Телефонная книга RAS. Удаленный доступ к компьютеру штатными средствами Windows

Данная служба установленная в Windows Server 2003, позволяющая решать следующие задачи:

• подключение мобильных (или домашних) пользователей к корпоративной сети через коммутируемые телефонные линии и другие средства коммуникаций (например, сети Frame Relay, X.25);
• подключение к сети главного офиса компании удаленных офисов (через телефонные линии и сети
  Frame Relay, X.25);
• организация защищенных соединений (виртуальные частные сети VPN ) между мобильными пользователями,
  подключенными к сетям общего пользования (например, Интернет), и корпоративной сетью;
• организация защищенных соединений между офисами компании, подключенными к сетям общего пользования;
• маршрутизация сетевого трафика между различными подсетями корпоративной сети, соединенными как с помощью технологий локальных сетей, так и с помощью различных средств удаленных коммуникаций (например, по коммутируемым телефонным линиям).

Служба RRAS обладает богатым набором функций и возможностей. Здесь же мы рассмотрим только базовые функции и возможности данной службы.

Службы удаленного доступа, реализованные различными производителями, используют два основных коммуникационных протокола, которые работают на канальном уровне. Эти следующие протоколы:

• протокол SLIP (Serial Line Interface Protocol) - старый протокол, работает в основном в системах семейства UNIX (разработан специально для подключения пользователей к сети Интернет);

o системы семейства Windows поддерживают данный протокол только на клиентской части. SLIP
позволяет работать только с сетевым стеком TCP/IP, и требует написания
специальных сценариев для подключения клиента к серверу. На базе этого
протокола нельзя построить VPN соединения.

• протокол PPP (Point-to-Point Protocol) - точнее, семейство протоколов, позволяющий пользователям прозрачно подключаться к серверу удаленного доступа, использовать различные сетевые протоколы (TCP/IP, IPX/SPX, NetBEUI, AplleTalk), создавать VPN . Служба удаленного доступа серверов Windows использует только именно этот протокол.

Установка и первоначальная настройка службы RRAS

Служба « Маршрутизации и Удаленного Доступа»RRASустанавливается при установке системы, но по умолчанию она отключена. Ее необходимо включить и настроить.

Для этого нажмем кнопку "Пуск", выберем "Все программы" - "Администрирование" - "Маршрутизация и удаленный доступ". Смотрите рисунок 1.

Р исунок 1.

Рисунок 2.

Как мы видим из консоли служба не запущена. Запускаем ее так. Щелкаем правой кнопкой мыши на "состояние сервера" и в открывшимся окне выбираем опцию "Добавить сервер". Рисунок 3.

Рисунок 3.

После выбора этого пункта из меню, у нас откроется следующие окно. Рисунок 4.

Рисунок 4.

Выбираем опцию "этот компьютер" так как пока мы собираемся запустить RASS на данном устройстве. Там есть и другие опции но пока мы их оставим в покое, и нажимаем ОК.

Следующее окно должно быть как на рисунке 5, за исключением имени сервера. У меня сервер назван "TRAMBON" и написан с ошибкой, надо писать "TROMBON" но эта ошибка в данном случае моему серверу абсолютно "индиферентно", а у вас при настройке будет имя вашего сервера. Рисунок 5.

Рисунок 5 .

Как мы видим из открывшегося окна(рис. 5), состояние нашего сервера отмечена красным а это говорит что служба RRAS не"включена". Можно прямо в этом окне прочитать что делать дальше, да и справку не мешало бы прочитать, но мы пойдем дальше и щелкая правой клавишей по нашему не активному серверу. Откроется окно как на рисунке 6.

Рисунок 6.

Выбираем в данном меню "Настроит и включить маршрутизацию и удаленный доступ". Запустится "Мастер установки сервера маршрутизации и удаленного доступа". Нажимаем "далее" и у нас откроется такое окно. Рисунок 7.

Рисунок 7.

В этом окне мы можем выбрать требуемую конфигурацию нашей службы, но мы выберем "не пьянства ради" а в учебных целях, опцию "Особая конфигурация", и нажимаем "Далее". Откроется следующее окно мастера - рисунок 8.

Рисунок 8.

И тут мы проявим неслыханную жадность, отметим все опции и нажмем далее.

Далее у нас появится окно которое сообщит нам о завершении работы мастера и сводкой выбранных нами параметров.Не буду ее приводить тут. Потом нам зададут вопрос типа -запустить чи нет службу RRAS, и мы ответим гордо "Да"!

В итоге мы получим следующую картину как на рисунке 9.

Рисунок 9.

Теперь давайте настроим сервер. Щелкнем правой клавишей по нашему серверу и в открывшемся меню выберем "свойства". Рисунок 10.

Рисунок 10.

Откроется окно на рисунке 11. И перейдем на вкладку "Общие "

Рисунок 11 .

Здесь мы можем изменить работу службы а именно:

• Только как "маршрутизатор" -

Только для локальной сети

Или "локальной сети и вызова по требованию".

• Только "сервер удаленного доступа".

Комбинация и "маршрутизатор" с некоторой опцией и "сервер удаленного доступа", как на рисунке 11.

На вкладке "Безопасность " настраивается проверка подлинности (аутентификации) пользователей. Рисунок 12.

Рисунок 12.

Как видим из рисунка 12 в поле "служба проверки пользователей" мы можем выбрать или непосредственно "Windows-проверка", и этим мы возлагаем проверку пользователей на сам сервер. Или если в нашей сети есть сервер "RADIUS" тогда мы можем передать ему эту почетную обязанность. Служба учета ведет журнал сеансов и запросов на подключение и так же как и в случае описанном выше может делаться средствами Windows сервера или Radius сервера.

Если мы нажмем на кнопку "Методы проверки подлинности" (рисунок 13), то увидим методы проверки подлинности (аутентификации) сервера. Методы предоставлены в порядке уменьшения защищенности.

Рисунок 13.

Самый незащищенный метод это "разрешить подключение удаленных систем без проверки". Далее идет "PAP"(Password Authentication Protocol) самый простой протокол аутентификации, унаследованный от старых версий. Далее протокол CHAP (Challenge Handshake Authentication Protocol) - для шифрования пароля используется метод хэширования MD-5 (по сети передается значение хэш-функции пароля), данный протокол является одним из отраслевых стандартов и реализован во многих системах удаленного доступа, его рекомендуется использовать при подключении клиентов, работающих не на платформе Windows, по умолчанию отключен. Потом протокол MS-CHAP (Microsoft Challenge Handshake Authentication Protocol) - версия протокола CHAP, реализованная корпорацией Microsoft с хэш-функцией MD-4. Далее протокол MS-CHAP версии 2 (Microsoft Challenge Handshake Authentication Protocol version 2) - усиленная версия MS CHAP (более длинный ключ шифрования при передаче пароля, вычисление нового ключа при каждом новом сеансе подключения, взаимная аутентификация пользователя и сервера удаленного доступа). И на самом верху "яап" - протокол расширенной проверки подлинности ЕАР (Extensible Authentication Protocol) - позволяет использование смарт-карт при аутентификации пользователя (требуются сертификаты как для сервера RRAS, так и для пользователей). Протокол ЕАР так же имеет некоторые настройки которые мы можем выбрать в зависимости от наших потребностей если нажмем на кнопку "Методы ЕАР".

Клиенты удаленного доступа, при подключении к серверу удаленного доступа всегда начинают использовать самый защищенный метод аутентификации. Если на сервере не установлен запрашиваемый протокол аутентификации, клиент перейдет на менее защищенный протокол. И так до тех пор, пока не будет подобран протокол, поддерживаемый обеими сторонами.

Перейдем на вкладку "IP " рисунок 14.

Рисунок 14.

На закладке "IP"мы можем настроить разрешение на маршрутизации IP-пакетов между компьютером клиента и корпоративной сетью (по умолчанию). Так же здесь мы можем задать способ формирования пула IP-адресов, выдаваемых RRAS-сервером, подключаемым к нему клиентам.

Если в нашей корпоративной сети установлен DHCP сервер, то мы можем задать формирования пула адресов RRAS этому серверу. Тогда формирование пула адресов происходит на самом сервере удаленного доступа, при этом способе первый IP -адрес пула будет присужден интерфейсу «Внутренний» сервера. Остальные IP -адреса будут назначаться удаленным клиентам сервера.

При статистическом способе задания адресов удаленным клиентам мы сами определяем IP – адреса и их количество.

Так же здесь мы можем разрешить широковещание для удаленных клиентов при разрешении имен.

Закладка "PPP", рисунок 15.

Рисунок 15.

На этой вкладке мы можем разрешить или запретить использование многоканальных подключений этого протокола (multilink PPP). Протокол PPP позволяет использовать несколько каналов коммутации, например, несколько коммутируемых телефонных линий и, соответственно, одновременное использование нескольких модемов на серверной и на клиентской стороне, как одно подключение с соответствующим увеличением пропускной способности и назначением по одному IP-адресу на стороне клиента и сервера. При этом возможно использование динамического управления пропускной способностью. Это делается с помощью протоколов BAP/BACP, (Bandwidth Allocation Protocol/ Bandwidth Allocation Control Protocol), которые позволяют при увеличении трафика включать дополнительные телефонные линии из имеющегося пула телефонных линий, а при уменьшении трафика - отключать телефонные линии. Протокол LPC управляет связью.

Следующая и последняя вкладка "Ведение журнала", позволяет нам вести журнал событий и ошибок связанных с сеансами работы удаленных пользователей.

Поговорим о протоколе «RADIUS» (Remote Authentication Dial-in User Service).

Протокол «RADIUS » рассматривается как механизм аутентификации и авторизации удаленных пользователей в условиях распределенной сети, который обеспечивает нам централизованные услуги по проверки подлинности и учету для служб удаленного доступа. «RADIUS » реализован в составе «Службы проверки подлинности в интернете» (IAS -Internet Authentication Service ), обеспечивающей централизованное управление аутентификации, авторизации, и аудитом доступа на основании информации о пользователях, получаемая от контролера домена Windows Server 2003.

Примечание 1 : данная служба не устанавливается по умолчании.

Примечание 2 : Под аутентификацией надо понимать вопрос сервера или какой-то сетевой службы – кто такой? На что мы отвечаем логином и паролем. Авторизация это проверка наших прав туда, куда мы получили доступ после аутентификации.

Служба RADIUS работает по следующему сценарию:

1. вначале устанавливается телефонное (или другое) соединение между клиентом и сервером удаленного доступа;
2. пользователь пересылает серверу RAS запрос на аутентификацию (свое имя и пароль);
3. сервер удаленного доступа (являющийся клиентом сервера RADIUS) пересылает данный запрос серверу RADIUS;
4. сервер RADIUS проверяет запрос на аутентификацию в службе каталогов (например, в службе Active Directory) и посылает в ответ RAS-серверу разрешение или запрещение данному пользователю на подключение к серверу удаленного доступа;
5. сервер удаленного доступа либо подключает пользователя к корпоративной сети, либо выдает отказ в подключении.

Рассмотрим интерфейсы консоли " "

Раздел " Интерфейсы сети "

В данном разделе перечисляются все сетевые интерфейсы, установленные на сервере (сетевые адаптеры, модемы). Интерфейс " Внутренний " - это интерфейс, к которому подключаются все клиенты удаленного доступа, независимо от типа подключения (по коммутируемым телефонным линиям, через виртуальную частную сеть и т.д.).

Раздел " Клиенты удаленного доступа " консоли " Маршрутизация и удаленный доступ "

В этом разделе производится мониторинг в реальном времени клиентов, подключившихся к серверу удаленного доступа.

Раздел " Порты " консоли

В данном разделе "Порты" приводится перечень всех доступных точкек подключения к службе удаленного доступа:

• параллельный порт (для прямого соединения двух компьютеров через порт LPT);
• модемы, доступные для службы удаленного доступа;
• порты, доступные для подключений с помощью виртуальных частных сетей (если администратор при настройке сервера указал, что будут использоваться виртуальные частные сети, то на сервер автоматически добавляются по 128 портов для каждого из протоколов PPTP и L2TP, в дальнейшем администратор может изменить количество портов, доступных для того или иного протокола).

Раздел " IP-маршрутизация " консоли " Маршрутизация и удаленный доступ "

В этом разделе добавляются, и настраиваются статические маршруты и необходимые динамические протоколы маршрутизации:

• Агент ретрансляции DHCP-запросов (DHCP Relay Agent) - связан с сервером DHCP, для ретрансляции DHCP запросов на сервера указанные в настройках «Агента ретрансляции». Данный агент рассматривается в контексте службы DHCP, а настройка его производится именно в данном разделе службы RRAS;
• Протокол IGMP - данный протокол предназначен для маршрутизации multicast-пакетов протокола TCP/IP (данный вид пакетов и адресов используется в основном при передаче мультимедиа-информации);
• Служба трансляции сетевых адресов (NAT, Network Address Translation) - эта служба позволяет локальным сетям с «внутренними» адресами типа 192.168.Х.Х получить доступ к сетями с адресами, зарегистрированными в сети Интернет (упрощенный вариант прокси-сервера);
• Протокол RIP версии 2 для IP - протокол динамической маршрутизации IP-пакетов (будет рассмотрен отдельно в другой статье и здесь будет ссылка);
• Протокол OSPF (Open Shortest Path First) -протокол динамической маршрутизации IP-пакетов, более продвинутый, но более сложный в настройке по сравнению с RIP(будет рассмотрен отдельно в другой статье и здесь будет ссылка);

Настройка прав пользователей для подключения к RRAS

При отсутствии сервера RADIUS разрешения на подключение пользователя к серверам удаленного доступа определяются комбинацией "Свойств пользователя" и "Политик удаленного доступа", настраиваемых индивидуально для каждого сервера удаленного доступа.

Если домен Active Directory работает в смешанном режиме (рисунок 16), то разрешения на удаленный доступ определяются только в Свойствах пользователя на закладке "Входящие звонки" (Dial-In).

Рисунок 16.

При этом есть только два варианта - разрешить или запретить (рисунок 17), по умолчанию для каждого нового пользователя задается запрещающее правило. Кроме разрешения/запрета можно также настроить Обратный вызов сервера (Call-back). Здесь имеются три варианта:

• "Ответный вызов не выполняется" - при подключении пользователя к серверу удаленного доступа вначале устанавливается телефонное соединение между модемом пользователя и модемом сервера, если доступ разрешен, то устанавливается соединение и пользователь получает доступ к сети;
• "Устанавливается вызывающим" - в этом варианте после установления телефонного соединения между модемами и проверки прав доступа система запросит у клиента ввести номер телефона, с которого подключается данный клиент, после этого сервер разрывает связь и уже самостоятельно производит соединение с клиентом по тому номеру телефона, который сообщил этот пользователь (данный вариант удобен для мобильных пользователей - пользователь экономит на телефонном звонке и повышается защищенность доступа, т.к. в идеале никто, кроме пользователя, не должен знать номер телефона, с которого пользователь инициировал соединение);
• "Всегда по этому номеру" (с указанием номера телефона) - данный вариант похож на предыдущий, только номер телефона уже введен в параметры пользователя и сервер будет перезванивать именно на данный номер (этот вариант будет интересен домашним пользователям - здесь тоже пользователь экономит на телефонном звонке и, кроме того, дополнительная защита - злоумышленнику трудно будет подключиться к серверу, даже если ему известны имя и пароль пользователя).

Установка службы маршрутизации и удаленного доступа.

Так как служба маршрутизации и удаленного доступа входит в стандартную установку Windows Server 2003, никаких дополнительных действий по ее установке производить не требуется. Тем не менее, по умолчанию служба находится в отключенном состоянии и, прежде чем начать работу с ней, вы должны осуществить процедуру ее начальной настройки.

Предварительные требования.

Перед установкой маршрутизатора Windows Server 2003 нужно установить и привести в рабочее состояние все необходимое оборудование. В зависимости от имеющейся сети и предъявляемых требований может потребоваться следующее оборудование:

• Адаптер локальной или глобальной сети с драйвером, поддерживающим спецификацию NDIS (Network Driver Interface Specification).
• Один или несколько совместимых модемов и свободный последовательный (COM) порт.
• ISDN-адаптер (при использовании линии ISDN).

Настройка службы маршрутизации и удаленного доступа.

Начальная настройка, как и последующее администрирование, службы маршрутизации и удаленного доступа осуществляется через Консоль управления. Для запуска консоли управления службой маршрутизации и удаленного доступа выберите меню Пуск , в нем выберите подменю Администрирование, в котором щелкните пункт Маршрутизация и удаленный доступ .

Чтобы начать процедуру начальной настройки сервера маршрутизации и удаленного доступа необходимо в дереве Консоли управления Маршрутизация и удаленный доступ выбрать ветвь с именем локального сервера.

Нажмите правую кнопку мыши на имени сервера и выберите пункт Настроить и включить маршрутизацию и удаленный доступ из контекстного меню. Будет запущен Мастер настройки сервера маршрутизации и удаленного доступа.

На первом шаге мастера вы должны выбрать роль, которую будет выполнять сервер.

Можно выбрать одну из следующих ролей:

Для настройки общего доступа к Интернет выберите вариант Преобразование сетевых адресов (NAT) и щелкните кнопку Далее .

На следующем шаге вы должны выбрать способ организации общего доступа к Интернет.

Если в вашем компьютере установлен и настроен на Интернет один или более сетевых адаптеров, установите переключатель в положение Использовать общедоступный интерфейс для подключения к Интернету и выберите необходимое подключение из списка.

Если вы собираетесь использовать модем для подключения к Интернету, установите переключатель в положение Создать интерфейс для нового подключения по требованию к Интернету.

В списке подключений к Интернету выводятся только активные сетевые подключения, настроенные на использование протокола TCP/IP с использованием статического адреса. Если в списке отсутствуют сетевые адаптеры, необходимо прервать работу мастера, настроить сетевой адаптер на использование статического IP-адреса, включить сетевой адаптер, проверить его работу и снова запустить мастер настройки сервера маршрутизации и удаленного доступа.

На следующем шаге мастер сообщает, что будет запущен мастер для настройки интерфейса подключения по требованию. В качестве устройства для такого подключения будет использоваться модем. Щелкните кнопку Далее , чтобы продолжить настройку.

На первом шаге этого мастера вам необходимо задать имя интерфейса.

Интерфейсы сервера маршрутизации и удаленного доступа во многом похожи на сетевые подключения, но отображаются только в консоли управления маршрутизацией. Вы можете использовать в качестве имени интерфейса название вашего провайдера.

На следующем шаге мастера вы должны указать способ подключения интерфейса вызова по требованию.

Можно выбрать один из вариантов:

• Подключаться используя модем, адаптер ISDN или другое устройство - соответствующее устройство должно быть установлено в вашем компьютере и настроено. Будет использован доступ по коммутируемым каналам связи.
• Подключаться с использованием виртуальной частной сети (VPN) - дополнительные устройства не требуются, для подключения может быть использовано существующее подключение к Интернет или другим сетям.
• Подключиться через Ethernet (PPPoE) с использованием PPP - для данного подключения используется сетевой адаптер.

Выберите вариант Подключаться используя модем , адаптер ISDN или другое устройство и щелкните кнопку Далее.

На следующем шаге мастера укажите устройство или порт, которые будут использоваться для установления соединения.

В списке выводятся все устройства и порты, которые могут быть использованы сервером маршрутизации и удаленного доступа. Выберите ваш модем из списка и щелкните кнопку Далее .

На следующем шаге мастера вы можете указать номер телефона (для обычного или ISDN-модема) или адрес (для соединения X.25).

Вы можете использовать более одного телефона или адреса для дозвона. Для указания дополнительных телефонов щелкните кнопку Дополнительно .

В появившемся окне вы можете управлять списком телефонов и адресов. Для добавления нового номера телефона к списке введите номер в поле Новый номер телефона или адрес и щелкните кнопку Добавить . Для изменения номера в списке выберите нужный номер в списке, откорректируйте его в поле Новый номер телефона или адрес и щелкните кнопку Заменить . Для изменения порядка телефонов в списке вы можете использовать кнопки Вверх и Вниз . Кнопка Удалить служит для удаления выбранного номера из списка.

Если вы хотите, чтобы при установлении следующего соединения использовался номер, по которому было успешно установлено последнее соединение, установите флажок При подключении переместить удачный номер или адрес в начало.

Служба маршрутизации и удаленного доступа не использует данных о местонахождении и правила дозвона при наборе телефонных номеров при помощи модема. Поэтому, при задании номеров, вы должны включать все необходимые префиксы и специальные символы в добавляемые номера.

На следующем шаге вы должны задать основные параметры безопасности и маршрутизации для создаваемого интерфейса.

Для включения IP-маршрутизации необходимо установить флажок Перенаправлять пакеты IP на этот интерфейс .

Остальные параметры отвечают за настройки безопасности интерфейса:

• Добавить учетную запись для входящих звонков удаленного маршрутизатора - если удаленный маршрутизатор, с которым осуществляется соединение, также может инициировать соединение, необходимо создать учетную запись, которую он будет использовать для регистрации на сервере удаленного доступа. Если удаленный маршрутизатор не будет инициировать соединение (например, если вы устанавливаете соединение по коммутируемой линии с провайдером), то устанавливать этот флажок не требуется.
• Использовать незашифрованный пароль , если это единственный способ подключения - указывает серверу удаленного доступа, что в случае, если удаленный маршрутизатор не поддерживает шифрование данных, использовать незашифрованный пароль. Если этот флажок не установлен и шифрование данных не поддерживается, сервер удаленного доступа не сможет установить соединение.
• Использовать сценарий для завершения подключения к удаленному маршрутизатору - если удаленный маршрутизатор не поддерживает стандартную аутентификацию или требует ввода дополнительных команд после установления соединения, то вам потребуется специальный сценарий для выполнения этих команд - сервер удаленного доступа не поддерживает отображение терминального окна для ручного ввода команд.

При организации удаленного доступа к провайдеру с использованием модема рекомендуется установить только следующие флажки:

• Перенаправлять пакеты IP на этот интерфейс;
• Использовать незашифрованный пароль, если это единственный способ подключения.

Остальные флажки необходимо снять и устанавливать только в случае необходимости.

На следующем шаге мастера вы должны задать данные, которые будут использоваться для аутентификации при установлении соединения.

Служба маршрутизации и удаленного доступа не предоставляет диалогового окна для ввода этих данных в момент установления соединения, поэтому данные должны быть введены заранее.

В поля Имя пользователя , Пароль и Подтверждение введите соответственно имя пользователя и два раза пароль пользователя. Поле Домен следует заполнять, только если другая сторона также использует сервер удаленного доступа Windows NT, Windows 2000 или Windows Server 2003.

На следующем шаге мастер сообщает, что создание интерфейса вызова по требованию было успешно завершено. После щелчка по кнопке Готово будет создан интерфейс, который будет использован для установления соединения в случае необходимости.

После завершения мастера создания интерфейса завершается и работа мастера настройки сервера маршрутизации и удаленного доступа.

После щелчка по кнопке Готово мастер настройки завершит свою работу. При выбранной конфигурации будут установлены следующие интерфейсы:

• Интерфейс удаленного маршрутизатора;
• Интерфейс подключения по локальной сети;
• Интерфейс замыкания на себя (loopback);
• Внутренний интерфейс.

Между указанными интерфейсами будет настроена IP-маршрутизация. Также будет установлен протокол NAT, осуществляющий трансляцию адресов между интерфейсами удаленного маршрутизатора и подключения по локальной сети.

Песочница

Включение удаленного рабочего стола в Windows 7

• Чулан *

Друзья!

Буквально на днях я столкнулся с проблемой включения «Удаленного рабочего стола» на системе Windows 7.
Многие тут же подумали:«Ай, да наверняка у него стоит какая-нибудь Win 7 Home Premium или вообще Starter». Однако это совсем не так. У меня полноценная Windows 7 x64 Professional, в которой казалось бы все должно заработать моментально и без оговорок.

Стандартный алгоритм включения

Заходим в свойства компьютер Пуск->Компьютер(правый клик)->Свойства
Слева в списке выбираем «Настройка удалённого доступа»
В разделе «Удалённый рабочий стол» выбираем второй или третий пункт. Различие: второй пункт - любые ОС, третий - Vista и выше
Жмем кнопку выбрать пользователей и добавляем нужных. (Например своего пользователя на этом компьютере. Или вы можете создать отдельного пользователя для удаленного рабочего стола)
Настройка закончена

У меня это всё выглядело совсем иначе. И пункт номер 3 был для меня недоступен. Пункты есть, но они - disabled.

Примерно вот так у меня выглядели настройки включения RDP

Различного рода поиски не привели меня к однозначному и ясному ответу на вопрос: «Что же делать с такой ерундой»?
Только куски разрозненной информации, которые мне хотелось бы свести воедино. Справившись с этой небольшой проблемой, я решил, что таки стоит поделится ее решением с общественностью.

Итак, приступим.
Нам потребуется:

• Компьютер
• Глазка/руки/голова
• Права администратора

Нестандартный алгоритм включения

1. Идем в службы (Пуск->Панель управления->Администрирование->Службы)

2. Находим там брендмауэр Windows. Ставим ему автоматический запуск, и запускаем службу.

Примерно вот так:

3. Идем в локальные политики безопасности (Пуск->Панель управления->Администрирование->Локальная политика безопасности ИЛИ Пуск->Выполнить->Вводим secpol.msc)

4. Выбираем там Брэндмауэр Windows в режиме повышенной безопасности - Объект локальной групповой политики -> Правила для выходящих подключений.

5. В правой части оснастки выбираем по правому клику мыши «Создать правило». Далее по шагам (каждый пункт - ссылка на картинку с шагом):

• Тип протокола - выбираем TCP. Локальный порт - 3389. Удалённый порт - все порты
• Любые ip-адреса (если вы хотите заходит из любого места, если не уверены, разрешите все)
• Отмечайте те сети, в которых вы хотели бы, чтобы ваш компьютер принимал эти соединения

В конце концов, вы должны получить что-то вроде этого:

6. Заходим в редактор локальной групповой политики (Пуск -> Выполнить -> gpedit.msc).

7. Конфигурация компьютера -> Административные шаблоны -> Компоненты Windows -> Службы удалённый рабочих столов -> Узел сеансов удаленный рабочих столов -> Подключения

• Разрешать удаленное подключение с использование служб удаленных рабочих столов
• Устанавливает правила удаленного управления для пользовательских сеансов служб удаленного рабочего стола (значение параметра выберите сами, я поставил лично для себя «Полный контроль без разрешения клиента»).

Итого у вас получится:

9. Заходим в свойства компьютер Пуск->Компьютер(правый клик)->Свойства

10. Слева в списке выбираем «Настройка удалённого доступа»

11. В разделе «Удалённый рабочий стол» выбираем второй или третий пункт. Различие: второй пункт - любые ОС, третий - Vista и выше.

12. Жмем кнопку выбрать пользователей и добавляем нужных. (Например своего пользователя на этом компьютере. Или вы можете создать отдельного пользователя для удаленного рабочего стола)

Служба удаленного доступа, входящая в состав Microsoft Windows 2000, позволяет удаленным или мобильным работникам подключаться к корпоративным вычислительным сетям, например, по телефонной коммутируемой линии и работать с ресурсами сети как обычно. Удаленный доступ также обеспечивает поддержку виртуальных частных сетей (Virtual Private Network, VPN), чтобы пользователи могли устанавливать безопасное соединение с корпоративной сетью через общественные сети, например, через Интернет.

Сервер удаленного доступа в Windows 2000 Server является частью интегрированной службы маршрутизации и удаленного доступа (Routing and Remote Access Service, RRAS). Пользователи устанавливают соединение с сервером удаленного доступа с помощью клиентского программного обеспечения удаленного доступа. Сервер удаленного доступа - компьютер с ОС Windows 2000 Server и установленной службой маршрутизации и удаленного доступа - аутентифицирует как пользователей, так и сеансы связи удаленных маршрутизаторов. Все службы, доступные пользователю, подключенному к LAN (включая совместное использование файлов и принтеров, доступ к веб-серверам и передачу сообщений по электронной почте), доступны и пользователю, подключенному удаленно.

Клиент удаленного доступа использует стандартные средства для доступа к ресурсам. Например, на компьютере под управлением Windows 2000 подключение дисков и принтеров выполняется при помощи Проводника. Подключения постоянны: пользователи не должны повторно подключать сетевые ресурсы в течение сеанса удаленного доступа. Поскольку имена дисков и имена UNC (Universal Naming Convention, универсальное соглашение об именовании) полностью поддерживаются при удаленном доступе, большинство обычных действий пользователей и работа приложений остаются неизменными при работе через удаленный доступ.

Сервер удаленного доступа под управлением Windows 2000 предоставляет два различных типа соединения удаленного доступа:

• Коммутируемый доступ. Это соединение, при котором клиент удаленного доступа устанавливает коммутируемую связь для подключения к физическому порту на сервере удаленного доступа, используя службу-посредник для передачи данных, например аналоговый телефон, ISDN или Х.25. Наиболее типичный пример коммутируемого доступа - установление соединения клиентом удаленного доступа при помощи модема, то есть путем набора телефонного номера одного из портов сервера удаленного доступа.
• Виртуальное частное соединение (VPN-соединение). Это защищенное соединение типа "точка-точка" через сеть общего пользования (например, Интернет) или большую корпоративную сеть. Чтобы послать виртуальный запрос к виртуальному порту на VPN-сервере, VPN-клиент использует специальные протоколы на базе стека TCP/IP, которые называются протоколами туннелирования (tunneling protocols). Наиболее типичный пример организации виртуальной частной сети - установление соединения VPN-клиента с частной сетью через сервер удаленного доступа, который подключен к Интернету. Сервер удаленного доступа отвечает на виртуальный запрос, затем аутентифицирует вызывающую программу и осуществляет обмен данными между клиентом VPN и корпоративной сетью. В отличие от коммутируемого доступа, VPN-соединение не является непосредственным, "прямым" соединением между VPN-клиентом и VPN-сервером. Чтобы гарантировать безопасность, данные, передаваемые по соединению, нужно шифровать.

В Windows Server 2003 реализована Служба маршрутизации и удаленного доступа (, RRAS), позволяющая удаленным пользователям подключаться к корпоративным вычислительным сетям. При этом подключение может быть выполнено как по коммутируемой линии, так и через виртуальные частные сети (Virtual Private Network , VPN). При коммутируемом соединении клиент удаленного доступа устанавливает коммутируемую связь для подключения к физическому порту на сервере удаленного доступа, используя некоторую службу-посредника для передачи данных, например аналоговый телефон, ISDN или Х.25. Наиболее типичный пример коммутируемого доступа - установление соединения клиентом удаленного доступа при помощи модема, т. е. путем набора телефонного номера одного из портов сервера удаленного доступа.

Соединение с виртуальной частной сетью (или VPN-подключение) представляет собой защищенное соединение типа "точка-точка" через сеть общего пользования (например, Интернет) или большую корпоративную сеть. Поддержка службой удаленного доступа механизма виртуальных частных сетей позволяет устанавливать безопасное соединение с корпоративной сетью через различные открытые сети (такие, например, как Интернет). Для эмуляции прямого соединения данные инкапсулируются специальным способом, т. е. снабжаются специальным заголовком, который предоставляет информацию, необходимую для маршрутизации, чтобы пакет мог достигнуть "адресата. Получателем пакета является VPN-клиент либо VPN-сервер. Часть пути, по которому данные следуют в инкапсулированном виде, называется туннелем.

Для организации безопасной виртуальной частной сети перед инкапсуляцией данные шифруются. Перехваченные по пути следования пакеты невозможно прочитать без ключей шифрования. Участок VPN соединения, на котором данные передаются в зашифрованном виде, и называется, собственно, виртуальной частной сетью. Сервер удаленного доступа в случае использования механизма виртуальных частных сетей выступает в качестве посредника, осуществляя обмен данными между клиентом VPN и корпоративной сетью. При этом сервер удаленного доступа осуществляет все необходимые преобразования данных (шифрование/дешифрование). Для этого используются специальные протоколы туннелирования (tunneling protocols ). VPN-клиент и VPN-сервер должны использовать один и тот же протокол туннелирования, чтобы создать VPN-соединение. В службе удаленного доступа в Windows Server 2003 реализована поддержка протоколов туннелирования РРТР и L2TP.

Сервер удаленного доступа в Windows Server 2003 является частью интегрированной Службы маршрутизации и удаленного доступа (Routing and Remote Access Service , RRAS). Пользователи устанавливают соединение с сервером удаленного доступа при помощи клиентского программного обеспечения удаленного доступа, которое имеется в составе любой версии Windows. Сервер удаленного доступа (под которым мы в дальнейшем подразумеваем любой компьютер под управлением Windows Server 2003, на котором установлена служба маршрутизации и удаленного доступа) аутентифицирует как пользователей, так и сеансы связи удаленных маршрутизаторов. Все службы, доступные пользователям, работающим в локальной сети (включая доступ к совместно используемым файлам и принтерам, доступ к вебсерверам и серверам электронной почты), доступны также и пользователям, подключающимся удаленно (через сервер удаленного доступа).

Клиент удаленного доступа использует стандартные средства для доступа к ресурсам. Например, на компьютере под управлением Windows XP подключение дисков и принтеров выполняется при помощи Проводника. Подключения постоянны: пользователи не должны повторно подключать сетевые ресурсы в течение сеанса удаленного доступа. Поскольку имена дисков и имена UNC (Universal Naming Convention , универсальное соглашение об именовании) полностью поддерживаются при удаленном доступе, большинство обычных действий пользователей и работа приложений остаются неизменными при работе через удаленный доступ.