【正文】 協(xié)議 Microsoft IT 部門(mén)支持 VPN。 直接連接 為了增加對(duì) VPN 的支持， Microsoft IT 部門(mén)提供了直接連接支持（有時(shí)稱為 “始終在線 ”或持久連接）。 表 4 顯示了 Microsoft IT 部門(mén)使用的一些 CM 能力。 CM VPN 連接能力 除了支持基本撥號(hào)連接之外， Microsoft IT 部門(mén)還使用隧道協(xié)議通過(guò)公眾網(wǎng)絡(luò)進(jìn)行隧道操作（例如當(dāng)撥入 ISP 以訪問(wèn)公司服務(wù)器時(shí)），從而可以使用 CMAK 向?qū)б员憬Y(jié)合對(duì) VPN 連接的支持。 您可以將電話簿下載給用戶，并在用戶登錄時(shí)提供自動(dòng)電話簿更新。該文件可在 CD 上分發(fā)或由您的用戶下載。 您可以設(shè)置被監(jiān)視的應(yīng)用程序，以便在該程序結(jié)束后自動(dòng)斷開(kāi)連接。 在進(jìn)行連接期間（如當(dāng)用戶登錄或斷開(kāi)時(shí)），這些程序可以在不同點(diǎn)自動(dòng)運(yùn)行。 您可以包括自定義徽標(biāo)、客戶支持和電話簿信息， 以識(shí)別和表示您的公司。 表 3. Microsoft IT 部門(mén)使用的本地連接和遠(yuǎn)程連接的 CM 能力示例 功能 能力 自動(dòng)代理配置 您可以配置用戶代理設(shè)置，以確保當(dāng)連接到您的服務(wù)時(shí)，用戶擁有訪問(wèn)內(nèi)部和外部資源的適當(dāng)權(quán)限。這些功 能可簡(jiǎn)化和增強(qiáng)面向用戶的連接支持的實(shí)施。 有關(guān)更多信息，請(qǐng)參閱 TechNet 上的 CMAK 信息 ，網(wǎng)址是：us/。 CM 設(shè)計(jì)具有很高的靈活性，從而使 IT 管理員能夠根據(jù)組織對(duì)于管理或安全性的特定要求編寫(xiě)和插入模塊。 ? 為了最好地利用 Microsoft IT 部門(mén)員工資源，所開(kāi)發(fā)的配置方法必須能夠擴(kuò)展到全球企業(yè)規(guī)模。 ? 為了防止配置錯(cuò)誤，決定讓 Microsoft IT 部門(mén)員工（而不是最終用戶）來(lái)配置撥號(hào)連接或 VPN 連接。 然而， Microsoft IT 部門(mén)需要為全球數(shù)萬(wàn)個(gè)客戶端和數(shù)百 個(gè)訪問(wèn)電話號(hào)碼配置撥號(hào)上網(wǎng)和 VPN 連接。 要使用自定義配置的 CM 來(lái)建立遠(yuǎn)程連接，每個(gè)客戶端必須經(jīng)過(guò)預(yù)先配置，以便管理與許多全球部署的服務(wù)器建立連接。 Microsoft IT 部門(mén)在 CM 中預(yù)先配置了這一信息。 因此，只要 CM 使用 CPS 正確枚舉了 連接， CM 就可以處理大多數(shù)類型的連接，包括 PPP、 VPN 和代理服務(wù)器連接。 Microsoft IT 部門(mén)使用 CM 應(yīng)用程序的客戶端撥號(hào)程序和 CPS 組件作為集中管理全球電話號(hào)碼的有效方法，這些電話號(hào)碼用于最初的 Inter 訪問(wèn)（作為到公司網(wǎng)絡(luò)的遠(yuǎn)程訪問(wèn)的一個(gè)要素）。 作為通過(guò) Inter 進(jìn)行全球遠(yuǎn)程訪問(wèn)的業(yè)務(wù)策略的組成部分， Microsoft IT 部門(mén)選擇將 VPN 訪問(wèn)外包給第三方服務(wù)提供商。 運(yùn)行 Windows Server 2020 和 Inter 信息服務(wù) (Inter Information Services，IIS) （包括文件傳輸協(xié)議 [File Transfer Protocol， FTP] 發(fā)布服務(wù)）的計(jì)算機(jī)和一個(gè) Inter 服務(wù)器應(yīng)用編程接口 (Inter Server Application Programming Interface， ISAPI) 擴(kuò)展（處理來(lái)自 CM 客戶端的電話簿更新請(qǐng)求）。 這是一個(gè)用于創(chuàng)建和維護(hù)電話簿文件、在電話簿服務(wù)器上發(fā)布新的或更新的電話簿文件的工具。 如果不能更新電話簿，則用戶不僅必須聯(lián)系 Microsoft IT 部門(mén)的技術(shù)支持員工以便更改 POP 信息，還必須在每次嘗試進(jìn)行遠(yuǎn)程訪問(wèn)連接時(shí)重新配置其客戶端撥號(hào)軟件。 每個(gè) POP 擁有一個(gè)電話號(hào)碼，用于訪問(wèn)撥號(hào)網(wǎng)絡(luò)或 Inter。 連接點(diǎn)服務(wù) (Connection Point Services， CPS)是 CM 的另一個(gè)功能，它使 Microsoft IT 部門(mén)能夠創(chuàng)建、分發(fā)和更新自定義的電話簿。 當(dāng)用戶運(yùn)行 CM 配置文件時(shí)，它自動(dòng)配置適當(dāng)?shù)膿芴?hào)連接和 VPN 連接。 自 定義的 CM 客戶端撥號(hào)軟件包（又稱為配置文件）是一個(gè)自解壓的可執(zhí)行文件，由網(wǎng)絡(luò)管理員通過(guò) CMAK 創(chuàng)建。 ? 用戶在 VPN 連接產(chǎn)生之前自動(dòng)創(chuàng)建撥號(hào)連接。 下面是有關(guān) CM 客戶端撥號(hào)程序的 Microsoft IT 自定義操作的示例： ? 用戶根據(jù)物理位置從要使用的電話號(hào)碼列表中進(jìn)行選擇。 同時(shí)， CM 還為 Microsoft 用戶帶來(lái)了簡(jiǎn)化的撥號(hào)體驗(yàn)。 CM 的一個(gè)主要功能是安裝在每個(gè)遠(yuǎn)程訪問(wèn)客戶端上的客戶端撥號(hào)軟件。 CM 由多種模塊組成，其中許多模塊是內(nèi)部為了進(jìn)行特定的 Microsoft 遠(yuǎn)程訪問(wèn)實(shí)施而自定義的模塊。 CM 的主要目的是集中并自動(dòng)完成各種網(wǎng)絡(luò)連接 的建立和管理。 為了防止 VPN 遠(yuǎn)程訪問(wèn)服務(wù)器接 收或發(fā)送任何非基于 PPTP 的流量，在連接到 Inter 或周邊網(wǎng)絡(luò)的 VPN 遠(yuǎn)程訪問(wèn)服務(wù)器的接口上配置了面向 PPTP 流量的 IP 數(shù)據(jù)包過(guò)濾器。 面向 VPN 遠(yuǎn)程訪問(wèn)的數(shù)據(jù)包過(guò)濾 對(duì)于在 Microsoft 的基于 VPN 的遠(yuǎn)程訪問(wèn)， VPN 遠(yuǎn)程訪問(wèn)服務(wù)器直接連接到 Inter，或者連接到 Microsoft 公司網(wǎng)絡(luò)和周邊網(wǎng)絡(luò)（又稱為 DMZ、非管制區(qū) (demilitarized zone) 和屏蔽子網(wǎng)）之間的網(wǎng)絡(luò)分段。 配置呼叫方 ID 的缺點(diǎn)是用戶只能從單一電話線撥入。如果呼叫方 ID 是為一個(gè)用戶帳戶配置的，則該呼叫方 ID 不會(huì)從呼叫方傳送到路由和遠(yuǎn)程訪問(wèn)服務(wù)，連接將被拒絕。 如果面向該用戶的傳入連接的呼叫方 ID 號(hào)碼與所配置的呼叫方 ID 不匹配，連接嘗試將被拒絕。 呼叫方標(biāo)識(shí) (Caller ID) 呼叫方 ID 可用于驗(yàn)證傳入呼叫是否來(lái)自特定的電話號(hào)碼。 然而，如果遠(yuǎn)程訪問(wèn)客戶端正在運(yùn)行 Windows XP 或 Windows 2020 ，并且配置為只支持 MSCHAP v2 或 EAPTLS，則遠(yuǎn)程訪問(wèn)客戶端將強(qiáng)制對(duì)服務(wù)器進(jìn)行身份驗(yàn)證。 在相互身份驗(yàn)證期間，首先是遠(yuǎn)程訪問(wèn)客戶端通過(guò)遠(yuǎn)程訪問(wèn)服務(wù)器的身份驗(yàn)證，隨后遠(yuǎn)程訪問(wèn)服務(wù)器才通過(guò)遠(yuǎn)程訪問(wèn)客戶端的身份驗(yàn)證。 相互身份驗(yàn)證 相互身份驗(yàn)證是指通過(guò)加密的用戶憑證交換對(duì)連接的兩端進(jìn)行身份驗(yàn)證。 RADIUS 服務(wù)器處理 EAP 消息，并向遠(yuǎn)程訪問(wèn)服務(wù)器發(fā)回 RADIUS 封裝的 EAP 消息。 當(dāng)產(chǎn)生連接嘗試時(shí)，遠(yuǎn)程訪問(wèn)客戶端與遠(yuǎn)程訪問(wèn)服務(wù)器協(xié)商 EAP 的使用。 使用 EAP over RADIUS 的一個(gè)優(yōu)點(diǎn)是只需要將 EAP 類型安裝到 RADIUS 服務(wù)器上，而不需要安裝到每個(gè)遠(yuǎn)程訪問(wèn)服務(wù)器上。 EAP 消息的所有處理都是在遠(yuǎn)程訪問(wèn)客戶端和 RADIUS 服務(wù)器之間進(jìn)行。 在遠(yuǎn)程訪問(wèn)客戶端和 VPN 服務(wù)器之間發(fā)送的 EAP 消息被封裝和格式化成在 VPN 服務(wù)器和 RADIUS 服務(wù)器之間的 RADIUS 消息。 像 MSCHAP 和 MSCHAP v2 一樣， EAPTLS 返回加密密鑰，以啟用由 MPPE 進(jìn)行的隨后的數(shù)據(jù)加密。 注意： 用戶的證書(shū)還可以存儲(chǔ)在 VPN 客戶端計(jì)算機(jī)上。 在 Microsoft IT 遠(yuǎn)程訪問(wèn)解決方案中，用戶的證書(shū)存儲(chǔ)在智能卡上。 只有在正在運(yùn)行路由和遠(yuǎn)程訪問(wèn)、配置使用 Windows 身份驗(yàn)證以及是域成員的服務(wù)器上才支持 EAPTLS。 第一個(gè)交換為服務(wù)器提供了強(qiáng)大的用戶身份驗(yàn)證；第二個(gè)交換提供用戶已經(jīng)到達(dá)其所期望的服務(wù)器的保證。 EAPTLS 消息交換提供了遠(yuǎn)程訪問(wèn)客戶端和身份驗(yàn)證方之間的相互身份驗(yàn)證、加密方法協(xié)商和加密密鑰確定。 EAPTLS EAPTLS 是基于安全套接字層 (Secure Sockets Layer， SSL) 和公鑰證書(shū)的一種 EAP，用于基于證書(shū)的安全環(huán)境中。 這個(gè)機(jī)會(huì)使廠商能夠隨時(shí)提供新的身份驗(yàn)證方案。 從體系結(jié)構(gòu)方面來(lái)說(shuō)， EAP 設(shè)計(jì)用于支持 在連接的客戶端和服務(wù)器端的身份驗(yàn)證插件模塊。 當(dāng)詢問(wèn)和應(yīng)答完每個(gè)查詢時(shí)，用戶將進(jìn)行另一級(jí)身份驗(yàn)證。 身份驗(yàn)證會(huì)話的長(zhǎng)度和細(xì)節(jié)取決于 EAP 類型。 當(dāng)商定了 EAP 類型之后， EAP 允許在遠(yuǎn)程訪問(wèn)客戶端和遠(yuǎn)程訪問(wèn)服務(wù)器之間進(jìn)行 開(kāi)放終端 (openended) 會(huì)話。 相反，每個(gè) PPP 對(duì)會(huì)在連接身份驗(yàn)證階段協(xié)商執(zhí)行 EAP。 身份驗(yàn)證協(xié)議本身是一系列固定的、以特定順序發(fā)送的消息。 使用 PPP 身份驗(yàn)證協(xié)議（如 MSCHAP），會(huì)在鏈路建立階段選擇特定的身份驗(yàn)證機(jī)制。 Windows XP Professional 為最終用戶訪問(wèn) Windows Server 2020 上的資源和支持的應(yīng)用程序提供了單一登錄。 Kerberos Kerberos 提供工業(yè)標(biāo)準(zhǔn)和高強(qiáng)度的身份驗(yàn)證，并支持快速、單一地登錄到基于 Windows Server 2020 的企業(yè)資源。 將遠(yuǎn)程訪問(wèn)服務(wù)器配置為要求特定的安全身份驗(yàn)證方法。 質(zhì)詢 /握手身份驗(yàn)證協(xié)議 在 Microsoft IT 解決方案中，用于身份驗(yàn)證的用戶憑證的加密交換由 CHAP、 MSCHAP 或 MSCHAP v2 身份驗(yàn)證協(xié)議等方法在連接到 Microsoft IT 直接撥號(hào)路由器時(shí)執(zhí)行，或者由撥號(hào)上網(wǎng)連接方法通過(guò) ISP 來(lái)執(zhí)行。 如果連接嘗試既沒(méi)有經(jīng)過(guò)身份驗(yàn)證，也沒(méi)有得到授權(quán)， RADIUS 服務(wù)器向遠(yuǎn)程訪問(wèn)服務(wù)器發(fā)回拒絕消息，拒絕連接進(jìn)程。 在 Microsoft IT 解決方案中，遠(yuǎn)程訪問(wèn)服務(wù)器配置支持 RADIUS 身份驗(yàn)證，從而可以將連接嘗試的憑證傳送到 RADIUS 服務(wù)器進(jìn)行身份驗(yàn)證和授權(quán)。 當(dāng)身份驗(yàn)證成功完成之后，進(jìn)行授權(quán)。 這一進(jìn)程包括使用身份驗(yàn)證協(xié)議從遠(yuǎn)程訪問(wèn)客戶端向遠(yuǎn)程訪問(wèn)服務(wù)器發(fā)送憑證。 ? Kbps 調(diào)制解調(diào)器或網(wǎng)絡(luò)連接。 ? CDROM 或 DVD 驅(qū)動(dòng)器。 ? GB 可用硬盤(pán)空間。 推薦配置還包括 Intel Pentium/Celeron 系列、 AMD K6/Athlon/Duron 系列或其它兼容微處理器。 要運(yùn)行 Windows XP Professional，客戶端計(jì)算機(jī)必須滿足或超過(guò)以下規(guī)范： ? 233MHz 主頻的微處理器（單處理器或雙處理器系統(tǒng)）。 Windows XP Professional Windows XP Professional（與 Windows Server 2020 基礎(chǔ)結(jié)構(gòu)相集成）在支持端到端安全性的管理和性能功能方面，提供了超越以前版本的 Windows 客戶端和服務(wù)器產(chǎn)品的重大改進(jìn)。 每個(gè)遠(yuǎn)程訪問(wèn)客戶端還需要使用自定義的 CM 應(yīng)用程序來(lái)管理每個(gè)遠(yuǎn)程訪問(wèn)會(huì)話，并作為連接進(jìn)程的組成部分來(lái)運(yùn)行要求的安全檢查。 該技術(shù)提供了對(duì)全球基礎(chǔ)結(jié)構(gòu)的更有效的集中管理。 這一能力使遠(yuǎn)程管理成為一種非常方便和高效的服務(wù)。 用于管理的遠(yuǎn)程桌面是為服務(wù)器管理特別設(shè)計(jì)的，并得到終端服務(wù)技術(shù)的支持。 RDP 用于終端服務(wù)器和遠(yuǎn)程 桌面連接之間的通信。 有關(guān) MOM 的更多信息，請(qǐng)參閱 TechNet 上的 “Microsoft Operations Manager 技術(shù)資源網(wǎng)頁(yè) ”，網(wǎng)址是： 遠(yuǎn)程桌面協(xié)議和用于管理的遠(yuǎn)程桌面 Microsoft IT 部門(mén)使用遠(yuǎn)程桌面協(xié)議 (Remote Desktop Protocol， RDP) 和支持 Windows Server 2020 和 Windows XP Professional 的管理功能的遠(yuǎn)程桌面來(lái)管理遠(yuǎn)程訪問(wèn)服務(wù)器。 Microsoft IT 部門(mén)使用自定義管理軟件包來(lái)管理對(duì)于遠(yuǎn)程訪問(wèn)環(huán)境是唯一的特定事件。 MSFTMOM ScriptWireless Discard 計(jì)算無(wú)線 “授權(quán)訪問(wèn) ”與 “拒絕 /放棄 ”事件之比。 MSFTMOM Script AlertRAS Service 接收來(lái)自遠(yuǎn)程訪問(wèn)腳本的響應(yīng) ―― 向數(shù)據(jù)中心操作控制臺(tái)發(fā)送警報(bào)。 MSFTPerfMon CounterProcessor percentProcessorTimeTOTALThreshold=90 路由和遠(yuǎn)程訪問(wèn)服務(wù)器已經(jīng)超出為處理器利用率規(guī)定的系統(tǒng)監(jiān)控閾值。 表 2. Microsoft IT 部門(mén)特別針對(duì)遠(yuǎn)程訪問(wèn)管理而使用的 MOM 報(bào)警功能實(shí)例 MOM 腳本名稱 報(bào)警功能 MSFTApplication LogRemoteAccess20209 路由和遠(yuǎn)程訪問(wèn)服務(wù)器不能聯(lián)系動(dòng)態(tài)主機(jī)配置協(xié)議 (DHCP) 服務(wù)器以獲得路由和遠(yuǎn)程訪問(wèn)用戶的 IP 地址。 MSFTMOM Script AlertFree Space 接收來(lái)自 MOM 可用空間腳本的響應(yīng)，并向數(shù)據(jù)中心操作控制臺(tái)發(fā)送警報(bào)。 MSFTMOM ScriptLogical Disk Free Space Check 初始化 MOM 腳本以檢查驅(qū)動(dòng)器 C 上的可用空間大小。 上報(bào)到處理硬件問(wèn)題的站點(diǎn)服務(wù)。 表 1. Microsoft IT 部門(mén)面向所有數(shù)據(jù)中心級(jí)服務(wù)器而使用的 MOM KS MOM 腳本 名稱 規(guī)則 /報(bào)警功能 MSFTSystem 檢測(cè)到硬盤(pán)錯(cuò)誤 ―― 上報(bào)到本地站點(diǎn)服務(wù)硬件支持團(tuán)隊(duì)。 這些腳本為 Microsoft IT 部門(mén)提供了面向遠(yuǎn)程訪問(wèn)方案中的特定事件的自動(dòng)日志記錄和報(bào)警能力。 MOM 提供可自定義的知識(shí)腳本 (KS)，這使系統(tǒng)管理員可以創(chuàng)建面向操作系統(tǒng)