第16章 实现远程访问服务

第16章实现远程访问服务

当公司的业务代表或经理出外洽谈生意的时候，如果需要一份重要文件，只能让公司内部的工作人员通过Email或传真发过来，但如果是在晚上，或周末，公司放假，没有人能够迅速反应，可能就要耽误一大比生意。现在有了Windows Server 2003的远程访问服务，一切问题就迎刃而解了。Windows Server 2003的远程服务可以实现公司员工即使在外地出差，也可以通过电话或Internet拨号连接到公司的服务器上，读取所需要的信息，这样就可以保证7×24小时的信息快捷与有效性。

16.1远程访问概述

远程访问服务（Remote Access Service，RAS）理解起来并不困难，我们通过例子来进行解释：我们上网需要拨号，当我们通过电话线拨号到163或263等ISP时，那就是远程访问，而你的ISP即为你提供了远程访问服务。所以远程访问是指，客户端利用某种广域网技术，通过某种远程连接方式（如Modem+电话线）登录到公司本地局域网中。远程访问服务主要应用在为那些没有条件与本地网络直接相连的用户提供接入服务。通过将“路由和远程访问”配置为远程访问服务器，可以将远程或移动工作人员连接到组织网络上。远程用户可以像计算机物理地连接到网络上一样工作。

用户运行远程访问软件，并初始化到远程访问服务器上的连接。远程访问服务器，即运行“路由和远程访问”的服务器，会始终验证用户和服务会话，直到用户或网络管理员将其终止为止。那些在一般情况下适用于LAN 连接用户的所有服务（包括文件和打印共享、Web 服务器访问和消息）均通过远程访问连接启用。

远程访问客户端使用标准工具来访问资源。例如，在运行“路由和远程访问”的服务器上，客户端可以使用Windows 资源管理器来进行驱动器连接，并连接到打印机上。连接是持久的：在远程会话期间，用户不需要重新连接到网络资源上。因为对于驱动器标识字母和通用命名约定(UNC) 所命名的名字，远程访问都支持，所以大多数商业和自定义应用程序不许要修改就可以使用。

16.1.1远程访问连接类型

运行“路由和远程访问”的服务器可以提供两个不同类型的远程访问连接。

拨号网络

通过使用远程通信提供商（例如模拟电话、ISDN 或X.25）提供的服务，远程客户端使用非永久的拨号连接到远程访问服务器的物理端口上，这时使用的网络就是拨号网络。拨号网络的最佳范例是拨号网络客户端使用拨号网络拨打远程访问服务器某个端口的电话号码。

模拟电话线上或ISDN 的拨号网络，是拨号网络客户端和拨号网络服务器之间的直接的物理连接。可以加密通过该连接发送的数据，但并不要求一定这样做。

虚拟专用网

虚拟专用网是穿越专用网络或公用网络（如Internet）的、安全的、点对点连接的产物。

虚拟专用网客户端使用特定的，称为隧道协议的基于TCP/IP 的协议，来对虚拟专用网服务器的虚拟端口进行依次虚拟呼叫。虚拟专用网的最佳范例是，虚拟网络客户端使用虚拟专用网连接连接到与Internet 相连的远程访问服务器上。远程访问服务器应答虚拟呼叫，验证呼叫方身份，并在虚拟专用网客户端和企业网络之间传送数据。

与拨号网络相比，虚拟专用网始终是通过公用网络（如Internet）在虚拟专用网客户端和虚拟专用网服务器之间的一种逻辑的、非直接的连接。要保证隐私权，必须加密在连接上传送的数据。

16.1.2常用名称解释：

设备

设备是提供远程访问连接可以用于建立点对点连接的端口的硬件或软件。设备可以是物理的，例如调制解调器；也可以是虚拟的，例如虚拟专用网(VPN) 协议。设备可以支持单个端口，例如一个调制解调器；也可以多个端口，例如可端接64 个不同的接入模拟电话呼叫的调制解调器堆硬件。“点对点隧道协议(PPP)”和“第二层隧道协议(L2TP)”是虚拟多端口设备的示例。每个隧道协议都支持多个VPN 连接。

端口

端口是可以支持单个的点对点连接的设备的信道。对于单一端口设备（如调制解调器），设备与端口不可区分。对于多端口设备，端口只是设备的一部分，通过它可以建立一个单独的点对点连接。例如，主速率接口(PRI) ISDN 适配器支持两个称作B 通道的独立通道。ISDN 适配器是一种设备。每个B 通道都是一个端口，因为通过每个B 通道都可以建立点对点连接。

16.2作为拨号网络服务器的远程访问

服务器“路由和远程访问”提供了传统的拨号远程访问，以支持移动用户或家庭用户拨入到企业Intranet。安装在运行“路由和远程访问”服务器上的拨号设备会应答传入的来自拨号网络客户端的连接请求。远程访问服务器应答呼叫、身份验证并授权呼叫方，以及在拨号网络客户端和企业Intranet 之间传送数据。

图16－1 拨号远程访问

16.2.1拨号网络组件

拨号网络包括下列组件：

图16－2拨号网络组件

拨号网络服务器

可以配置运行“路由和远程访问”的服务器以提供对整个网络的拨号网络访问，或者限制只能对远程访问服务器上的共享资源的访问。对于拨号网络访问，服务器必须有至少一个调制解调器或一个多端口适配器，以及模拟电话线或其他WAN 连接。如果服务器提供对网络的访问，则必须安装一个单独的网卡，并将它连接到服务器提供访问的网络上。

拨号网络客户端

运行Windows Server 2003 家族、Windows XP、Windows 2000、运行“远程访问(RAS)”或“路由和远程访问(RRAS)”服务的Windows NT、Windows Millennium Edition、Windows 98、Windows 95 或Mac OS 的远程访问客户端都可以连接到运行“路由和远程访问”的服务器上。拨号网络客户端连接到运行“路由和远程访问”的服务器的拨号客户端可以是任何PPP 客户端。客户端必须安装有调制解调器、模拟电话线，或其他WAN 连接，和远程访问软件。

LAN 和远程访问协议

应用程序使用LAN协议传递消息。远程访问协议用于协商连接，并为通过广域网(WAN)链接发送的LAN 协议数据提供组帧。“路由和远程访问”支持LAN协议，如TCP/IP和AppleTalk，这些协议用于访问Internet、UNIX、Mac OS及Novell NetWare资源。“路由和远程访问”支持远程访问协议，如PPP。

WAN 选项

客户端可以使用标准电话线和一个调制解调器或调制解调器池来拨入。使用ISDN可以建立更快速的链接。使用X.25或ATM也可以将远程访问客户端连接到远程访问服务器上。通过RS-232C零调制解调器电缆、并行端口连接、或红外连接，也可以建立直接连接。

安全选项

Windows Server 2003 家族提供了登录和域安全，并对拨号客户端的安全网络访问提供

了安全主机、数据加密、远程身份验证拨入用户服务(RADIUS)、智能卡、远程访问帐户锁定、远程访问策略和回拨等支持。

16.2.2案例：配置拨号访问服务器

启动远程访问服务

1．单击“开始”→“程序”→“管理工具”→“路由和远程访问”，打开“路由和远程访问”界面，在服务器上单击鼠标右键，在弹出菜单是上选择“配置并启动路由和远程访问”，如图16－3。

图16－3 路由和远程访问

2．弹出“路由和远程访问服务器安装向导”界面，如图16－4，单击“下一步”。

图16－4 路由和远程访问服务器安装向导

3．在弹出的界面中选择“远程访问（拨号或VPN）”如图16－5，然后单击“下一步”。

4．在弹出的界面中选择“拨号”，如图16－6，然后单击“下一步”。

图16－6 远程访问类型

5．在界面中选择一个网络接口作为远程客户端将要访问的网络连接。选择“本地连接”，

如图16－7。然后单击“下一步”。

图16－7 网络选择

6．在“IP地址指定”窗口，您可以选择采用哪种方式对远程客户端指派IP地址，如果我们想要远程客户端使用一个指定的IP地址范围，选择“来自一个指定的地址范围”，如图16－8。单击“下一步”。

图16－8 指定IP地址

7．在弹出的页面中单击“新建”按钮，如图16－9。

图16－9 指定IP地址范围

8．在弹出的“新建地址范围”窗口中输入IP地址范围，如图16－10。然后单击“确定”。返回“指定地址范围”窗口。

图16－10 新建地址范围

9．新建的地址范围出现在“地址范围”栏中，如图16－11，然后单击“下一步”。

图16－11 指定地址范围

10．在窗口中选择“否，使用路由和远程访问来对连接请求进行身份验证”，然后单击“下一步”。如图16－12。

图16－12 设置是否用RADIUS远程身份验证

RADIUS远程身份验证拨号用户服务，是为多个远程访问服务器提供集中的身份验证。

11．在“正在完成路由和远程访问服务器安装向导”页面中单击“完成”，如图16－13。

图16－13 完成路由和远程访问服务器安装向导

12．将弹出“路由和远程访问”提示信息窗口，如图16－14，提示需要配置DHCP中继代理程序。单击“确定”。

图16－14 提示信息

13．系统将开始启动路由和远程访问，如图16－15。

图16－15 启动路由和远程访问服务

14．经过一段时间后，路由和远程访问服务启动完毕，我们可以看到启动后的界面，如图16－16。

图16－16 路由和远程访问

接下来我们就可以对路由和远程访问服务器进行一些必要的配置以满足拨号远程访问的需求。

配置远程访问服务端口

1．在路由和远程访问界面中，展开服务器，在“端口”上单击鼠标右键，选择菜单中的“属性”，如图16－17。

图16－17 配置端口属性

2．在弹出的“端口属性”窗口中选择拨号连接的设备：安装在服务器上的调制解调器，如图16－18。然后单击“配置”按钮。

图16－18 配置端口属性

3．在弹出的“配置设备”窗口中，勾选“远程访问连接（仅入站）”，然后在此“此设备的电话号码”栏输入电话号码，如图16－19。然后单击“确定”。

图16－19 配置设备

4．在返回的端口属性窗口中单击“确定”，如图16－20，完成服务端口的配置。

图16－20 完成

配置用户拨入设置

1．打开“计算机管理”窗口，展开“本地用户和组”（如果是域环境，则在域控制器上打开“Active Directory 用户和计算机”），在允许远程访问的用户上单击鼠标右键，选

择“属性”，如图16－21。

图16－21 本地用户和组

2．在弹出的用户属性窗口中单击“拨入”选项卡，如图16－22。在此可以设置远程访

问的各种属性。

图16－22 拨入选项卡

“允许访问”：允许此用户使用远程访问。

“拒绝访问”：拒绝使用远程访问连接到远程访问服务器

“通过远程访问策略控制访问”：默认情况下，独立服务器或Windows 2000本地模式域中的管理员或来宾帐户被设置为“通过远程访问策略控制访问”。

“验证呼叫方ID”：服务器将确认呼叫方的电话号码，如果呼叫方的电话号码与服务器预设的电话号码不同，则服务器将拒绝此次连接。

“不回拨”：服务器将不回拨客户端。

启用回拨是指服务器在收到用户的远程访问请求后，将连接挂断，再回拨用户重新建立连接。启用回拨可以提高安全性：通过回拨到设定的用户电话号码，可保证此用户确实能使用远程访问，而非未授权的用户。

“总是回拨到”：输入固定的电话号码

“使用静态IP地址”：当用户通过远程访问连接到服务器时，服务器将把一个静态的IP地址分配给该用户。

“应用静态路由”：网络管理员需定义一系列静态IP路由，当生成一个连接时就会将这些静态路由添加到远程访问服务器的路由表中，此选项与请求拨号路由一同使用。

3．单击“允许访问”，然后单击“确定”，如图16－23。完成用户拨入设置。

图16－23 设置拨入属性

16.2.3案例：客户端访问

1. “开始”→“设置”→“网络连接”→“新建连接向导”，启动新建连接向导，如图

16－24，单击“下一步”。

2．选择网络连接类型“连接到我的工作场所的网络”，单击“下一步”，如图16-25。

图16-25连接到我的工作场所的网络

3．选“拨号连接”，单击“下一步”，如图16-26。

图16-26 拨号连接

4．输入连接的名称，如图16－27，然后单击“下一步”，输入远程服务器的电话号码，单击“下一步”，如图16-28。

图16－27 连接名称

图16-28电话号码

5．出于安全考虑，选择“只是我使用”如图16－29。然后单击“下一步”。

图16－29 可用连接

6．在完成新建连接向导页面单击“完成”，如图16－30。

图16－30 完成

7．我们可以在“网络连接”页面看到新创建的拨号连接，如图16－31。

图16－31 拨号连接

8．双击创建的拨号连接，在弹出的“连接名骄实业”窗口中输入在服务器端给予了拨号访问权限的用户名和密码，如图16－32。单击“拨号”，开始对服务器远程访问。

图16－32 连接

16.3把远程访问服务器当作虚拟专用网服务器

虚拟专用网连接模拟点对点连接。要模拟点对点连接，必须将数据封装或打包，并附加一个IP 报头以提供到达虚拟专用网服务器的路由信息。用来封装数据的那部分虚拟专用网连接称为隧道。

对于安全的虚拟专用网，将在封装之前加密数据。如果没有密钥，则无法理解被截取的数据包。用于加密数据的那部分虚拟专用网连接称为虚拟专用网（VPN）连接。

通过使用称为“隧道协议”的特殊协议，可以创建、管理和终止VPN 连接。虚拟专用网客户端和虚拟专用网服务器都必须支持相同的隧道协议，以创建虚拟专用网连接。对于“点对点隧道协议(PPTP)”和“第二层隧道协议(L2TP)”这两种隧道协议而言，运行“路由和远程访问”的服务器就是一个虚拟专用网服务器。图16－33展示了一个VPN连接。

图16－33 VPN

16.3.1虚拟专用网的组件

一个虚拟专用网包括以下组件：如图16－34。

图16－34虚拟专用网组件

虚拟专用网(VPN) 服务器

可以配置VPN 服务器以提供对整个网络的访问，或限制仅可访问作为VPN 服务器的计算机的资源。对于从Internet 上访问虚拟专用网，通常情况下，服务器具有到Internet 的永久性连接。如果Internet 服务提供商(ISP) 支持请求拨号连接，则可能存在到Internet 上的非永久性连接；在将通信传递给VPN 服务器时创建连接。然而，这不是常规配置。如果VPN 服务商提供对网络的访问，则必须安装独立的网络适配器，并将其连接到VPN 服务器提供访问的网络上。

在Windows Server 2003 Web Edition 和Windows Server 2003 Standard Edition 上，您最多可以创建1,000 个点对点隧道协议(PPTP) 端口，最多可以创建1,000 个两层隧道协议(L2TP) 端口。但是，Windows Server 2003 Web Edition 一次只能接收一个虚拟专用网(VPN) 连接。

VPN 客户端

VPN 客户端是获得远程访问VPN 连接的个人用户或获得路由器到路由器VPN 连接的路由器。运行Windows Server 2003 家族产品、Windows XP、Windows 2000、Windows NT 4.0、Windows 95、Windows 98 或Windows Millennium Edition 的VPN 客户端可以创建到VPN 服务器的远程访问VPN 连接。运行Windows Server 2003 家族产品、Windows 2000 和“路由和远程访问”或Windows NT Server 4.0 和“路由和远程访问服务(RRAS)”的计算机可创建路由器到路由器的VPN 连接。VPN 客户端也可以是任何点对点隧道协议(PPTP) 客户端或使用Internet 协议安全性(IPSec) 的第二层隧道协议(L2TP) 客户端。客户端必须可以将TCP/IP 数据包通过Internet 发送到远程访问服务器上。因此，需要有网络适配器或带有模拟电话线的调制解调器，或其他到Internet 的WAN 连接。

LAN 和远程访问协议

应用程序使用LAN 协议传输信息。远程访问协议用于协商连接，并为通过广域网(WAN) 链接发送的LAN 协议数据提供组帧。“路由和远程访问”支持PPP 远程访问协议。Windows Server 2003 Datacenter Edition、Windows Server 2003 Enterprise Edition、Windows Server 2003 Web Edition 和Windows Server 2003 Standard Edition 都支持诸如TCP/IP 和AppleTalk 的LAN 协议，用这些协议可以访问Internet、UNIX、Apple Macintosh 和Novell NetWare 资源。

隧道协议

VPN 客户端通过使用PPTP 或L2TP 隧道协议，可创建到VPN 服务器的安全连接。

WAN 选项

通过使用诸如T1 和“帧中继”的永久性WAN 连接，将VPN 服务器连接到Internet。通过使用永久性WAN 连接，或拨入（使用标准模拟电话线或ISDN）到本地Internet 服务提供商(ISP)，将VPN 服务器连接到Internet。

安全选项

“路由和远程访问”通过支持登录和域安全，以及对安全主机、数据加密、智能卡、IP 数据包筛选和呼叫器ID 的支持来为VPN 客户端提供安全网络访问。

16.3.2 VPN 隧道协议简介

点对点隧道协议

点对点隧道协议(PPTP) 是在Windows NT 4.0 和Windows 98 中首次被支持的隧道协议。PPTP 是点对点协议(PPP) 的扩展，并协调使用PPP 的身份验证、压缩和加密机制。PPTP 的客户端支持内置于Windows XP 远程访问客户端。

PPTP 的VPN 服务器支持内置于Windows Server 2003 家族的成员。PPTP 与TCP/IP 协议一同安装。根据运行“路由和远程访问服务器安装向导”时所做的选择，PPTP 可以配置为 5 个或128 个PPTP 端口。PPTP 和Microsoft“点对点加密(MPPE)”提供了对专用数据封装和加密的主要VPN 服务。

封装

使用一般路由封装(GRE) 报头和IP 报头包装PPP 帧（包含一个IP、IPX 或Appletalk 数据报）。响应VPN 客户端和VPN 服务器的源IP 地址及目标IP 地址位于IP 报头中。

图16－35显示PPP 帧的PPTP 封装。

图16－35 PPTP 封装

加密

通过使用从MS-CHAP、MS-CHAP v2 或EAP-TLS 身份验证过程中生成的加密密钥，PPP 帧以“Microsoft 点对点加密(MPPE)”方式进行加密。为了加密PPP 帧的有效负载，虚拟专用网客户端必须使用MS-CHAP、MS-CHAP v2 或EAP-TLS 身份验证协议。PPTP 利用下面的PPP 加密，并封装以前加密的PPP 帧。

第二层隧道协议

第二层隧道协议(L2TP) 是基于RFC 的隧道协议，该协议是一种业内标准，首次是在Windows 2000 客户端和服务器操作系统中所支持。与PPTP 不同，运行Windows Server 2003 的服务器上的L2TP 不利用Microsoft 点对点加密(MPPE) 来加密点对点协议(PPP) 数据报。L2TP 依赖于加密服务的Internet 协议安全性(IPSec)。L2TP 和IPSec 的组合被称为L2TP/IPSec。L2TP/IPSec 提供专用数据的封装和加密的主要虚拟专用网(VPN) 服务。

VPN 客户端和VPN 服务器必须支持L2TP 和IPSec。L2TP 的客户端支持内置于Windows XP 远程访问客户端，而L2TP 的VPN 服务器支持内置于Windows Server 2003 家族的成员。

L2TP 与TCP/IP 协议一同安装。根据运行“路由和远程访问服务器安装向导”时所做的选择，L2TP 可以配置为5 个或128 个L2TP 端口。

封装

L2TP/IPSec 数据包的封装由两层组成：

L2TP 封装——使用L2TP 头文件和UDP 头文件包装PPP 帧（包含一个IP 数据包或一个IPX 数据包）。

IPSec 封装——使用IPSec 封装式安全措施负载(ESP) 头文件和尾文件、提供消息完整性和身份验证的IPSec 身份验证尾文件及最后的IP 头文件包装L2TP 结果消息。在IP 头文件中有与VPN 客户端和VPN 服务器对应的源和目标IP 地址。

图16－36显示了PPP 数据包的L2TP 和IPSec 封装。

图16－36 L2TP和IPSec 封装

加密

使用Internet 密钥交换(IKE) 协商进程中生成的加密密钥，L2TP 消息可用数据加密标准(DES) 或三级DES (3DES) 进行加密。

16.3.3案例：配置VPN访问服务器

启动VPN服务

1．单击“开始”→“程序”→“管理工具”→“路由和远程访问”，打开“路由和远程访问”界面，在服务器上单击鼠标右键，在弹出菜单是上选择“配置并启动路由和远程访问”，如图16－37。

图16－37路由和远程访问

2．弹出“路由和远程访问服务器安装向导”界面，如图16－38，单击“下一步”。

配置远程访问服务

配置远程访问服务 一、远程访问服务概述 远程访问服务（Remote Access Servic，RAS）允许客户端通过拨号连接或虚拟专用连接登录网络。远程客户机一旦得到RAS服务器的确认，就可以访问网络资源，就好象客户机已经直接连接在局域网上一样。 1.远程访问连接方式 远程访问服务适合的环境是：在各地有分公司和出差的员工需要访问总部网络的资源。Windows Servic 2003 远程访问服务提供了两种远程访问连接方式： 拨号网络：通过使用电信提供商（例如电话、ISDN或）提供服务，远程客户端使用非永久的拨号连接到远程访问服务器的物理接口上，这时使用的网络就是拨号网络。例如：拨号网络客户端需要安装Modem，使用拨号网络拨打远程访问服务器某个端口的电话号码。 虚拟专用网（Virtual Private NetWork，VPN）：VPN是穿越公用网络（如Internet）的、安全的、点对点连接。虚拟专用网客户端使用特定的，称为隧道协议的基于TCP/IP的协议，与虚拟专用网服务器建立连接。例如，虚拟网络客户端使用虚拟专用网连接（连接目标是IP地址）连接到与Internet相连的远程访问服务器上，验证呼叫方身份后，在虚拟专用网客户端和企业网络之间传送资料。 这两种连接比专线连接，提供了低成本远程访问服务。 拨号的远程访问是通过电话线传输资料，虽然传输速率不高，但是对于那些只有少数资料需要传输的用户，特别是在家庭中办公的用户来说是一个很好的方案。

使用虚拟专用连接不但提供了高的传输效率，而且降低了投资成本和维护成本。相对于拨号连接来说，它节约了通信费用，特别是对于外地的分公司来说，解决了一大笔长途电话的费用。 2.拨号网络组件 a、拨号网络客户端：拨号网络客户端，即远程访问客户端。 b、远程访问服务器：Windows Server 2003 远程访问服务器可以接收拨号连接，并且在远程访问客户机与远程访问服务器所在的网络之间进行资料传送。 c、WAN结构：RAS服务器与客户机之间可以建立不同类型的拨号连接，不同的连接类型提供了不同的速度。这些连接类型包括：公共交换电话网（Public Switch Telephone Network，PSTN）、综合业务数字网（Integrated Services Digital Network，ISDN）、非对称数字用户线（Asymmetric Digital Subscriber Line，ADSL）等。 d、远程访问协议：远程访问协议用来控制连接的建立以及资料在WAN链路上的传输。远程访问客户端与远程访问服务器上所使用的操作系统与LAN协议决定了客户机所能够使用的远程访问协议。Windows Server 2003远程访问支持3中类型的远程访问协议： 点到点协议（point-to-point Protocol，PPP）是一种应用非常广泛的工业标准协议，它支持多个厂商的远程访问软件并支持多种网络协议，可以提供最佳的安全性能、多协议访问以及互操作性。 串行线路网际协议（Serial Line Internet Protocol，SLIP）是一种在运行老式UNIX 操作系统远程访问服务器上使用的协议。 Microsoft RAS协议是一种在运行Microsoft操作系统远程访问客户机上使用的远程访问协议。 e、LAN协议：LAN协议是远程访问客户用来访问连接到远程访问服务器上的网络资源而使用的协议。Windows Server 2003中的远程访问服务支持TCP/IP、IPX以及NetBEUI等协议。 3.VPN组件 通俗地讲，VPN就是基于公共网络（如Internet），在两个或两个以上的局域网之间创建传输资料的网络隧道。当传输资料通过网络隧道时，进行安全的VPN资料加密，从而确保了用户资料的安全性、完整性和真实性。 要使用VPN远程访问，需将RAS服务用作VPN服务器。VPN服务器和客户机通过本地的Internet 服务提供商（Internet Service Provider，ISP）在Internet上建立虚拟点到点的连接，就像是客户机直接连接到服务器的网络上一样。 a、VPN的组成要素有： VPN客户端：VPN客户端可能是一台单独的计算机，也可能是路由器。一般的，VPN 客户端需要通过当地ISP连上公共网络（如Internet）以便和VPN服务器连接。 VPN服务器：接收VPN客户端VPN连接的计算机。该计算机一般是使用专线连接公共网络，有固定IP地址。 隧道：连接中封装资料的部分

Windows 2008 R2 远程桌面服务

Windows 2008 R2 远程桌面服务 （一）安装远程桌面服务 先说明一下：安装终端服务最好在域中的计算机上进行，一是可以方便的添加用于访问该服务的用户；二是可以方便的发布RemoteApp程序；三是可以减少用户的认证次数。但不要在域控制器上安装终端服务，这会造成很大的安全隐患，终端服务会打开服务器的3389端口，这个黑客最喜欢的端口会给你的域控制器带来很大的麻烦。微软的测试环境搭设：一台windows 2008域控制器，一台windows 2008终端服务器，一台windows 7客户端。 关于windows 2008的终端服务的解释，就不说了，微软的Technet上说的很详细。 https://www.wendangku.net/doc/af18187198.html,/zh-cn/library/dd640164(WS.10).aspx。 Windows 2008微软的终端服务比windows 2003强了很多。Windows 2008终端服务的角色服务有：Windows 2008 R2 64位的终端服务现在已改为远程桌面服务，其实功能还是差不多，只是换了个名称而已。 ●远程桌面会话主机（必选，用户使用该功能访问服务器资源） ●远程桌面虚拟化主机（RemoteApp功能） ●远程桌面授权（终端服务访问许可证，不申请最多可以使用120天） ●远程桌面连接代理（负载平衡） ●远程桌面网关（可以通过Internet访问RemoteApp程序） ●远程桌面Web访问（用户使用IE浏览器通过内网或外网访问RemoteApp 程序） 主要的改变在两点，多了RemoteApp和远程桌面Web访问。其实还有远程桌面网关，不过远程桌面网关也是为远程桌面Web访问服务的。远程桌面网关支持从Internet访问，我没有申请的域名，因此就不测试了。 使用域管理员帐号登录，开始安装 1、安装windows 2008终端服务 服务管理器—添加角色，下一步。选择“远程桌面服务”，下一步。

远程访问OPC服务器设置

远程访问OPC服务器设置 OPC客户端一方面可以访问本机上的OPC服务器，另一方面，它还可以利用微软的DCOM机制，通过网络来访问其它计算机上的OPC服务器，从而达到远程数据连接的目的。访问本地服务器比较简单，只要检索本地的OPC服务器，并配置相应的组(Group)和数据项(Item)即可，通过网络访问时需要考虑较多的网络连接因素，大体上来说大概有如下的几个需要配置的方面(以WINXP Xp2为例)： 一. 运行OPC客户端的计算机和运行OPC服务器的计算机需要彼此能互相访问。 1.1要保证其物理连接，也就是网线正确的连接着两台计算机。 1.2在这两台计算机上分别建立同一个账号及密码，比如用户名[opcuser]，密码[123456](注 意：用户密码最好不要设置为空)，在这两台计算上使用这个账户都可以登录系统。关于增加账号及密码请参考对应Windows操作系统的帮助文档。 1.3启用各自Windows操作系统的Guest权限。 完成上面几步后，应该达到的效果是：从任何一台计算机搜索另一台计算机，都可以搜索到，并且可以访问对方计算机的共享目录及共享打印机等资源。如下图： 即便用户没有共享任何东西，也会显示空的共享文件夹，而不会产生诸如”不能访问”

等信息。 如果不能访问对方的计算机，首先用ping命令来保证网络的连通，如果必要的情况下，可以关闭这两台计算机的防火墙(无论是winxp xp2自带的防火墙还是专用的防火墙)以及杀毒软件，以杜绝可能产生的问题。 如果访问另一台计算机产生”拒绝访问”的错误，可从网络查找相关资源进行解决。 二. 配置OPCServer所在的计算机 2.1 注册OPCEnum.exe。 opcenum.exe是运行在服务器端的用于枚举本机OPC服务器的服务程序，由OPC基金会提供。注册opcenum有如下几种方式：a)将opcenum.exe拷贝到系统目录下，然后用命令行运行opcenum /regserver 来注册它。b)安装一些OPC服务器程序时会自动安装并注册这个服务程序，比如iconics的模拟OPC服务器程序。c)运行OPC基金会的OPC Core Redistributable安装包，其中包含必要的模块程序。 考虑到远程访问OPC服务器应用较少，以及opcenum.exe对一般用户在系统安全方面带来的混淆，在HMIBuilder中的OPC服务器本身不带OPCEnum.exe，用户根据自己的需要自行注册。 2.2 配置本机的DCOM安全 2.2.1 在命令行运行dcomcnfg，如下图： 产生配置界面如下：

winserver2008远程桌面开启

win server 2008远程桌面开启操作 凭借无与伦比的安全优势，Windows Server 2008系统让不少朋友在不知不觉中加入了使用行列。不过，这并不意味着Windows Server 2008系统的安全性就能让人高枕无忧了；这不，当我们开启了该系统自带的远程桌面功能后，Windows Server 2008系统的安全问题随即就凸显出来了，如果我们不对远程桌面功能进行合适设置，那么Windows Server 2008服务器系统受到非法攻击的可能性就会加大。为了让Windows Server 2008系统更安全，本文特意总结几则远程桌面功能的安全设置技巧，希望大家能从中获得启发！强迫执行网络级身份验证尽管传统操作系统也具有远程桌面功能，不过Windows Server 2008系统对远程桌面功能的安全性能进行了强化，它允许网络管理员通过合适设置来强迫远程桌面连接用户执行网络级身份验证，以防止一些非法用户也趁机使用远程桌面功能来入侵Windows Server 2008服务器系统。要实现强迫远程桌面连接用户执行网络级身份验证操作时，我们必须按照如下步骤来设置Windows Server 2008系统的远程桌面连接参数：首先以超级用户的身份登录进入Windows Server 2008服务器系统，打开对应系统的“开始”菜单，从中依次选择“程序”、“管理工具”、“服务器管理器”选项，打开本地服务器系统的服务器管理器控制台窗口；其次将鼠标定位于服务器管理器控制台窗口左侧显示区域中的“服务器管理”节点选项上，在对应“服务器管理”节点选项的右侧显示区域，单击“服务器摘要”设置区域中的“配置远程桌面”链接，打开服务器系统远程桌面功能的设置对话框； 在该设置对话框的“远程桌面”处，服务器系统共为我们提供了三个设置选项，如果我们想让局域网中的任何一台普通计算机都能顺利使用远程桌面连接来远程控制Windows Server 2008服务器系统时，那应该将“允许运行任意版本远程桌面的计算机连接”功能选项选中，当然这种功能选项容易对Windows Server 2008服务器系统的运行安全性带来麻烦。 为了让我们能够安全地使用远程桌面功能来远程控制服务器，Windows Server 2008系统推出了“只允许运行带网络级身份验证的远程桌面的计算机连接”这一控制选项（如图1所示），我们只要将该控制选项选中，再单击“确定”按钮保存好设置操作，日后Windows Server 2008系统就会自动强制对任何一位远程桌面连接用户执行网络级身份验证操作了，这样的话非法用户自然也就不能轻易通过远程桌面连接功能来非法攻 击 Windows Server 2008服务器系统了。 只许特定用户使用远程桌面要是开通了Windows Server 2008服务器系统的远程桌面功能，本地服务器中也就多开了一扇后门，有权限的用户能进来，没有权限的用户同样也能进来，如此一来本地服务器系统的运行安全性自然就容易受到威胁。事实上，我们可以对Windows Server 2008服务器系统的远程桌面功能进行合适设置，让有远程管理需求的特定用户能从远程桌面这扇后门中进来，其他任何用户都不允许自由进出，那样的 话 Windows Server 2008服务器系统受到非法攻击的可能性就会大大降低了；要想让特定用户使用远程桌面功能，我们可以按照如下操作来设置Windows Server 2008服务器系统：首先打开Windows Server 2008服务器系统的“开始”菜单，从中依次选择“程序”、“管理工具”、“服务器管理器”选项，进入本地服务器系统的服务器管理器控制台窗口； 其次单击服务器管理器控制台窗口右侧区域中的“配置远程桌面”链接选项，打开服务器系统远程桌面功能的设置对话框，单击该对话框中的“选择用户”按钮，系统屏幕上将会出现如图2所示的设置窗口； 将该设置窗口中已经存在的用户账号一一选中，并单击“删除”按钮；之后，再单击“添加”按钮，在其后出现的用户账号浏览对话框中，找到有远程管理需求的特定用户账号，并将该账号选中添加进来，再单击“确定”按钮退出设置操作，这样的话任何一位普通用户日后

局域网内远程连接OPC配置方法详解

局域网内远程连接O P C 配置方法详解 The manuscript was revised on the evening of 2021

一.运行环境 OPC服务器操作系统：Win7，客户端操作系统：Win7，如果是XP系统则配置方法类似（见后面）。 由于OPC（OLE for Process Control）建立在Microsoft的COM（Component Object Model）组件对象模型基础上，并且OPC的远程通讯依赖Microsoft的DCOM（Distribute COM），安全方面则依赖Microsof的Windows安全设置。 二.配置 （配置前先对注册表备份，特别是关键的几个项单独导出 HKEY_LOCAL_MACHINE\SOFTWARE\Policies\Microsoft\Windows NT\DCOM和 HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Ole） 1.保持OPC Server服务器与客户端的用户名密码相同。(服务器端与客户端) 分别在客户端和服务端上添加相同的账户名和密码，一定要确保相同。因为访问是通过windows验证的，在远程访问时需要有着相同的账户和密码。操作如下： 若是为了安全考量，请保持密码不为空。要想使新创建的用户有使用DCOM的权限，需要将用户加入“Distribute COM Users”用户组。 2.关闭防火墙或在防火墙设置中将相应的程序和端口加入到例外(服务器端与客户端)

服务器端的防火墙设置中OPC服务器软件端口例外 3.组件服务配置(服务器端) 操作：开始--》运行--》输入：dcomcnfg 在“组件服务”管理器的左侧树形菜单，选择“组件服务\计算机\我的电脑”，在鼠标右键的弹出菜单，选择“属性”项目，在弹出的“我的电脑属性”，选择“默认属性”标签页，如下图： 注意，若“我的电脑”显示红色向下箭头，右键无“属性”项，处理如下： a.在运行中输入msdtc –resetlog； b.在命令行下运行 msdtc -uninstall，删除了 msdtc（Distributed Transaction Coordinator）服务 c.重新启动机器后，在命令行下运行 msdtc -install，安装 msdtc 服务。

远程访问服务器设置

远程访问服务器设置 1设置TCP/IP协议 如果安装了多种网络协议，可以通过限制远程用户使用的网络协议来控制远程客户访问的网络资源。TCP/IP是最流行的LAN协议。对于TCP/IP协议来说"还需给远程客户分配IP地址以及其他TCP/IP配置，如DNS服务器和WINS服务器、默认闷关等。打开[路由和远程访问服务]控制台，在目录树中选择相应的服务器，单击鼠标右键，从弹出的快捷菜单中选择[属性]打开属性设置对话框，切换到如图4.43所示的[IP]选项卡，设置IP选项。 1.允许远程客户使用TCP/IP协议

选中[允许基于IP的远程访问和请求拨号连接]复选框，将允许远程访问客户机使用IP协议来访问服务器。如果清除此项，使用IP协议的客户端将不能连接远程访问服务器。 2.限制远程客户访问的网络范围 如果希望基于即的远程访问客户机能够访问到远程访问服务器所连接的网络，应选中[启用IP路由]复选框，激活路由功能。如果清除该选项。使用IP协议的客户机将只能访问远程访问服务器本身的资源，而不能访问网络中的其他资源。 3.向远程客户机指派lP地址 每个通过PPP连接到Windows2000远程访问服务器的远程计算机，都会被自动提供一个IP地址。远程访问服务器获得分配给远程访问客户机的IP地址有两种方式。 通过DHCP服务器获得。 由管理员指派给远程访问服务器的静态IP地址范围。 远程访问服务器也会从获得的IP地址中留出一个自己使用。 在[IP]选项卡的[IP地址分配]区域中设置向远程客户机分配IP地址的方式和范围。 通过DHCP服务器分配IP地址 如果选择[动态主机配置协议]单选钮。将由DHCP服务器为远程客户指定IP地址。远程访问将从DHCP服务器上一次性获得10个IP 地址，如图4.44所示。远程访问服务器将从DHCP获得的第一个IP 地址留给自己使用，并且在与基于TCP/IP的远程访问客户机连接时，

无法连接Windows远程服务器的几种解决办法

有时在登陆3389的时候会出现如下提示： 具体的解决办法： 有时候是这个错误提示：由于网络错误，连接被中断，请重新连接到远程计算机 远程连接我肯定是开启了的，防火墙里面3389端口也是打开的，并且连接其他的服务器就可以连接上，说明我本机没问题，用扫描软件，扫描了一下这个服务器，显示IP和端口都是存在的，说明这个服务器网络也没问题，实在没办法，只有不断的测试，后来在系统日志里面看到很多条系统错误信息。其中：严重错误“RDP 协议组件 "DATA ENCRYPTION" 在协议流中发现一个错误并且中断了客户端连接。”引起了我的注意。 几经周折得知这是因为Certificate子键负责终端服务通信中数据信息的认证和加密，它一旦被损坏，终端服务的协议组件就会检测到错误，中断客户机与终端服务器之间的通信。导致Certificate子键损坏的原因很多，如管理员安装和卸载某些系统软件、对终端服务参数的不合理配置等。这时我们需要重置该键值中的内容，才能修复终端服务。 进入注册表编辑器窗口，展开“HKEY_LOCAL_MA CHINE\ SYSTEM\CurrentCon trolSet\Services\TermService\ Parame ters”，找到名为“Certificate”的子键，将它删除，重新启动XP系统或Windows 2000 Server服务器，系统就会重新生成“Certificate”子键，这样客户端就能正常连接到终端服务器了。 在终端服务器出现无法连接的问题后，我们首先要判断这是不是网络故障引起的，检测远程客户端和XP系统 (Windows 2000 Server服务器)是否能够正常连接到网络;然后就要检查终端服务器的加密级别是否设置过高。排除上述原因后，就有可能是“Certificate”子键损坏了。此外，“HKEY_LOCAL _MACHINE\ SYSTEM\Cur rentControlSet\Services\Term Service\Parameters”下的 “X509 Certificate”和“X509 Certificate ID”损坏了也有可能导致终端服务出现问题，它们的修复方法与“Certificate”子键损坏后的修复方法相同。

配置远程访问服务

第五章实验报告 实验任务： (1) 一、RAS+DC+PPTP (1) 1．建立共享目录发布到活动目录 (1) 2．远程客户端访问活动目录资源 (1) 二、RAS+DC+PPTP高级设置 (1) 1．设置用户通过远程访问策略拨入 (1) 2．设置远程访问策略 (1) ?限制拨入时间 (1) ?限制拨入的组 (1) ?限制验证方法 (1) ?设置加密方法 (1) 实验要求： (1) 1．完成以上实验配置 (1) 2．要求截图 (1) 实验操作过程： (2) 一、RAS+DC+PPTP (2) 1．配置路由和远程访问服务器 (2) 2．新建拨号用户 (3) 3．验证 (4) 二、RAS+DC+PPTP高级设置 (5) 1．用户拨入属性设置 (5) 2．验证 (7) 3．设置验证方法 (8) 4．设置加密方法 (9) 实验任务： 一、RAS+DC+PPTP 1．建立共享目录发布到活动目录 2．远程客户端访问活动目录资源 二、RAS+DC+PPTP高级设置 1．设置用户通过远程访问策略拨入 2．设置远程访问策略 ?限制拨入时间 ?限制拨入的组 ?限制验证方法 ?设置加密方法 实验要求： 1．完成以上实验配置 2．要求截图

实验操作过程： 一、RAS+DC+PPTP 操作步骤： 1．配置路由和远程访问服务器 配置路由和远程访问服务→远程访问（拨号域VPN）→选择“VPN”→选择外部网络 连接，如图1-1所示： 图1-1 选择“来自一个指定的地址范围”→设置地址池的范围，如图1-2所示：

图1-2 2．新建拨号用户 在RAS服务器上建立用户“shadow”并设置拨入权限，如图1-3所示：

如何远程连接服务器

如何远程连接服务器 大多数的公司、网站、论坛的服务器都是放在机房叫人托管，因此挑选托管机房是一件很重要也很头疼的事，虽然每个机房都说是24小时留人值守，但事实是服务器真宕机的时候，打电话叫人重启，对方总能找到理由拖上半天才给你重启，给公司和网站论坛带来麻烦甚至造成经济损失。为此，南宁网络人电脑有限公司推出了一套方便、简捷的远程控制解决方案：通过电话唤醒技术远程重启计算机，解决无人值守的问题，再配合免费的网络人(Netman)远程控制软件，实现远程控制电脑：远程运行软件程序、上传下载和修改文件、远程开启外接设备等！ 详情咨询：https://www.wendangku.net/doc/af18187198.html,/hardware.asp 第一步：远程开机 将网络人开机卡插在计算机的PCI 插槽上，不需要其他软件配合，不需要在电脑上安装驱动，打个电话，就能远程开机。网络人开机卡，有固话和手机两个版本。固话版需要从电话机上分出一根电话线插到开机卡上；如果你的电脑旁没有座机，可以选择手机版，在控制上放置一张手机卡。开机卡安装好后，只要拨打该电话或手机号，即可实现远程开机，简单实用，快捷稳定。 简单人性化的开机方法：

拨打接在开机卡上的电话或手机，在过了30一50秒的等待时间，如无人接听，将进入启动平台，这时语音提示输入登陆密码进行验证，验证密码正确之后，便可以根据语音提示来对电脑进行开关机的操作了： 按1#键，相当于手工按了一下电脑面板上的开机按键，电脑启动。 按2#键，相当于手工按了一下电脑面板上的开机按键，电脑关闭。如果电脑已经处于关机状态下，就会提示指令无效。 按3#键，可以修改响铃时间。需要提醒大家的是，一般的电话响铃时间都不会超过50秒，如果超过就自动挂机了，因此提醒大家设置响铃时间时不要超过50秒。 按下4#键，可以修改登陆密码，默认的登陆密码是123456 ，大家在使用时最好更改为6位数的其他密码。 按下5#键，相当于手工持续按下电脑面板上的开机按键6秒钟。电脑在死机的情况下，就可以通过这一功能，强制关闭电脑。过几分钟后，再重新启动就可以了。 如果你忘记了登陆密码，可以按下电话插口旁的复位键，得设置恢复到出厂设置，密码将复原为123456。 第二步：远程控制、操作计算机 安装完成后，还可以通过网络人（Netman）配套的远控软件对电脑进行远程控制。 网络人(Netman)个人版是一款可以穿透内网、完全免费、超级安全的远程控制软件。支持远程隐性监控对方屏幕，遥控键盘、鼠标，远程上传、下载、修改、运行文件……就像操作自己电脑一样方便，大大提高远程办公效率。

服务器远程无法访问的常见解决办法

登录失败：未授予用户在此计算机上的请求登录类型。无法访问。您可能没有权限使用网络资源。请与这台服务器的管理员联系以查明您是否有访问权限。 登录失败：未授予用户在此计算机上的请求登录类型。无法访问。您可能没有权限使用网络资源。请与这台服务器的管理员联系以查明您是否有访问权限。 如果出现“xxx计算机无法访问，您可能没有权限使用网络资源。请与这台服务器的管理员联系以查明您是否有访问权限”的报错，这可能是计算机的安全设置被改动过了，导致目标计算机无法被访问。可以采取以下步骤解决： 1. 取消简单文件共享。 打开“我的电脑”，在菜单上选择“工具”->“文件夹选项”->“查看”，清除“使用简单文件共享（推荐）”的选择。 2. 启用guest账户。 右键点击“我的电脑”，选择“管理”，选择“本地用户和组”->“用户”，右键点击Guest用户，选“属性”，清除“帐户已停用”的选择。 3. 在组策略中设置，安全策略。 开始--运行--gpedit.msc--计算机配置--windows设置--安全设置--本地策略--“用户权力指派”，双击右边的“从网络访问此计算机”，保证其中有Everyone，双击左边的“拒绝从网络访问此计算机”，保证其是空的。 4. 选择左边的“本地策略”->“安全选项”， a.确认右边的“网络访问：本地帐户的共享与安全模式”为“经典”； b.确认右边的“Microsoft网络客户：为通讯启用数字签名（总是）”为“已停用”； c.确认右边的“Microsoft网络客户：为通讯启用数字签名（如果服务器允许）”为“已启用”； d.确认右边的“Microsoft网络服务器：为通讯启用数字签名（总是）”为“已停用”； e.确认右边的“Microsoft网络服务器：为通讯启用数字签名（如果服务器允许）”为“已启用”。 5．正确配置网络防火墙 1>很多机器安装了网络防火墙，它的设置不当，同样导致用户无法访问本机的共享资源，这时就要开放本机共享资源所需的NetBIOS端口。笔者以天网防火墙为例，在“自定义IP规则”窗口中选中“允许局域网的机器使用我的共享资源”规则，最后点击“保存”按钮，这样就开放了NetBIOS端口。 2>关闭windows自带防火墙。 6．合理设置用户访问权限 网络中很多机器使用NTFS文件系统，它的ACL功能（访问控制列表）可以对用户的访问权限进行控制，用户要访问这些机器的共享资源，必须赋予相应的权限才行。如使用Guest账号访问该机器的CPCW共享文件夹，右键点击该共享目录，选择“属性”，切换到“安全”标签页，然后将Guest账号添加到用户列表中，接着指定Guest的访问权限，至少要赋予“读取”和“列出文件夹目录”权限。如果想让多个用户账号能访问该共享目录，只需要添加Eeryone账号，然后赋予“读取”和“列出文件夹?.. 7、网络协议配置问题， A、网络协议的安装和设置 1.在WinXP中安装NetBEUI协议 对的，你没有看错，就是要在WinXP中安装NetBEUI协议。微软在WinXP中只支持TCP/IP协议和NWLink IPX/SPX/NetBIOS兼容协议，正式宣布不再支持NetBEUI协议。但是在建立小型局域网的实际使用中，使用微软支持的两种协议并不尽如人意。比如，在解决网上邻居慢问题的过程中，笔者采用了诸多方法后网上邻居的速度虽然好一点，但还是慢如蜗牛；另外，在设置多块网卡的协议、客户和服务绑定时，这两种协议还存在BUG，多块网卡必须同时绑定所有的协议（除NWLink NetBIOS）、客户和服务，即使你取消某些绑定重启后系统又会自动加上，这显然不能很好地满足网络建设中的实际需要。而当笔者在WinXP中安装好NetBEUI协议后，以上两个问题都得到圆满的解决。

Windows Server 2008远程桌面设置

Windows server 2008设置远程桌面 凭借无与伦比的安全优势，Windows Server 2008系统让不少朋友在不知不觉中加入了使用行列。不过，这并不意味着Windows Server 2008系统的安全性就能让人高枕无忧了；这不，当我们开启了该系统自带的远程桌面功能后，Windows Server 2008系统的安全问题随即就凸显出来了，如果我们不对远程桌面功能进行合适设置，那么Windows Server 2008服务器系统受到非法攻击的可能性就会加大。为了让Windows Server 2008系统更安全，本文特意总结几则远程桌面功能的安全设置技巧，希望大家能从中获得启发！ 强迫执行网络级身份验证 尽管传统操作系统也具有远程桌面功能，不过Windows Server 2008系统对远程桌面功能的安全性能进行了强化，它允许网络管理员通过合适设置来强迫远程桌面连接用户执行网络级身份验证，以防止一些非法用户也趁机使用远程桌面功能来入侵Windows Server 2008服务器系统。要实现强迫远程桌面连接用户执行网络级身份验证操作时，我们必须按照如下步骤来设置Windows Server 2008系统的远程桌面连接参数：首先以超级用户的身份登录进入Windows Server 2008服务器系统，打开对应系统的“开始”菜单，从中依次选择“程序”、“管理工具”、“服务器管理器”选项，打开本地服务器系统的服务器管理器控制台窗口； 其次将鼠标定位于服务器管理器控制台窗口左侧显示区域中的“服务器管理”节点选项上，在对应“服务器管理”节点选项的右侧显示区域，单击“服务器摘要”设置区域中的“配置远程桌面”链接，打开服务器系统远程桌面功能的设置对话框； 在该设置对话框的“远程桌面”处，服务器系统共为我们提供了三个设置选项，如果我们想让局域网中的任何一台普通计算机都能顺利使用远程桌面连接来远程控制Windows Server 2008服务器系统时，那应该将“允许运行任意版本远程桌面的计算机连接”功能选项选中，当然这种功能选项容易对Windows Server 2008服务器系统的运行安全性带来麻烦。 为了让我们能够安全地使用远程桌面功能来远程控制服务器，Windows Server 2008系统推出了“只允许运行带网络级身份验证的远程桌面的计算机连接”这一控制选项（如图1所示），我们只要将该控制选项选中，再单击“确定”按钮保存好设置操作，日后Windows Server 2008系统就会自动强制对任何一位远程桌面连接用户执行网络级身份验证操作了，这样的话非法用户自然也就不能轻易通过远程桌面连接功能来非法攻击Windows Server 2008服务器系统了。

配置拨号远程访问服务器的逐步式指南

配置拨号远程访问服务器的逐步式指南 本逐步式指南提供了配置路由和远程访问服务(RRAS) 结构以支持拨入远程访问连接的指导。 本页内容 简介 逐步式指南 Windows Server 2003 部署逐步式指南提供了很多常见操作系统配置的实际操作经验。本指南首先介绍通过以下过程来建立通用网络结构：安装Windows Server 2003；配置Active Directory?；安装Windows XP Professional 工作站并最后将此工作站添加到域中。后续逐步式指南假定您已建立了此通用网络结构。如果您不想遵循此通用网络结构，则需要在使用这些指南时进行适当的修改。 通用网络结构要求完成以下指南。 ?

? 在配置通用网络结构后，可以使用任何其他的逐步式指南。注意，某些逐步式指南除具备通用网络结构要求外，可能还需要满足额外的先决条件。任何额外的要求都将列在特定的逐步式指南中。 Microsoft Virtual PC 可以在物理实验室环境中或通过虚拟化技术（如Microsoft Virtual PC 2004 或Microsoft Virtual Server 2005）来实施Windows Server 2003 部署逐步式指南。借助于虚拟机技术，客户可以同时在一台物理服务器上运行多个操作系统。Virtual PC 2004 和Virtual Server 2005 就是为了在软件测试和开发、旧版应用程序迁移以及服务器整合方案中提高工作效率而设计的。 Windows Server 2003 部署逐步式指南假定所有配置都是在物理实验室环境中完成的，但大多数配置不经修改就可以应用于虚拟环境。 将这些逐步式指南中提供的概念应用于虚拟环境超出了本文的讨论范围。 重要说明 此处作为例子提到的公司、组织、产品、域名、电子邮件地址、徽标、个人、地点和事件纯属虚构，决不意指，也不应由此臆测任何公司、组织、产品、域名、电子邮件地址、徽标、个人、地点或事件。 此通用基础结构是为在专用网络上使用而设计的。此通用结构中使用的虚拟公司名称和域名系统(DNS) 名称并未注册以便在Internet 上使用。您不应在公共网络或Internet 上使用此名称。 此通用结构的Active Directory 服务结构用于说明“Windows Server 2003 更改和配置管理”如何与Active Directory 配合使用。不能将其作为任何组织进行Active Directory 配置的模型。 概述 为支持远程访问公司网络的用户，您可以部署拨号网络、虚拟专用网络(VPN) 或者同时部署这两种网络。用户可使用电话线并通过拨号网络直接拨入网络上的远程访问服务器。连接到Internet 上的远程用户可通过VPN 建立与网络上VPN 服务器之间的连接。还提供了有关部署VPN 的其他指导。该指南讨论了配置拨号远程访问解决方案所需的步骤。 在确定最适用于组织的解决方案时，请考虑每种解决方案的相对成本效率以及它们能在多大程度上满足组织对安全性和可用性方面的要求。还应考虑支持您的远程访问服务器设计所需要的Intranet 网络结构。如果支持结构设计不当，远程访问客户端就无法获取IP 地址和解析Intranet 名称，并且无法在远程访问客户端和Intranet 资源之间传送数据包。 提供安全可靠且符合您组织需要的远程访问解决方案的关键在于，在确定是部署拨号网络、VPN 还是同时部署这两种网络后仔细规划和测试您的远程连接设计。VPN 远程访问服务器部署涉及的任务与拨号远程访问服务器部署不同；但是，您的远程访问解决方案通常包括这二者的设计要素。图 1 显示拨号远程访问解决方案的基本

PCS7远程访问OPC服务器设置

OPC服务器设置 OPC客户端一方面可以访问本机上的OPC服务器，另一方面，它还可以利用微软的DCOM机制，通过网络来访问其它计算机上的OPC服务器，从而达到远程数据连接的目的。访问本地服务器比较简单，只要检索本地的OPC服务器，并配置相应的组(Group)和数据项(Item)即可，通过网络访问时需要考虑较多的网络连接因素，大体上来说大概有如下的几个需要配置的方面(以WINXP Xp2为例)： 一. 运行OPC客户端的计算机和运行OPC服务器的计算机需要彼此能互相访问。 1.1要保证其物理连接，也就是网线正确的连接着两台计算机。 1.2在这两台计算机上分别建立同一个账号及密码，比如用户名[opcuser]，密码[123456](注 意：用户密码最好不要设置为空)，在这两台计算上使用这个账户都可以登录系统。关于增加账号及密码请参考对应Windows操作系统的帮助文档。 1.3启用各自Windows操作系统的Guest权限。 完成上面几步后，应该达到的效果是：从任何一台计算机搜索另一台计算机，都可以搜索到，并且可以访问对方计算机的共享目录及共享打印机等资源。如下图： 即便用户没有共享任何东西，也会显示空的共享文件夹，而不会产生诸如”不能访问”

等信息。 如果不能访问对方的计算机，首先用ping命令来保证网络的连通，如果必要的情况下，可以关闭这两台计算机的防火墙(无论是winxp xp2自带的防火墙还是专用的防火墙)以及杀毒软件，以杜绝可能产生的问题。 如果访问另一台计算机产生”拒绝访问”的错误，可从网络查找相关资源进行解决。 二. 配置OPCServer所在的计算机 2.1 注册OPCEnum.exe。 opcenum.exe是运行在服务器端的用于枚举本机OPC服务器的服务程序，由OPC基金会提供。注册opcenum有如下几种方式：a)将opcenum.exe拷贝到系统目录下，然后用命令行运行opcenum /regserver 来注册它。b)安装一些OPC服务器程序时会自动安装并注册这个服务程序，比如iconics的模拟OPC服务器程序。c)运行OPC基金会的OPC Core Redistributable安装包，其中包含必要的模块程序。 考虑到远程访问OPC服务器应用较少，以及opcenum.exe对一般用户在系统安全方面带来的混淆，在HMIBuilder中的OPC服务器本身不带OPCEnum.exe，用户根据自己的需要自行注册。 2.2 配置本机的DCOM安全 2.2.1 在命令行运行dcomcnfg，如下图： 产生配置界面如下：

远程终端服务与远程桌面的区别

远程终端服务与远程桌面的区别 在windows 2000server和windows 2003中存在着一个叫做终端服务的组件，伴随着这个终端服务还有一个叫做终端授权的组件。另外在windows 2000 server和windows 2003还有windows XP中要有一个被称为远程桌面控制的功能，网络管理员可以通过远程桌面连接程序控制网络中任何一台开启了远程桌面控制功能的计算机。那么远程桌面连接和终端服务有哪些相同点和不同点呢？ 一、什么是远程桌面？ 远程桌面是微软公司为了方便网络管理员管理维护服务器而推出的一项服务。从windows 2000 server版本开始引入，网络管理员使用远程桌面连接程序连接到网络任意一台开启了远程桌面控制功能的计算机上，就好比自己操作该计算机一样，运行程序，维护数据库等。远程桌面从某种意义上类似于早期的telnet，他可以将程序运行等工作交给服务器，而返回给远程控制计算机的仅仅是图象，鼠标键盘的运动变化轨迹。 二、什么是终端服务？ 终端服务仅仅存在于windows 2000 server版和2003中，其他系统不存在此组件。终端服务默认情况下是不安装在操作系统中的，需要时通过添加删除windows组件来安装。终端服务起到的作用就是方便多用户一起操作网络中开启终端服务的服务器，所有用户对同一台服务器操作，所有操作和运算都放在该服务器上。 三、如何开启远程桌面：

图1 开启远程桌面功能的方法很简单，我们以前也介绍过多次。在windows 2000 server 和2003中只要在桌面“我的电脑”上点鼠标右键选择“属性”，在弹出的属性设置窗口中找到“远程”标签，然后在远程桌面处的“容许用户远程连接到此计算机”前打勾即可。（如图1）开启该功能后网络中的其他计算机就可以通过“程序->附件->通讯->远程桌面连接”来控制和访问该服务器了。 四、如何开启终端服务： 上面也提到了终端服务默认是不安装在系统里的，所以我们要手动安装。本篇文章以WINDOWS 2003为例。 第一步：通过任务栏的“开始->控制面板->添 图2 第二步：添加/删除程序窗口左边选择添加删除windows组件。在组件中找到终端服务器和终端服务器授权两项，在安装前系统会给出配置警告提示“IE增强的安全配置将大大限制终端服务器上的用户，是否恢复低安全配置”，我们选“是”即可。因为默认情况下windows 2003浏览器的安全级别设置过高，容易造成终端服务使用者权限被限制。（如图3） 图3 点击看大图 第三步：选择终端服务器和终端服务器授权后就可以直接点“下一步”进行安装了。（如图4） 图4

如何远程管理服务器

如何远程管理服务器 服务器托管是企业选择服务器的常用方式之一，所谓服务器托管是指用户购买独立服务器，并有企业技术人员进行软件以及硬件的安装，调试成功后托管到当地的电信大楼或者IDC机房，由服务器托管商提供网络带宽和机房运行环境。当服务器出现故障则是由企业技术人员进行远程管理服务器，那么，服务器托管如何远程管理服务器？ 在进行服务器租用或者服务器托管之后，除非重装操作系统等特殊情况，您都不需要进入机房，而直接在本地进行远程管理。可以实现远程桌面控制的软件和方法有很多，可以使用pcanywhere等软件来实现，也可以使用win2003自带的“远程桌面”来实现。 方法一、远程桌面使用方法 远程桌面控制是一种远程控制管理软件，可以在客户端利用其来遥控和管理远程的电脑，而且简单方便。 1、在控制面板中打开“系统”，或者右键点“我的电脑”选择“属性”。 2、在“远程”选项卡上，选中“允许用户远程连接到这台计算机”复选框即可。 3、确保您有适当的权限远程地连接您的计算机，并单击"确定"。在您的计算机上，您必须是管理员或者Remote Desktop Users 组的成员。(注意：必须作为管理员或Administrators 组的成员登录才能启用远程桌面功能) 4、本机主控设置：开始-程序-附件-通讯-远程桌面连接，输入您服务器的IP地址即可连接上您的服务器。 方法二、pcanywhere使用方法 pcanywhere在实际使用上是非常简单和方便 1、下载了此工具软件，双击安装，并以下一步，下一步，就可以完成整个安装过程; 2、安装完成后，提供两选择，一个是主控端，用来控制别的主机，二是被控端，用来提供给别人控制你的电脑; 3、选择主控端，在配置里加入对方电脑的域名或者IP地址，然后打开些主控端，就会自动地方寻找此主机，并让你控制此电脑; 4、选择被控端，此电脑将会以服务端方式等待对方主机对本电脑的控制。

最全的交换机远程登录配置实例

1．关于连接端口问题 使用telnet登录时，用于连接交换机的端口应属于vlan1（默认vlan），其他vlan，则无法登录。 2．关于用户权限、口令设置及修改问题 默认情况下，从vty用户界面登录后可以访问的命令级别为0级。这里的命令级别是指登录到交换机后，对交换机操作的命令级别，而与telnet登录权限无关。但在telnet状态下，只有属于管理级（3级）的用户，才可以进入用户系统视图进行操作。因此，如果要想用telnet 登录对交换机进行配置，首先需要先用console登录，对交换机进行telnet登录用户名、口令、命令权限配置。 例1：用console口进行TELNET密码、命令级别设置 [H3C] user-interface vty 0 4 //进入vty用户视图 [H3C-ui-vty0-4] authentication-mode password //在vty用户视图设置[H3C-ui-vty0-4] set authentication password simple 123456 //设置明文密码 [H3C -ui-vty0-4]user privilege level 3 //设置命令级别 例2：用console口进行TELNET用户名、密码、命令级别设置 [H3C]user-interface vty 0 4 //进入vty用户视图 [H3C -ui-vty0-4]authentication-mode scheme //进行用户名称＋口令方式进行配置[H3C]local-user test // 设置本地用户名为test [H3C -user-test]service-type telnet level 3 //设置test用户命令级别为3 [H3C -user-test]password simple 123456 //设置test用户密码为123456 例3：TELNET登录后对用户test修改口令 [H3C]local-usertest //进入test用户视图 [H3C -user-test]service-type telnet level 3 //如果少此步，则不能进行口令修改[H3C -user-test]password simple test999 //修改test用户密码为test999