Войдите в корпоративную сеть, используя подключение удаленного доступа или сетевое подключение по протоколу PPTP, а также протокол проверки подлинности, такой как MS-CHAP или MS-CHAP v2. При этом компьютер будет включен в корпоративный домен и получит сертификаты компьютера.

Запросите сертификат пользователя. Дополнительные сведения о запросе сертификатов см. в разделах Запрос сертификата, Отправка запроса на сертификат пользователя через Интернет и Запрос сертификатов.

Создайте другое подключение, использующее проверку подлинности с помощью сертификатов. Подключитесь снова, используя такие методы проверки подлинности, как EAP или IPSec. Дополнительные сведения о включении режима использования смарт-карты или других сертификатов см. в разделе Чтобы включить проверку подлинности с помощью смарт-карт или других сертификатов.

Системный администратор может избавить пользователя от необходимости выполнять эти операции, установив сертификаты компьютера и пользователя на переносной компьютер перед выдачей его пользователю.

Примечание

Для автоматического получения сертификатов компьютера необходимо установить политику открытых ключей (с помощью оснастки «Групповая политика»), которая автоматически регистрирует компьютеры, нуждающиеся в сертификатах. Если процесс получения сертификатов компьютера не автоматизирован, необходимо войти на компьютер с учетной записью администратора, установить службы сертификации и запросить сертификат компьютера. Дополнительные сведения см. в разделах Управление сертификатами компьютера и Управление сертификатами учетной записи пользователя.



Modem_config


Чтобы настроить модем для подключения удаленного доступа

Откройте компонент Сетевые подключения.

Выделите подключение удаленного доступа, которое требуется настроить, и затем в группе Типичные сетевые задачи щелкните ссылку Изменить параметры этого подключения.

На вкладке Модемы в списке Подключаться через выберите модем, который требуется настроить, и нажмите кнопку Настроить.

В группе Параметры оборудования установите флажки для тех параметров, которые нужно включить.

Чтобы включить динамик модема, установите флажок Включить динамик модема.

Примечания

XOX

Для обеспечения полной совместимости необходимо использовать модем того же типа, что и на сервере удаленного доступа, выбрать ту же начальную скорость связи и включить те же возможности. Если не удается использовать модем той же модели, выберите по крайней мере модем того же стандарта ITU-T, что и модем сервера.

Если выбрать функцию, не поддерживаемую данным модемом, это никак не отразится на его производительности.

Компонент «Сетевые подключения» автоматически настраивает подключения в соответствии с используемыми устройствами. Например, в офисе переносной компьютер можно использовать со стыковочным узлом, настроив подключение на работу с установленным в этом узле модемом. Если пользователь работает на таком компьютере в пути и модем стыковочного узла недоступен, подключение автоматически настраивается на использование модема PCMCIA, установленного на компьютере. Когда пользователь вернется в офис и снова подключит переносной компьютер к стыковочному узлу, компонент «Сетевые подключения» обнаружит, что модем стыковочного узла вновь стал доступен, и автоматически настроит подключение на использование этого модема.

См. также



Модем не работает с компонентом «Сетевые подключения»


Если доступен другой компьютер, подключенный к Интернету, просмотрите перечень поддерживаемых модемов в списке совместимого оборудования Microsoft Windows. XOX

Если модем присутствует в этом списке, проверьте правильность его подключения к соответствующему порту компьютера. Если модем внешний, убедитесь, что его питание включено.

Дополнительные сведения об устранении неполадок с модемами см. в разделе Устранение неполадок с модемами.



Modifiers


Чтобы настроить модификаторы телефонного номера

XOX

Откройте компонент Сетевые подключения.

Выделите подключение удаленного доступа, которое требуется настроить, и затем в группе Типичные сетевые задачи щелкните ссылку Изменение настроек отдельного подключения.

На вкладке Общие измените номер телефона, используя один или нескольких символов, приведенных в следующей таблице.

Символ

Функция

, (запятая) Пауза перед продолжением набора номера (для большинства модемов — две секунды)
P Переключение из тонового режима набора в импульсный
T Переключение из импульсного режима набора в тоновый
$ Ожидание запроса на ввод номера телефонной карточки

Например, при звонке из номера отеля для выхода на внешнюю линию иногда требуется сначала набрать цифру 9. В таком случае необходимо задать номер примерно следующего вида:

9,555-0100

Запятая после цифры 9 обеспечивает паузу перед набором основного номера, достаточно длинную для выхода на внешнюю линию.

Примечания

XOX

Установив флажок Использовать правила набора номера и нажав кнопку Правила, можно настроить параметры места вызова, для которого автоматически будут применяться определенные правила набора номера. Например, если подключаться часто приходится из дома и потому требуется отменить режим оповещения, создайте специальное место для вызова из дома, при котором перед установкой соединения автоматически набирался бы код отключения режима оповещения.

Если перед номером набираются какие-то неизвестные цифры, убедитесь, что флажок Использовать правила набора номера снят. Если он установлен, то, возможно, для данного места вызова действует правило набора номера, которое на самом деле не требуется. Например, может быть выбрано место вызова, в котором всегда набирается цифра 8 для междугородных звонков.

См. также



Наблюдение за сетевыми подключениями


Команда Состояние позволяет просматривать сведения об активном подключении.

С помощью команды Состояние могут быть получены следующие данные.

Продолжительность работы подключения.

Начальная скорость подключения.

Для одноканального подключения и для отдельных составляющих многоканального подключения эта скорость согласовывается (и фиксируется) во время установки подключения или канала. Для многоканального подключения эта скорость равна сумме скоростей отдельных каналов. При добавлении или удалении каналов общая скорость меняется.

Для подключений по локальной сети — число байтов, переданных и принятых с момента установки соединения. Для подключений других типов — число байтов, переданных и принятых байтов с момента установки соединения, а также статистика сжатия данных и исправления ошибок.

Средства диагностики подключения (если таковые есть). Например, средство устранения неполадок сетей Windows, программа TCP/IP Autoping и программа настройки Windows IP для TCP/IP. Такие средства явно регистрируются в XOX их разработчиками (как в корпорации Майкрософт, так и в любой другой организации).

Дополнительные сведения см. в разделе Чтобы выбрать режим наблюдения за подключением.

Примечание

Если компьютер настроен на прием входящих подключений, то для каждого подключающегося пользователя в папку «Сетевые подключения» будет добавляться значок подключения с именем этого пользователя. Для получения сведений о конкретном входящем подключении щелкните его правой кнопкой мыши и выберите команду Состояние.



Настройка брандмауэра Windows с помощью командной строки


Опытные пользователи могут использовать для настройки брандмауэра Windows командную строку. Для этого можно применять средство netsh командной строки.

Команды netsh, приведенные в таблице, доступны для XOX. Введите команду и « /?», чтобы получить справочные сведения для этой команды.

Группа

Команда

Описание

Добавление netsh firewall add allowedprogram Добавление разрешенной конфигурации программы в брандмауэр Windows
netsh firewall add portopening Добавление конфигурации порта в брандмауэр Windows
Удаление netsh firewall delete allowedprogram Удаление разрешенной конфигурации программы из брандмауэра Windows
netsh firewall delete portopening Удаление конфигурации порта из брандмауэра Windows
Сброс netsh firewall reset Сброс конфигурации брандмауэра Windows до конфигурации по умолчанию
Задание netsh firewall set allowedprogram Изменение разрешенной конфигурации программы в брандмауэре Windows
netsh firewall set icmpsettings Изменение конфигурации ICMP в брандмауэре Windows
netsh firewall set logging Изменение конфигурации ведения журнала в брандмауэре Windows
netsh firewall set notifications Изменение конфигурации уведомлений в брандмауэре Windows
netsh firewall set opmode Изменение рабочей конфигурации в брандмауэре Windows
netsh firewall set portopening Изменение конфигурации портов в брандмауэре Windows
netsh firewall set service Изменение конфигурации служб в брандмауэре Windows
Отображение netsh firewall show allowedprogram Показ разрешенной конфигурации программы в брандмауэре Windows
netsh firewall show config Показ конфигурации брандмауэра Windows
netsh firewall show currentprofile Показ текущего профиля брандмауэра Windows
netsh firewall show icmpsettings Показ конфигурации ICMP в брандмауэре Windows
netsh firewall show logging Показ конфигурации ведения журнала в брандмауэре Windows
netsh firewall show notifications Показ конфигурации уведомлений в брандмауэре Windows
netsh firewall show opmode Показ рабочей конфигурации в брандмауэре Windows
netsh firewall show portopening Показ конфигурации портов в брандмауэре Windows
netsh firewall show service Показ конфигурации служб в брандмауэре Windows
netsh firewall show state Показ текущего состояния брандмауэра Windows

Примечания

Команды Set machine, Set online, Set offline и Dump в брандмауэре Windows не поддерживаются. Эти команды не выполняют никаких действий.

С помощью команды Show обычно отображаются локально настроенные параметры. Параметры групповой политики не отображаются ни в каком другом состоянии, кроме состояния «Отображение».



Настройка параметров удаленного доступа


Существует много возможностей, позволяющих упростить процесс подключения удаленного доступа. Для получения инструкций по настройке конкретной возможности щелкните соответствующую ссылку в следующей таблице.

Возможность

Функция

Настройка ответного вызова Уменьшает расходы на оплату телефонной связи, предписывая серверу удаленного доступа выполнить ответный вызов клиента после того, как тот подключится к серверу
Настройка модификаторов телефонного номера Позволяет вставить символы, управляющие набором номера (задающие паузу, приостанавливающие набор номера до ввода данных и т. п.)
Настройка параметров повторного набора номера Задает число попыток повторного автоматического набора номера для подключения к серверу удаленного доступа. Эта возможность также позволяет автоматически восстанавливать подключение после принудительного отключения простаивающей линии
Назначение нескольких телефонных номеров одному подключению Назначает подключению удаленного доступа несколько телефонных номеров. В этом может возникнуть необходимость, если имеется пул телефонных номеров для подключения
Включение режима набора номера через оператора или вручную Позволяет пользователю участвовать в процессе установки удаленного подключения. Это бывает необходимо, например, при подключении через ручной коммутатор.

Примечание

С помощью компонента панели управления «Телефон и модем» можно настраивать параметры удаленного доступа, относящиеся ко всем подключениям, которые устанавливаются из данного места (например, набор цифры 9 для выхода на внешнюю линию, отключение режима оповещения, использование импульсного набора номера вместо тонового и т. д.).

См. также



Настройка сетевого подключения


Конфигурация любого сетевого подключения или подключения удаленного доступа задается набором параметров. Для каждого подключения определяются такие параметры, как номер телефона, число попыток повторного набора номера и т. п. Эти параметры, применяющиеся до или после установки подключения, не влияют на настройку других подключений. Например, если один из серверов часто оказывается занят, то подключение к нему можно настроить на десятикратное повторение набора номера. Для другого сервера, менее загруженного, можно задать подключение удаленного доступа с тремя попытками установить связь. Параметры повторного набора номера первого подключения никак не повлияют на число попыток набора номера для второго подключения — их никогда не будет больше трех. Для настройки подключения удаленного доступа не нужно изменять никакие параметры, не относящиеся к данному подключению.

Изменение некоторых сетевых параметров подключения может повлиять на другие подключения. Например, если добавить в список доступных сетевых компонентов какого-либо подключения протокол IPX/SPX, то этот протокол хотя и не будет включен, но станет доступен другим подключениям, установленным на этом же компьютере.

Параметры можно изменять и для активных подключений. Разрешается также переименовывать активные подключения. Однако для сохранения изменений может потребоваться повторное подключение. В таком случае соединение разрывается, измененные параметры сохраняются, после чего подключение сразу же восстанавливается.

Для каждого подключения задается минимальный набор необходимых для успешного соединения параметров. Эти параметры расположены на вкладке Общие. Например, для подключений по локальной сети на этой вкладке достаточно указать лишь сетевой адаптер. Для подключений удаленного доступа вкладка Общие содержит такие необходимые сведения, как устройство для подключения, номер телефона и коды города и страны.

Для исходящих подключений на вкладках Параметры, Безопасность, Сеть и Доступ можно задать дополнительные параметры конфигурации.
Для входящих подключений дополнительные параметры задаются на вкладках Пользователи и Сеть.

Другие дополнительные параметры настраиваются в диалоговом окне, вызываемом командой Дополнительные параметры меню Дополнительно папки «Сетевые подключения». Изменив надлежащим образом эти параметры, можно добиться повышения производительности. Например, порядок обращения к службам доступа к сети и сетевым протоколам определяется в диалоговом окне Дополнительные параметры. Если подключение локальной сети обеспечивает доступ к сетям NetWare и Microsoft Windows, использующим протоколы TCP/IP и IPX, но используется главным образом для работы в сети Microsoft Windows с протоколом TCP/IP, то можно переместить элемент Сеть Microsoft Windows в начало списка Службы доступа к сети на вкладке Порядок служб доступа, а элемент Протокол Интернета (TCP/IP) — в начало списка привязки для узла Служба доступа к файлам и принтерам сетей Microsoft на вкладке Адаптеры и привязки. Изменение порядка служб доступа к сети и порядка привязки протоколов позволит повысить производительность.

XOX

См. также


Настройка вызова с использованием нескольких устройств


Компонент «Сетевые подключения» позволяет устанавливать многоканальные подключения по протоколу PPP с использованием нескольких линий ISDN, X.25 или модемных линий. Эта возможность позволяет объединять несколько физических каналов в одну логическую связку с целью расширения полосы пропускания подключения. Для выполнения вызова с использованием нескольких устройств необходимо включить функцию многоканального подключения как на локальном компьютере, так и на сервере удаленного доступа.

Компонент «Сетевые подключения» может динамически управлять использованием линий для многоканального подключения. Линии выделяются только тогда, когда в них возникает необходимость, что позволяет избежать чрезмерного расширения полосы пропускания и добиться более высокой эффективности. Условия, при которых подключаются дополнительные линии и отключаются простаивающие, задаются в окне «Сетевые подключения».

Функция многоканального подключения в XOX и XOX включена автоматически.

Примечание

Если многоканальное подключение выполняется для доступа к серверу, требующему ответного вызова, то ответный вызов может быть направлен только на одно из устройств, использовавшихся при подключении. Это объясняется тем, что в учетной записи пользователя может храниться только один номер. Поэтому подключиться сможет только одно устройство и возможность многоканального подключения будет недоступна.

Этой проблемы можно избежать в следующих случаях:

если запись телефонной книги для многоканального подключения предусматривает стандартную конфигурацию модема, а сервер удаленного доступа, к которому выполняется подключение, использует несколько линий для одного номера;

если запись телефонной книги для многоканального подключения задает подключение по линии ISDN с двумя каналами, имеющими один и тот же телефонный номер.



Назначение IP-адресов подключениям удаленного доступа и подключениям виртуальных частных сетей (VPN)


Каждому удаленному компьютеру, подключающемуся к серверу удаленного доступа в сети TCP/IP системы Windows, этот сервер присваивает IP-адрес.

Если нужно использовать фиксированный IP-адрес, сервер удаленного доступа должен быть настроен таким образом, чтобы разрешать пользователям запрашивать конкретный адрес.



Новые способы выполнения типичных задач


В следующей таблице перечислены некоторые стандартные задачи, связанные с сетевыми подключениями. Пользовательский интерфейс для выполнения этих задач в XOX отличается от того, который применяется в Windows NT версии 4.0. В эту таблицу не вошли различия между операционными системами Windows 2000 и XOX.

Интерфейс для создания сетевых подключений в XOX отличается от того, который применяется в Windows 2000. Мастер новых подключений заменил мастера сетевого подключения и мастера подключения к Интернету, использовавшихся в Windows 2000. Этот мастер моздает сетевые подключеняи всех типов, в том числе подключения к Интернету, входящие подключения, подключения удаленного доступа, подключения VPN и прямые подключения. Используя следующую таблицу, можно узнать, как с помощью мастера нового подключения создается подключение каждого из этих типов.

Задача

Используемый компонент Windows NT 4.0

Используемый компонент XOX

Подключение к сети с помощью модема или по линии ISDN Удаленный доступ к сети в папке «Мой компьютер» (щелкните значок Создать) Сетевые подключения. Дополнительные сведения см. в разделе Чтобы создать подключение удаленного доступа по телефонной линии

Подключение к сети при помощи виртуальной частной сети (VPN) Удаленный доступ к сети в папке «Мой компьютер» (щелкните значок Создать) Сетевые подключения. Дополнительные сведения см. в разделе Чтобы создать подключение к виртуальной частной сети (VPN)
Настройка компьютера на прием входящих подключений Сеть на панели управления Сетевые подключения. Дополнительные сведения см. в разделе Чтобы создать входящее сетевое подключение
Настройка протокола TCP/IP Сеть на панели управления Сетевые подключения. Дополнительные сведения см. в разделе Чтобы настроить параметры TCP/IP
Настройка подключения Удаленный доступ к сети в папке «Мой компьютер» (нажмите кнопку Дополнительно) Сетевые подключения. Дополнительные сведения см. в разделе Чтобы настроить подключение
Добавление клиента или службы Сеть на панели управления Сетевые подключения. Дополнительные сведения см. в разделе Чтобы добавить сетевой компонент
Добавление протокола Сеть на панели управления Сетевые подключения. Дополнительные сведения см. в разделе Чтобы добавить сетевой компонент
Добавление дополнительных сетевых компонентов Сеть на панели управления Сетевые подключения. Дополнительные сведения см. в разделе Чтобы добавить дополнительные сетевые компоненты
Наблюдение за входящими или исходящими подключениями Монитор удаленного доступа к сети на панели управления Сетевые подключения. Дополнительные сведения см. в разделе Чтобы выбрать режим наблюдения за подключением



Оборудование, необходимое для сетевых подключений


В зависимости от конфигурации системы может потребоваться все нижеперечисленное оборудование или часть этого списка.

Сетевой адаптер с драйвером, соответствующим стандарту NDIS (Network Driver Interface Specification), для подключения к локальной сети.

Один или несколько совместимых модемов и свободный COM-порт.

Модем с быстродействием 28,8 или 56 Кбит/с или адаптер ISDN (если используется линия ISDN).

Модем DSL. Если это внешний модем DSL, он обычно подключается к адаптеру сети Ethernet.

Кабельный модем. Если это внешний кабельный модем, он обычно подключается к адаптеру сети Ethernet.

Плата X.25 или устройство PAD (если используется сеть X.25).

Аналоговая телефонная линия.

Если компьютер настроен на прием входящих подключений, многопортовый адаптер позволит повысить производительность при работе с несколькими подключениями.

XOX

Сведения о настройке параметров подключения см. в разделе Чтобы настроить подключение.



Обработка двухсекундных задержек и больших блоков текста в сценарии файла Switch.inf


Если в потоке данных ответа удаленного компьютера компьютеру, который выполняет подключение, возникает двухсекундная задержка, то сервер удаленного доступа будет считать, что эта задержка означает окончание ответа. Такие задержки могут возникать в любом месте потока, даже посреди слов, и распознаются средствами диагностики модема. Дополнительные сведения см. в разделе Ведение и просмотр журнала команд модема.

Если созданный сценарий не работает по причинам, на первый взгляд непонятным, включите диагностику модема, а затем изучите полученный файл системный_корневой_каталог\ModemLog_модель.txt и выясните, не оканчивается ли какой-либо ответ в середине слова. Модель — это имя модема в том виде, в котором оно фигурирует в списке установленных модемов в окне Свойства: Модем. Если ответ заканчивается посреди слова, в сценарии следует предусмотреть возможность двухсекундных задержек. Проще всего это сделать, вставив следующую команду:

COMMAND=<cr>

С помощью сценария можно пропускать большие фрагменты текста, содержащие многочисленные задержки; для этого используется ключевое слово LOOP= и сравнение текста в конце блока с образцом. Например:

COMMAND=<cr>

OK=<match>"Укажите службу для запуска:"

LOOP=<ignore>

В этом примере сетевое подключение отправляет пустую команду (означающую двухсекундное ожидание). Затем оно ожидает появления сообщения «Укажите службу для запуска:» . Если передается большой блок текста, эта строка найдена не будет. Затем управление передается команде LOOP. Команда LOOP выполняет возврат на предыдущую строку и подключение будет ожидать строку «Укажите службу для запуска:» во втором ответе. Таким образом можно с помощью цикла дожидаться нужного сообщения в больших блоках текста.

Сведения об активизации сценария файла Switch.inf см. в разделе Чтобы активизировать сценарий входа в систему. Дополнительные сведения о сценариях Switch.inf см. в разделе Автоматизация процесса входа в удаленную систему с помощью сценариев Switch.inf.



Общее представление о случаях блокирования программ


Если при включенном брандмауэре Windows программа на компьютере пытается выполнить подключение к Интернету или сети, брандмауэр блокирует действия программы и отображает сообщение с возможностью разблокировать эту программу.

Например, предположим, на компьютере имеется игра, для которой настроен многопользовательский режим работы через Интернет. Брандмауэр заблокирует подключение игры к Интернету, и будет невозможно получать сведения от других игроков, которые необходимы для правильной работы игры. Будет отображен запрос с вариантами возможных действий.

При получении этого запроса пользователь может выбрать варианты действий:

Блокировать — программа не сможет выполнять подключения без разрешения пользователя.

Разблокировать — этот вариант можно выбрать для доверенной программы и только если известно, зачем программе требуется подключение к сети. (В приведенном ранее примере с игрой подходит именно этот вариант.)

Сделать выбор позднее, если пользователь решил отложить решение о блокировании или разрешении подключения программы. В этом случае программа остается заблокированной (для большей надежности), а при следующем запуске программы пользователь снова получит запрос о выборе решения.

Если программа была разблокирована, брандмауэр Windows создаст исключение для этой программы, чтобы обеспечить взаимодействие через брандмауэр. При следующий подключениях этой программы к сети оповещения брандмауэра отображаться не будут. После закрытия программы временный проход через брандмауэр будет также закрыт.

Примечания

Сделанный выбор применяется к каждому пользователю, имеющему учетную запись на данном компьютере.

Для некоторых игр (игр DirectX) сообщение может быть скрыто за окном программы. Чтобы просмотреть сообщение, сверните или закройте программу.

Эти сообщения могут быть отключены с помощью брандмауэра Windows, программы netsh.exe или групповой политики. Чтобы отключить эти сообщения в брандмауэре Windows на вкладке Исключения снимите флажок Отображать уведомление, когда брандмауэр блокирует программу. Однако рекомендуется не отключать эти сообщения, так как они используются для наблюдения за безопасностью компьютера.

Если на вкладке Общие установлен флажок Не разрешать исключения, сообщения не будут отображаться, так как брандмауэр будет блокировать все подключения, не зависимо от значений других параметров.

См. также



Общие сведения о подключениях к Интернету


Компонент «Сетевые подключения» позволяет легко подключаться к Интернету. Например, для создания подключения удаленного доступа к Интернету используются следующие средства:

протокол TCP/IP, включенный для данного сетевого подключения;

модем или другое устройство для связи с поставщиком услуг Интернета;

учетная запись от поставщика услуг Интернета.

Подключение к Интернету устанавливает связь с поставщиком услуг Интернета и выполняет вход в систему. Последовательность действий при входе в систему зависит от требований поставщика услуг, к которому выполняется подключение. PPP-подключения часто устанавливаются полностью автоматически. SLIP-подключения могут требовать входа в систему с использованием окна терминала, что иногда не позволяет автоматизировать процесс входа с помощью сценариев в файле Switch.inf.

Дополнительные сведения см. в следующих разделах:

Общие сведения о протоколе TCP/IP

Способы подключения к поставщикам услуг Интернета

Поставщики услуг Интернета

Использование протокола PPP для подключения к Интернету

Чтобы создать подключение к Интернету

Примечание

Перед созданием подключения к Интернету выясните у своего поставщика услуг Интернета необходимые параметры этого подключения. Для подключения к поставщику могут потребоваться следующие параметры:

учетная запись, выданная поставщиком услуг Интернета, со сведениями о настройке;

телефонный номер поставщика услуг Интернета;

назначенный IP-адрес;

IP-адрес основного шлюза;

адреса DNS и имена доменов.



Общие сведения о подключениях по локальной сети


При создании домашней или малой офисной сети компьютеры под управлением XOX или XOX подключены к локальной сети (LAN). При установке XOX обнаруживается сетевой адаптер и создается подключение по локальной сети. Как и подключения других типов, оно показано в папке «Сетевые подключения». По умолчанию подключение по локальной сети всегда активно. Только подключения этого типа создаются и активизируются автоматически.

Если разорвать подключение по локальной сети, оно больше не будет автоматически активизироваться. Сведения об этом сохраняются в профиле оборудования, поэтому профиль позволяет учитывать потребности мобильных пользователей, меняющих свое местоположение. Например, во время командировки в другой город можно использовать другой профиль оборудования, который не активизирует подключение по локальной сети, поэтому не придется тратить время на ожидание соединения с недоступной сетью. Сетевой адаптер даже не будет пытаться выполнить подключение.

Если на компьютере установлено несколько сетевых адаптеров, в папке «Сетевые подключения» для каждого из них будет создан значок подключения по локальной сети.

Локальные сети можно строить с помощью адаптеров Ethernet, беспроводных адаптеров, адаптеров домашней сети на базе телефонной линии (HPNA), кабельных модемов, линий DSL, средств инфракрасной связи (IrDA), а также технологий Token Ring, FDDI, IP поверх ATM и средств эмуляции на базе ATM. Эмулируемые сети строятся на основе драйверов виртуальных адаптеров, таких как LAN Emulation Protocol (протокол эмуляции локальной сети).

Если в сеть вносятся изменения, измените соответствующим образом параметры существующего подключения по локальной сети. Сведения об изменении параметров подключения см. в разделе Чтобы настроить подключение. Команда Состояние папки «Сетевые подключения» позволяет просматривать такие сведения о подключении, как длительность соединения, его скорость, объем принятых и отправленных данных, а также средства диагностики, доступные для данного подключения.
Сведения об использовании команды Состояние см. в разделе Чтобы просмотреть состояние подключения по локальной сети.

Если на компьютере установлен новый сетевой адаптер, то при очередной загрузке компьютера в папке «Сетевые подключения» появится значок нового подключения по локальной сети. Средства Plug and Play обнаруживают сетевой адаптер и создают для него подключение по локальной сети. Устройства PC Card можно устанавливать прямо на включенный компьютер без его последующей перезагрузки. Значок подключения по локальной сети будет сразу же добавлен в папку. Вручную добавить значок подключения по локальной сети в папку «Сетевые подключения» нельзя.

Команда Дополнительные параметры позволяет настраивать параметры нескольких сетевых адаптеров. Можно изменить порядок адаптеров, используемых подключением, и связанные с каждым адаптером службы, клиенты и протоколы. Можно также изменить порядок служб доступа к сети, в соответствии с которым данное подключение получает доступ к ресурсам, таким как сети и принтеры.

Настройка устройства, которое используется подключением, и всех связанных с ним клиентов, служб и протоколов выполняется с помощью команды Свойства. Клиенты определяют параметры доступа к компьютерам и файлам сети для данного подключения. Службы предоставляют такие возможности, как общий доступ к файлам и принтерам. Протоколы, такие как TCP/IP, определяют язык, на котором компьютер общается с другими компьютерами сети.

При изменении состояния подключения по локальной сети внешний вид значка в папке «Сетевые подключения» меняется; кроме того, в области уведомлений может появиться еще один значок. Если компьютер не обнаруживает сетевой адаптер, значок подключения по локальной сети в папке «Сетевые подключения» не отображается. В следующей таблице описаны различные значки подключений по локальной сети.

Значок

Описание

Местонахождение

Подключение по локальной сети активно Папка «Сетевые подключения»
Среда передачи отключена Папка «Сетевые подключения»
Среда передачи отключена Область уведомлений
Драйвер отключен Папка «Сетевые подключения»
См. также


Общие сведения о подключениях виртуальной частной сети (VPN)


С помощью протокола PPTP (Point-to-Point Tunneling Protocol) или протокола L2TP (Layer Two Tunneling Protocol), которые автоматически устанавливаются на компьютере, можно обеспечить безопасный доступ к ресурсам сети, используя подключение к серверу удаленного доступа через Интернет или другую сеть. Сетевая структура, использующая частные и общедоступные сети для создания сетевого подключения, называется виртуальной частной сетью (VPN). В следующей таблице описаны преимущества подключений VPN.

Преимущество

Пример

Выигрыш в стоимости Вместо дорогостоящих служб междугородной и международной телефонной связи и других платных служб используется Интернет. Все необходимое коммуникационное оборудование, такое как модемы и ISDN-адаптеры, предоставляет поставщик услуг Интернета, поэтому для локальной сети придется приобретать и поддерживать меньшее число устройств.
Распределение обслуживания в сетях удаленного доступа Пользователь соединяется с местным телефонным узлом или поставщиком услуг Интернета, который подключает его к серверу удаленного доступа и корпоративной сети. Модемами и телефонными линиями, необходимыми для удаленного доступа, заведует телефонная компания или поставщик услуг Интернета. Так как поддержкой сложных конфигураций коммуникационного оборудования занимается поставщик услуг Интернета, сетевой администратор может сосредоточиться на централизованном управлении учетными записями пользователей на сервере удаленного доступа.
Повышенная безопасность Передача данных по подключению через Интернет осуществляется с шифрованием и полностью безопасна. Сервер удаленного доступа использует новые протоколы проверки подлинности и шифрования. Секретные данные будут скрыты от пользователей Интернета, но определенные пользователи могут получить безопасный доступ к ним через сеть VPN.
Поддержка сетевых протоколов Благодаря поддержке большинства популярных сетевых протоколов (включая TCP/IP и IPX) можно запускать в удаленном режиме любые приложения, рассчитанные на работу с этими протоколами. XOX
Безопасность IP-адресов Передаваемые через VPN данные зашифрованы, так что используемые адреса защищены, и в Интернете виден только внешний IP-адрес. Для организаций, внутренние IP-адреса которых не согласованы с InterNIC, это очень существенно, так как позволяет избежать административных расходов, связанных с изменением IP-адресов для удаленного доступа через Интернет.
<
VPN- подключение можно создать двумя способами: удаленным подключением к поставщику услуг Интернета или прямым подключением к Интернету, как показано в следующих примерах.

В первом примере сначала выполняется вызов поставщика услуг Интернета. После того как подключение будет установлено, выполняется вызов сервера удаленного доступа, в результате чего создается туннель PPTP или L2TP. После проверки подлинности пользователь может обращаться в корпоративную сеть, как показано на рисунке.

Подключение VPN, устанавливаемое через поставщика услуг Интернета

Во втором примере пользователь, уже подключенный к Интернету, использует подключение VPN для связи с сервером удаленного доступа. Это может быть пользователь, компьютер которого подключен к локальной сети, пользователь кабельного модема или абонент службы, подобной ADSL, которая устанавливает IP-соединение сразу после включения пользовательского компьютера. Драйвер PPTP или L2TP создает туннель в Интернете и подключается к серверу удаленного доступа, поддерживающему PPTP или L2TP. После проверки подлинности пользователь получает доступ к корпоративной сети с теми же возможностями, что и в предыдущем примере.

Подключение VPN, устанавливаемое с помощью существующего подключения к Интернету

Примечания

Прямое подключение к Интернету означает прямой доступ по протоколу IP без участия поставщика услуг Интернета. (Например, клиенты некоторых отелей могут использовать для доступа в Интернет кабель Ethernet.)

При наличии активного клиента Winsock Proxy создать сеть VPN нельзя. Клиент Winsock Proxy сразу же перенаправляет данные на указанный прокси-сервер, не позволяя обработать их так, как это требуется для VPN. Чтобы создать сеть VPN, следует отключить клиент Winsock Proxy.

См. также


Общие сведения о прямых подключениях


Компонент «Сетевые подключения» позволяет устанавливать физическое подключение к другому компьютеру с помощью последовательного кабеля, кабеля DirectParallel, модема, устройства ISDN или иного метода. Например, можно подключить к сети карманный компьютер с системой Windows CE. Или предположим, что в одном и том же месте установлены две сети, не соединенные физически между собой. Чтобы иметь доступ к ресурсам обеих сетей на одном компьютере, можно воспользоваться последовательным подключением по нуль-модемному кабелю RS-232C. Этим кабелем соединяются COM-порт компьютера и COM-порт сервера удаленного доступа, предоставляющего услуги доступа к сети. Нуль-модемный кабель RS-232C можно использовать вместо сетевого адаптера, если компьютер расположен недалеко от сервера удаленного доступа (на расстоянии менее 15 м).

Драйвер DirectParallel обеспечивает связь между двумя компьютерами через стандартный или расширенный (ECP) параллельный порт с использованием параллельных кабелей типа Basic или Fast компании Parallel Technologies. Дополнительные сведения об использовании кабелей DirectParallel для прямого подключения см. в разделе Доступ с использованием кабелей DirectParallel.

Методы проверки подлинности при удаленном доступе контролируют доступ к самой сети, а не к ресурсам сети. Устройство с системой Windows CE, напрямую подсоединенное к компьютеру в сети, можно сравнить с подключенным к сети компьютером, которому не нужно выполнять процесс входа в сеть, чтобы пользоваться ее ресурсами. В этом случае подключение и доступ к сети производятся без какой-либо проверки подлинности.

Если компьютер находится в сети, доступом к ресурсам управляют различные компоненты: Локальные пользователи и группы, Active Directory, групповая политика, службы доступа к файлам и принтерам и т. п.

Поэтому если в сети имеется прямое сетевое подключение, использующее, например, устройство Windows CE, нужно проверить наличие надлежащего средства управления ресурсами, которое обеспечивало бы доступ к важным папкам, принтерам и т. д.

Методы проверки подлинности применяются при взаимодействии с удаленными системами: вызывающий компьютер получает доступ к сети только после предъявления своих учетных данных — имени пользователя и пароля.

Сведения о создании прямого сетевого подключения см. в разделе Чтобы создать прямое сетевое подключение.

Примечание

XOX



Общие сведения о протоколе IPSec (Internet Protocol security)


IPSec — это набор служб защиты и протоколов безопасности, основанных на средствах криптографии; этот протокол представляет одно из наиболее перспективных направлений развития средств защиты сетей. Для его внедрения не требуется вносить какие-либо изменения в приложения или протоколы, поэтому IPSec легко развертывается в уже существующих сетях.

IPSec обеспечивает проверку подлинности на уровне компьютера и шифрование данных для подключений VPN, использующих протокол L2TP. Перед установкой подключения L2TP протокол IPSec выполняет согласование связи между компьютером и удаленным сервером туннеля, что позволяет защитить и пароли, и данные.

При взаимодействии с IPSec протокол L2TP использует стандартные методы проверки подлинности на базе PPP, такие как EAP, MS-CHAP, CHAP, SPAP и PAP.

Тип шифрования определяется так называемым сопоставлением безопасности IPSec. Сопоставление безопасности — это набор атрибутов, состоящий из адреса назначения, протокола безопасности и уникального идентификатора, называемого индексом параметров безопасности. Поддерживаются следующие алгоритмы шифрования:

DES (Data Encryption Standard), использующий 56-разрядный ключ;

3DES (Triple DES), использующий два 56-разрядных ключа и предназначенный для среды с высоким уровнем безопасности, характерной для Северной Америки.

Дополнительные сведения о протоколе IPSec см. в разделе Протокол IPSec (Internet Protocol security).

Дополнительные сведения о настройке подключений см. в разделе Чтобы настроить подключение.



Общие сведения о протоколе TCP/IP


TCP/IP (Transmission Control Protocol/Internet Protocol) — самый популярный сетевой протокол, служащий основой Интернета. Предлагаемые им средства маршрутизации обеспечивают максимальную гибкость функционирования сетей предприятий. В XOX протокол TCP/IP установлен автоматически.

В сетях TCP/IP клиентам должны быть назначены IP-адреса. Кроме того, клиентам может потребоваться служба имен или алгоритм разрешения имен. В этом разделе рассказывается о том, какие методы IP-адресации и разрешения имен в сетях TCP/IP поддерживает компонент «Сетевые подключения». Здесь также описаны служебные программы FTP и Telnet, входящие в комплект протокола TCP/IP.



Общие сведения о сетевом мосте


Сетевой мост предлагает простой способ соединения сегментов локальной сети. Сегмент локальной сети — это часть сетевой среды передачи, связывающая между собой группу компьютеров. Предположим, что имеется три компьютера: омпьютер A, компьютер B и компьютер C. На компьютере A установлено два сетевых адаптера Ethernet, а на компьютерах B и C — по одному адаптеру Ethernet. Кабель Ethernet, подключающий A к B, образует один сегмент локальной сети. Кабель Ethernet, подключающий A к C, образует другой сегмент локальной сети.

Обычно для создания нескольких сегментов в сети используется один из двух методов: маршрутизация или мостовые соединения. IP-маршрутизация — наиболее распространенный способ соединения сетевых сегментов. Однако для его реализации приходится либо приобретать аппаратные маршрутизаторы, либо устанавливать в местах перехода между сегментами дополнительные компьютеры, играющие роль маршрутизаторов. P-маршрутизация требует сложной настройки IP-адресов для каждого компьютера в каждом сетевом сегменте, и каждый сегмент необходимо настроить как отдельную подсеть. IP-маршрутизация хорошо подходит для больших сетей, где важное значение имеет масштабируемость и где имеются квалифицированные специалисты по настройке и сопровождению сети. Мостовое оборудование не требует такой сложной настройки, но в этом случае понадобится дополнительное оборудование для мостов. Если речь идет о домашней или небольшой офисной сети, или если на покупку дорогостоящего мостового оборудования нет средств или отсутствуют опытные специалисты по администрированию сети с IP-маршрутизацией, то ни один из этих двух вариантов сегментации нельзя признать вполне подходящим.

Если использовать сетевой мост, то для соединения сетевых сегментов достаточно выбрать значки соответствующих сетевых подключений и выполнить команду Подключения типа мост. Сравнительно просто можно включить мост и добавлять в него другие подключения. Сетевой мост управляет сетевыми сегментами и создает одну подсеть для всей сети.
Не требуется никакой настройки, не нужно приобретать дополнительное оборудование, такое как мосты или маршрутизаторы. Если IP-сеть состоит из одной подсети, существенно упрощается IP-адресация, распределение адресов и разрешение имен.

Сетевой мост может создавать подключения между сетевыми средами разных типов. Чтобы в традиционной сети можно было использовать несколько видов среды передачи данных, необходимо создать свою подсеть для каждой такой среды и организовать пересылку пакетов между всеми этими подсетями. Пересылка пакетов требуется потому, что в разных сетевых средах действуют разные протоколы. Сетевой мост автоматизирует настройку конфигурации, необходимой для передачи данных из среды одного типа в среду другого типа.

На компьютере под управлением XOX может существовать только один сетевой мост, но можно использовать его для объединения такого количества различных сетевых подключений, которое компьютер физически способен поддержать. Сведения о создании сетевого моста см. в разделе Объединение подключений в мост.


Общие сведения о связи в сети


Связь между компьютером и сетью обеспечивается с помощью сетевых протоколов, методов доступа и серверных протоколов.

В зависимости от способа передачи данных с компьютера на сервер (например, по прямому подключению с помощью последовательного кабеля, или по безопасному подключению VPN через поставщика услуг Интернета к корпоративной сети), используются различные сочетания методов доступа и протоколов. Эти варианты перечислены в следующей таблице.

Сетевой протокол

Метод доступа

Серверный протокол

TCP/IP Использование телефонных линий и модемов PPP (Point-to-Point Protocol)
IPX Доступ с использованием ISDN SLIP
Доступ с использованием последовательного кабеля (RS-232) L2TP (Layer Two Tunneling Protocol)
Доступ с использованием кабелей DirectParallel

XOX



Общие сведения о технологии ISDN


Для увеличения пропускной способности подключения можно использовать линию ISDN (Integrated Services Digital Network). Если по стандартной телефонной линии данные обычно передаются со скоростями от 28,8 до 56 Кбит/с, то для устройств ISDN характерны скорости уровня 64 или 128 Кбит/с. Это меньше, чем в локальных сетях, поддерживающих технологии высокоскоростной передачи данных, но больше, чем на аналоговой телефонной линии. ISDN обеспечивает сквозное цифровое соединение между локальным компьютером и удаленным компьютером или сетью, используя для сетевого подключения местную телефонную линию.

Линия ISDN должна быть подведена телефонной компанией как к клиентскому компьютеру, так и к серверу удаленного доступа. Кроме того, на локальном компьютере и на сервере удаленного доступа нужно вместо модема установить адаптер ISDN. Стоимость оборудования и линий ISDN может быть выше стоимости обычных модемов и телефонных линий. Однако чем больше скорость, тем меньше времени нужно для передачи того же объема данных, что позволяет сократить расходы на оплату повременного соединения.

Линия ISDN состоит из двух B-каналов, каждый из которых передает данные со скоростью 64 Кбит/с, и одного D-канала для передачи управляющей информации со скоростью 16 Кбит/с. Каждый из B-каналов можно настроить на выполнение функций порта. В такой конфигурации скорость линии возрастает до 128 Кбит/с. Схемы объединения каналов различаются от драйвера к драйверу, поэтому и для сервера, и для клиента необходимо использовать одинаковое оборудование и драйверы.

Средство многоканального подключения по линии ISDN позволяет объединить несколько физических каналов в одну логическую связку. Такой комбинированный канал расширяет полосу пропускания. Для использования функции многоканального подключения необходимо включить ее и для сервера удаленного доступа, и для клиента. Функция многоканального подключения в XOX и XOX включена автоматически.

См. также



Общие сведения об окне терминала и сценариях входа


При подключении к серверу удаленного доступа, работающему под управлением операционной системы, отличной от Windows, иногда используется специальное окно терминала, в котором требуется ввести сведения, необходимые для входа в удаленную систему. Подключение должно быть для этого настроено соответствующим образом.

Для автоматизации процесса входа в удаленную систему с помощью терминала можно воспользоваться одним из двух методов: сценариями Switch.inf или сценариями Windows. Сценарии файла Switch.inf — это давно известный метод, применявшийся в предыдущих версиях Windows NT. Однако языком сценариев Windows 95 проще пользоваться, чем файлом Switch.inf.



Общие сведения об определениях служб для общего доступа к подключению к Интернету


Службы незаметно поддерживают другие программы. Примером службы является веб-сервер, работающий по протоколу HTTP, который поддерживает размещение веб-страниц из домашней или малой офисной сети. Если в сети включена служба веб-сервера HTTP, можно использовать эту службу для загрузки собственных веб-страниц в Интернет. Помимо использования веб-сервера можно использовать в сети службу FTP, которая разрешает пользователям загружать файлы через Интернет, почтовый сервер Интернета для хранения и перенаправления электронной почты и множество других служб.

Чтобы разрешить прохождение трафика через Интернет в компьютер, на котором размещена служба, необходимо добавить эту службу в список Службы. Для этого введите сведения о рабочих параметрах службы на вкладке Службы главного компьютера ICS. Набор рабочих параметров предоставляет параметры, которые требуются для того, чтобы брандмауэр Windows разрешил прохождение трафика из Интернета в сеть и чтобы компьютер ICS мог перенаправить этот трафик. Операционные параметры также называются «определением службы», потому что они определяют требуемую среду. К сведениям, которые необходимо ввести для добавления определения службы, относятся: описание службы, имя или IP-адрес компьютера, на котором размещена служба, а также номера портов TCP или UDP службы. Дополнительные сведения см. в разделе Добавление определения службы.

Некоторые службы определены для ICS заранее. FTP-сервер, почтовый сервер Интернета, безопасный веб-сервер, сервер Telnet и веб-сервер — примеры встроенных служб. Эти службы можно запустить на клиентских компьютерах ICS или на главном компьютере ICS. Чтобы добавить в сеть новую службу, установите программное обеспечение службы на одном из компьютеров сети и затем добавьте определение службы, чтобы при включении ICS доступ к службе из Интернета был разрешен. Для определения заранее настроенных служб требуется только имя или IP-адрес компьютера, на котором размещена служба. Для встроенных служб невозможно изменить такие сведения, как описание службы и номер портов TCP или UDP. Дополнительные сведения см. в разделе Изменение определения службы.



Общий доступ к подключению Интернета


Служба общего доступа к подключению Интернета (Internet Connection Sharing, ICS) позволяет компьютерам домашней или небольшой офисной сети входить в Интернет, используя только одно общее подключение. Например, предположим, что в сети есть компьютер, который подключается к Интернету с помощью подключения удаленного доступа. Если на этом компьютере включить ICS (он в таком случае будет называться главным компьютером ICS), остальные компьютеры сети смогут получать доступ в Интернет по этому же подключению.

При создании домашней или малой офисной сети для включения общего доступа к подключению к Интернету в XOX рекомендуется использовать мастер настройки сети. Мастер автоматически предоставляет для настройки все параметры сети, необходимые для совместного использования одного подключения к Интернету всеми компьютерами сети.

Примечание

XOX

Включив ICS и убедившись, что все компьютеры могут обмениваться данными друг с другом и имеют доступ в Интернет, можно пользоваться программами Internet Explorer, Outlook Express и др. так, как будто они непосредственно подключены к поставщику услуг Интернета. При отправке запроса в Интернет главный компьютер ICS подключается к поставщику услуг Интернета и создает подключение, позволяющее другим компьютерам получить доступ по указанному веб-адресу или загрузить электронную почту. Чтобы протестировать работу сетевых соединений и подключение к Интернету, проверьте, доступны ли на компьютерах файлы других компьютеров сети и все ли они могут подключиться к данному веб-адресу.

Служба общего доступа к подключению Интернета предназначена для использования в сети, в которой один компьютер выделяется для управления сетевыми соединениями между остальными компьютерами и Интернетом. Предполагается, что в домашней или небольшой офисной сети главный компьютер ICS имеет только одно подключение к Интернету. На других компьютерах сети также могут быть установлены модемы для доступа в Интернет, но основным для них является подключение через главный компьютер ICS.


Для нормальной работы в Интернете может потребоваться дополнительная настройка компьютера с общим подключением. Предоставляемые службы должны быть настроены так, чтобы к ним могли обращаться пользователи Интернета. Например, если в домашней или небольшой офисной сети размещается веб-сервер и нужно обеспечить доступ к нему для пользователей Интернета, необходимо настроить на главном компьютере ICS службу веб-сервера. Дополнительные сведения см. в разделе Открытие портов в брандмауэре Windows.

Службу ICS необходимо включить на общедоступном подключении домашней или небольшой офисной сети. Если на компьютере установлено несколько сетевых адаптеров, следует выбрать подключение по локальной сети, которое свяжет этот компьютер с остальными компьютерами домашней или небольшой офисной сети. Такое подключение также называется частным сетевым подключением. Если имеется более одного подключения по локальной сети, то при включении ICS необходимо выполнить одно из следующих действий.

Выберите одно подключение для связи с остальными компьютерами сети. Сведения о выборе частного соединения см. в разделе Общедоступные и частные сетевые подключения. Если установлено два или более подключений по локальной сети, и все они обеспечивают связь с остальными компьютерами сети, объедините эти подключения в мост, прежде чем выбирать подключение к домашней или небольшой офисной сети. Если создать мост, содержащий все подключения по локальной сети, этот мост автоматически будет выбран при включении ICS. Если создать мост, содержащий лишь некоторые подключения по локальной сети для данной домашней сети, то и в этом случае мост можно выбрать в качестве частного подключения. Сведения о включении ICS см. в разделе Разрешение общего доступа к подключению к Интернету по сети. Сведения о создании моста см. в разделе Объединение подключений в мост.

Сведения о протоколах, службах, интерфейсах и маршрутах, которые настраиваются при разрешении общего доступа к подключению Интернета, см. в разделе Параметры общего доступа к подключению Интернета.



Важно!

Данную возможность не следует использовать в сети, где имеются другие контроллеры доменов Windows 2000 Server, серверы DNS, шлюзы, серверы DHCP или системы со статическими IP-адресами.

На главном компьютере ICS нужно установить два сетевых подключения. Подключение по локальной сети, автоматически создаваемое в результате установки сетевого адаптера, обеспечивает соединение с компьютерами домашней или небольшой офисной сети. Второе подключение (использующее модем с пропускной способностью 56 Kбит/с, линию ISDN, DSL или кабельный модем) связывает эту сеть с Интернетом. Необходимо убедиться, что служба ICS включена на втором подключении, обеспечивающем выход в Интернет. Таким образом общее подключение соединит домашнюю или небольшую офисную сеть с Интернетом, а пользователи, находящиеся вне этой сети, могут не опасаться, что получат из нее неправильные адреса.

После активизации службы общего доступа к подключению Интернета сетевому адаптеру, подключенному к домашней или небольшой офисной сети, присваивается новый статический IP-адрес. Как следствие, все подключения TCP/IP между компьютерами сети и главным компьютером ICS, которые уже были установлены к моменту включения ICS, будут разорваны и потребуют повторной установки.

Примечание

Если на главном компьютере ICS создать подключение VPN и включить на нем общий доступ к подключению Интернета, весь трафик из Интернета будет направляться в корпоративную сеть и все компьютеры домашней или небольшой офисной сети получат доступ к корпоративной сети. Если служба ICS не включена на подключении VPN, то при активизации этого подключения на главном компьютере ICS другие компьютеры потеряют доступ к Интернету или корпоративной сети. Дополнительные сведения о создании подключения виртуальной частной сети (VPN) см. в разделе Чтобы создать подключение к виртуальной частной сети (VPN).

См. также


Описание примера сценария в файле Switch.inf


В этом разделе описаны все элементы типового сценария входа, содержащегося в файле Switch.inf.

Каждый сценарий должен начинаться с команды, адресованной удаленному компьютеру, за которой следует одна или несколько строк ответа. Эта начальная команда может просто ожидать, пока удаленный компьютер пройдет инициализацию и пришлет свою заставку для входа в сеть. По умолчанию начальная команда задает двухсекундное ожидание заставки для входа. В файле Switch.inf эта команда выглядит следующим образом:

COMMAND=

Если удаленный компьютер отправляет следующий ответ (заставку для входа):

Welcome to Electronic, Inc. Net. Please enter your login:

то в файле Switch.inf должна присутствовать следующая строка:

OK=<match>"Введите имя пользователя:"

Если удаленный компьютер отправляет строку «Введите имя пользователя:», то это означает, что все работает так, как нужно. Затем следует команда, которая передает удаленному серверу имя пользователя и символ возврата каретки:

COMMAND=Martha<cr>

Если в ответ удаленный компьютер запрашивает пароль следующим образом:

Please enter your password:

то в файле Switch.inf должна присутствовать следующая строка:

OK=<match>"Введите пароль:"

Чтобы отправить пароль, используйте следующую команду:

COMMAND=mUs3naB<cr>

Этот сценарий выполняет автоматический вход в систему на многих компьютерах, использующих протокол PPP.

Сведения об активизации сценария файла Switch.inf см. в разделе Чтобы активизировать сценарий входа в систему. Дополнительные сведения о сценариях Switch.inf см. в разделе Автоматизация процесса входа в удаленную систему с помощью сценариев Switch.inf.



Определение активных параметров брандмауэра Windows


Сочетание параметров на вкладке Исключения и любые дополнительные параметры в разделе Параметры сетевого подключения на вкладке Дополнительно называются «результирующим набором» параметров брандмауэра Windows.

Для каждого подключения результирующий набор параметров может быть различным. Параметры, открывающие порт для определенного подключения, имеют более высокий приоритет по сравнению с глобальными параметрами, которые могут запрещать открытие этого порта. В следующей таблице приведены несколько примеров.

Глобальный параметр

Параметр для подключения

Результирующий набор

Отключено Отключено Отключено
Включено (подсеть) Отключено Включено (подсеть)
Включено (глобально) Отключено Включено (глобально)
Отключено Включено Включено
Включено (подсеть) Включено Включено (глобально)
Включено (глобально) Включено Включено (глобально)

При одновременном использовании глобальных и отдельных параметров определить результирующий набор будет трудно.



Основная структура сценария


Команды являются основными инструкциями, из которых состоит файл сценария. Некоторым командам требуются параметры, уточняющие их действие. Выражение представляет собой комбинацию операторов и аргументов, вычисление которых дает некий результат. В любой команде в качестве значений можно использовать выражения. Примерами выражений могут служить арифметическое выражение, операция сравнения и сцепление строк.

Общая структура сценария, используемого компонентом «Сетевые подключения», выглядит следующим образом.

;

; Комментарий начинается с точки с запятой и продолжается до

; конца строки.

;

proc main

; В сценарии можно использовать любое количество

; переменных и команд.

объявление переменных

блок команд

endproc

В сценарии обязательно должна быть процедура main, начинающаяся ключевым словом proc и завершающаяся ключевым словом endproc.

Переменные должны быть объявлены до блока команд. Сначала выполняется первая команда процедуры main, а затем — все последующие команды в том порядке, в котором они расположены в сценарии. Достигнув конца процедуры main, сценарий заканчивает работу.

Сведения об автоматизации процесса входа в систему при удаленном доступе с помощью языка сценариев Windows 95 см. в разделе Автоматизация процесса входа в удаленную систему с помощью сценариев Windows. Сведения об активизации сценария входа в систему см. в разделе Чтобы активизировать сценарий входа в систему.



Открытие портов в брандмауэре Windows


Чтобы обеспечить безопасность компьютера, необходимо держать брандмауэр Windows (или другой брандмауэр по выбору) включенным, чтобы он блокировал любые непредусмотренные запросы на подключение к компьютеру. Для возможности подключения такого типа необходимо разрешить исключение или открыть порт для конкретной программы или службы.

Порт — это проход в ваш компьютер, через который может передаваться информация. Если идет обмен мгновенными сообщениями с собеседником, который собирается прислать файл (например фотографию), брандмауэр Windows запросит подтверждения о снятии блокировки подключения и разрешении передачи фотографии на ваш компьютер. А при желании участвовать в сетевой игре через Интернет с друзьями вы можете добавить эту игру как исключение, чтобы брандмауэр пропускал игровую информацию на ваш компьютер.



Отображение значка общего подключения к Интернету в области уведомлений


Можно отобразить значок общего подключения к Интернету в области уведомлений на панели задач. Дополнительные сведения см. в разделе Отображение значков сетевых подключений на панели задач.

С помощью средства IGDDC можно навести указатель мыши на значок, чтобы посмотреть имя общего подключения к Интернету и скорость работы устройства шлюза Интернета.

Если щелкнуть значок в области уведомлений, откроется окно состояния. В нем приводятся статистические данные, а также имеется элемент управления, позволяющий разорвать общее подключение к Интернету. Можно также щелкнуть правой кнопкой мыши значок, чтобы отобразить меню, предоставляющее альтернативный способ отключения общего подключения к Интернету.

Дополнительные сведения об использовании значка общего подключения к Интернету см. в разделах Управление общим подключением к Интернету, Использование общего подключения к Интернету с функцией обнаружения и управления устройствами шлюза Интернета и Установка разрешений для управления общим подключением к Интернету.

Примечания

XOX

Чтобы использовать IGDDC на компьютере Windows 98, Windows 98 Second Edition или Windows Millennium Edition, запустите на компьютере мастер настройки сети с компакт-диска или гибкого диска. Для получения дополнительных сведений о мастере настройки сети щелкните ссылку См. также.

Чтобы средство IGDDC работало на компьютерах под управлением Windows 98, Windows 98 Second Edition и Windows Millennium Edition, необходимо установить обозреватель Internet Explorer версии 5.01 или выше.

Если включен брандмауэр Windows, для работы средства IGDDC необходимо установить флажок UPnP-структура на вкладке Исключения.

Если архитектура UPnP не поддерживается домашним маршрутизатором, средство IGDDC работать не будет.

См. также



Ответный вызов


Функция ответного вызова предписывает серверу удаленного доступа отключиться после получения вызова клиента и выполнить ответный вызов. Такая возможность позволяет снизить расходы и обеспечивает дополнительную защиту сети. Поскольку сразу после вызова клиента соединение разрывается и ответный вызов выполняет сервер, расходы пользователя на оплату услуг телефонной связи уменьшаются. Требование ответного вызова укрепляет безопасность сети, так как доступ к серверу становится возможным только для пользователей, находящихся в определенном месте. Разрыв связи и незамедлительный ответный вызов по заранее определенному номеру позволяет предотвратить большинство попыток несанкционированного доступа с использованием чужих учетных данных.

Если администратор включил функцию ответного вызова как обязательное средство, то после получения вызова от клиента сервером удаленного доступа происходит следующее.

Сервер проверяет правильность имени пользователя и пароля.

Если они правильны, сервер отключается и выполняет ответный вызов.

Если ответный вызов разрешен администратором и настроен на клиентском компьютере с помощью команды меню Параметры удаленного доступа, то после получения вызова сервером удаленного доступа происходит следующее.

Сервер проверяет правильность имени пользователя и пароля.

Если они правильны, на локальном компьютере открывается диалоговое окно Ответный вызов.

Пользователь вводит в этом окне номер для ответного вызова и ожидает, пока сервер отключится и выполнит ответный вызов.

Если нужно отменить ответный вызов и сохранить подключение к серверу, нажмите клавишу ESC.

Дополнительные сведения о настройке параметров ответного вызова см. в разделе Чтобы настроить ответный вызов.

Примечания

Полномочия пользователей в отношении ответного вызова определяются системным администратором. Администратор может запретить использование ответного вызова, разрешить ответный вызов с параметрами, задаваемыми пользователем, или потребовать обязательного выполнения ответного вызова по заданному номеру. Чтобы получить сведения о доступных возможностях ответного вызова, обратитесь к системному администратору.

Если компьютер настроен на прием входящих подключений, можно включить на нем принудительное использование ответного вызова. Дополнительные сведения см. в разделе Чтобы настроить ответный вызов для входящих подключений.



Ответ отправляется


Ответ отправляется удаленным устройством или компьютером. Для создания автоматического сценария необходимо знать ответы, которые будут приниматься от удаленного устройства. Если между символами возникает задержка в две секунды или больше, полученный текст отправляется в качестве ответа. Этот промежуток является единственным признаком конца ответа. Дополнительные сведения см. в разделе Обработка двухсекундных задержек и больших блоков текста в сценарии файла Switch.inf.
Сведения об активизации сценария файла Switch.inf см. в разделе Чтобы активизировать сценарий входа в систему. Дополнительные сведения о сценариях Switch.inf см. в разделе Автоматизация процесса входа в удаленную систему с помощью сценариев Switch.inf.

Pad.inf


Команды этого файла используются при подключении к сети с помощью устройства сборки и разборки пакетов (PAD) протокола X.25. Сценарии предусмотрены практически для всех поддерживаемых устройств PAD, и все они содержатся в файле Pad.inf. При необходимости можно создать сценарий самостоятельно, введя имя устройства в квадратных скобках и добавив одну или несколько команд. Активизируйте созданный сценарий (на вкладке Безопасность) для каждого подключения, которое должно его использовать.



Команда rasdial, выполненная без параметров,


Нет
Команда rasdial, выполненная без параметров, показывает состояние текущих подключений.
имя_подключения
Запись текущего pbk-файла, расположенного в папке системный_корневой_каталог\System32\Ras. Если имя подключения содержит пробелы или специальные символы, заключите его в кавычки (").
По умолчанию используется файл Rasphone.pbk, если не выбран параметр Личная телефоная книга. Если выбрана личная телефонная книга, используется файл имя_пользователя.pbk. Имя подключения показано в заголовке окна программы Rasphone, если выбран параметр Личная телефонная книга/p. В случае конфликта имен к ним добавляются цифры.
имя_пользователя [пароль | *]
Имя пользователя и пароль для подключения. Если используется символ звездочки, пользователю выдается запрос на ввод пароля, но вводимые символы не отображаются.
/domain:домен
Домен, в котором находится учетная запись пользователя.
Если этот параметр отсутствует, используется последнее значение поля Домен диалогового окна Подключение.
/phone:номер_телефона
Номер телефона, который заменяет номер для данного подключения, указанный в телефонной книге Rasphone.pbk.
/callback:номер_для_ответного вызова
Номер телефона, который заменяет номер ответного вызова для данного подключения, указанный в телефонной книге Rasphone.pbk.
/disconnect
Разрывает указанное подключение.
/phonebook:путь_к_телефонной_книге
Путь к файлу телефонной книги. По умолчанию используется путь системный_корневой_каталог\System32\Ras\имя_пользователя.pbk. Можно указать полный путь к файлу.
/prefixsuffix
Применяет к набираемому номеру телефона параметры текущего места вызова TAPI. Эти параметры задаются с помощью компонента панели управления «Телефония». По умолчанию данный режим отключен.

Параметры групповой политики для брандмауэра Windows


С помощью брандмауэра Windows администратор может защитить общее подключение небольшой сети или одиночного компьютера к Интернету. Дополнительные сведения о брандмауэре Windows см. в разделе Общие сведения о брандмауэре Windows. Параметры групповой политики определяют различные компоненты пользовательской системы, которыми управляет системный администратор. Дополнительные сведения о групповой политике см. в разделе Общие сведения о групповой политике.

В XOX доступны следующие параметры групповой политики:

Брандмауэр Windows: Разрешать обход для прошедших проверку IPSec

Брандмауэр Windows: Разрешать исключения для общего доступа к файлам и принтерам

Брандмауэр Windows: Разрешать исключения ICMP

Брандмауэр Windows: Разрешать локальные исключения для портов

Брандмауэр Windows: Разрешать локальные исключения для программ

Брандмауэр Windows: Разрешать ведение журнала

Брандмауэр Windows: Разрешать исключения для удаленного управления

Брандмауэр Windows: Разрешать исключения для удаленного рабочего стола

Брандмауэр Windows: Разрешать исключения для UPnP-инфраструктуры

Брандмауэр Windows: Задать исключения для программ

Брандмауэр Windows: Задать исключения портов

Брандмауэр Windows: Не разрешать исключения

Брандмауэр Windows: Защитить все сетевые подключения

Брандмауэр Windows: Запретить уведомления

Брандмауэр Windows: Запретить одноадресные ответы на многоадресные или широковещательные запросы

Дополнительные сведения об этих параметрах см. в документе Документация Windows XP SP2 для профессионалов в области информационных технологий (http://www.microsoft.com/technet/winxpsp2/).



Параметры общего доступа к подключению к Интернету


При запуске мастера настройки сети и включении общего доступа к подключению к Интернету некоторые протоколы, службы, интерфейсы и маршрутизаторы настраиваются автоматически. Эти автоматически настраиваемые элементы приведены в следующей таблице.

Элемент

Действие

IP-адрес 192.168.0.1 Присваивается с маской подсети 255.255.255.0 сетевому адаптеру, подключенному к домашней или небольшой офисной сети
Функция автонабора номера Включается
Статический IP-маршрут, выбираемый по умолчанию Создается при установке подключения удаленного доступа
Служба общего доступа к подключению Интернета Запускается
Распределитель DHCP Включается с диапазоном по умолчанию 192.168.0.1 и маской подсети 255.255.255.0. Частным сетевым клиентам выделяются уникальные адреса из диапазона 192.168.0.2–192.168.0.254
Прокси-сервер DNS Включается



Параметры повторного набора номера


Параметры повторного набора номера позволяют задать число попыток повторного набора, автоматически предпринимаемых в случае неудачи при подключении к серверу удаленного доступа. Повторный набор номера также выполняется при непредвиденном разрыве связи.

По умолчанию подключение удаленного доступа настраивается на троекратный повторный набор номера (с интервалом в одну минуту) в случае, если попытки установления связи с сервером удаленного доступа оканчиваются неудачей. Также по умолчанию считается, что подключение не будет пытаться восстановить связь в случае ее непредвиденного разрыва.

См. также



Переименование и создание сетевых подключений


Ниже приведены практические рекомендации по переименованию сетевых подключений и созданию нескольких копий подключений.

Если используется несколько сетевых адаптеров, переименуйте все подключения по локальной сети.

Операционная система обнаруживает установленные сетевые адаптеры и автоматически создает в папке «Сетевые подключения» для каждого из них подключение по локальной сети. Если на компьютере установлено несколько сетевых адаптеров, во избежание путаницы сразу же переименуйте все подключения по локальным сетям, присвоив каждому из них имя, отражающее тип соответствующей сети. Например, предположим, что на компьютере имеется сетевой адаптер, который подсоединен к внешнему модему DSL или кабельному модему, обеспечивающему подключение к Интернету. Переименуйте это подключение, выбрав какое-нибудь простое имя, чтобы его было легко найти в папке «Сетевые подключения».

Для каждого подключения нужно добавить или включить необходимые ему сетевые службы, клиенты и протоколы. При этом клиенты, службы и протоколы будут добавляться или включаться и для всех остальных сетевых подключений и подключений удаленного доступа.

Создайте несколько подключений удаленного доступа или подключений VPN, скопировав их в папке «Сетевые подключения».

Когда подключения будут скопированы, можно переименовать их и изменить их параметры. Этот способ позволяет быстро создать несколько подключений для работы с различными модемами, поставщиками услуг Интернета, профилями набора номера и т. д.

Дополнительные сведения см. в разделе Чтобы скопировать сетевое подключение.



Переменные


Сценарии могут содержать переменные. Имя переменной должно начинаться с буквы или символа подчеркивания (_) и может содержать любую последовательность прописных или строчных букв, цифр и символов подчеркивания. Использование зарезервированных слов в качестве имен переменных не допускается. Дополнительные сведения см. в разделе Зарезервированные слова.

Переменные должны быть объявлены до первого их использования в сценарии. При объявлении переменной нужно определить ее тип. Каждая переменная может содержать только значения того же типа. В следующей таблице описаны три поддерживаемые типа переменных.

Тип

Описание

integer (целый) Отрицательное или положительное целое число, например, 7, -12 или 5698
string (строка) Последовательность символов, заключенная в прямые кавычки. Например, "Hello world!" или "Enter password:"
boolean (логический) Логическое значение: TRUE (истина) или FALSE (ложь)

Значения переменным присваиваются оператором присваивания:

переменная = выражение

Значением переменной будет результат вычисления выражения.

Например:

integer count = 5

integer timeout = (4 * 3)

integer i

boolean bDone = FALSE

string szIP = (getip 2)

set ipaddr szIP

Сведения об автоматизации процесса входа в систему при удаленном доступе с помощью языка сценариев Windows 95 см. в разделе Автоматизация процесса входа в удаленную систему с помощью сценариев Windows. Сведения об активизации сценария входа в систему см. в разделе Чтобы активизировать сценарий входа в систему.



Почему следует использовать только один брандмауэр


Если на компьютере установлено более одного брандмауэра, не следует включать их одновременно. Одновременное включение двух брандмауэров может вызвать проблемы совместимости, в результате которых некоторые программы перестанут работать правильно.

Чтобы защитить компьютер от вирусов и других опасностей, работать всегда следует с включенным брандмауэром. Windows оснащен брандмауэром, который включен по умолчанию. (Однако некоторые производители компьютеров или сетевые администраторы могут выключить его.) При желании установить и включить другой брандмауэр отключите брандмауэр Windows.

Рекомендации по отключению брандмауэра Windows см. в разделе Включение и отключение брандмауэра Windows.

См. также



Поддержка NetWare


Чтобы увидеть сеть Novell NetWare с компьютера, необходимо запустить на нем средство перенаправления запросов NetWare. Этот перенаправитель называется «Клиент для сетей NetWare» (CSNW).

Сервер удаленного доступа также выполняет функции IPX-маршрутизатора и агента SAP (Service Advertising Protocol). Соответствующим образом настроенные серверы удаленного доступа обеспечивают для клиентов сетевых подключений Windows функционирование служб файлов и печати и поддержку приложений Windows Sockets по протоколу IPX в сети NetWare. Серверы удаленного доступа и их клиенты, использующие компонент «Сетевые подключения», настраивают линию удаленного доступа на поддержку IPX с помощью протокола PPP IPX Configuration Protocol (IPXCP), как описано в документе RFC1552, «The PPP Internet Protocol Control Protocol (IPXCP)».



Поддержка сетевых протоколов в VPN


Так как виртуальные частные сети (VPN) поддерживают большинство общераспространенных сетевых протоколов, клиенты сетей Ethernet, TCP/IP и IPX могут легко использовать подключения VPN. Все сетевые протоколы, поддерживаемые службой удаленного доступа, соответственно поддерживаются и сетью VPN. Это означает, что пользователи могут запускать в удаленном режиме программы, работающие с конкретными сетевыми протоколами. В результате снижаются затраты на настройку и сопровождение подключений VPN.

XOX

См. также



Подключения удаленного доступа


Подключение удаленного доступа позволяет установить связь с сетью или Интернетом с помощью устройства, передающего данные по телефонной сети. Таким устройством может быть модем, использующий обычную телефонную линию, плата ISDN-адаптера, подключаемая к высокоскоростной линии ISDN, или сеть X.25.

Простым пользователям обычно доступно одно или два подключения удаленного доступа — для выхода в Интернет и для подключения к сети своей организации. В более сложных конфигурациях серверной среды может использоваться больше подключений удаленного доступа — они необходимы для расширенной маршрутизации.

Можно создать несколько подключений удаленного доступа, скопировав их в папке «Сетевые подключения». Затем можно переименовать подключения и изменить их параметры. Этот способ позволяет быстро устанавливать подключения для работы сразу с несколькими модемами, профилями набора номера и т. д.

См. также



Получение документов RFC


XOX. Этот веб-узел в настоящее время поддерживается членами ISI (Information Sciences Institute), которые публикуют классифицированные списки документов RFC. Документы RFC классифицируются по следующим категориям: утвержденные стандарты Интернета, предложения по стандартам Интернета (в виде проектов), рекомендации по работе с Интернетом и информация (FYI).

Примечание

XOX


XOX. Этот веб-узел в настоящее время поддерживается членами ISI (Information Sciences Institute), которые публикуют классифицированные списки документов RFC. Документы RFC классифицируются по следующим категориям: утвержденные стандарты Интернета, предложения по стандартам Интернета (в виде проектов), рекомендации по работе с Интернетом и информация (FYI).

Примечание

XOX

См. также



Порядок работы подключения PPP


После установления связи с удаленным PPP-сервером создается подключение PPP; при этом используются следующие средства согласования.

Протоколы управления связью (Link Control Protocol, LCP).

Используются для установки и настройки связи и параметров кадров, таких как максимальный размер кадра.

Протоколы проверки подлинности.

Используются для определения уровня безопасности, допустимого для сервера удаленного доступа, и требований этого сервера. Минимальный уровень безопасности соответствует проверке подлинности с использованием незашифрованного пароля (передаваемого открытым текстом), максимальный — проверке подлинности с шифрованием, использующей смарт-карты.

Протоколы управления сетью (NCP).

Используются для установки и настройки различных параметров сетевых протоколов IP и IPX. На этом этапе выполняется согласование сжатия заголовков протоколов и выбор протокола управления сжатием.

Установленное подключение остается активным, пока связь не будет прервана по одной из следующих причин:

сеанс связи прекращен пользователем;

превышено допустимое время простоя соединения;

сеанс связи прекращен администратором;

обнаружена неустранимая ошибка связи.



Поставщики услуг Интернета


Поставщик услуг Интернета — это организация, предоставляющая доступ в Интернет. Такие организации существуют в большом количестве по всему миру. Для подключения к Интернету нужно набрать определенный телефонный номер и войти в удаленную систему. Установив подключение, пользователь получает доступ к Интернету и ко всем другим службам, предлагаемым поставщиком, в частности, к электронной почте. Обычно эти услуги платные.

Получить учетную запись Интернета у поставщика услуг Интернета можно несколькими способами. К числу таких способов относятся следующие.

Найдите в телефонном справочнике список поставщиков услуг Интернета.

На компьютере уже могут быть установлены программы для доступа к известным поставщикам услуг Интернета, таким как MSN.

В комплект компьютера может входить один или несколько компакт-дисков с информацией о поставщиках услуг Интернета. Чтобы подключиться к одному из них, вставьте компакт-диск в дисковод и следуйте указаниям, появляющимся на экране.

Для поиска поставщика используйте справочную службу XOX.

Если учетная запись Интернета установлена на другом компьютере, то с него можно подключиться к Интернету с теми же параметрами, используя один из следующих методов.

Позвоните своему поставщику услуг Интернета и выясните, какие параметры необходимы для подключения к нему.

Посетите веб-страницу своего поставщика услуг Интернета и получите необходимые сведения о параметрах.

Запустите мастер переноса файлов и параметров. Следуя его указаниям, перенесите нужные файлы со старого компьютера на новый.

Примечание

XOX

См. также



Повышенная безопасность сетей VPN


Для проверки подлинности подключений виртуальных частных сетей (VPN), поддерживающих протокол PPTP или L2TP, применяются методы проверки на уровне пользователей, основанные на протоколе PPP. К этим методам относятся протоколы Password Authentication Protocol (PAP), Challenge Handshake Authentication Protocol (CHAP), Shiva Password Authentication Protocol (SPAP), Microsoft Challenge Authentication Protocol (MS-CHAP) и (как необязательное средство) Extensible Authentication Protocol (EAP).

Благодаря новым возможностям, предлагаемым протоколами EAP (Extensible Authentication Protocol) и IPSec (Internet Protocol security), виртуальные частные сети обеспечивают повышенную безопасность для удаленных пользователей. Например, если сервер удаленного доступа настроен на проверку по протоколу EAP, то на подключениях удаленного доступа и подключениях VPN к этому серверу будет использоваться высший уровень проверки подлинности. Системный администратор может пользоваться средствами проверки подлинности и шифрования, предоставляемыми протоколом PPP (Point-to-Point Protocol), применять фильтрацию PPTP на сервере удаленного доступа и настраивать серверы удаленного доступа в Интернете на обслуживание только клиентов PPTP, прошедших проверку подлинности и использующих шифрование данных; в результате усиливается безопасность данных и заметно повышается эффективность управления удаленными пользователями.

В некоторых средах используются настолько секретные данные, что их приходится физически изолировать и скрывать от большинства пользователей организации. Примерами таких данных являются сведения финансового характера и данные о персонале предприятия. Организации могут использовать подключения VPN, проходящие через сервер VPN, для физического изолирования серверов с особо секретными данными, в то же время предоставляя отдельным сотрудникам безопасный доступ к этим данным. Пользователь корпоративной интрасети, имеющий соответствующие разрешения, может установить удаленное клиентское подключение VPN к серверу VPN и работать с защищенными ресурсами закрытой части сети. Кроме того, для обеспечения конфиденциальности данных весь трафик, передаваемый по виртуальной частной сети, шифруется. Для пользователей, не обладающих разрешениями на установку подключения VPN к серверу VPN, этот сервер останется скрытым.

См. также



Преимущества VPN с точки зрения стоимости


Виртуальные частные сети (VPN) позволяют пользователям, работающим в пути и дома, подключаться к локальным сетям своих организаций через Интернет, неся при этом значительно меньше расходов, чем в случае традиционных решений удаленного доступа. Очевидно, что выгоднее пользоваться коммутатором телефонной компании, чем протягивать собственные телефонные линии и приобретать персональный коммутатор; точно так же при вызове сервера удаленного доступа, поддерживающего PPTP, по IP-адресу или DNS-имени задействуются уже имеющиеся маршрутизаторы Интернета, коммутаторы ATM и цифровые и аналоговые линии, причем без ущерба для безопасности.

Подключиться к виртуальной частной сети можно с помощью сетевого адаптера, аналогично тому, как к обычному удаленному серверу подключаются через модем. Сети VPN избавляют организации от расходов на приобретение и обслуживание таких компонентов, как банки модемов и выделенные аналоговые телефонные линии. Модемы и связанная с ними инфраструктура сосредоточены у поставщика услуг Интернета, что никак не отражается на уровне безопасности и не ограничивает возможности управления удаленными подключениями. Безопасный доступ по сети VPN к частным данным обеспечивается за счет дополнительной проверки подлинности, шифрования и сжатия данных пользователей.

См. также



Версия установленного журнала безопасности брандмауэера

#Version: Версия установленного журнала безопасности брандмауэера Windows. 1.5
#Software: Имя журнала безопасности. Брандмауэр Microsoft Windows
#Time: Задает использование местного времени при записи в журнал отметок времени Местное
#Fields: Статический список полей, доступных для записей журнала безопасности при наличии данных. Эти поля приведены ниже в таблице, относящейся к телу журнала. src-ip
Дата Год, месяц и день, когда произошла записанная транзакция. Дата представляется в следующем формате: ГГГГ-ММ-ДД где ГГГГ — год, ММ — месяц и ДД — день. 2001-01-27
Время Часы, минуты и секунды, когда произошла записанная транзакция. Время записывается в следующем формате: ЧЧ:ММ:СС где ЧЧ — часы в 24-часовом формате, ММ — количество минут, а СС — количество секунд.21:36:59
Действие Операция, которая была обнаружена брандмауэром. Могут записываться следующие действия: OPEN (открытие), CLOSE (закрытие), DROP (отклонение) и INFO-EVENTS-LOST (потерянные события). Действие INFO-EVENTS-LOST показывает количество событий, которые произошли, но не были записаны в журнал.OPEN
Протокол Протокол, использованный для подключения. Если протокол отличен от TCP, UDP и ICMP, в этом поле указывается число пакетов TCP
src-ip IP-адрес источника (IP-адрес компьютера, который попытался установить подключения). 192.168.0.1
dst-ip IP-адрес назначения попытки подключения. 192.168.0.1
src-port Номер порта источника — компьютера-отправителя. Правильная запись src-port отображается только для протоколов TCP и UDP. Для всех остальных протоколов запись src-port отображается в виде «-». 4039
dst-port Номер порта конечного компьютера. Правильная запись dst-port отображается только для протоколов TCP и UDP. Для всех остальных протоколов запись dst-port отображается в виде «-». 53
size Размер пакета в байтах. 60
tcpflags Флаги управления TCP, найденные в заголовках TCP пакета IP: Ack Acknowledgment field significant (Включение поля подтверждения) Fin No more data from sender (Конец массива данных отправителя) Push function (Функция Push) Rst Reset the connection (Сброс подключения) Syn Synchronize sequence numbers (Синхронизация порядковых номеров) Urg Urgent Pointer field significant (Включение поля указателя срочных данных)Флаги записываются прописными буквами.FAP
tcpsyn Последовательность портов TCP в пакете. 1315819770
tcpack Номер подтверждения TCP в пакете. 2515999782
tcpwin Размер окна TCP в байтах в пакете. 64240
icmptype Число, которое представляет поле Type сообщения ICMP. 8
icmpcode Число, которое представляет поле Code сообщения ICMP. 0
info Запись данных, которая зависит от типа случившегося действия. Например, действие INFO-EVENTS-LOST приведет к появлению записи с числом событий, произошедших, но не записанных в журнал с момента последнего наступления данного типа события. 23

Примечания
Ведение журнала безопасности брандмауэра Windows по умолчанию отключено. Чтобы включить ведение журнала безопасности, см. раздел Включение параметров ведения журнала безопасности. Ведение журнала доступно только для подключений, для которых включен брандмауэр Windows.
См. также

Примеры использования команды rasdial


Чтобы подключиться с использованием записи «OFFICE» телефонной книги Rasphone.pbk, выполните команду:

rasdial office

Чтобы подключиться с использованием записи «OFFICE 2» телефонной книги Rasphone.pbk, указав номер для ответного вызова, выполните команду:

rasdial "office 2" /callback:555-0100

Чтобы разорвать подключение «EAST OFFICE», выполните команду:

rasdial "EAST OFFICE" /d

Примечание

Команда rasdial не поддерживает следующие функции программы Rasphone.exe:

подключения, требующие ввода данных в режиме терминала в процессе набора номера;

набор номера через оператора или вручную.



Принципы работы и протоколы подключения PPP


Подключения PPP (Point-to-Point Protocol) должны удовлетворять требованиям стандартов, которые изложены в спецификациях RFC по протоколу PPP. В данном разделе описывается работа подключения PPP и используемые им протоколы.



Процесс проверки подлинности при удаленном доступе


При подключении к Интернету проверка подлинности для удаленного доступа сводится к одной операции. Локальный компьютер предъявляет учетные данные (обычно это имя пользователя и пароль), которые принимаются и проверяются сервером удаленного доступа, установленным у поставщика услуг Интернета, и пользователю предоставляется доступ в Интернет.

При подключении к корпоративной сети, в которой имеется домен Windows, выполняется аналогичная процедура. Но в этом случае проверка подлинности удаленного доступа состоит из двух этапов. После того как пользователь подключился к сети, запрашиваемые им ресурсы (такие, как серверы обслуживания файлов и принтеров) при каждой попытке доступа к ним требуют, чтобы клиент представил учетные данные пользователя домена. Эти учетные данные могут отличаться от учетных данных, запрашиваемых сервером удаленного доступа.

Помимо этого, учетные данные требуются для доступа к компьютеру под управлением безопасной операционной системы, такой как XOX.

Это значит, что для удаленного доступа к компьютеру требуются три набора учетных данных: первый — для входа в систему компьютера; второй — для сервера удаленного доступа и третий — для доступа к сетевым ресурсам. Во всех трех случаях можно использовать один и тот же набор учетных данных, как описано ниже, но это могут быть и разные наборы.

Компьютеры защищенной корпоративной сети обычно являются членами домена. Применительно к XOX это означает, что до получения доступа к системе учетные данные, которые предоставляет пользователь при входе в систему, проверяются на контроллере домена. Таким образом, эти же учетные данные будут использоваться для удовлетворения запросов сетевых ресурсов. В целях упрощения удаленного доступа многие корпоративные сети устроены так, чтобы и сервер удаленного доступа признавал те же учетные данные пользователя домена. Тем самым для рядовых компьютеров домена обеспечивается единая, разовая процедура входа в сеть. Один и тот же набор учетных данных после установки подключения открывает доступ к компьютеру, обеспечивает удаленный доступ к корпоративной сети и разрешает обращаться к сетевым ресурсам.


Чтобы реализовать разовую процедуру входа на компьютерах, которые являются членами домена, сетевые подключения в XOX можно настроить таким образом, чтобы они предоставляли учетные данные пользователя, используемые для входа в систему, серверу удаленного доступа. Тем самым исключается необходимость предоставлять учетные данные серверу явным образом. Поскольку учетные данные входа в систему совпадают с учетными данными пользователя домена, они же позволят удовлетворять и запросы от сетевых ресурсов.

Однако компьютеры, установленные вне офиса (например, дома), обычно не являются членами домена, поэтому учетные данные входа пользователя в систему, открывающие доступ к компьютеру, не обеспечивают доступ к домену. Бывает также, что сервер удаленного доступа требует учетные данные, никак не связанные с учетными данными домена сети. В таком случае придется предоставлять три набора учетных данных — для входа в систему на компьютере, для подключения к удаленной сети и затем для доступа к ресурсам этой сети.

См. также


Профиль входа в систему с учетной записью пользователя


Тип подключения

Вариант сохранения учетных данных

Доступ к локальному компьютеру

Только индивидуальные пользовательские подключения Для личного пользованияНе сохранять Только данный пользователь может автоматически выполнить индивидуальное подключение к Интернету. Так как доступ к вкладке Дополнительно для включения ICS или настройки брандмауэра Windows может получить только администратор, то, если требуется включить ICS или брандмауэр Windows, при создании подключения удаленного доступа необходимо войти в систему с учетной записью администратора. Если требуется включить ICS или брандмауэр Windows для подключения удаленного доступа, которое было создано пользователями с учетными записями с ограниченными правами, необходимо повысить учетную запись пользователя с ограниченными правами до учетной записи администратора.

Клиентский доступ в Интернет через индивидуальные пользовательские подключения на основе ICS

Попытка создания клиентом ICS индивидуального пользовательского подключения к Интернету с использованием значка удаленного доступа или вызова по требованию будет успешна только в следующих случаях: пользователь вошел в систему на главном компьютере ICS и предварительно сохранил свои учетные данные;

учетные данные не были сохранены, но на главном компьютере ICS работает другой пользователь, который может задать учетные данные пользователя клиентского компьютера в соответствующем диалоговом окне.


Тип подключения

Вариант сохранения учетных данных

Доступ к локальному компьютеру

Индивидуальные пользовательские подключения Для личного пользованияНе сохранять Только данный пользователь может автоматически выполнить индивидуальное подключение к Интернету. Так как доступ к вкладке Дополнительно для включения ICS или настройки брандмауэра Windows может получить только администратор, то, если требуется включить ICS или брандмауэр Windows, при создании подключения удаленного доступа необходимо войти в систему с учетной записью администратора. Если требуется включить ICS или брандмауэр Windows для подключения удаленного доступа, которое было создано пользователями с учетными записями с ограниченными правами, необходимо повысить учетную запись пользователя с ограниченными правами до учетной записи администратора.
Глобальные подключения Все пользователиДля личного пользованияНе сохранять Подключение к Интернету видно всем пользователям. Если учетные данные сохранены для всеобщего пользования, к Интернету сможет подключиться любой пользователь, вошедший в систему на этом компьютере. Если учетные данные сохранены только для личного пользования, подключение будет осуществлено автоматически, если войти в систему с учетной записью администратора или пользователя, сохранившего учетные данные. Если учетные данные не были сохранены, при попытке подключения к Интернету нужно будет ввести учетные данные. Администратор может использовать вкладку Дополнительные параметры для включения службы ICS.

Клиентский доступ в Интернет через глобальные подключения на основе ICS

Попытка создания клиентом ICS глобального общего подключения к Интернету с использованием значка удаленного доступа или вызова по требованию будет успешна только в следующих случаях: учетные данные были сохранены для всеобщего пользования (это приведет к успеху независимо от того, вошел пользователь на сервер ICS или нет);

пользователь вошел в систему на главном компьютере ICS и предварительно сохранил свои учетные данные только для личного пользования;

учетные данные не были сохранены, но на главный компьютер ICS вошел другой пользователь. Ему будет предложено ввести в специальном диалоговом окне учетные данные, необходимые для успешного подключения клиентского компьютера к поставщику услуг Интернета.

Для автоматического инициирования подключений удаленного доступа к поставщику услуг Интернета необходимо включить поддержку вызова по требованию. Дополнительные сведения см. в разделе Чтобы включить вызов по требованию.

Чтобы можно было пользоваться общим подключением к Интернету, необходимо включить службу ICS на компьютерах сети. Дополнительные сведения см. в разделе Общий доступ к подключению Интернета.

Для управления общим подключением к Интернету необходимо включить функцию обнаружения и контроля ICS для клиентов сети. Дополнительные сведения см. в разделе Использование общего доступа к подключению к Интернету с функцией обнаружения и управления устройствами шлюза Интернета.

Примечания

Подключения удаленного доступа, созданные членами рабочей группы в XOX или XOX, будут доступны для всех пользователей.



Протокол CHAP (Challenge Handshake Authentication Protocol)


CHAP (Challenge Handshake Authentication Protocol) — это широко распространенный алгоритм проверки подлинности, предусматривающий передачу не самого пароля пользователя, а косвенных сведений о нем. При использовании CHAP сервер удаленного доступа отправляет клиенту строку запроса. На основе этой строки и пароля пользователя клиент удаленного доступа вычисляет хеш-код MD5 (Message Digest-5). Хеш-функция является алгоритмом одностороннего (необратимого) шифрования, поскольку значение хеш-функции для блока данных вычислить легко, а определить исходный блок по хеш-коду с математической точки зрения невозможно. Хеш-код MD5 передается серверу удаленного доступа. Сервер, которому доступен пароль пользователя, выполняет те же самые вычисления и сравнивает результат с хеш-кодом, полученным от клиента. В случае совпадения учетные данные клиента удаленного доступа считаются подлинными.

Примечание

Если подлинность подключения проверяется по протоколу CHAP, использовать алгоритм шифрования MPPE (Microsoft Point-to-Point Encryption) нельзя.

Если протокол CHAP используется при подключении к серверу удаленного доступа, на котором работает операционная система Windows 2000 и служба маршрутизации и удаленного доступа, учетная запись пользователя, инициирующая подключение клиента, должна разрешать хранение пароля в обратимо зашифрованном виде. Дополнительные сведения содержатся в справке Windows 2000 Server.

См. также



Протокол EAP (Extensible Authentication Protocol)


Протокол EAP (Extensible Authentication Protocol) является расширением протокола Point-to-Point Protocol (PPP); на нем основаны несколько методов проверки подлинности, предусматривающих обмен учетными данными и прочими сведениями произвольного объема. Протокол EAP был разработан с учетом растущей потребности в средствах проверки подлинности, использующих более широкий круг устройств системы безопасности; он предлагает стандартную архитектуру для поддержки дополнительных методов проверки подлинности в рамках PPP.

С помощью EAP можно реализовать поддержку нескольких алгоритмов проверки подлинности — так называемых типов EAP, к числу которых относятся генераторы кода доступа, одноразовые пароли, средства проверки подлинности на основе открытых ключей с использованием смарт-карт, сертификатов и др. Протокол EAP, в сочетании со строгими типами EAP, является ключевым компонентом технологии безопасных подключений виртуальных частных сетей (VPN). Строгие типы EAP, например основанные на сертификатах, обеспечивают более надежную защиту от попыток «грубого» взлома системы или подбора пароля, чем другие протоколы проверки подлинности, использующие пароли, такие как CHAP и MS-CHAP.

Чтобы узнать, используется ли в вашей организации какой-либо тип EAP, обратитесь к своему администратору сети.

В XOX существует поддержка двух типов EAP:

EAP-MD5 CHAP (аналог протокола проверки подлинности CHAP);

EAP-TLS (применяется для проверки подлинности на основе сертификатов пользователей).

EAP-TLS — это метод взаимной проверки подлинности, при котором и клиент, и сервер должны предоставлять доказательства своей подлинности. В ходе сеанса EAP-TLS клиент удаленного доступа отправляет свой сертификат пользователя, а сервер удаленного доступа — свой сертификат компьютера. Если хотя бы один из этих сертификатов не будет передан или окажется недействительным, подключение разрывается.

Примечания

В процессе проверки подлинности методом EAP-TLS генерируются общие секретные ключи шифрования для алгоритма MPPE (Microsoft Point-to-Point Encryption).

См. также



Протокол IPX


Протокол IPX (Internet Packet Exchange) был разработан для сетевой операционной системы NetWare и широко используется во многих сетях Novell. В этом разделе рассказывается о том, как клиенты, пользующиеся компонентом «Сетевые подключения», интегрируются в IPX-сеть NetWare.

XOX



Протокол L2TP (Layer Two Tunneling Protocol)


Доступ к частной сети через Интернет или другую сеть общего пользования можно производить с помощью подключения виртуальной частной сети (VPN) по протоколу L2TP (Layer Two Tunneling Protocol). L2TP — стандартный протокол туннелирования в Интернете, обладающий примерно теми же возможностями, что и протокол PPTP (Point-to-Point Tunneling Protocol). Реализация L2TP в XOX предназначена для работы в IP-сетях. Эта реализация L2TP не поддерживает создание туннелей в сетях X.25, Frame Relay или ATM.

В соответствии со спецификациями L2F (Layer Two Forwarding) и PPTP (Point-to-Point Tunneling Protocol) протокол L2TP можно применять для создания туннелей в промежуточных сетях. L2TP, подобно PPTP, инкапсулирует кадры протокола PPP (Point-to-Point Protocol), который, в свою очередь, инкапсулирует протоколы IP или IPX, тем самым позволяя пользователям запускать удаленные программы, работающие с конкретными сетевыми протоколами.

XOX

Туннель L2TP

При использовании L2TP все проверки, связанные с безопасностью, выполняет компьютер, работающий под управлением Windows 2000 Server, с которого производится вход в сеть. L2TP также поддерживает шифрование данных, что существенно повышает надежность транспортировки данных через незащищенные сети. Благодаря использованию нового протокола проверки подлинности и шифрования IPSec (Internet Protocol security) передача данных по виртуальной частной сети L2TP столь же безопасна, как и в локальной сети предприятия.

См. также