【文章內容簡介】 APTLS 身份驗證協議。 Microsoft 遠程訪問基礎結構中部署的 VPN 服務器配備了兩個 Intel Xeon 處理器 GHz、 2 GB RAM（隨機存取存儲器）、 GB 總硬盤容量、冗余電源和冗余風扇。 IAS 和 RADIUS 服務器 對于用戶身份驗證， Microsoft IT 部門部署的、面向 Windows Server 2020 中的 “路由和遠程訪問 ”服務的解決方案使用 IAS（可選網絡組件）作為其 RADIUS 實施。 RADIUS 是一種輕量級的、基于用戶數據報協議 (User Datagram Protocol， UDP) 的協議。 它提供了通 過密碼 (CHAP、 MSCHAP、 MSCHAP v2)、證書 (EAPTLS)、智能卡 (EAPTLS) 或其它基于 EAP 的身份驗證方法的集中身份驗證，以及面向撥號網絡訪問服務器 (NAS) 設備、 無線訪問點和 VPN 服務器的授權。 Microsoft IT 部門使用 IAS，從而使 VPN 服務器可以充當 RADIUS 客戶端，并將用戶的憑證和其它連接設置發(fā)送到地區(qū)的 IAS 服務器。 IAS 服務器確認遠程訪問客戶端的憑證，授權或拒絕連接嘗試，存儲遠程訪問連接的帳戶信息。 RADIUS 服務器還可以提供代理服務，以便將身份驗證請求轉發(fā)到遠程的 RADIUS 代理服務器。 例如，許多 ISP 同意允許漫游用戶使用距離最近的 ISP 提供的本地服務，從而以撥號方式訪問 Inter。 這些漫游聯盟利用了 RADIUS 代理服務的優(yōu)勢。 如果 ISP 確定某個用戶名屬于遠程網絡的用戶，它將使用 RADIUS 代理將訪問請求轉發(fā)到合適的網絡代理服務器。 通過全球托管的 ISP， Microsoft IT 遠程訪問解決方案中大量使用了該組件。 每個 IAS 服務器接受來自特定 VPN 服務器（連接到 Microsoft 網絡）或來自 ISP RADIUS 服務器的身份驗證請求，然后基于 IAS 中預先配置的遠程訪問策略 (RAP) 接受或拒絕請求。 此時， IAS 服務器還會啟動對 VPN 會話的計時器，以啟動預先配置的網絡訪問隔離控制 (Network Access Quarantine Control) 計時器。 Microsoft IT 遠程訪問解決方案使用多個 VPN 服務器來支持在各地區(qū)部署的每個單一 IAS 服務器。 根據設計，每個 IAS 服務器為地區(qū)內的指定 VPN 服務器 提供主要和輔助支持。 在遠程訪問方案中，使用 IAS 進行 RADIUS 身份驗證有許多利益。 使用 IAS： ? 支持集中的用戶授權和身份驗證。 ? 為用戶創(chuàng)造無縫體驗。 ? 使用 Active Directory 進行工作。 ? 提供廣泛的授權和身份驗證選項。 Microsoft 遠程訪問基礎結構中部署的 IAS 服務器配備了兩個 Intel Xeon 處理器 源和冗余風扇。 基于 SQL Server 的服務器 每個 IAS RADIUS 服務器也可以充當用戶會話數據的集合點，運行輕量級的 本地 Microsoft SQL Server 2020 應用程序。 SQL Server 用于收集基礎結構服務器性能數據和特定于客戶端的數據。 Microsoft SQL Server 2020 Desktop Engine (MSDE 2020)（可隨 Windows Server 2020 的每個拷貝免費下載）運行在每個正在收集用戶會話數據的 IAS 服務器上。 IAS 服務器將數據記錄到本地 MSDE 數據庫中。 數據近乎實時地從 MSDE 傳輸到中心 SQL Server 數據庫存儲。 還有一些 基于 SQL Server 的數據收集服務器分地區(qū)部署在 Microsoft 遠程訪問基礎結構中，以收集特定客戶端會話數據。 這些服務器配備了兩個 Intel Xeon 處理器 GHz、 2 GB RAM、 GB 總硬盤容量、冗余電源和冗余風扇。 一個基于 SQL Server 的高端服務器（部署用于集中來自 Microsoft 遠程訪問基礎結構中的所有收集服務器的數據存儲）配備了四個 Intel Xeon MP 處理器 GHz、 2 GB RAM、 430 GB 總硬盤容量、冗余電源 和冗余風扇。 隨后從該中心存儲生成自動報告，公布這些報告并將其用于分析。 數據通過一個進程來編譯和公布。該進程使用了 SQL Server 2020 Analysis Services，后者是 Microsoft 版的在線分析處理 (Online Analytical Processing， OLAP)。 網絡要求 增強遠程訪問安全性的 Microsoft IT 解決方案使用了以下技術，以確?？紤]到所有遠程訪問方案。 Cisco 路由器 Cisco 邊緣設備應答來自 PSTN 和從遠程訪問客戶端位置產生的直 接撥號呼叫。 這些路由器接受模擬或 ISDN 呼叫。 路由器協商遠程客戶端調制解調器，協商 PPP 連接，對 IAS 服務器進行身份驗證，分配客戶端 IP 地址，處理 DNS 默認網關任務（識別和移交 (handing off) 到適當的 VPN 服務器地址）。 當創(chuàng)建了物理或虛擬電路之后，可以協商其它連接參數。 在直接撥號角色中使用 Cisco 路由器是因為它們廣泛部署在 Microsoft 全球網絡中。 Cisco 路由器可以非常方便地為 Inter 尚不可用或不可靠的許多地區(qū)性 Microsoft 機構提供支持。 回撥 使用回撥，遠程訪問服務器可在已經驗證過用戶憑證之后呼叫遠程訪問客戶端。 可以在服務器上配置回撥，以回撥在呼叫期間遠程訪問客戶端用戶指定號碼的遠程訪問客戶端。 這樣，正在旅行的用戶可以撥入，并使遠程訪問服務器回撥其當前位置，從而節(jié)省電話費。 此外，還可以將回撥配置為始終回撥特定位置的遠程訪問客戶端，這是最安全的回撥方式。 注意： 在 Microsoft IT 遠程訪問解決方案中使用回撥只適合于屬于遠程訪問服務的直接撥號 Cisco 解決方案，并作為北美 以外地區(qū)的一項成本控制策略。 ?；?撥不能與 ISP 或 VPN 撥號方案一起使用，因為這些號碼不是 Microsoft IT 部門管理的本地號碼，就是本地客戶端 ISP 號碼，均無需回撥。 CHAP CHAP 是一種加密身份驗證機制，無需在連接上傳輸實際密碼。 NAS 向遠程客戶端發(fā)送一個質詢（包括一個會話標識符 (ID) 和一個任意的質詢字符串）。 遠程客戶端必須使用 Message Digest 5 (MD5) 單向散列算法來返回用戶名和質詢的 Hash 值、會話 ID 和客戶端的密碼。 用戶名以明文形式發(fā)送。 MSCHAP Microsoft 創(chuàng)建了 MSCHAP 來驗證遠程 Windows 工作站的身份，提供了基于 LAN 的用戶通常使用的功能，同時集成了在基于 Windows 的網絡上使用的散列算法。 MSCHAP 是一種比 CHAP 簡單得多的加密身份驗證機制。 像在 CHAP 中一樣， NAS 向遠程客戶端發(fā)送一個質詢（包括一個會話 ID 和一個任意的質詢字符串）。 遠程客戶端必須返回用戶名和加密形式的質詢字符串、會話 ID 和 經過 Message Digest 4 (MD4) 散列的密碼。 這種設計提供了額外的安全性 ，因為它使服務器能夠存儲經過散列的密碼，而不是明文密碼。 MSCHAP 還提供了額外的錯誤代碼（包括密碼過期代碼）和額外的加密客戶端 /服務器消息（使用戶能夠在身份驗證進程中變更其密碼）。 在 MSCHAP 中，訪問客戶端和 NAS 都生成最初的加密密鑰，用于以后的 MPPE 數據加密。 因此，需要 MSCHAP 身份驗證來啟用基于 MPPE 的數據加密。 MSCHAP v2 MSCHAP v2 是一個更新的加密身份驗證機制，它為用戶名和密碼憑證的交換以及加密密鑰的確定提供了更強的安全性。 使用 MSCHAP v2， NAS 向訪問客戶端發(fā)送一個質詢，其中包括會話標識符和任意的質詢字符串。 遠程訪問客戶端發(fā)送一個響應，其中包含用戶名、任意對等質詢字符串 (peer challenge string)、已接受的質詢字符串的加密形式、會話標識符和用戶密碼。 NAS 檢查來自客戶端的響應，并發(fā)回一個響應，其中包括表示連接嘗試成功或失敗的標志、基于被發(fā)送質詢字符串的經過身份驗證的響應、對等質詢字符串、客戶端的加密響應和用戶的密碼。 遠程訪問客戶端驗證身份響應，如果正確，則使用該連接。 如果身份驗證響應不正確， 則遠程訪問客戶端將結束連接。 MSCHAP v2 還使用了 MD4 散列算法。 使用這一過程， MSCHAP v2 提供了相互身份驗證 ――NAS 驗證訪問客戶端是否知道用戶的密碼；訪問客戶端驗證 NAS 是否知道用戶的密碼。 MSCHAP v2 還決定了兩個加密密鑰：一個用于發(fā)送的數據，另一個用于接收的數據。 MPPE MPPE 只加密在遠程訪問客戶端和 VPN 服務器之間發(fā)送的數據。 遠程訪問連接上的數據加密是基于遠程訪問服務器和遠程訪問客戶端已知的加密密鑰。 該密鑰在連接身份驗證進程期間產生。 可以 將 VPN 服務器配置成要求數據加密。 如果遠程訪問客戶端不能執(zhí)行所要求的加密，連接嘗試將被拒絕。 MPPE 使用具有 40 位、 56 位或 128 位加密密鑰的 RivestShamirAdleman (RSA) RC4 流密碼 (stream cipher)。 Windows Server 20 Windows XP、 Microsoft Windows 20 Windows NT 和基于 PPTP 的 VPN 客戶端和服務器都支持 MPPE。 MPPE 密鑰從 MSCHAP、 MSCHAP v2 或 EAPTLS 用戶身份驗證進程中產生。 EAP EAP 是一個 PPP 身份驗證協議，支持任意身份驗證方法。 EAP 不同于其它身份驗證協議，因為它在身份驗證階段并不實際執(zhí)行身份驗證。 EAP 的第二階段只協商通用 EAP 身份驗證方法（一種 EAP 類型）的使用。 所協商的 EAP 類型的實際身份驗證是在第二階段之后進行。 EAP 是支持 Microsoft IT 遠程訪問解決方案中的雙因素身份驗證所必需的一個協議。 網絡訪問隔離控制 網絡訪問隔離控制是 Windows Server 2020 的一個功能，能夠延遲對專用網絡的正常遠程訪問，直到管理員提供的腳本已經檢查和驗證了遠程訪問計算機的配置。 當遠程訪問計算機發(fā)起到 VPN 服務器的連接時，服務器對用戶進行身份驗證并為遠程訪問計算機分配一個 IP 地址。 然而，連接被置于隔離模式，在此模式下網絡訪問只能訪問特定資源。 管理員提供的腳本運行在遠程訪問計算機上。 當腳本成功完成時，它運行通知程序 (notifier) 組件以通知遠程訪問服務器：遠程訪問計算機符合當前網絡策略的要求。 遠程訪問服務器取消隔離模式，并授予遠程訪問計算機正常的遠 程訪問權限。 網絡訪問隔離控制由以下組件結合而成： ? 運行 Windows Server 2020 的遠程訪問服務器和隔離通知偵聽程序服務。 ? 運行 Windows Server 2020 和 IAS 的 RADIUS 服務器，配置有指定隔離設置的隔離遠程訪問策略。 ? CM 配置文件。該文件利用 Windows Server 2020 資源工具包中提供的連接管理器管理工具包 (CMAK) 創(chuàng)建。 該配置文件包含一個符合網絡策略的腳本和一個通知組件。 ? 運行 Windows XP 或 Windows Server 2020 的遠程訪問客戶端。 通知： Microsoft IT 解決方案現在沒有使用完全隔離的孤立方案來支持遠程用戶，因為 IT 環(huán)境非常復雜且不斷變化，而且遠程訪問流量極大。 Microsoft IT 部門正在開發(fā)完全隔離的解決方案（將擴展到全球企業(yè)級別）。 Microsoft IT 遠程訪問解決方案使用計時器，該計時器被配置為如果用戶在指定時刻過去之前沒有成功完成所要求的安全檢查和配置，則切斷用戶的連接。 有關更多信息，請參閱 TechNet 上的 Network Access Quarantine Control in Windows Server 2020，網址是： Active Directory 在分布式計算環(huán)境中，連網的計算機和其它設備在 遠程連接上進行通信，以便通過客戶端 /服務器應用程序完成任務。 分布式環(huán)境需要一個信息和集成服務的中央存儲倉庫，從而為管理網絡用戶、服務、設備以及管理員希望存儲的其它信息提供方法。 Microsoft IT 部門（正在運行著一個分布式環(huán)境）需要一個管理所有網絡資源和服務的有效方法。 隨著公司的發(fā)展，對更安全和集中管理系統的需求變得越來越重要。 Active Directory 滿足了這一需要。 客戶端可以像在公司 LAN 上一樣通過遠程訪問連接使用 Active Directory 來訪問 Microsoft 的網絡資源。