ROZDZIAú 21

Lokalne i zdalne po│╣czenia sieciowe

     Funkcja Po│╣czenia sieciowe i telefoniczne, obecna w systemie Windows 2000 Professional, umo┐liwia korzystanie z zasob≤w znajduj╣cych siΩ w sieciach lokalnych i odleg│ych, a tak┐e w Internecie. Po│╣czenia sieciowe i telefoniczne rozszerzaj╣ funkcje Dial-up Networking dostΩpne w systemach Windows 98 oraz Windows NT przez usprawnion╣ i automatyczn╣ konfiguracjΩ sk│adnik≤w i urz╣dze± sieciowych. Ponadto, dla wygody u┐ytkownik≤w, udostΩpniony zosta│ wsp≤lny folder, w kt≤rym mo┐na konfigurowaµ wszystkie opcje zwi╣zane z prac╣ w sieci. W zarz╣dzaniu po│╣czeniami w przedsiΩbiorstwie pomagaj╣ narz╣dza takie jak Zasady grup oraz Mened┐er po│╣cze±. W niniejszym rozdziale opisano funkcjonalno£µ Po│╣cze± sieciowych i telefonicznych oraz przyk│adowy scenariusz pracy w sieci.
Zawarto£µ rozdzia│u
      Przegl╣d lokalnych i zdalnych po│╣cze± sieciowych
      Tworzenie, konfigurowanie i monitorowanie po│╣cze±
      Bezpiecze±stwo pracy zdalnej
      Zasady grup dla Po│╣cze± sieciowych i telefonicznych
      UdostΩpnianie po│╣czenia internetowego
      Scenariusz udostΩpniania po│╣czenia internetowego: │╣czenie intranetu w oddziale z Internetem
      Rozwi╣zywanie problem≤w
Por≤wnaj

Przegl╣d lokalnych i zdalnych po│╣cze± sieciowych

     Folder Po│╣czenia sieciowe i telefoniczne │╣czy w sobie funkcjonalno£µ dostΩpn╣ w systemach Windows 98 oraz Windows NT w folderze Dial-up Networking z funkcjami, kt≤re mo┐na by│o konfigurowaµ za pomoc╣ Panelu sterowania, takimi jak konfiguracja protoko│≤w sieciowych i us│ug. Z ka┐dym po│╣czeniem w folderze Po│╣czenia sieciowe i telefoniczne zwi╣zany jest zesp≤│ funkcji, kt≤re tworz╣ │╣cze pomiΩdzy komputerem u┐ytkownika i innym komputerem lub sieci╣. Systemowe ustawienia konfiguracyjne, uprzednio okre£lane za pomoc╣ modu│u Sieµ w Panelu sterowania, takie jak konfiguracja protoko│≤w sieciowych, s╣ teraz okre£lane oddzielnie dla ka┐dego po│╣czenia. Opcje te s╣ dostΩpne po klikniΩciu po│╣czenia prawym przyciskiem myszy i wybraniu W│a£ciwo£ci. Za pomoc╣ okna W│a£ciwo£ci mo┐na teraz konfigurowaµ wszystkie ustawienia dotycz╣ce danego po│╣czenia. Dlatego nie jest ju┐ dostΩpny modu│ Sieµ w Panelu sterowania.

Czym jest po│╣czenie

     Wszystkie po│╣czenia, pojawiaj╣ce siΩ w folderze Po│╣czenia sieciowe i telefoniczne, zawieraj╣ zesp≤│ funkcji, kt≤re mog╣ byµ u┐ywane do utworzenia │╣cza pomiΩdzy komputerem u┐ytkownika a innym komputerem lub sieci╣. Funkcje te s╣ u┐ywane do nawi╣zywania po│╣cze± pomiΩdzy dwoma punktami oraz, w przypadku po│╣cze± zdalnego dostΩpu, do definiowania negocjacji uwierzytelniania i regu│ szyfrowania danych. Przyk│adowo, po│╣czenie telefoniczne mo┐e byµ skonfigurowane w nastΩpuj╣cy spos≤b:      Po dwukrotnym klikniΩciu tego po│╣czenia za pomoc╣ modemu jest wybierany numer telefoniczny. Po│╣czenie zezwala na kontynuowanie sesji jedynie w≤wczas, gdy odleg│y serwer obs│uguje jedn╣ z okre£lonych metod uwierzytelniania oraz gdy zezwala on na szyfrowanie danych. Po nawi╣zaniu po│╣czenia serwer zdalnego dostΩpu przypisuje klientowi unikalny adres IP. Gwarantuje to, ┐e komputer klienta bΩdzie posiada│ niekonfliktowy adres, dziΩki kt≤remu bΩdzie m≤g│ korzystaµ z zasob≤w w sieci zdalnej. W│a£ciwo£ci po│╣czenia telefonicznego udostΩpniaj╣ wszystkie parametry wymagane do wybrania numeru, negocjacji has│a i przesy│ania danych, dziΩki kt≤rym umo┐liwiaj╣ │╣czno£µ z odleg│╣ sieci╣.
     Po│╣czenia z sieci╣ lokaln╣ mog╣ byµ w dowolnym momencie modyfikowane, nie mog╣ byµ jednak tworzone przez u┐ytkownika. S╣ one przygotowywane automatycznie dla ka┐dego adaptera sieciowego, kt≤ry zostanie wykryty przez us│ugΩ Plug and Play.

Rodzaje po│╣cze±

     Za pomoc╣ folderu Po│╣czenia sieciowe i telefoniczne mo┐na tworzyµ piΩµ rodzaj≤w po│╣cze±. Trwa│e po│╣czenie lokalne jest tworzone automatycznie dla ka┐dego adaptera sieciowego wykrytego przez us│ugΩ Plug and Play. Mo┐na tak┐e utworzyµ po│╣czenia dynamiczne, takie jak telefoniczne, VPN, bezpo£rednie oraz przychodz╣ce. Wszystkie rodzaje po│╣cze±, poza lokalnymi, s╣ tworzone po dwukrotnym klikniΩciu polecenia Utw≤rz nowe po│╣czenie w folderze Po│╣czenia sieciowe i telefoniczne. Je┐eli dokonana by│a aktualizacja z systemu Windows NT 4.0 lub Windows 98, to ka┐dy wpis ksi╣┐ki telefonicznej Dial-up Networking zosta│ automatycznie konwertowany na odpowiedni rodzaj po│╣czenia w folderze Po│╣czenia sieciowe i telefoniczne.
     Po│╣czenia lokalne s╣ tworzone automatycznie. System wykrywa adapter sieciowy, tworzy po│╣czenie i umieszcza je w folderze Po│╣czenia sieciowe i telefoniczne. Domy£lnie wraz z po│╣czeniem lokalnym instalowany jest zestaw klient≤w, protoko│≤w i us│ug.

Uwaga Pewne okoliczno£ci, na przyk│ad niesprawna karta sieciowa, mog╣ spowodowaµ brak ikony po│╣czenia w folderze Po│╣czenia sieciowe i telefoniczne.

     Tabela 21.1 zawiera przyk│ady po│╣cze± ka┐dego typu oraz mo┐liwe metody komunikacji, kt≤rych mo┐na u┐ywaµ do nawi╣zywania │╣czno£ci.

Tabela 21.1 Typy po│╣cze±
Typ po│╣czeniaMetoda komunikacjiPrzyk│ad
Po│╣czenia telefoniczne Modem, sieµ ISDN, X.25 Po│╣czenie z sieci╣ korporacyjn╣ lub Internetem za pomoc╣ │╣cza telefonicznego.
Po│╣czenia lokalne Ethernet, Token Ring, modem kablowy, cyfrowa linia abonencka (DSL), FDDI, IP nad ATM, IrDA, technologie bezprzewodowe, technologie sieci rozleg│ych (WAN) û T1, Frame Relay Typowe po│╣czenie u┐ywane w r≤┐nych organizacjach.
Po│╣czenia wirtualnych sieci prywatnych (VPN) Sieci VPN z u┐yciem protoko│u PPTP lub L2TP, │╣cz╣ce z sieciami korporacyjnymi lub Internetem Bezpieczne po│╣czenie z sieci╣ korporacyjn╣ przy u┐yciu istniej╣cego po│╣czenia z Internetem.
Po│╣czenia bezpo£rednie Kabel szeregowy lub r≤wnoleg│y, │╣cze na podczerwie± Synchronizacja informacji pomiΩdzy kieszonkowym komputerem u┐ywaj╣cym systemu Windows CE a komputerem osobistym.
Po│╣czenia przychodz╣ce Po│╣czenia telefoniczne, VPN lub bezpo£rednie Zezwolenie innym komputerom na telefoniczne │╣czenie siΩ z danym komputerem.

Rozpowszechnianie przygotowanych po│╣cze± za pomoc╣ Mened┐era po│╣cze± oraz Zestawu administracyjnego Mened┐era po│╣cze±      System Windows 2000 Server zawiera zestaw narzΩdzi, kt≤re umo┐liwiaj╣ administratorowi sieci dostarczanie u┐ytkownikom prekonfigurowanych po│╣cze±. Do narzΩdzi tych zaliczaj╣ siΩ Zestaw administracyjny Mened┐era po│╣cze± oraz Us│uga punktu po│╣czenia. Podobna funkcja, Mened┐er po│╣cze±, jest dostΩpna w systemie Windows 2000 Professional.

Mened┐er po│╣cze±

     Mened┐er po│╣cze± jest klienckim sk│adnikiem odpowiedzialnym za zestawianie po│╣cze±. Posiada on kilka zaawansowanych cech, rozszerzaj╣cych podstawow╣ funkcjonalno£µ po│╣cze± telefonicznych. Administrator sieci mo┐e dostosowywaµ parametry i zachowanie po│╣cze± tworzonych za pomoc╣ Mened┐era po│╣cze±, u┐ywaj╣c do tego celu Zestawu administracyjnego. Korzystaj╣c z niego, administrator mo┐e dostosowywaµ oprogramowanie tak, aby umo┐liwia│o u┐ytkownikom │╣czenie siΩ z sieci╣ przy u┐yciu jedynie tych cech po│╣czenia, kt≤re zostan╣ okre£lone administracyjnie. Dodatkowo Zestaw administracyjny Mened┐era po│╣cze± umo┐liwia utworzenie ksi╣┐ki telefonicznej dostΩpnej dla ka┐dego u┐ytkownika po uruchomieniu Mened┐era po│╣cze±. Ksi╣┐ka telefoniczna pozwala administratorowi na zdefiniowanie lokalnych i zdalnych po│╣cze± do sieci, korzystaj╣cych z punkt≤w dostΩpu telefonicznego, dostΩpnych na ca│ym £wiecie u dostawc≤w us│ug internetowych. Je┐eli administrator wymaga, aby w Internecie u┐ywane by│y bezpieczne po│╣czenia, to u┐ytkownicy mog╣ za pomoc╣ Mened┐era po│╣cze± nawi╣zaµ tak┐e po│╣czenia VPN (wirtualne sieci prywatne).

Zestaw administracyjny Mened┐era po│╣cze±

     Mened┐er po│╣cze± mo┐e byµ dostosowywany, co oznacza, ┐e mo┐na dopasowaµ pakiety instalacyjne dostarczane u┐ytkownikom do wymaga± danej organizacji. Mo┐liwe jest wybranie funkcji i cech, kt≤re maj╣ byµ dostΩpne oraz tego, jak Mened┐er po│╣cze± bΩdzie wygl╣da│. Za pomoc╣ Kreatora Zestawu administracyjnego Mened┐era po│╣cze± mo┐na tworzyµ w│asne profile us│ug.
     Profil us│ugi sk│ada siΩ z wszystkich plik≤w wymaganych przez Mened┐era po│╣cze± do uruchomienia pliku instalacyjnego umo┐liwiaj╣cego u┐ytkownikowi korzystanie z udostΩpnionych mu us│ug. Mo┐na dostosowywaµ poziom identyfikacji us│ugi lub organizacji, w zale┐no£ci od tego, co do│╣czy siΩ do jej profilu. Na przyk│ad mo┐na do niego do│╣czyµ znak graficzny firmy lub inn╣ grafikΩ, w│asne ikony, a nawet w│asn╣ pomoc podrΩczn╣. Mo┐na tak┐e dodaµ aplikacje, okre£liµ czynno£ci, kt≤re maj╣ zostaµ wykonane przed, podczas i po zako±czeniu po│╣czenia oraz wybraµ inne funkcje dostΩpne w Mened┐erze po│╣cze±.

Us│ugi punktu po│╣czenia

     Za pomoc╣ Us│ug punktu po│╣czenia mo┐na automatycznie rozpowszechniaµ i aktualizowaµ ksi╣┐ki telefoniczne klient≤w. Ksi╣┐ki te zawieraj╣ jeden lub wiΩcej wpis≤w dotycz╣cych punkt≤w dostΩpu. Ka┐dy taki wpis zawiera numer telefonu umo┐liwiaj╣cy telefoniczny dostΩp do Internetu. Ksi╣┐ki telefoniczne udostΩpniaj╣ u┐ytkownikom kompletne informacje konfiguracyjne dotycz╣ce punkt≤w dostΩpu, dziΩki czemu mog╣ oni podczas podr≤┐y korzystaµ z r≤┐nych internetowych punkt≤w dostΩpu zamiast ograniczaµ siΩ do jednego.
     Gdyby nie by│o mo┐liwo£ci aktualizacji ksi╣┐ek telefonicznych (co Us│uga punktu po│╣czenia wykonuje automatycznie), to u┐ytkownicy musieliby kontaktowaµ siΩ z obs│ug╣ techniczn╣ w celu otrzymania informacji o zmianach w konfiguracji punkt≤w dostΩpu.

Bezpiecze±stwo pracy zdalnej

     W celu zabezpieczenia po│╣cze± telefonicznych, VPN i bezpo£rednich, mo┐na wymusiµ r≤┐ne poziomy uwierzytelniania za pomoc╣ hase│ oraz szyfrowania danych. Dodatkowo bezpiecze±stwo po│╣cze± telefonicznych mo┐na zwiΩkszyµ korzystaj╣c z opcji wywo│ania zwrotnego. Zaawansowane ustawienia, takie jak preferencje autowybierania numeru i wywo│ania zwrotnego, identyfikacja w sieci oraz kolejno£µ powi╣za± mo┐na konfigurowaµ z poziomu menu Zaawansowane w folderze Po│╣czenia sieciowe i telefoniczne. Korzystaj╣c z tego samego menu mo┐na zainstalowaµ opcjonalne komponenty sieciowe, takie jak Us│ugi SNMP.

Zarz╣dzanie

     Administrator mo┐e przypisywaµ u┐ytkownikom Po│╣cze± sieciowych i telefonicznych lokalne ustawienia Zasad grup. Ustawienia te okre£laj╣, w jakim zakresie u┐ytkownicy mog╣ manipulowaµ u┐ywanymi przez siebie po│╣czeniami. Dodatkowo narzΩdzia takie jak Mened┐er po│╣cze± umo┐liwiaj╣ dostarczanie u┐ytkownikom dostosowanych wersji po│╣cze± telefonicznych.
     Do rozwi╣zywania problem≤w zwi╣zanych z po│╣czeniami mog╣ byµ u┐ywane narzΩdzia diagnostyczne, takie jak rejestrowanie protoko│u PPP, diagnostyka modemu oraz narzΩdzie Netdiag. WiΩcej informacji na ten temat znajduje siΩ w paragrafie äNarzΩdzia rozwi╣zywania problem≤wö.

Nowo£ci

     Opr≤cz usprawnie± funkcji dostΩpnych ju┐ w systemach Windows NT 4.0 oraz Windows 98, w systemie Windows 2000 Professional wprowadzono wiele nowych rozwi╣za±, umo┐liwiaj╣cych miΩdzy innymi automatyczne instalowanie i konfigurowanie sk│adnik≤w i urz╣dze± sieciowych, takich jak adaptery sieciowe, modemy i protoko│y.
     Nowe funkcje wprowadzone wraz z Po│╣czeniami sieciowymi i telefonicznymi umo┐liwiaj╣:      Po│╣czenia sieciowe i telefoniczne │╣cz╣ ustawienia dotycz╣ce lokalnej i zdalnej pracy w sieci w jeden folder. Niezale┐nie od tego, czy konfiguruje siΩ po│╣czenie z sieci╣ lokaln╣ (LAN), dostawc╣ us│ug internetowych, czy te┐ zezwala siΩ innym u┐ytkownikom na │╣czenie siΩ z danym komputerem, wszystkie te czynno£ci wykonuje siΩ tworz╣c lub modyfikuj╣c poszczeg≤lne po│╣czenia. Na przyk│ad po│╣czenie z firmow╣ sieci╣ LAN i telefoniczne po│╣czenie z dostawc╣ us│ug internetowych posiadaj╣ skonfigurowane r≤┐ne adresy TCP/IP. W poprzednich wersjach systemu operacyjnego Windows funkcje te wymaga│y modyfikowania ustawie± w folderze Dial-up Networking oraz w module Sieµ w Panelu sterowania. W systemie Windows 2000 adresy TCP/IP s╣ przypisywane oddzielnie do ka┐dego po│╣czenia.
     Tabela 21.2 zawiera por≤wnanie sposob≤w wykonywania r≤┐nych czynno£ci w systemach Windows NT 4.0, Windows 98 i Windows 2000.

Tabela 21.2 Nowe sposoby wykonywania znanych czynno£ci
Czynno£µPo│╣czenia sieciowe i telefoniczne w Windows 2000Windows NT 4.0Windows 98
Konfigurowanie │╣czno£ci z sieci╣ lokaln╣. Po│╣czenie lokalne Modu│ Sieµ w Panelu sterowania Modu│ Sieµ w Panelu sterowania
Zezwalanie innym na │╣czenie siΩ z danym komputerem za pomoc╣ modemu, VPN lub po│╣czenia bezpo£redniego. Po│╣czenia przychodz╣ce Funkcja niedostΩpna Nale┐y zainstalowaµ Serwer Dial-up w folderze Dial-up Networking
Konfigurowanie protoko│u TCP/IP. W│a£ciwo£ci po│╣czenia, zak│adka Sieµ Modu│ Sieµ w Panelu sterowania, zak│adka Protoko│y Modu│ Sieµ w Panelu sterowania
Dodawanie klienta, us│ugi lub protoko│u. W│a£ciwo£ci po│╣czenia, zak│adka Sieµ Modu│ Sieµ w Panelu sterowania Modu│ Sieµ w Panelu sterowania
Dodawanie opcjonalnych sk│adnik≤w sieci, np. us│ugi SNMP lub Serwera wydruku TCP/IP. Menu Zaawansowane, Opcjonalne sk│adniki sieci Modu│ Sieµ w Panelu sterowania, zak│adka Us│ugi Funkcja niedostΩpna
Monitorowanie po│╣cze±. Prawym przyciskiem klikn╣µ po│╣czenie i wybraµ Stan Monitor Dial-up Prawym przyciskiem klikn╣µ po│╣czenie i wybraµ Stan
W│╣czanie udostΩpniania plik≤w. W│a£ciwo£ci po│╣czenia, zak│adka Sieµ, w│╣czyµ UdostΩpnianie plik≤w i drukarek w sieciach Microsoft Us│uga serwera w Module Sieµ w Panelu sterowania k≤w i drukarek Modu│ Sieµ w Panelu sterowania, UdostΩpnianie plik≤w i drukarek
Konfigurowanie powi╣za±. Menu Zaawansowane w Po│╣czeniach sieciowych i telefonicznych Modu│ Sieµ w Panelu sterowania, zak│adka Powi╣zania Modu│ Sieµ w Panelu sterowania, w│a£ciwo£ci protoko│u TCP/IP
Zmiana nazwy lub domeny komputera. Menu Zaawansowane, Identyfikacja w sieci Identification Modu│ Sieµ w Panelu sterowania Modu│ Sieµ w Panelu sterowania
Konfigurowanie adaptera sieciowego. W│a£ciwo£ci po│╣czenia, zak│adka Og≤lne Modu│ Sieµ w Panelu sterowania Modu│ Sieµ w Panelu sterowania
Konfigurowanie powi╣za± Menu Zaawansowane, Ustawienia zaawansowane Modu│ Sieµ w Panelu sterowania, zak│adka Powi╣zania Modu│ Sieµ w Panelu sterowania

Nowe funkcje us│ug sieciowych      W systemie Windows 2000 zautomatyzowano konfiguracjΩ wielu sk│adnik≤w i urz╣dze± sieciowych, a ich funkcjonalno£µ po│╣czono w jednym folderze. Modemy i porty COM s╣ wykrywane i konfigurowane automatycznie. Ponadto protok≤│ TCP/IP zawiera rozszerzenia, kt≤re czyni╣ go sprawniejszym protoko│em transportowym w wydajnych £rodowiskach LAN i WAN.

Automatyczna konfiguracja sk│adnik≤w i urz╣dze± sieciowych

     Folder Po│╣czenia sieciowe i telefoniczne jest instalowany domy£lnie, dziΩki czemu jest on natychmiast dostΩpny dla u┐ytkownik≤w. W systemie Windows NT 4.0, aby mog│y byµ nawi╣zywane zdalne po│╣czenia, konieczne by│o zainstalowanie us│ugi zdalnego dostΩpu (RAS). Podobnie w systemie Windows 98 konieczne by│o zainstalowanie Serwera Dial-up. W przesz│o£ci zdarza│o siΩ te┐, ┐e urz╣dzenia wymaga│y rΩcznej instalacji i konfiguracji. W systemie Windows 2000 Professional zajmuje siΩ tym us│uga Plug and Play.

Uwaga W systemie Windows NT 4.0 niekt≤re modemy do prawid│owego dzia│ania wymaga│y prze│╣czenia do trybu zgodno£ci. Aby te same modemy by│y prawid│owo wykrywane przez system Windows 2000, nale┐y prze│╣czyµ je do trybu Plug and Play.

     Tabela 21.3 przedstawia usprawnienia w obs│udze sieci w systemie Windows 2000 Professional.

Tabela 21.3 Por≤wnanie obs│ugi sieci
Windows 2000 ProfessionalWindows NT 4.0Windows 98
Po│╣czenia sieciowe i telefoniczne instalowane domy£lnie. Konieczno£µ instalacji Us│ugi zdalnego dostΩpu (RAS). Folder Dial-up Networking instalowany domy£lnie, konieczno£µ instalacji Serwera Dial-up w celu umo┐liwienia po│╣cze± przychodz╣cych.
Modem wykrywany i konfigurowany przez Plug and Play. Konieczno£µ instalacji modemu za pomoc╣ modu│u Modemy w Panelu sterowania. Modem wykrywany i konfigurowany przez Plug and Play.
Porty COM wykrywane i instalowane przez Plug and Play. Konieczno£µ konfiguracji port≤w COM. Porty COM wykrywane i instalowane przez Plug and Play.
Zmiana protoko│u nie wymaga powt≤rnego uruchomienia komputera. Powt≤rne uruchomienie gdy instalowana jest us│uga RAS lub zmieniany jest protok≤│. Zmiana protoko│u wymaga powt≤rnego uruchomienia komputera.
Po│╣czenia VPN mog╣ byµ skonfigurowane tak, aby automatycznie zestawia│y po│╣czenie z ISP. Po│╣czenia VPN mog╣ wymagaµ rΩcznego aktywowania dw≤ch po│╣cze±. Po│╣czenia VPN mog╣ wymagaµ rΩcznego aktywowania dw≤ch po│╣cze±.

Jednolita konfiguracja sieci      Funkcjonalno£µ modu│u Sieµ w Panelu sterowania oraz folderu Dial-up Networking zosta│a w systemie Windows 2000 Professional po│╣czona we wsp≤lny folder Po│╣czenia sieciowe i telefoniczne.Poniewa┐ wszystkie us│ugi i metody komunikacji s╣ konfigurowane oddzielnie dla ka┐dego po│╣czenia, to nie ma ju┐ potrzeby korzystania z zewnΩtrznych sk│adnik≤w konfiguracyjnych. Przyk│adowo, ustawienia po│╣czenia telefonicznego zawieraj╣ cechy wykorzystywane przed, podczas i po jego nawi╣zaniu. Zaliczaj╣ siΩ do nich kolejno: modem u┐ywany do wybierania numeru, rodzaj szyfrowania has│a u┐ywany w trakcie nawi╣zywania po│╣czenia oraz protoko│y sieciowe u┐ywane po jego ustanowieniu. Stan po│╣czenia, informuj╣cy o czasie jego trwania oraz o prΩdko£ci, mo┐e byµ ogl╣dany bezpo£rednio z poziomu samego po│╣czenia, nie jest konieczne korzystanie z zewnΩtrznego narzΩdzia. WiΩcej informacji na temat konfigurowania po│╣cze± znajduje siΩ w dalszej czΩ£ci tego rozdzia│u, w paragrafie äTworzenie, konfigurowanie i monitorowanie po│╣cze±ö.
     Ponadto po wprowadzeniu zmian w ustawieniach sieci nie jest konieczne ponowne uruchomienie komputera, jak to mia│o miejsce po zainstalowaniu us│ugi RAS w systemie Windows NT 4.0 oraz po dodaniu lub zmianie protoko│u.

Usprawnienia TCP/IP

     TCP/IP jest protoko│em domy£lnym, instalowanym wraz z systemem Windows 2000 Professional. Zawiera on szereg usprawnie± zwi╣zanych z wydajno£ci╣, nowymi funkcjami i us│ugami, kt≤re czyni╣ go lepszym protoko│em transportowym w wydajnych sieciach LAN i WAN. Sprawiaj╣ one tak┐e, ┐e Windows 2000 Professional jest systemem operacyjnym otwartym na korzystanie z Internetu. Pewne z tych funkcji, takie jak rozmiar okna TCP, s╣ regulowane automatycznie, a inne, takie jak Jako£µ us│ug, wymagaj╣ konfiguracji przez u┐ytkownika.

UdostΩpnianie po│╣czenia internetowego

     DziΩki funkcji UdostΩpniania po│╣czenia internetowego wszyscy klienci w lokalnej sieci mog╣ korzystaµ z tego samego po│╣czenia z Internetem. WiΩcej informacji na ten temat znajduje siΩ w paragrafach äUdostΩpnianie po│╣czenia internetowegoö oraz äScenariusz udostΩpniania po│╣czenia internetowego: │╣czenie intranetu w oddziale z Internetemö.

L2TP

     Systemy Windows NT 4.0 i Windows 98 umo┐liwia│y korzystanie z protoko│u PPTP w celu uzyskiwania bezpiecznego dostΩpu do prywatnych sieci za po£rednictwem po│╣cze± VPN w Internecie lub innych sieciach publicznych. System Windows 2000 umo┐liwia korzystanie tak┐e z protoko│u L2TP. L2TP jest uznanym, standardowym protoko│em tunelowania w Internecie, posiadaj╣cym funkcjonalno£µ zbli┐on╣ do protoko│u PPTP. Implementacja L2TP w systemie Windows 2000 jest przeznaczona do u┐ywania w sieciach, w kt≤rych wykorzystywany jest protok≤│ IP i nie obs│uguje w spos≤b rodzimy tunelowania w sieciach X.25, Frame Relay oraz ATM.
     W oparciu o specyfikacje L2F oraz PPTP, protok≤│ L2TP mo┐e byµ u┐ywany do tworzenia tuneli przez sieci po£rednicz╣ce. Podobnie jak PPTP, L2TP kapsu│kuje ramki protoko│u PPP, kt≤re z kolei kapsu│kuj╣ ramki IP, AppleTalk, IPX lub NetBEUI, umo┐liwiaj╣c w ten spos≤b zdalne korzystanie z aplikacji zale┐nych od okre£lonych protoko│≤w. Rysunek 21.1 przedstawia tunel L2TP przebiegaj╣cy przez po£rednicz╣c╣ sieµ.


Rysunek 21.1 Tunelowanie L2TP

     Korzystaj╣c z protoko│u L2TP, komputer w kt≤rym dzia│a system Windows 2000 Server i do kt≤rego u┐ytkownik siΩ loguje, przeprowadza kontrolΩ zabezpiecze± i uwierzytelnia u┐ytkownika. Szyfrowanie danych jest umo┐liwiane przez IPSec, silny mechanizm zabezpieczania danych przesy│anych przez og≤lnie dostΩpne sieci. WiΩcej informacji na temat IPSec mo┐na znaleƒµ w dalszej czΩ£ci tego rozdzia│u, w paragrafie äIPSecö.

Uwaga Szyfrowanie u┐ywane w wirtualnych sieciach prywatnych (VPN) jest zale┐ne od rodzaju serwera. Je┐eli po│╣czenie VPN korzysta z serwera PPTP, to u┐ywane jest szyfrowanie MPPE (Microsoft Point-to-Point Encryption), natomiast gdy korzysta z serwera L2TP, to wybrane zostaje szyfrowanie IPSec. Je┐eli po│╣czenie VPN jest skonfigurowane tak, aby automatycznie okre£la│o rodzaj serwera (jest to ustawienie domy£lne), to najpierw podejmowana jest pr≤ba po│╣czenia z u┐yciem protoko│u L2TP i szyfrowania IPSec, a nastΩpnie, je┐eli siΩ ona nie powiedzie, z u┐yciem protoko│u PPTP i szyfrowania MPPE.

     WiΩcej informacji na temat wirtualnych sieci prywatnych znajduje siΩ w Pomocy systemu Windows 2000.

IPSec

     Mechanizm IPSec (Internet Protocol security) umo┐liwia uwierzytelnianie na poziomie komputera oraz szyfrowanie po│╣cze± VPN, korzystaj╣cych z protoko│u L2TP. IPSec negocjuje bezpieczny kana│ komunikacyjny pomiΩdzy komputerem u┐ytkownika a odleg│ym serwerem tunelu przed nawi╣zaniem po│╣czenia L2TP, co zabezpiecza zar≤wno fazΩ uwierzytelniania (│╣cznie z nazw╣ i has│em u┐ytkownika) jak i fazΩ przesy│ania danych. WiΩcej informacji na temat IPSec znajduje siΩ w dalszej czΩ£ci tego rozdzia│u, w paragrafie äSzyfrowanie danychö.

Dynamiczne zestawianie po│╣cze± przy u┐yciu wielu urz╣dze±

     Po│╣czenia sieciowe i telefoniczne mog╣ dynamicznie kontrolowaµ wykorzystanie │╣czy wielokrotnych. ú╣cza wielokrotne mo┐e byµ zestawiane z kilku linii ISDN, X.25 lub modemowych oraz kontrolowane za pomoc╣ protoko│u BAP (Bandwidth Allocation Protocol). Technologia ta polega na zagregowaniu kilku fizycznych │╣czy w jedn╣ logiczn╣ wi╣zkΩ, kt≤rej sumaryczna przepustowo£µ mo┐e byµ wykorzystana do sprawniejszego przesy│ania danych. Aby by│o to mo┐liwe, zar≤wno u┐ywane po│╣czenie jak i serwer zdalnego dostΩpu musz╣ mieµ w│╣czon╣ funkcjΩ ú╣cza wielokrotnego. Protok≤│ BAP umo┐liwia dynamiczne wykorzystanie urz╣dze± u┐ywanych w │╣czu wielokrotnym, alokuj╣c dodatkowe linie jedynie w≤wczas, gdy s╣ one potrzebne. Pozwala to dostosowaµ koszty komunikacji do wymaga± zwi╣zanych z szeroko£ci╣ pasma. Korzystaj╣c z funkcji │╣cza wielokrotnego mo┐na stwierdziµ znaczn╣ poprawΩ wydajno£ci transmisji danych. Okoliczno£ci, w kt≤rych aktywowane s╣ dodatkowe linie lub roz│╣czane nadmiarowe, mo┐na konfigurowaµ za pomoc╣ zak│adki Opcje we w│a£ciwo£ciach po│╣czenia telefonicznego. WiΩcej informacji na ten temat mo┐na znaleƒµ w Pomocy systemu Windows 2000.

Po│╣czenia przychodz╣ce

     Po utworzeniu po│╣czenia przychodz╣cego, komputer u┐ywaj╣cy systemu Windows 2000 Professional mo┐e dzia│aµ jako serwer zdalnego dostΩpu. Po│╣czenie przychodz╣ce mo┐e zostaµ skonfigurowane tak, aby akceptowa│o po│╣czenia telefoniczne (modemowe, ISDN, X.25), po│╣czenia VPN (PPTP, L2TP) lub bezpo£rednie (szeregowe, na podczerwie±). W komputerze u┐ywaj╣cym systemu Windows 2000 Professional po│╣czenie przychodz╣ce mo┐e akceptowaµ do trzech przychodz╣cych wywo│a±, po jednym z ka┐dego z wy┐ej wymienionych rodzaj≤w. Funkcja ta mo┐e stanowiµ efektywne i niedrogie rozwi╣zanie w niewielkich £rodowiskach, na przyk│ad w odleg│ych biurach handlowych, z kt≤rymi centrala przedsiΩbiorstwa │╣czy siΩ od czasu do czasu w celu pobrania danych o sprzeda┐y.

Tworzenie, konfigurowanie i zarz╣dzanie po│╣czeniami

     Z ka┐dym po│╣czeniem w folderze Po│╣czenia sieciowe i telefoniczne zwi╣zany jest zestaw funkcji, kt≤re mog╣ byµ u┐ywane do tworzenia │╣czy pomiΩdzy komputerem u┐ytkownika i innym, odleg│ym komputerem lub sieci╣. Po│╣czenia wychodz╣ce kontaktuj╣ siΩ z serwerem zdalnego dostΩpu lub VPN u┐ywaj╣c skonfigurowanej metody dostΩpu (LAN, modem telefoniczny, linia ISDN itd.) w celu ustanowienia │╣czno£ci z sieci╣. Po│╣czenia przychodz╣ce umo┐liwiaj╣ komputerowi u┐ywaj╣cemu systemu Windows 2000 Professional przyjmowanie wywo│a± pochodz╣cych od innych komputer≤w, efektywnie zmieniaj╣c go w serwer dostΩpu zdalnego. U┐ytkownik po│╣czony z sieci╣ lokalnie, zdalnie lub przy u┐yciu obydwu tych metod jednocze£nie, mo┐e tworzyµ po│╣czenia odpowiadaj╣ce dowolnym funkcjom zwi╣zanym z prac╣ w sieci. Przyk│adowo, mo┐liwe jest drukowanie do drukarek sieciowych, korzystanie z udostΩpnionych napΩd≤w i plik≤w, przegl╣danie innych sieci oraz korzystanie z Internetu. Je┐eli dokonana zosta│a aktualizacja z wcze£niejszej wersji systemu Windows, to folder Po│╣czenia sieciowe i telefoniczne, pokazany na rysunku 21.2, wykrywa ksi╣┐kΩ telefoniczn╣ folderu Dial-up Networking systemu Windows 98 lub Windows NT i tworzy odpowiednie po│╣czenie dla ka┐dego jej wpisu.


Rysunek 21.2 Po│╣czenia sieciowe i telefoniczne

     Ikona Utw≤rz nowe po│╣czenie zawsze pojawia siΩ w folderze Po│╣czenia sieciowe i telefoniczne. Po jej dwukrotnym klikniΩciu zostaje uruchomiony Kreator po│╣cze± sieciowych, kt≤ry prowadzi u┐ytkownika przez proces tworzenia po│╣czenia dowolnego typu, za wyj╣tkiem po│╣cze± lokalnych. Kreator ten jest przedstawiony na rysunku 21.3.


Rysunek 21.3 Kreator po│╣cze± sieciowych

     Poszczeg≤lne etapy dzia│anie tego kreatora prowadz╣ u┐ytkownika przez r≤┐ne opcje konfiguracyjne, kt≤rych ustawienie jest wymagane dla ka┐dego rodzaju po│╣czenia. Kreator po│╣cze± sieciowych umo┐liwia wybranie jednej z piΩciu najczΩstszych czynno£ci zwi╣zanych z tworzeniem poszczeg≤lnych rodzaj≤w po│╣cze±. Wybrany typ po│╣czenia jest nastΩpnie automatycznie konfigurowany z domy£lnymi ustawieniami, kt≤re s╣ odpowiednie w wiΩkszo£ci sytuacji. DostΩpne s╣ nastΩpuj╣ce rodzaje po│╣cze±:
Po│╣czenie z sieci╣ prywatn╣ przy u┐yciu po│╣czenia telefonicznego
     Ten typ po│╣czenia umo┐liwia nawi╣zanie komunikacji z sieci╣ nale┐╣c╣ do korporacji. W│╣czone jest udostΩpnianie plik≤w i drukarek.
Po│╣czenie z sieci╣ Internet przy u┐yciu po│╣czenia telefonicznego
     Ten typ po│╣czenia umo┐liwia korzystanie z Internetu. Jego wybranie powoduje uruchomienie Kreatora po│╣cze± internetowych. Us│uga udostΩpniania plik≤w i drukarek w sieciach Microsoft jest wy│╣czona, co zabezpiecza pliki i drukarki udostΩpnione w komputerze przed dostΩpem u┐ytkownik≤w znajduj╣cych siΩ w Internecie.
     Je┐eli wybrano jedn╣ z ni┐ej wymienionych opcji, to Kreator po│╣cze± internetowych automatycznie │╣czy siΩ z Us│ug╣ referencyjn╣ firmy Microsoft, umo┐liwiaj╣c wybranie dostawcy us│ug internetowych.      Us│uga referencyjna firmy Microsoft automatyzuje wymienione wy┐ej procesy i udostΩpnia u┐ytkownikowi odpowiednie numery telefoniczne.

Uwaga Przed utworzeniem po│╣czenia z Internetem nale┐y sprawdziµ u dostawcy us│ug internetowych (ISP), czy nie wymaga on okre£lonych parametr≤w tego po│╣czenia. Wymagania dostawcy mog╣ dotyczyµ:
Po│╣cz z sieci╣ prywatn╣ za po£rednictwem Internetu
     Ten rodzaj po│╣czenia umo┐liwia utworzenie tunelu VPN. Domy£lnie, jest on konfigurowany tak, aby typ serwera (L2TP czy PPTP) by│ wykrywany automatycznie.
Zaakceptuj nadchodz╣ce po│╣czenia
     Ten rodzaj po│╣czenia umo┐liwia innym u┐ytkownikom telefoniczne │╣czenie siΩ z danym komputerem.
Po│╣cz bezpo£rednio z innym komputerem
     Ten rodzaj po│╣czenia umo┐liwia nawi╣zanie │╣czno£ci za po£rednictwem portu szeregowego, r≤wnoleg│ego lub transmisji w podczerwieni.

Uwaga Po│╣czenia lokalne nie mog╣ byµ tworzone przez u┐ytkownika, poniewa┐ dzieje siΩ to automatycznie gdy us│uga Plug and Play wykryje nowy adapter sieciowy. Po│╣czenia te mog╣ byµ w dowolnym momencie konfigurowane.

Korzystanie z zasob≤w sieciowych

     Po│╣czenia sieciowe i telefoniczne umo┐liwiaj╣ dostΩp do sieci w oparciu o nazwΩ i has│o u┐ytkownika. DostΩp ten nie implikuje przywilej≤w do korzystania z zasob≤w w niej zgromadzonych. Proces uwierzytelniania w sieci potwierdza uprawnienia u┐ytkownika do korzystania z dowolnego jej zasobu za ka┐dym razem, gdy u┐ytkownik pr≤buje z niego korzystaµ. WiΩcej informacji na temat metod uwierzytelniania i autoryzacji znajduje siΩ w dalszej czΩ£ci tego rozdzia│u, w paragrafie äUwierzytelnianieö.
     Po po│╣czeniu siΩ z sieci╣ dostΩp do zasob≤w jest kontrolowany przez r≤┐norodne us│ugi administracyjne, zar≤wno w komputerze u┐ytkownika jak i w serwerach, z kt≤rych pr≤buje on korzystaµ. Zalicza siΩ do nich UdostΩpnianie plik≤w i drukarek, Lokalne zasady grup oraz Zasady grup dostΩpne za po£rednictwem us│ugi Active Directory.
     Spos≤b przetwarzania po£wiadcze± uwierzytelniaj╣cych zale┐y od tego, czy podczas logowania zosta│a w│╣czona opcja Zaloguj u┐ywaj╣c po│╣czenia telefonicznego.

Uwaga Je┐eli komputer │╣czy siΩ z sieci╣ zabezpieczan╣ za pomoc╣ domeny, to przed uzyskaniem dostΩpu konieczne jest posiadanie konta u┐ytkownika w tej domenie.

Logowanie przy u┐yciu po│╣czenia telefonicznego

     Je┐eli u┐ywana jest opcja Zaloguj u┐ywaj╣c po│╣czenia telefonicznego, to mo┐liwe jest po│╣czenie siΩ z sieci╣ przy u┐yciu po│╣czenia telefonicznego lub VPN wraz z jednoczesnym zalogowaniem siΩ do niej. Je┐eli nazwa i has│o u┐ytkownika w serwerze zdalnego dostΩpu s╣ takie same, jak nazwa i has│o u┐ywane w domenie û a tak zazwyczaj jest û to mo┐liwe jest podanie jednego zestawu po£wiadcze± i r≤wnoczesne zalogowanie siΩ w sieci oraz uzyskanie dostΩpu do jej zasob≤w. Rozwi╣zanie to pozwala na maksymalny poziom dostΩpu do sieci. Uwierzytelniane s╣ konta komputera oraz u┐ytkownika, wywo│ywane s╣ odpowiednie zasady kont komputera i u┐ytkownika, a nastΩpnie uruchamiane s╣ skrypty logowania.
     Je┐eli u┐ytkownik nie korzysta z opcji Zaloguj u┐ywaj╣c po│╣czenia telefonicznego, ale najpierw loguje siΩ do komputera, a dopiero p≤ƒniej nawi╣zuje po│╣czenie, to mo┐e po│╣czyµ siΩ z odleg│╣ sieci╣, je┐eli jego po£wiadczenia zostan╣ zaakceptowane przez serwer zdalnego dostΩpu. W tym przypadku jednak jego poziom dostΩpu do zasob≤w sieciowych mo┐e byµ ograniczony. Nale┐y rozwa┐yµ nastΩpuj╣ce dwa przypadki:
Uwaga Je┐eli u┐ytkownik pracuje w £rodowisku sieci lokalnej, to mo┐e siΩ r≤wnocze£nie logowaµ do swojego lokalnego komputera i do domeny sieciowej. W tym celu musi rozpoczynaj╣c pracΩ podaµ swoje po£wiadczenia odpowiednie dla domeny. WiΩcej informacji na ten temat znajduje siΩ w dalszej czΩ£ci tego rozdzia│u, w paragrafie äInteraktywny proces logowaniaö.

Us│ugi administracyjne wp│ywaj╣ce na poziom dostΩpu do sieci

     Po po│╣czeniu siΩ z sieci╣, dostΩp do jej zasob≤w, takich jak pliki lub drukarki, mo┐e byµ ograniczany przez jedn╣ lub kilka us│ug administracyjnych.
     DostΩp do plik≤w i drukarek jest konfigurowany oddzielnie dla ka┐dego zasobu dla poszczeg≤lnych nazw u┐ytkownik≤w i grup.
     Zasady grup wymuszaj╣ okre£lone wymagania dla £rodowisk, w kt≤rych pracuj╣ u┐ytkownicy. Za ich pomoc╣ mo┐na na przyk│ad wymusiµ stosowanie okre£lonych opcji zabezpiecze± lokalnych i w domenie, u┐ycie skrypt≤w logowania i wylogowania oraz przekierowanie folder≤w u┐ytkownik≤w do lokalizacji sieciowej. Lokalne zasady grup mog╣ byµ stosowane na poziomie komputera u┐ytkownika lub grupy roboczej. W £rodowisku domeny, Lokalne zasady grup oraz Zasady grup mog╣ byµ stosowane przy u┐yciu us│ugi Active Directory.
     WiΩcej informacji na temat Zasad grup w systemie Windows 2000 znajduje siΩ w rozdziale äZabezpieczeniaö.

Opcje konfiguracyjne

     Mo┐liwo£ci konfiguracji po│╣cze± przez u┐ytkownika zale┐╣ od wielu czynnik≤w, do kt≤rych zaliczaj╣ siΩ przyznane mu uprawnienia administracyjne, czy po│╣czenie zosta│o utworzone przy u┐yciu opcji Tylko dla mnie czy Dla wszystkich u┐ytkownik≤w oraz zastosowane ustawienia Zasad grup. Je┐eli u┐ytkownik posiada uprawnienia do konfigurowania po│╣cze±, to mo┐e modyfikowaµ ustawienia na zak│adkach Og≤lne, Opcje, Zabezpieczenia, Sieµ i UdostΩpnianie.

Uprawnienia do konfiguracji

     Je┐eli u┐ytkownik posiada uprawnienia administratora, to Kreator po│╣cze± sieciowych umo┐liwia mu wybranie, czy tworzone po│╣czenie ma byµ dostΩpne Dla wszystkich u┐ytkownik≤w czy tylko dla niego (opcja Tylko dla mnie). Je┐eli po│╣czenie jest dostΩpne dla wszystkich, to mo┐e z niego korzystaµ ka┐dy u┐ytkownik, kt≤ry zaloguje siΩ do danego komputera. Ustawienia takiego po│╣czenia mog╣ modyfikowaµ jedynie u┐ytkownicy, kt≤rzy posiadaj╣ uprawnienia administratora. Je┐eli u┐ytkownik utworzy po│╣czenie przy u┐yciu opcji Tylko dla mnie, to jest on jedyn╣ osob╣, kt≤ra mo┐e dane po│╣czenie u┐ywaµ i modyfikowaµ.

Uwaga Je┐eli u┐ytkownik uruchamiaj╣c sesjΩ Windows 2000 wybierze opcjΩ Zaloguj u┐ywaj╣c po│╣czenia telefonicznego, to widoczne bΩd╣ dla niego jedynie te po│╣czenia, kt≤re zosta│y utworzone przy u┐yciu opcji Dla wszystkich u┐ytkownik≤w. Jest tak, poniewa┐ przed zalogowaniem u┐ytkownicy nie s╣ uwierzytelnieni w sieci, a ich to┐samo£µ nie jest potwierdzona. Po zalogowaniu siΩ i potwierdzeniu to┐samo£ci u┐ytkownik mo┐e korzystaµ tak┐e ze swoich prywatnych po│╣cze±.

     Ustawienia zasad grup, pomocne przy zarz╣dzeniu du┐╣ ilo£ci╣ u┐ytkownik≤w, mog╣ byµ u┐ywane do kontrolowania dostΩpu do folderu Po│╣czenia sieciowe i telefoniczne oraz znajduj╣cych siΩ w nim po│╣cze±. Za pomoc╣ tych ustawie± mo┐na w│╣czaµ i wy│╣czaµ mo┐liwo£µ tworzenia, usuwania i modyfikowania po│╣cze± przez u┐ytkownik≤w. WiΩcej informacji na temat ustawie± Zasad grup znajduje siΩ w dalszej czΩ£ci tego rozdzia│u, w paragrafie äUstawienia lokalnych zasad grupö.

Zak│adki w│a£ciwo£ci

     Po utworzeniu po│╣czenia otrzymuje ono domy£lne parametry, odpowiednie w wiΩkszo£ci sytuacji. Mimo to dostΩpne jest okno w│a£ciwo£ci, umo┐liwiaj╣ce zmianΩ dowolnych jego ustawie±. Wszystkie opisane poni┐ej zak│adki maj╣ zastosowanie w przypadku po│╣cze± telefonicznych, VPN oraz bezpo£rednich. Dla po│╣cze± lokalnych dostΩpne s╣ jedynie zak│adki Og≤lne oraz UdostΩpnianie.
     Aby skonfigurowaµ takie parametry po│╣czenia, jak urz╣dzenia, numery telefoniczne, adresy host≤w, kody obszar≤w lub regu│y wybierania numer≤w, nale┐y wybraµ zak│adkΩ Og≤lne, pokazan╣ na rysunku 21.4.


Rysunek 21.4 Zak│adka Og≤lne we w│a£ciwo£ciach po│╣czenia telefonicznego

     Aby skonfigurowaµ opcje wybierania i powtarzania wybierania numer≤w, │╣cza wielokrotnego oraz parametry X.24, nale┐y wybraµ zak│adkΩ Opcje, pokazan╣ na rysunku 21.5. Je┐eli po│╣czenie jest nawi╣zywane z sieci╣ zabezpieczan╣ przez kontroler domeny, to konieczne jest w│╣czenie opcji Do│╣cz domenΩ logowania systemu Windows.


Rysunek 21.5 Zak│adka Opcje we w│a£ciwo£ciach po│╣czenia telefonicznego

     Aby skonfigurowaµ opcje uwierzytelniania, szyfrowania danych oraz okna terminala i skrypt≤w, nale┐y wybraµ zak│adkΩ Zabezpieczenia, pokazan╣ na rysunku 21.6. Opcja Standardowe jest zalecana dla wiΩkszo£ci po│╣cze±. Korzystaj╣c z niej mo┐na okre£liµ spos≤b przesy│ania po£wiadcze± po wybraniu odpowiedniej warto£ci z listy Weryfikuj moj╣ to┐samo£µ jako. Za pomoc╣ opcji Automatycznie u┐yj mojej nazwy logowania i has│a systemu Windows mo┐na wymusiµ u┐ywanie dla danego po│╣czenia po£wiadcze± aktualnie zalogowanego u┐ytkownika.
     Z zak│adki Zaawansowane powinno siΩ korzystaµ jedynie w≤wczas, gdy konieczne jest precyzyjne skonfigurowanie szyfrowania i uwierzytelniania. Zak│adka ta jest u┐ywana, gdy korzysta siΩ z protoko│u EAP, opisanego w dalszej czΩ£ci tego rozdzia│u, w paragrafieäBezpiecze±stwo pracy zdalnejö.


Rysunek 21.6 Zak│adka Zabezpieczenia we w│a£ciwo£ciach po│╣czenia telefonicznego

     Aby skonfigurowaµ serwer dial-up i protoko│y u┐ywane przez dane po│╣czenie, nale┐y wybraµ zak│adkΩ Sieµ, pokazan╣ na rysunku 21.7. Zak│adka ta udostΩpnia zaawansowane opcje konfiguracyjne i umo┐liwia instalowanie, usuwanie i konfigurowanie protoko│≤w. W przypadku po│╣czenia VPN za pomoc╣ tej zak│adki mo┐na wybraµ protok≤│ PPTP lub L2TP (domy£lnym ustawieniem jest wyb≤r automatyczny).


Rysunek 21.7 Zak│adka Sieµ we w│a£ciwo£ciach po│╣czenia telefonicznego

     Aby w│╣czyµ lub wy│╣czyµ UdostΩpnianie po│╣czenia internetowego lub wybieranie numer≤w na ┐╣danie, nale┐y klikn╣µ zak│adkΩ UdostΩpnianie, pokazan╣ na rysunku 21.8. Wybieraj╣c opcjΩ W│╣cz udostΩpnianie po│╣czenia internetowego dla tego po│╣czenia umo┐liwia siΩ korzystanie z danego komputera jako bramy domy£lnej i serwera nazw w sieci lokalnej.


Rysunek 21.8 Zak│adka UdostΩpnianie we w│a£ciwo£ciach po│╣czenia telefonicznego

Po│╣czenia lokalne

     Po│╣czenie lokalne jest tworzone automatycznie dla ka┐dego adaptera sieciowego, kt≤ry zosta│ zainstalowany w komputerze i wykryty przez us│ugΩ Plug and Play. Po fizycznym zainstalowaniu karty sieciowej jest ona wykrywana przez Plug and Play, a w folderze Po│╣czenia sieciowe i telefoniczne umieszczane jest po│╣czenie lokalne. Poniewa┐ po│╣czenia te s╣ zale┐ne od kart rozpoznanych w komputerze, to nie mo┐na ich tworzyµ za pomoc╣ ikony Utw≤rz nowe po│╣czenie.
     Aby adapter m≤g│ zostaµ wykryty, a po│╣czenie utworzone, byµ musi uruchomiona us│uga Plug and Play, us│uga Po│╣cze± sieciowych i telefonicznych oraz us│ugi zdalnego wywo│ywania procedur RPC (Remote Procedure Call). Domy£lnie wszystkie te us│ugi s╣ uruchamiane automatycznie, tak wiΩc nie jest konieczna ┐adna interakcja ze strony u┐ytkownika.
     Po│╣czenie lokalne mo┐e nie pojawiµ siΩ w folderze Po│╣czenia sieciowe i telefoniczne z nastΩpuj╣cych przyczyn:      Je┐eli sterownik adaptera sieciowego wymaga aktualizacji, to nale┐y pos│u┐yµ siΩ funkcj╣ Aktualizuj sterownik dostΩpn╣ we w│a£ciwo£ciach adaptera.
     Je┐eli w komputerze zainstalowano jeden adapter sieciowy, a konieczne jest pod│╣czenie komputera do kilku sieci LAN (np. podczas podr≤┐y do regionalnego oddzia│u), to sk│adniki po│╣czenia lokalnego musz╣ byµ konfigurowane za ka┐dym razem, gdy jest zmieniana sieµ lokalna. Po zmianie ustawie± TCP/IP lub innych opcji po│╣czenia nie jest jednak wymagane ponowne uruchomienie komputera.
Uwaga Zaleca siΩ korzystanie z adapter≤w sieciowych, kt≤re s╣ wymienione na Li£cie zgodno£ci sprzΩtu. Jest ona dostΩpna po klikniΩciu odno£nika do Hardware Compatibility List, znajduj╣cego siΩ na stronie Web Resources, pod adresem http://windows.microsoft.com/windows2000/reskit/webresources.
     Ponadto zaleca siΩ korzystanie ze sterownik≤w, kt≤re s╣ napisane dla systemu Windows 2000 Professional.

Klienci, us│ugi i protoko│y

     Domy£lnie wraz z po│╣czeniem lokalnym instalowane s╣ nastΩpuj╣ce sk│adniki klient≤w, us│ug i protoko│≤w:      Wszystkie inne sk│adniki klient≤w, us│ug i protoko│≤w, w│╣czaj╣c IPX/SPX, musz╣ byµ instalowane oddzielnie.

Aby skonfigurowaµ protok≤│ TCP/IP dla po│╣czenia lokalnego, nale┐y:
  1. W folderze Po│╣czenia sieciowe i telefoniczne, pokazanym na rysunku 21.9, klikn╣µ prawym przyciskiem myszy po│╣czenie lokalne i wybraµ W│a£ciwo£ci.


    Rysunek 21.9 Po│╣czenia sieciowe i telefoniczne

  2. W oknie W│a£ciwo£ci po│╣czenia lokalnego, pokazanym na rysunku 21.10, wybraµ Protok≤│ TCP/IP, a nastΩpnie klikn╣µ W│a£ciwo£ci.


    Rysunek 21.10 W│a£ciwo£ci po│╣czenia lokalnego

  3. Wykonaµ jedn╣ z poni┐szych czynno£ci:
    • Je┐eli ustawienia adresowania IP maj╣ byµ okre£lane automatycznie, to nale┐y wybraµ opcjΩ Automatycznie uzyskaj adres IP i klikn╣µ przycisk OK.
    • Je┐eli adres IP i adres serwera DNS maj╣ zostaµ podane przez u┐ytkownika, to w oknie dialogowym W│a£ciwo£ci protoko│u TCP/IP, pokazanym na rysunku 21.11, nale┐y:
    • Klikn╣µ U┐yj nastΩpuj╣cego adresu IP i wpisaµ odpowiedni╣ warto£µ w polu Adres IP.
    • Klikn╣µ U┐yj nastΩpuj╣cych adres≤w serwer≤w DNS i wpisaµ adresy IP preferowanego i alternatywnego serwera DNS w pola Preferowany serwer DNS oraz Alternatywny serwer DNS.


    Rysunek 21.11 W│a£ciwo£ci protoko│u TCP/IP

  4. Aby skonfigurowaµ zaawansowane opcje TCP/IP, takie jak wielokrotne adresy serwer≤w DNS, adresy WINS i inne opcje, nale┐y klikn╣µ przycisk Zaawansowane.
     Je┐eli jest to mo┐liwe, nale┐y korzystaµ z automatycznych ustawie± TCP/IP, takich jak adresowanie automatyczne. Jest to zalecane, poniewa┐:      Ograniczenie ilo£ci protoko│≤w zainstalowanych w komputerze zwiΩksza wydajno£µ obs│ugi sieci i zmniejsza w niej natΩ┐enie ruchu. System Windows 2000 pr≤buje zawsze nawi╣zaµ │╣czno£µ u┐ywaj╣c wszystkich zainstalowanych w nim protoko│≤w sieciowych. Je┐eli zainstaluje i w│╣czy siΩ jedynie te protoko│y, kt≤re s╣ niezbΩdne do pracy, to system Windows 2000 nie bΩdzie pr≤bowa│ │╣czyµ siΩ u┐ywaj╣c dodatkowych protoko│≤w, a co za tym idzie û bΩdzie efektywniej nawi╣zywa│ po│╣czenia.

Stan po│╣czenia lokalnego

     Podobnie jak w przypadku innych po│╣cze±, tak i w przypadku po│╣czenia lokalnego, wygl╣d jego ikony zale┐y od jego stanu. Ikona po│╣czenia pojawia siΩ w folderze Po│╣czenia sieciowe i telefoniczne oraz, je┐eli kabel sieciowy zosta│ od│╣czony, w pasku zada±. Z za│o┐enia, je┐eli adapter sieciowy nie zostanie wykryty przez komputer, to ikona po│╣czenia lokalnego nie pojawi siΩ w folderze Po│╣czenia sieciowe i telefoniczne. Tabela 21.4 opisuje poszczeg≤lne ikony po│╣czenia lokalnego.
Tabela 21.4 Ikony po│╣czenia lokalnego
IkonaOpisLokalizacja
Po│╣czenie lokalne jest aktywne. Folder Po│╣czenia sieciowe i telefoniczne
Kabel jest od│╣czony od komputera, gniazda £ciennego lub koncentratora. Folder Po│╣czenia sieciowe i telefoniczne
Kabel jest od│╣czony od komputera, gniazda £ciennego lub koncentratora. Pasek zada±
Sterownik adaptera jest wy│╣czony. Folder Po│╣czenia sieciowe i telefoniczne
Brak Adapter sieciowy nie zosta│ wykryty. »adna ikona nie pojawia siΩ w folderze Po│╣czenia sieciowe i telefoniczne



Aby obejrzeµ stan po│╣czenia lokalnego, nale┐y:
  1. Klikn╣µ prawym przyciskiem myszy po│╣czenie lokalne i wybraµ polecenie opcjΩ Stan.
  2. Aby Monitor stanu by│ w│╣czany automatycznie zawsze, gdy po│╣czenie jest aktywne, nale┐y klikn╣µ prawym przyciskiem myszy po│╣czenie lokalne, wybraµ W│a£ciwo£ci, a nastΩpnie w│╣czyµ opcjΩ Poka┐ ikonΩ na pasku zada± podczas po│╣czenia. Domy£lnie Monitor stanu jest wy│╣czony dla po│╣cze± lokalnych i w│╣czony dla wszystkich innych rodzaj≤w po│╣cze±.

Adaptery WAN

     Adaptery u┐ywane w trwa│ych po│╣czeniach WAN, takich jak T1, Frame Relay lub ATM, tak┐e pojawiaj╣ siΩ w folderze Po│╣czenia sieciowe i telefoniczne jako po│╣czenia lokalne. W przypadku tych adapter≤w pewne ustawienia s╣ wykrywane automatycznie, a inne wymagaj╣ konfiguracji przez u┐ytkownika. Na przyk│ad adapter Frame Relay wymaga skonfigurowania odpowiedniego protoko│u zarz╣dzania, kana│≤w CIR (Committed Information Rates), identyfikator≤w DLCI (Data Link Connection Identifier) oraz sygnalizacji linii. Informacje na temat tych ustawie± mo┐na znaleƒµ w dokumentacji adaptera lub uzyskaµ od jego producenta, a ich warto£ci domy£lne mog╣ zale┐eµ od rodzaju urz╣dzenia.

Konfigurowanie po│╣cze± zdalnych

     Poniewa┐ wszystkie us│ugi i metody komunikacji s╣ okre£lane dla poszczeg≤lnych po│╣cze±, to do ich skonfigurowania nie jest konieczne korzystanie z zewnΩtrznych narzΩdzi. Przyk│adowo, ustawienia po│╣czenia telefonicznego zawieraj╣ funkcje u┐ywane przed, podczas i po nawi╣zaniu po│╣czenia. S╣ to odpowiednio: typ modemu u┐ywanego do wybierania numeru, rodzaj uwierzytelniania i szyfrowania u┐ywane podczas │╣czenia oraz protoko│y wykorzystywane po po│╣czeniu do przesy│ania danych.
     Poniewa┐ ustawienia konfigurowane s╣ oddzielnie dla ka┐dego po│╣czenia, to mo┐na tworzyµ r≤┐ne po│╣czenia, odpowiadaj╣ce r≤┐nym scenariuszom, warunkom i potrzebom. Na przyk│ad, je┐eli podczas │╣czenia siΩ z biurem firmy korzysta siΩ z ustalonego adresu TCP/IP, to mo┐na skonfigurowaµ po│╣czenie korzystaj╣ce ze statycznego adresu IP. Je┐eli jednocze£nie korzysta siΩ z po│╣czenia do ISP (dostawcy us│ug internetowych), w kt≤rym adres IP jest alokowany dynamicznie za po£rednictwem protoko│u PPP, to po│╣czenie to mo┐na skonfigurowaµ u┐ywaj╣c opcji Automatycznie uzyskaj adres IP.
     Stan po│╣czenia, do kt≤rego zaliczaj╣ siΩ czas jego trwania oraz prΩdko£µ, mo┐na ogl╣daµ z poziomu samego po│╣czenia û nie trzeba u┐ywaµ do tego ┐adnego zewnΩtrznego narzΩdzia. WiΩcej informacji na temat konfigurowania po│╣cze± znajduje siΩ w Pomocy systemu Windows 2000.
     Ka┐de po│╣czenie konfiguruje siΩ po klikniΩciu go prawym przyciskiem i wybraniu opcji W│a£ciwo£ci.

Konfigurowanie ustawie± zaawansowanych

     Ustawienia w menu Zaawansowane dotycz╣ wszystkich po│╣cze± w folderze Po│╣czenia sieciowe i telefoniczne. Za ich pomoc╣ mo┐na okre£liµ preferencje rΩcznego wybierania numer≤w, opcje identyfikacji komputera takie jak jego nazwa lub domena, do kt≤rej nale┐y, oraz zainstalowaµ takie opcjonalne sk│adniki sieciowe, jak us│uga SNMP lub Serwer druku TCP/IP. Mo┐na tak┐e zmodyfikowaµ kolejno£µ, w jakiej po│╣czenia s╣ u┐ywane przez us│ugi sieciowe lub kolejno£µ, w jakiej komputer korzysta z informacji o sieci.

Wybieranie numeru z pomoc╣ operatora

     Po wybraniu tego ustawienia pomijane s╣ ustawienia wybierania automatycznego. Mo┐na z niego korzystaµ na przyk│ad gdy po│╣czenie jest zestawiane przez rΩczn╣ centralΩ.

Preferencje po│╣cze± telefonicznych

     Ustawienia w Preferencjach po│╣cze± telefonicznych wp│ywaj╣ na uprawnienia do tworzenia po│╣cze±, opcje autowybierania numer≤w i opcje wywo│ania zwrotnego.
     Menu Preferencje po│╣cze± telefonicznych mo┐na wy│╣czyµ w komputerach u┐ytkownik≤w korzystaj╣c z ustawienia Zasad grup W│╣cz element Preferencje po│╣cze± telefonicznych w menu Zaawansowane. WiΩcej informacji na ten temat znajduje siΩ w dalszej czΩ£ci tego rozdzia│u, w paragrafie äUstawienia lokalnych zasad grupö.

Autowybieranie numeru

     To ustawienie dotyczy lokalizacji, w kt≤rych mo┐na w│╣czyµ funkcjΩ Autowybierania numer≤w. Autowybieranie numer≤w mapuje i zarz╣dza adresami sieciowymi docelowych miejsc po│╣cze±, co umo┐liwia automatyczne │╣czenie siΩ z tymi miejscami po odwo│aniu siΩ do nich przez aplikacjΩ lub przez u┐ytkownika, z wykorzystaniem wiersza polece±. Aby wy│╣czyµ Autowybieranie dla danego po│╣czenia, nale┐y wy│╣czyµ opcjΩ przy odpowiedniej lokalizacji.
     Poni┐ej podano przyk│ad sytuacji, w kt≤rej u┐ywana jest funkcja Autowybierania numer≤w:      Funkcja Autowybierania numer≤w dzia│a jedynie w≤wczas, gdy uruchomiona jest us│uga Mened┐er automatycznego po│╣czenia dostΩpu zdalnego.

Aby uruchomiµ us│ugΩ Mened┐er automatycznego po│╣czenia dostΩpu zdalnego, nale┐y:
  1. Klikn╣µ prawym przyciskiem myszy ikonΩ M≤j komputer i wybraµ opcjΩ Zarz╣dzaj.
  2. W drzewie konsoli, dwukrotnie klikn╣µ opcjΩ Us│ugi i aplikacje, a nastΩpnie klikn╣µ opcjΩ Us│ugi.
  3. W panelu szczeg≤│≤w klikn╣µ prawym przyciskiem myszy Mened┐er automatycznego po│╣czenia dostΩpu zdalnego, a nastΩpnie klikn╣µ przycisk Uruchom.
  4. W kolumnie Stan pojawi siΩ napis Uruchomiona.

Wywo│anie zwrotne

     Za pomoc╣ ustawie± w menu Wywo│anie zwrotne mo┐na okre£liµ parametry funkcji. Na przyk│ad mo┐na skonfigurowaµ funkcjΩ wywo│ania zwrotnego tak, aby podczas procesu │╣czenia ┐╣da│a od u┐ytkownika podania numeru telefonu lub aby zawsze oddzwania│a na okre£lony numer.
     Opcje wywo│ania zwrotnego mog╣ byµ konfigurowane przez administratora serwera zdalnego dostΩpu dla ka┐dego u┐ytkownika osobno. Ustawienie Zawsze u┐ywaj wywo│ania zwrotnego na numer omija ustawienia Po│╣cze± sieciowych i telefonicznych. Dlatego te┐, je┐eli konto u┐ytkownika w serwerze zdalnego dostΩpu posiada ustawienie Zawsze u┐ywaj wywo│ania zwrotnego na numer (wraz z odpowiednim numerem telefonicznym), to nawet gdy u┐ytkownik wybra│ w Po│╣czeniach sieciowych i telefonicznych opcjΩ Pytaj podczas wybierania numeru, je┐eli serwer oferuje wywo│anie zwrotne, to funkcja wybierania zwrotnego nie ┐╣da od niego podania numeru zwrotnego. W tej sytuacji serwer zawsze odpowiadaj╣c wybiera numer okre£lony w jego ustawieniach.

Uwaga Je┐eli wybrano opcjΩ Bez wywo│ania zwrotnego, a serwer zdalnego dostΩpu posiada w│╣czon╣ opcjΩ Zawsze u┐ywaj wywo│ania zwrotnego na numer, to po│╣czenie nie jest mo┐liwe. W tej konfiguracji serwer zdalnego dostΩpu wymaga po│╣czenia zwrotnego, komputer u┐ytkownika odmawia przyjΩcia tego po│╣czenia, co w wyniku powoduje zerwanie komunikacji przez serwer zdalnego dostΩpu.

Dzia│anie wywo│ania zwrotnego
     Dzia│anie wywo│ania zwrotnego jest determinowane przez kombinacjΩ ustawie± Po│╣cze± sieciowych i telefonicznych oraz ustawie± serwera zdalnego dostΩpu, okre£lonych przez administratora.
     Po wywo│aniu serwera zdalnego dostΩpu sprawdza on, czy u┐ytkownik poda│ w│a£ciw╣ nazwΩ i has│o. Je┐eli tak, to dalsze jego dzia│anie zale┐y od wy┐ej wymienionych ustawie±. Tabela 21.5 przedstawia dzia│anie wywo│ania zwrotnego w zale┐no£ci od wybranych opcji.      
Tabela 21.5 Dzia│anie wywo│ania zwrotnego
Ustawienia w systemie u┐ytkownikaUstawienia w serwerze dostΩpu zdalnegoDzia│anie
Bez wywo│ania zwrotnego Bez wywo│ania zwrotnego Po│╣czenie pozostaje bez zmian.
Bez wywo│ania zwrotnego Ustawiane przez osobΩ wywo│uj╣c╣ Serwer zdalnego dostΩpu oferuje wywo│anie zwrotne, klient odmawia, po│╣czenie pozostaje bez zmian.
Bez wywo│ania zwrotnego Zawsze u┐ywaj wywo│ania zwrotnego na numer Serwer zdalnego dostΩpu oferuje wywo│anie zwrotne, klient odmawia, serwer roz│╣cza po│╣czenie.
Pytaj podczas wybierania numeru, je┐eli serwer oferuje wywo│anie zwrotne Bez wywo│ania zwrotnego Po│╣czenie pozostaje bez zmian.
Pytaj podczas wybierania numeru, je┐eli serwer oferuje wywo│anie zwrotne Ustawiane przez osobΩ wywo│uj╣c╣ W komputerze u┐ytkownika pojawia siΩ okno Wywo│anie zwrotne. Mo┐na w nim wpisaµ aktualny numer wywo│ania zwrotnego, po czym oczekiwaµ na roz│╣czenie po│╣czenia przez serwer i nawi╣zanie po│╣czenia zwrotnego.
Opcjonalnie, mo┐na w tym momencie nacisn╣µ klawisz Esc i anulowaµ w ten spos≤b po│╣czenie zwrotne û po│╣czenie wtedy pozostaje bez zmian.
Pytaj podczas wybierania numeru, je┐eli serwer oferuje wywo│anie zwrotne Zawsze u┐ywaj wywo│ania zwrotnego na numer Serwer zdalnego dostΩpu roz│╣cza po│╣czenie, po czym odpowiada u┐ywaj╣c skonfigurowanego w nim numeru telefonu.
Zawsze u┐ywaj wywo│ania zwrotnego na poni┐sze numery Bez wywo│ania zwrotnego Po│╣czenie pozostaje bez zmian.
Zawsze u┐ywaj wywo│ania zwrotnego na poni┐sze numery Ustawiane przez osobΩ wywo│uj╣c╣ Serwer zdalnego dostΩpu roz│╣cza po│╣czenie, po czym odpowiada u┐ywaj╣c numeru telefonu skonfigurowanego w Po│╣czeniach sieciowych i telefonicznych.
Zawsze u┐ywaj wywo│ania zwrotnego na poni┐sze numery Zawsze u┐ywaj wywo│ania zwrotnego na numer Serwer zdalnego dostΩpu roz│╣cza po│╣czenie, po czym odpowiada u┐ywaj╣c skonfigurowanego w nim numeru telefonu.

     WiΩcej informacji na temat konfigurowania opcji wywo│ania zwrotnego znajduje siΩ w Pomocy systemu Windows 2000.

Uwaga Je┐eli komputer jest skonfigurowany tak, aby akceptowa│ po│╣czenia przychodz╣ce, to mo┐na w nim wymusiµ opcje wywo│ania zwrotnego.

Identyfikacja sieciowa

     Po klikniΩciu opcji Identyfikacja sieciowa zostaje wy£wietlona nazwa komputera oraz grupa robocza lub domena, do kt≤rej on nale┐y. Po klikniΩciu opcji W│a£ciwo£ci mo┐na zmieniµ nazwΩ komputera lub przy│╣czyµ siΩ do domeny.

Ustawienia zaawansowane

     System Windows 2000 u┐ywa dostawc≤w sieci oraz powi╣za± w kolejno£ci okre£lonej w Ustawieniach zaawansowanych. Zmieniaj╣c kolejno£µ dostawc≤w oraz powi╣zanych z nimi protoko│≤w mo┐na zwiΩkszyµ wydajno£µ sieci. Na przyk│ad, je┐eli po│╣czenie LAN mo┐e byµ u┐ywane z sieciami NetWare (protok≤│ IPX) oraz Microsoft Networks (TCP/IP), ale najczΩ£ciej korzysta siΩ z sieci Microsoft Networks i protoko│u TCP/IP, to mo┐na przenie£µ Microsoft Windows Network na g≤rΩ listy Dostawcy sieci oraz Protok≤│ internetowy (TCP/IP) na g≤rΩ listy powi╣za± dla UdostΩpniania plik≤w i drukarek w sieciach Microsoft Networks na zak│adce Karty i powi╣zania.
     OpcjΩ Ustawienia zaawansowane w menu Zaawansowane mo┐na wy│╣czyµ za pomoc╣ ustawie± Zasad grup. WiΩcej informacji na ten temat mo┐na znaleƒµ w dalszej czΩ£ci tego rozdzia│u, w paragrafie äUstawienia lokalnych zasad grupö.

Opcjonalne sk│adniki sieci

     Opcjonalne, nie instalowane automatycznie wraz z systemem Windows 2000, sk│adniki sieci mog╣ byµ u┐ywane do wykonywania wielu zaawansowanych operacji sieciowych. Do sk│adnik≤w tych zaliczaj╣ siΩ Us│ugi Simple TCP/IP, Us│ugi SNMP czy te┐ Us│ugi drukowania dla systemu UNIX.

Bezpiecze±stwo pracy zdalnej

     Konfiguruj╣c po│╣czenia telefoniczne, wirtualne sieci prywatne (VPN) oraz po│╣czenia bezpo£rednie mo┐na wybraµ r≤┐ne poziomy uwierzytelniania za pomoc╣ has│a oraz szyfrowania danych. Do dostΩpnych metod uwierzytelniania zaliczaj╣ siΩ zar≤wno najprostsze, korzystaj╣ce z niezaszyfrowanego has│a, jak i bardzo zaawansowane û takie jak EAP. Protok≤│ EAP umo┐liwia korzystanie z r≤┐norodnych metod uwierzytelniania, w│╣czaj╣c karty inteligentne, certyfikaty, has│a jednorazowe i klucze publiczne. Mo┐liwe jest tak┐e okre£lenie metody szyfrowania danych, zale┐nej od rodzaju wybranego protoko│u uwierzytelniania (MS-CHAP lub EAP-TLS). Ponadto, je┐eli administrator systemu na to zezwoli│, mo┐na skonfigurowaµ opcje wywo│ania zwrotnego pozwalaj╣ce na zmniejszenie op│at telefonicznych i zwiΩkszaj╣ce bezpiecze±stwo po│╣cze±.
     W serwerze, z kt≤rym u┐ytkownik nawi╣zuje po│╣czenie, uprawnienia dostΩpu zdalnego s╣ przydzielane w oparciu o ustawienia telefonowania konta u┐ytkownika oraz zasady dostΩpu zdalnego. Zasady te s╣ zbiorami warunk≤w i ustawie± po│╣cze±, udostΩpniaj╣cych administratorowi wiΩksz╣ elastyczno£µ w przydzielaniu uprawnie± dostΩpu. Je┐eli parametry po│╣czenia nie odpowiadaj╣ przynajmniej jednej zasadzie dostΩpu zdalnego, to pr≤ba jego nawi╣zania jest odrzucana, niezale┐nie od ustawie± odbierania po│╣cze±.
     Administrator sieci mo┐e konfigurowaµ domeny i konta u┐ytkownik≤w w systemie Windows 2000, w celu zapewnienia bezpiecze±stwa wymuszaj╣c szyfrowane uwierzytelnianie i zaszyfrowan╣ transmisjΩ danych w po│╣czeniach zdalnych. WiΩcej informacji na temat zabezpiecze± w systemie Windows 2000 znajduje siΩ w Pomocy systemu Windows 2000 Server.

Dzia│anie zabezpiecze± podczas nawi╣zywania po│╣czenia

     Podczas nawi╣zywania po│╣czenia z serwerem zdalnego dostΩpu wykonywane s╣ nastΩpuj╣ce czynno£ci:
  1. Komputer nawi╣zuje po│╣czenie telefoniczne z serwerem.
  2. W zale┐no£ci od wybranej metody uwierzytelniania, wykonywana jest jedna z poni┐szych operacji:
Je┐eli korzysta siΩ z uwierzytelniania PAP lub SPAP
  1. Komputer przesy│a has│o u┐ytkownika do serwera.
  2. Serwer por≤wnuje otrzymane po£wiadczenia z baz╣ kont u┐ytkownik≤w.
Je┐eli korzysta siΩ z uwierzytelniania CHAP lub MS-CHAP
  1. Serwer wysy│a do komputera u┐ytkownika wezwanie.
  2. Komputer odsy│a zaszyfrowan╣ odpowiedƒ do serwera.
  3. Serwer por≤wnuje odpowiedƒ z baz╣ kont u┐ytkownik≤w.
Je┐eli korzysta siΩ z uwierzytelniania MS-CHAP v2
  1. Serwer wysy│a do komputera u┐ytkownika wezwanie.
  2. Komputer odsy│a zaszyfrowan╣ odpowiedƒ do serwera.
  3. Serwer por≤wnuje odpowiedƒ z baz╣ kont u┐ytkownik≤w i odsy│a odpowiedƒ uwierzytelniaj╣c╣.
  4. Komputer u┐ytkownika weryfikuje otrzyman╣ odpowiedƒ.
Je┐eli korzysta siΩ z uwierzytelniania opartego na certyfikatach
  1. Serwer ┐╣da po£wiadcze± od komputera u┐ytkownika i wysy│a w│asny certyfikat.
  2. Je┐eli podczas konfiguracji po│╣czenia wybrano opcjΩ Weryfikuj certyfikat serwera, to jest on weryfikowany. Je┐eli nie, to ten krok jest pomijany.
  3. Komputer u┐ytkownika wysy│a sw≤j certyfikat do serwera.
  4. Serwer weryfikuje poprawno£µ certyfikatu oraz sprawdza czy nie zosta│ on uniewa┐niony.
  5. Je┐eli po£wiadczenia u┐ytkownika s╣ prawid│owe, to serwer sprawdza jego uprawnienie dostΩpu zdalnego.
  6. Je┐eli uprawnienia u┐ytkownika zezwalaj╣ na dostΩp zdalny, to serwer akceptuje po│╣czenie. W przypadku serwera Windows 2000 dostΩp jest przydzielany na podstawie uprawnie± dostΩpu zdalnego dla konta u┐ytkownika oraz zasad dostΩpu zdalnego.
  7. Je┐eli wywo│anie zwrotne jest w│╣czone, to serwer oddzwania i powtarza kroki od 2 do 4.
Uwaga Je┐eli korzysta siΩ z po│╣czenia VPN u┐ywaj╣cego protoko│u L2TP, to IPSec uwierzytelnia konto komputera i szyfruje sesjΩ zanim kt≤rykolwiek z powy┐szych krok≤w zostanie wykonany. WiΩcej informacji na temat IPSec znajduje siΩ w dalszej czΩ£ci tego rozdzia│u, w paragrafie äSzyfrowanie danychö.

Uwierzytelnianie

     W po│╣czeniach telefonicznych, VPN i bezpo£rednich, uwierzytelnianie Windows 2000 jest implementowane w trakcie dw≤ch proces≤w: interaktywnego logowania oraz autoryzacji sieciowej. Prawid│owe uwierzytelnienie u┐ytkownika jest zale┐ne od obydwu tych proces≤w.

Interaktywny proces logowania

     Interaktywny proces logowania polega na potwierdzeniu to┐samo£ci u┐ytkownika z kontem lokalnym lub w domenie. W zale┐no£ci od rodzaju konta u┐ytkownika i tego, czy komputer jest po│╣czony z sieci╣ zabezpieczan╣ przez kontroler domeny, proces ten mo┐e przebiegaµ w r≤┐ny spos≤b:

Autoryzacja sieciowa

     Autoryzacja sieciowa polega na potwierdzaniu to┐samo£ci u┐ytkownika podczas korzystania przez niego z dowolnej us│ugi lub zasobu znajduj╣cego siΩ w sieci. Aby autoryzacja taka by│a mo┐liwa, system zabezpiecze± Windows 2000 korzysta z wielu r≤┐nych mechanizm≤w, do kt≤rych zalicza siΩ protok≤│ Kerberos v5, SSL/TLS oraz w celu zachowania zgodno£ci z systemem Windows NT 4.0 i Windows NTLM.
     U┐ytkownicy zalogowani do konta domeny nie zdaj╣ sobie sprawy z autoryzacji wielokrotnie dokonywanej podczas trwania ich sesji. U┐ytkownicy, kt≤rzy s╣ zalogowani do konta lokalnego, musz╣ podawaµ swoje po£wiadczenia (nazwΩ i has│o) za ka┐dym razem, gdy chc╣ skorzystaµ z zasobu sieciowego.

Logowanie przy u┐yciu po£wiadcze± domeny

     Po£wiadczenia u┐ywane podczas pocz╣tkowego logowania siΩ do komputera s╣ tak┐e po£wiadczeniami prezentowanymi domenie, gdy u┐ytkownik pr≤buje skorzystaµ z zasobu sieciowego. Dlatego te┐, je┐eli lokalne po£wiadczenia u┐ytkownika r≤┐ni╣ siΩ od u┐ywanych w domenie, to musi on podawaµ po£wiadczenia domeny za ka┐dym razem, gdy korzysta z zasob≤w sieci. Mo┐na tego unikn╣µ loguj╣c siΩ do komputera i podaj╣c nazwΩ domeny Windows 2000, nazwΩ u┐ytkownika w tej domenie oraz has│o. Je┐eli w momencie takiego logowania komputer nie bΩdzie po│╣czony z sieci╣, to system Windows 2000 rozpozna, ┐e podane po£wiadczenia odpowiadaj╣ poprzedniej, zako±czonej sukcesem pr≤bie uwierzytelnienia (je┐eli mia│a ona miejsce) i wy£wietli komunikat äSystem Windows nie mo┐e po│╣czyµ siΩ z serwerem w celu potwierdzenia ustawie± tego logowania. Przy logowaniu wykorzystano zapisane poprzednio informacje o koncieö. Po nawi╣zaniu po│╣czenia z sieci╣ buforowane po£wiadczenia s╣ przesy│ane do domeny Windows 2000, co umo┐liwia u┐ytkownikowi korzystanie z zasob≤w sieciowych bez ponownego podawania has│a.

Protoko│y uwierzytelniania

     W Po│╣czeniach sieciowych i telefonicznych mo┐na u┐ywaµ nastΩpuj╣cych metod i protoko│≤w uwierzytelniania:

Protok≤│ PAP

     Protok≤│ PAP (Password Authentication Protocol) korzysta z hase│ zapisanych tekstem jawnym (niezaszyfrowanych) i jest najmniej zaawansowan╣ metod╣ uwierzytelniania. PAP jest u┐ywany zazwyczaj, gdy komputer u┐ytkownika i serwer nie mog╣ wynegocjowaµ bardziej bezpiecznej formy weryfikacji to┐samo£ci u┐ytkownika. Konieczno£µ korzystania z tego protoko│u mo┐e zaistnieµ w≤wczas, gdy nawi╣zuje siΩ po│╣czenie z serwerem nie u┐ywaj╣cym systemu Windows.

Protok≤│ SPAP

     Korzystaj╣c z protoko│u SPAP (Shiva Password Authentication Protocol), klienci Shiva mog╣ │╣czyµ siΩ z komputerami u┐ywaj╣cymi systemu Windows 2000 Server, a klienci Windows 2000 û z serwerami Shiva.

Protok≤│ CHAP

     Protok≤│ CHAP (Challenge Handshake Authentication Protocol) umo┐liwia bezpieczn╣ formΩ wymiany zaszyfrowanych po£wiadcze± przy u┐yciu schematu mieszania MD5 (Message Digest 5). Schemat mieszania jest metod╣ transformacji danych (np. has│a) w taki spos≤b, ┐e rezultat jest unikatowy i nie mo┐e zostaµ przywr≤cony do formy oryginalnej. Protok≤│ CHAP dzia│a na zasadzie wezwanie-odpowiedƒ, gdzie odpowiedƒ jest jednokierunkowo zaszyfrowana algorytmem MD5. DziΩki temu u┐ytkownik mo┐e udowodniµ swoj╣ znajomo£µ has│a bez jawnego przesy│ania go przez sieµ. Obs│uguj╣c protok≤│ CHAP i mieszanie MD5, Po│╣czenia sieciowe i telefoniczne s╣ w stanie bezpiecznie │╣czyµ siΩ z prawie wszystkimi serwerami PPP firmy trzecich.

Uwaga Je┐eli serwer wymaga u┐ywania protoko│u PAP, SPAP lub CHAP, to nie mo┐na korzystaµ z szyfrowania transmisji danych w po│╣czeniach telefonicznych lub PPTP.
     Je┐eli po│╣czenie jest skonfigurowane tak, aby wymaga│o szyfrowanego uwierzytelniania, a serwer mo┐e korzystaµ jedynie z hase│ przesy│anych tekstem jawnym, to │╣czno£µ jest zrywana.

Protok≤│ MS-CHAP

     Firma Microsoft zaprojektowa│a protok≤│ MS-CHAP (Microsoft Challenge Handshake Authentication Protocol), rozszerzenie protoko│u CHAP, w celu uwierzytelniania zdalnych stacji roboczych Windows. Protok≤│ ten udostΩpnia funkcjonalno£µ, do kt≤rej przywykli u┐ytkownicy sieci LAN, integruj╣c jednocze£nie algorytmy szyfrowania i mieszania u┐ywane w sieciach Windows. Podobnie jak w przypadku protoko│u CHAP, MS-CHAP korzysta z mechanizmu typu wezwanie-odpowiedƒ z jednokierunkowym szyfrowaniem odpowiedzi.
     Je£li tylko jest to mo┐liwe, MS-CHAP jest zgodny ze standardem CHAP. Pakiet odpowiedzi posiada format zaprojektowany specjalnie dla sieci komputer≤w u┐ywaj╣cych system≤w Windows NT, Windows 2000 oraz Windows 95 i Windows 98.
     Administrator systemu mo┐e okre£liµ regu│y powtarzania uwierzytelniania oraz zmiany hase│ dla u┐ytkownik≤w korzystaj╣cych z serwera.
     Przy korzystaniu z serwera Windows 95 nale┐y u┐ywaµ specjalnej wersji protoko│u MS-CHAP, u┐ywanej jedynie w tym przypadku.

Protok≤│ MS-CHAP v2

     DostΩpna jest tak┐e nowa wersja protoko│u MS-CHAP, MS-CHAP v2. Ten nowy protok≤│ pozwala na uwierzytelnianie wzajemne, udostΩpnia mocniejsze klucze szyfruj╣ce i umo┐liwia korzystanie z r≤┐nych kluczy szyfruj╣cych dla nadawania i odbioru. W celu minimalizacji ryzyka skompromitowania has│a podczas jego przesy│ania, MS-CHAP v2 korzysta z nowszej, bardziej bezpiecznej wersji algorytmu mieszaj╣cego has│o.
     W przypadku po│╣cze± VPN system Windows 2000 Server proponuje korzystanie w pierwszej kolejno£ci z protoko│u MS-CHAP v2, a dopiero p≤ƒniej z MS-CHAP. Starsze wersje systemu Windows, po aktualizacji, mog╣ akceptowaµ protok≤│ MS-CHAP v2. Po│╣czenia telefoniczne w tych systemach s╣ traktowane bez zmian.
     W systemie Windows 2000 zar≤wno po│╣czenia telefoniczne jak i VPN mog╣ korzystaµ z protoko│u MS-CHAP v2. System Windows NT 4.0 i Windows 98 mog╣ korzystaµ z uwierzytelniania MS-CHAP v2 jedynie w po│╣czeniach VPN.

Protok≤│ EAP

     Protok≤│ EAP (Extensible Authentication Protocol) jest rozszerzeniem protoko│u PPP. Zosta│ on zaprojektowany w odpowiedzi na rosn╣ce wymagania zwi╣zane z uwierzytelnianiem w serwerach zdalnego dostΩpu korzystaj╣cych z zaawansowanych urz╣dze± zabezpieczaj╣cych. EAP udostΩpnia standardowy mechanizm obs│ugi dodatkowych metod uwierzytelniania wewn╣trz standardowego protoko│u PPP. Korzystaj╣c z protoko│u EAP mo┐na rozszerzaµ system o obs│ugΩ dodatkowych schemat≤w uwierzytelniania, do kt≤rych zaliczaj╣ siΩ karty tokenowe, has│a jednorazowe, uwierzytelnianie za pomoc╣ klucza publicznego przy u┐yciu kart inteligentnych, certyfikaty itd. EAP jest krytycznym sk│adnikiem dla bezpiecznych po│╣cze± VPN, poniewa┐ udostΩpnia silniejsze metody uwierzytelniania (np. certyfikaty kluczy publicznych), kt≤re lepiej zabezpieczaj╣ przed atakami brutalnymi, s│ownikowymi i odgadywaniem hase│.
     Aby dowiedzieµ siΩ czy korzystanie z protoko│u EAP jest mo┐liwe, nale┐y skontaktowaµ siΩ z administratorem systemu.
Karty inteligentne i inne sposoby uwierzytelniania z u┐yciem certyfikat≤w
     Je┐eli certyfikat u┐ytkownika jest zainstalowany w magazynie certyfikat≤w w komputerze lub na karcie inteligentnej oraz w│╣czony jest protok≤│ EAP-TLS, to mo┐na korzystaµ z uwierzytelniania przy u┐yciu certyfikatu. Uwierzytelnianie takie umo┐liwia pojedynczy proces logowania.
     Certyfikat jest zaszyfrowanym zbiorem po£wiadcze± uwierzytelniaj╣cych. Zawiera on cyfrowy äpodpisö urzΩdu certyfikacyjnego, kt≤ry dany certyfikat przydzieli│. Podczas procesu uwierzytelniania za pomoc╣ certyfikat≤w, komputer u┐ytkownika przedstawia sw≤j certyfikat serwerowi, a serwer sw≤j û komputerowi u┐ytkownika, co umo┐liwia uwierzytelnienie wzajemne. Certyfikaty s╣ uwierzytelniane przez zweryfikowanie podpisu cyfrowego za pomoc╣ klucza publicznego, zawartego w g│≤wnym certyfikacie urzΩdu certyfikacyjnego, przechowywanym w komputerze u┐ytkownika. G│≤wne certyfikaty s╣ podstaw╣ weryfikacji innych certyfikat≤w i mog╣ byµ dostarczane jedynie przez administratora systemu. System Windows 2000 udostΩpnia wiele zaufanych certyfikat≤w g│≤wnych. Nale┐y je dodawaµ i usuwaµ jedynie w≤wczas, gdy administrator systemu to zaleci.
     Certyfikaty mog╣ byµ przechowywane w magazynie certyfikat≤w w komputerze lub na karcie inteligentnej. Karta inteligentna jest urz╣dzeniem o rozmiarze karty kredytowej, kt≤re mo┐e byµ odczytywane za pomoc╣ specjalnego czytnika, zainstalowanego w komputerze lub pod│╣czonego do niego zewnΩtrznie.
     Ustawiaj╣c opcje zabezpiecze± po│╣czenia mo┐na wybraµ, czy maj╣ byµ u┐ywane karty inteligentne lub inne certyfikaty oraz okre£liµ inne szczeg≤lne wymagania. Na przyk│ad mo┐na wymusiµ weryfikowanie certyfikatu serwera oraz wybraµ g│≤wny, zaufany urz╣d certyfikacyjny serwera.
     Po dwukrotnym klikniΩciu ikony Utw≤rz nowe po│╣czenie w folderze Po│╣czenia sieciowe i telefoniczne, je┐eli w komputerze zainstalowany jest czytnik kart inteligentnych, system Windows 2000 proponuje skorzystanie z niego jako sposobu uwierzytelniania dla tworzonego po│╣czenia. Je┐eli u┐ytkownik nie zdecyduje siΩ na to tworz╣c po│╣czenie, to zawsze mo┐e wybraµ t╣ opcjΩ p≤ƒniej.

Szyfrowanie danych

     Szyfrowanie mo┐na sobie wyobraziµ jako zamykanie czego£ warto£ciowego w mocnym pude│ku z zamkiem. Wa┐ne dane s╣ szyfrowane za pomoc╣ algorytmu, kt≤ry sprawia, ┐e s╣ one nieczytelne bez znajomo£ci klucza. Klucze szyfruj╣ce dane s╣ okre£lane w momencie nawi╣zania po│╣czenia. Korzystanie z szyfrowania mo┐e zostaµ zainicjowane przez komputer u┐ytkownika lub przez serwer, z kt≤rym siΩ on │╣czy.
     W przypadku po│╣cze± telefonicznych, VPN i bezpo£rednich, obs│ugiwane s╣ dwie metody szyfrowania: MPPE (Microsoft Point-to-Point Encryption), korzystaj╣ca z algorytmu RSA (Rivest-Shamir-Adlemen) RC4, oraz implementacja protoko│u IPSec u┐ywaj╣ca algorytmu DES (Data Encryption Standard). Obie metody (MPPE i IPSec) udostΩpniaj╣ r≤┐ne poziomy szyfrowania.
     Serwer mo┐e byµ elastycznie konfigurowany tak, aby uniemo┐liwia│ stosowanie szyfrowania, wymaga│ okre£lonej jego metody lub pozwala│ na jej wybranie przez komputer u┐ytkownika. WiΩkszo£µ serwer≤w domy£lnie pozwala na stosowanie szyfrowania oraz wyb≤r jego metody przez klienta. W przypadku serwera zdalnego dostΩpu lub serwera VPN Windows 2000, administrator okre£la wymagania zwi╣zane z szyfrowaniem za pomoc╣ zasad dostΩpu zdalnego. Aby dowiedzieµ siΩ, jakie ustawienia obowi╣zuj╣ w danej sieci, nale┐y skontaktowaµ siΩ z jej administratorem.
     Aby w│╣czyµ szyfrowanie MPPE dla po│╣cze± telefonicznych lub VPN, nale┐y wybraµ uwierzytelnianie MS-CHAP, MS-CHAP v2 lub EAP-TLS. Podczas dzia│ania tych metod uwierzytelniania generowane s╣ klucze, kt≤re s╣ p≤ƒniej u┐ywane w procesie szyfrowania.
     Wirtualne sieci prywatne (VPN) u┐ywaj╣ metody szyfrowania zale┐nej od wykorzystywanych serwer≤w. Je┐eli po│╣czenie VPN korzysta z serwera PPTP, to u┐ywane jest szyfrowanie MPPE. Je┐eli serwer korzysta protoko│u L2TP, to u┐ywane jest szyfrowanie IPSec. Gdy po│╣czenie VPN jest skonfigurowane tak, aby automatycznie rozpoznawa│o typ serwera (jest to ustawienie domy£lne), to w pierwszej kolejno£ci wypr≤bowywany jest protok≤│ L2TP, a nastΩpnie PPTP.

MPPE

     MPPE (Microsoft Point-to-Point Encryption) szyfruje dane w po│╣czeniach telefonicznych korzystaj╣cych z protoko│u PPP lub w po│╣czeniach VPN u┐ywaj╣cych protoko│u PPTP. Obs│ugiwany jest zar≤wno mocny (z kluczem 128-bitowym) jak i standardowy (z kluczem 56 lub 40-bitowym) schemat szyfrowania. MPPE zapewnia zabezpieczenie danych przesy│anych miΩdzy komputerem u┐ytkownika a serwerem zdalnego dostΩpu lub serwerem VPN (korzystaj╣cym z protoko│u PPTP).

Uwaga Szyfrowanie MPPE do dzia│ania wymaga, aby podczas uwierzytelniania MS-CHAP, MS-CHAP v2 lub EAP-TLS zosta│ wygenerowany wsp≤lny dla klienta i serwera klucz szyfruj╣cy.

IPSec

     IPSec (IP Security) stanowi rodzinΩ kryptograficznych us│ug i protoko│≤w zabezpieczaj╣cych. Poniewa┐ schemat ten nie wymaga zmian w aplikacjach i innych protoko│ach, to w wygodny spos≤b mo┐e byµ stosowany w istniej╣cych sieciach.
     IPSec umo┐liwia uwierzytelnianie na poziomie komputera, a tak┐e szyfrowanie danych w po│╣czeniach VPN u┐ywaj╣cych protoko│u L2TP. IPSec negocjuje bezpieczny kana│ komunikacyjny pomiΩdzy komputerem u┐ytkownika a odleg│ym serwerem tunelu przed nawi╣zaniem po│╣czenia L2TP, co zabezpiecza zar≤wno nazwΩ i has│o u┐ytkownika jak i przesy│ane dane.
     Wyb≤r kluczy szyfruj╣cych IPSec nie zale┐y od u┐ywanej metody uwierzytelniania. DziΩki temu po│╣czenia L2TP mog╣ korzystaµ ze standardowych protoko│≤w uwierzytelniania PPP, takich jak EAP-TLS, MS-CHAP, CHAP, SPAP oraz PAP. U┐ytkownik zawsze jest uwierzytelniany ju┐ po nawi╣zaniu bezpiecznej │╣czno£ci IPSec.
     Spos≤b szyfrowania jest determinowany przez tzw. skojarzenie zabezpiecze± IPSec. Skojarzenie takie jest kombinacj╣ adresu docelowego, u┐ywanego protoko│u zabezpieczaj╣cego oraz unikatowej warto£ci, nazywanej indeksem zabezpiecze±. Do dostΩpnych metod szyfrowania zaliczaj╣ siΩ:
Uwaga Ustawienia protoko│u IPSec, powi╣zane z w│a£ciwo£ciami TCP/IP, s╣ stosowane dla wszystkich po│╣cze±, w kt≤rych u┐ywany jest protok≤│ TCP/IP.

Wywo│anie zwrotne

     Funkcja wywo│ania zwrotnego umo┐liwia ograniczenie koszt≤w ponoszonych przez u┐ytkownik≤w. Wywo│anie zwrotne polega na tym, ┐e serwer telefonicznego dostΩpu zdalnego roz│╣cza po│╣czenie, a nastΩpnie oddzwania do klienta. DziΩki temu u┐ytkownik nie musi ponosiµ koszt≤w po│╣czenia.
     Wywo│anie zwrotne mo┐e byµ tak┐e u┐ywane do zwiΩkszenia bezpiecze±stwa sieci. Wymuszenie oddzwaniania na konkretny numer telefoniczny gwarantuje, ┐e u┐ytkownicy bΩd╣ mogli │╣czyµ siΩ z sieci╣ korporacyjn╣ jedynie z wyznaczonych miejsc. Zerwanie po│╣czenia przez serwer i natychmiastowe oddzwonienie na z g≤ry okre£lony numer znacznie utrudnia pr≤by podszywania siΩ pod autoryzowanych u┐ytkownik≤w.
     WiΩcej informacji na temat wywo│ania zwrotnego znajduje siΩ wcze£niej w tym rozdziale, w paragrafie äKonfigurowanie ustawie± zaawansowanychö.

Zasady grup w Po│╣czeniach sieciowych i telefonicznych

     Za pomoc╣ ustawie± Zasad grup lub ich kombinacji mo┐na kontrolowaµ dostΩp do foldera Po│╣czenia sieciowe i telefoniczne oraz zakres tego dostΩpu. Na przyk│ad mo┐na skonfigurowaµ ustawienie Zasad grup, kt≤re uniemo┐liwi dostΩp do menu Ustawienia zaawansowane w folderze Po│╣czenia sieciowe i telefoniczne. WiΩcej informacji na temat korzystania z Zasad grup w systemie Windows 2000 Server znajduje siΩ w Pomocy tego systemu.
     Kolejne sekcje opisuj╣ ustawienia lokalnych Zasad grup, kt≤re mog╣ byµ stosowane w systemie Windows 2000 Professional. Podano w nich tak┐e informacje na temat rejestru.

Ustawienia Zasad grup w Konfiguracji komputera

     Na rysunku 21.12 przedstawiono lokalizacjΩ ni┐ej opisanego ustawienia w snap-in Zasady grup.


Rysunek 21.12 Konfiguracja komputera w Zasadach grup

Zezwalaj na konfiguracjΩ udostΩpniania po│╣cze±
     Ustawienie to okre£la, czy administratorzy mog╣ w│╣czaµ, wy│╣czaµ i konfigurowaµ funkcjΩ UdostΩpnianie po│╣czenia internetowego dla po│╣czenia telefonicznego.
     Je£li zasada ta jest w│╣czona lub nie skonfigurowana, to system wy£wietla zak│adkΩ UdostΩpnianie w oknie dialogowym W│a£ciwo£ci: Po│╣czenie telefoniczne. W systemie Windows 2000 Server zostanie r≤wnie┐ wy£wietlona strona UdostΩpnianie po│╣czenia internetowego w Kreatorze po│╣cze± sieciowych (zak│adka ta jest dostΩpna tylko w systemie Windows 2000 Server). Je£li zasada ta zostanie wy│╣czona, to karta UdostΩpnianie i strona UdostΩpnianie po│╣czenia internetowego kreatora nie bΩd╣ dostΩpne.

Ostrze┐enie Zezwalaj╣c u┐ytkownikowi na w│╣czanie udostΩpniania po│╣czenia internetowego, pozwala siΩ mu na utworzenie nieautoryzowanego serwera DHCP w podsieci, w kt≤rej znajduje siΩ jego komputer. Serwer ten mo┐e przydzielaµ niew│a£ciwe adresy IP wszystkim klientom DHCP znajduj╣cym siΩ w tej podsieci, co uniemo┐liwi im komunikowanie siΩ z komputerami znajduj╣cymi siΩ w innych podsieciach.



Uwaga Zasada ta pojawia siΩ w folderach Konfiguracja komputeraKonfiguracja u┐ytkownika. Je£li obie zasady s╣ skonfigurowane, ustawienie w folderze Konfiguracja komputera ma pierwsze±stwo przed ustawieniem w folderze Konfiguracja u┐ytkownika. Ponadto zasada ta ma zastosowanie jedynie dla u┐ytkownik≤w z grupy Administratorzy.

Ustawienia Zasad grup w Konfiguracji u┐ytkownika

     Na rysunku 21.13 przedstawiono lokalizacjΩ ni┐ej opisanych zasad w snap-in Zasady Grup.


Rysunek 21.13 Konfiguracja u┐ytkownika w Zasadach grup

W│╣cz usuwanie po│╣cze± RAS
     Zasada ta okre£la, czy u┐ytkownicy mog╣ usuwaµ prywatne po│╣czenia telefoniczne (RAS). Je£li zostanie w│╣czona lub nie zostanie skonfigurowana, to u┐ytkownicy bΩd╣ mogli usuwaµ prywatne po│╣czenia RAS. Prywatne po│╣czenia to takie, kt≤re s╣ dostΩpne tylko dla jednego u┐ytkownika (domy£lnie tylko administratorzy mog╣ usuwaµ po│╣czenia dostΩpne dla wszystkich u┐ytkownik≤w, ale mo┐na zmieniµ to ustawienie domy£lne przy u┐yciu zasady W│╣cz usuwanie po│╣cze± RAS dla wszystkich u┐ytkownik≤w). Je£li zasada ta zostanie wy│╣czona, to u┐ytkownicy (│╣cznie z administratorami) nie mog╣ usuwaµ ┐adnych po│╣cze± telefonicznych. Ustawienie to wy│╣cza r≤wnie┐ opcjΩ Usu± w menu kontekstowym dla po│╣czenia telefonicznego i w menu Plik w folderze Po│╣czenia sieciowe i telefoniczne.

Uwaga Je┐eli zasada ta jest wy│╣czona, to ma pierwsze±stwo przed zasad╣ W│╣cz usuwanie po│╣cze± RAS dla wszystkich u┐ytkownik≤w. U┐ytkownicy nie mog╣ usuwaµ ┐adnych po│╣cze± telefonicznych, a zasada W│╣cz usuwanie po│╣cze± RAS dla wszystkich u┐ytkownik≤w jest ignorowana.
W│╣cz usuwanie po│╣cze± RAS dla wszystkich u┐ytkownik≤w
     Zasada ta pozwala u┐ytkownikom na usuwanie udostΩpnionych po│╣cze± telefonicznych (RAS). UdostΩpnione po│╣czenia s╣ dostΩpne dla wszystkich u┐ytkownik≤w danego komputera.
     Je┐eli zasada ta zostanie w│╣czona, to u┐ytkownicy bΩd╣ mogli usuwaµ udostΩpnione im po│╣czenia telefoniczne. Je┐eli nie zostanie ona skonfigurowana, to bΩd╣ je mogli usuwaµ jedynie administratorzy. Po jej wy│╣czeniu nikt nie bΩdzie m≤g│ usuwaµ udostΩpnionych po│╣cze± telefonicznych (domy£lnie u┐ytkownicy mog╣ w dalszym ci╣gu usuwaµ swoje po│╣czenia prywatne, jednak┐e ustawienie to mo┐na zmieniµ za pomoc╣ zasady W│╣cz usuwanie po│╣cze± RAS).

Uwaga Je┐eli zasada W│╣cz usuwanie po│╣cze± RAS jest wy│╣czona, to ma ona pierwsze±stwo przed opisywan╣ zasad╣. U┐ytkownicy, │╣cznie z administratorami, nie mog╣ usuwaµ ┐adnych po│╣cze±, a zasada W│╣cz usuwanie po│╣cze± RAS dla wszystkich u┐ytkownik≤w jest ignorowana.
W│╣cz pod│╣czanie i roz│╣czanie po│╣czenia RAS
     Zasada ta okre£la, czy u┐ytkownicy mog╣ pod│╣czaµ i roz│╣czaµ po│╣czenia telefoniczne.
     Je£li zasada ta zostanie w│╣czona, to opcje Po│╣cz Roz│╣cz dla po│╣cze± telefonicznych stan╣ siΩ dostΩpne. U┐ytkownicy mog╣ pod│╣czyµ lub roz│╣czyµ po│╣czenie telefoniczne klikaj╣c dwukrotnie ikonΩ reprezentuj╣c╣ po│╣czenie, klikaj╣c ikonΩ prawym przyciskiem myszy lub przy pomocy menu Plik. Je£li zasada ta zostanie wy│╣czona, to dwukrotne klikniΩcie ikony nie dzia│a, a elementy menu Po│╣cz i Roz│╣cz nie s╣ dostΩpne.
W│╣cz │╣czenie i roz│╣czanie po│╣czenia LAN
     Zasada ta okre£la, czy u┐ytkownicy mog╣ pod│╣czaµ i roz│╣czaµ po│╣czenia lokalne.
     Je£li zasada ta zostanie w│╣czona, to opcje Po│╣cz Roz│╣cz dla po│╣cze± lokalnych stan╣ siΩ dostΩpne. U┐ytkownicy mog╣ │╣czyµ lub roz│╣czaµ po│╣czenie lokalne przez dwukrotne klikniΩcie ikony reprezentuj╣cej po│╣czenie, klikniΩcie jej prawym przyciskiem myszy lub przy u┐yciu menu Plik. Je£li zasada ta jest wy│╣czona, to dwukrotne klikniΩcie przyciskiem myszy nie dzia│a i elementy menu Po│╣cz i Roz│╣cz s╣ niedostΩpne.
W│╣cz dostΩp do w│a£ciwo£ci po│╣czenia LAN
     Zasada ta okre£la, czy u┐ytkownicy mog╣ wy£wietlaµ i zmieniaµ w│a£ciwo£ci po│╣czenia lokalnego.
     Je£li zasada ta zostanie w│╣czona, to element menu W│a£ciwo£ci pojawi siΩ, gdy u┐ytkownik kliknie prawym przyciskiem myszy ikonΩ reprezentuj╣c╣ po│╣czenie lokalne. Tak┐e kiedy u┐ytkownik zaznaczy po│╣czenie, element W│a£ciwo£ci bΩdzie dostΩpny w menu Plik. Je£li zasada ta jest wy│╣czona, to u┐ytkownicy nie mog╣ otwieraµ okna dialogowego W│a£ciwo£ci po│╣cze± lokalnych.

Uwaga Zasada ta jest wa┐niejsza od zasad, kt≤re usuwaj╣ lub wy│╣czaj╣ elementy okna dialogowego W│a£ciwo£ci po│╣cze± lokalnych, takich jak te, kt≤re ukrywaj╣ zak│adki, usuwaj╣ pola wyboru do w│╣czania lub wy│╣czania sk│adnik≤w lub wy│╣czaj╣ przycisk W│a£ciwo£ci dla sk│adnik≤w, kt≤rych u┐ywa po│╣czenie. Je£li zasada ta zostanie wy│╣czona, to zasady, kt≤re wy│╣czaj╣ elementy okna dialogowego W│a£ciwo£ci po│╣cze± lokalnych, s╣ ignorowane.
Zezwalaj na dostΩp do bie┐╣cych w│a£ciwo£ci po│╣czenia RAS u┐ytkownika
     Ustawienie to okre£la, czy u┐ytkownicy mog╣ wy£wietlaµ i zmieniaµ w│a£ciwo£ci swoich prywatnych po│╣cze± telefonicznych.
     Po│╣czenia prywatne to te, kt≤re s╣ dostΩpne tylko dla jednego u┐ytkownika. Aby utworzyµ po│╣czenie prywatne nale┐y na stronie DostΩpno£µ po│╣cze± w Kreatorze po│╣cze± sieciowych wybraµ opcjΩ Tylko dla mnie.
     Je£li zasada ta zostanie w│╣czona, to po klikniΩciu po│╣czenia prawym przyciskiem myszy i wybraniu W│a£ciwo£ci pojawi siΩ okno dialogowe W│a£ciwo£ci: Po│╣czenie lokalne. R≤wnie┐ po wybraniu po│╣czenia przez u┐ytkownika, w menu Plik pojawi siΩ element W│a£ciwo£ci. Je£li zasada ta zostanie wy│╣czona, to u┐ytkownicy nie bΩd╣ mogli otwieraµ okna dialogowego W│a£ciwo£ci po│╣czenia telefonicznego.

Uwaga Zasada ta jest wa┐niejsza od zasad, kt≤re usuwaj╣ lub wy│╣czaj╣ czΩ£ci okna dialogowego W│a£ciwo£ci po│╣czenia telefonicznego, takich jak te, kt≤re ukrywaj╣ zak│adki, usuwaj╣ pola wyboru do w│╣czania i wy│╣czania sk│adnik≤w lub wy│╣czaj╣ przycisk W│a£ciwo£ci dla sk│adnik≤w, kt≤rych po│╣czenie u┐ywa. Je£li zasada ta zostanie wy│╣czona, to zastΩpuje ona wszystkie te podrzΩdne zasady.
Zezwalaj na dostΩp do w│a£ciwo£ci po│╣cze± RAS dostΩpnych dla wszystkich u┐ytkownik≤w
     Zasada ta okre£la, czy u┐ytkownik mo┐e wy£wietlaµ i zmieniaµ w│a£ciwo£ci po│╣cze± telefonicznych dostΩpnych dla wszystkich u┐ytkownik≤w danego komputera. Aby utworzyµ takie po│╣czenie, na stronie DostΩpno£µ po│╣cze± w Kreatorze po│╣cze± sieciowych nale┐y wybraµ opcjΩ Dla wszystkich u┐ytkownik≤w. Aby sprawdziµ, jakie po│╣czenia s╣ dostΩpne dla wszystkich u┐ytkownik≤w, nale┐y obejrzeµ zawarto£µ folderu Po│╣czenia na dysku systemowym (C:\Documents and Settings\All Users\Dane aplikacji\Microsoft\Network\Connections).
     Je£li zasada ta zostanie w│╣czona, to po klikniΩciu prawym przyciskiem myszy na ikonie po│╣czenia telefonicznego i wybraniu W│a£ciwo£ci pojawi siΩ okno dialogowe W│a£ciwo£ci po│╣czenia telefonicznego. Ponadto po wybraniu przez u┐ytkownika po│╣czenia, w menu Plik pojawia siΩ element W│a£ciwo£ci. Je£li zasada ta zostanie wy│╣czona, to u┐ytkownicy nie bΩd╣ mogli otworzyµ okna dialogowego W│a£ciwo£ci po│╣czenia telefonicznego.

Uwaga Zasada ta jest wa┐niejsza od zasad, kt≤re usuwaj╣ lub wy│╣czaj╣ czΩ£ci okna dialogowego W│a£ciwo£ci po│╣czenia telefonicznego, takich jak te, kt≤re ukrywaj╣ zak│adki, usuwaj╣ pola wyboru do w│╣czania i wy│╣czania sk│adnik≤w lub wy│╣czaj╣ przycisk W│a£ciwo£ci dla sk│adnik≤w, kt≤rych u┐ywa po│╣czenie. Je£li zasada ta zostanie wy│╣czona, to zastΩpuje ona wszystkie te podrzΩdne zasady.
W│╣cz zmianΩ nazw po│╣cze±, je┐eli s╣ obs│ugiwane
     Zasada to okre£la, czy u┐ytkownicy mog╣ zmieniaµ nazwy telefonicznych i lokalnych po│╣cze± dostΩpnych dla wszystkich u┐ytkownik≤w.
     Je£li zasada ta zostanie w│╣czona, to opcja Zmie± nazwΩ bΩdzie dostΩpna. U┐ytkownicy mog╣ zmieniaµ nazwy po│╣cze± klikaj╣c ikonΩ reprezentuj╣c╣ po│╣czenie lub przy pomocy menu Plik. Je£li zasada ta zostanie wy│╣czona, to opcja Zmie± nazwΩ bΩdzie niedostΩpna.
W│╣cz zmianΩ nazw po│╣cze± RAS nale┐╣cych do bie┐╣cego u┐ytkownika
     Zasada ta okre£la, czy u┐ytkownicy mog╣ zmieniaµ nazwy swoich prywatnych po│╣cze± telefonicznych.
     Po│╣czenia prywatne to te, kt≤re s╣ dostΩpne tylko dla jednego u┐ytkownika. Aby utworzyµ takie po│╣czenie, nale┐y na stronie DostΩpno£µ po│╣cze± w Kreatorze po│╣cze± sieciowych klikn╣µ opcjΩ Tylko dla mnie.
     Je£li zasada ta zostanie w│╣czona, to opcja Zmie± nazwΩ bΩdzie dostΩpna dla prywatnych po│╣cze± telefonicznych u┐ytkownik≤w. Je£li zostanie ona wy│╣czona, to opcja Zmie± nazwΩ bΩdzie niedostΩpna, nawet dla prywatnych po│╣cze± u┐ytkownik≤w.
W│╣cz dodawanie lub usuwanie sk│adnik≤w dla po│╣czenia RAS lub LAN
     Ustawienie to okre£la, czy administratorzy mog╣ dodawaµ i usuwaµ sk│adniki sieciowe.
     Je£li zasada ta zostanie w│╣czona, to przyciski Zainstaluj Odinstaluj dla sk│adnik≤w po│╣cze± w folderze Po│╣czenia sieciowe i telefoniczne bΩd╣ dostΩpne. Administratorzy mog╣ r≤wnie┐ uzyskaµ dostΩp do sk│adnik≤w sieciowych w Kreatorze sk│adnik≤w systemu Windows. Je£li zasada ta zostanie wy│╣czona, to przyciski Zainstaluj i Odinstaluj nie bΩd╣ dostΩpne, a administratorzy nie bΩd╣ posiadali uprawnie± dostΩpu do sk│adnik≤w sieciowych w Kreatorze sk│adnik≤w systemu Windows.
     Przycisk Zainstaluj otwiera okno dialogowe u┐ywane do dodawania sk│adnik≤w sieciowych. KlikniΩcie przycisku Odinstaluj usuwa sk│adnik zaznaczony na li£cie sk│adnik≤w (powy┐ej przycisku). Przyciski Zainstaluj Odinstaluj pojawiaj╣ siΩ po klikniΩciu prawym przyciskiem myszy po│╣czenia i wybraniu polecenia W│a£ciwo£ci. Przyciski te znajduj╣ siΩ na karcie Og≤lne w przypadku po│╣cze± lokalnych i na karcie Sieµ dla po│╣cze± telefonicznych.

Uwaga Kreator sk│adnik≤w systemu Windows pozwala administratorom dodawaµ i usuwaµ sk│adniki. Aby z niego skorzystaµ, nale┐y dwukrotnie klikn╣µ ikonΩ Dodaj/Usu± programy w Panelu sterowania. Aby przej£µ bezpo£rednio do sk│adnik≤w sieciowych w Kreatorze sk│adnik≤w systemu Windows, nale┐y klikn╣µ menu Zaawansowane w folderze Po│╣czenia sieciowe i telefoniczne, a nastΩpnie wybraµ polecenie Opcjonalne sk│adniki sieci.
Zezwalaj na w│╣czanie lub wy│╣czanie sk│adnik≤w po│╣cze±
     Zasada ta okre£la, czy administratorzy mog╣ w│╣czaµ i wy│╣czaµ sk│adniki u┐ywane przez po│╣czenia telefoniczne i po│╣czenia lokalne.
     Je┐eli zasada ta zostanie w│╣czona, to w oknie dialogowym W│a£ciwo£ci dla po│╣czenia dostΩpne bΩd╣ pola wyboru, znajduj╣ce siΩ obok nazw sk│adnik≤w u┐ywanych przez to po│╣czenie. Zaznaczenie pola wyboru w│╣cza, a jego wyczyszczenie û wy│╣cza sk│adnik.
     Wy│╣czenie tej zasady usuwa pola wyboru umo┐liwiaj╣ce w│╣czanie i wy│╣czanie sk│adnik≤w, w wyniku czego u┐ytkownicy nie bΩd╣ mogli ich w│╣czaµ ani wy│╣czaµ.
W│╣cz dostΩp do w│a£ciwo£ci sk│adnik≤w po│╣czenia sieci LAN
     Zasada ta okre£la, czy administratorzy mog╣ zmieniaµ w│a£ciwo£ci sk│adnik≤w u┐ywanych przez po│╣czenia lokalne. Zale┐y od niej to, czy przycisk W│a£ciwo£ci dla sk│adnik≤w po│╣cze± lokalnych jest dostΩpny. Je£li zasada ta zostanie w│╣czona lub nie zostanie skonfigurowana, to przycisk W│a£ciwo£ci bΩdzie dostΩpny. Je£li zasada ta zostanie wy│╣czona, to przycisk W│a£ciwo£ci bΩdzie niedostΩpny.
     Po klikniΩciu prawym przyciskiem po│╣czenia i wybraniu W│a£ciwo£ci, otwiera siΩ okno dialogowe W│a£ciwo£ci po│╣cze± lokalnych, kt≤re zawiera listΩ sk│adnik≤w sieciowych u┐ywanych przez po│╣czenie. Aby wy£wietliµ lub zmieniµ w│a£ciwo£ci sk│adnika, nale┐y klikn╣µ nazwΩ sk│adnika, a nastΩpnie klikn╣µ przycisk W│a£ciwo£ci znajduj╣cy siΩ poni┐ej listy sk│adnik≤w.

Uwaga Nie wszystkie sk│adniki sieciowe maj╣ w│a£ciwo£ci, kt≤re mo┐na konfigurowaµ. W przypadku sk│adnik≤w, kt≤rych w│a£ciwo£ci nie mo┐na konfigurowaµ, przycisk W│a£ciwo£ci jest zawsze wy│╣czony.
W│╣cz dostΩp do w│a£ciwo£ci sk│adnik≤w po│╣czenia RAS
     Zasada ta okre£la, czy u┐ytkownicy mog╣ wy£wietlaµ i zmieniaµ w│a£ciwo£ci sk│adnik≤w u┐ywanych przez po│╣czenie telefoniczne. Zale┐y od niej, czy przycisk W│a£ciwo£ci jest dostΩpny dla sk│adnik≤w u┐ywanych przez po│╣czenie telefoniczne. Je£li zasada ta zostanie w│╣czona lub nie zostanie skonfigurowana, to przycisk W│a£ciwo£ci bΩdzie dostΩpny. Je£li zasada ta zostanie wy│╣czona, to przycisk W│a£ciwo£ci nie bΩdzie dostΩpny.
     Po klikniΩciu prawym przyciskiem po│╣czenia i wybraniu W│a£ciwo£ci, otwiera siΩ okno dialogowe W│a£ciwo£ci po│╣czenia telefonicznego, kt≤re zawiera listΩ sk│adnik≤w sieciowych u┐ywanych przez po│╣czenie. Aby wy£wietliµ lub zmieniµ w│a£ciwo£ci sk│adnika, nale┐y klikn╣µ jego nazwΩ, a nastΩpnie klikn╣µ przycisk W│a£ciwo£ci znajduj╣cy siΩ poni┐ej listy.

Uwaga Nie wszystkie sk│adniki sieciowe maj╣ mo┐liwe do skonfigurowania w│a£ciwo£ci. W przypadku sk│adnik≤w, kt≤re nie s╣ mo┐liwe do skonfigurowania, przycisk W│a£ciwo£ci jest zawsze wy│╣czony.
Wy│╣cz i w│╣cz Kreator po│╣cze± sieciowych
     Zasada ta okre£la, czy u┐ytkownicy mog╣ u┐ywaµ Kreatora po│╣cze± sieciowych, kt≤ry tworzy nowe po│╣czenia sieciowe.
     Je┐eli zasada ta zostanie w│╣czona, to ikona Utw≤rz nowe po│╣czenie pojawi siΩ w folderze Po│╣czenia sieciowe i telefoniczne. KlikniΩcie ikony Utw≤rz nowe po│╣czenie uruchamia Kreator po│╣cze± internetowych. Je┐eli zasada ta zostanie wy│╣czona, to ikona Utw≤rz nowe po│╣czenie nie jest widoczna. W wyniku tego u┐ytkownicy nie mog╣ uruchamiaµ Kreatora po│╣cze± internetowych.
W│╣cz statystykΩ stanu dla aktywnego po│╣czenia
     Zasada ta okre£la, czy u┐ytkownicy mog╣ wy£wietlaµ okno Stan dla aktywnego po│╣czenia.
     Okno Stan wy£wietla informacje na temat po│╣czenia i jego dzia│ania. Zawiera tak┐e przyciski umo┐liwiaj╣ce roz│╣czanie i konfigurowanie w│a£ciwo£ci po│╣czenia.
     Je£li zasada ta zostanie w│╣czona, to okno Stan bΩdzie pojawiaµ siΩ po dwukrotnym klikniΩciu aktywnego po│╣czenia. Polecenie wy£wietlenia okna Stan bΩdzie widoczne tak┐e w menu, po klikniΩciu po│╣czenia prawym przyciskiem myszy ikony aktywnego po│╣czenia. Je£li zasada ta zostanie wy│╣czona, to opcja Stan nie bΩdzie dostΩpna, a okno Stan nie pojawi siΩ.
W│╣cz element Preferencje po│╣cze± telefonicznych w menu Zaawansowane
     Zasada ta okre£la, czy element Preferencje po│╣cze± telefonicznych w menu Zaawansowane w oknie Po│╣czenia sieciowe i telefoniczne jest dostΩpny.
     Je£li zasada ta zostanie w│╣czona, to element Preferencje po│╣cze± telefonicznych bΩdzie dostΩpny. Je£li zostanie ona wy│╣czona, to element ten bΩdzie niedostΩpny. Domy£lnie element Preferencje po│╣cze± telefonicznych jest w│╣czony.
     Preferencje po│╣cze± telefonicznych pozwalaj╣ u┐ytkownikom na konfigurowanie funkcji Autowybierania numeru oraz wywo│ania zwrotnego.
W│╣cz element Ustawienia zaawansowane w menu Zaawansowane
     Zasada ta okre£la, czy element Ustawienia zaawansowane w menu Zaawansowane w oknie Po│╣czenia sieciowe i telefoniczne jest w│╣czony.
     Je£li zasada ta zostanie w│╣czona, to element Ustawienia zaawansowane bΩdzie dostΩpny. Je£li zostanie ona wy│╣czona, to element ten bΩdzie niedostΩpny. Domy£lnie element Ustawienia zaawansowane jest w│╣czony.
     Element Ustawienia zaawansowane pozwala administratorom przegl╣daµ i zmieniaµ powi╣zania oraz przegl╣daµ i zmieniaµ kolejno£µ, w jakiej komputer uzyskuje dostΩp do po│╣cze±, dostawc≤w sieci i dostawc≤w drukarek.
Zezwalaj na konfiguracjΩ udostΩpniania po│╣cze±
     Zasada ta okre£la, czy administratorzy mog╣ w│╣czaµ, wy│╣czaµ i konfigurowaµ funkcjΩ UdostΩpnianie po│╣czenia internetowego dla po│╣czenia telefonicznego.
     Je┐eli zasada ta zostanie w│╣czona lub nie zostanie skonfigurowana, to system bΩdzie wy£wietla│ zak│adkΩ UdostΩpnianie po│╣czenia internetowego w oknie dialogowym W│a£ciwo£ci: Po│╣czenie telefoniczne. W systemie Windows 2000 Server zostanie r≤wnie┐ wy£wietlona strona UdostΩpnianie po│╣czenia internetowego w Kreatorze po│╣cze± sieciowych. Je┐eli zasada ta zostanie wy│╣czona, to zak│adka UdostΩpnianie po│╣czenia internetowego i strona UdostΩpnianie po│╣czenia internetowego kreatora bΩd╣ niedostΩpne.
     Zasada ta pojawia siΩ w folderach Konfiguracja komputera i Konfiguracja u┐ytkownika. Je£li obie zasady s╣ skonfigurowane, to ustawienie w folderze Konfiguracja komputera ma pierwsze±stwo przed ustawieniem w folderze Konfiguracja u┐ytkownika.

Uwaga Zasada ta pojawia siΩ tylko dla u┐ytkownik≤w w grupie Administratorzy.

     WiΩcej informacji na temat wy│╣czania konfiguracji UdostΩpniania po│╣czenia internetowego na poziomie komputera znajduje siΩ wcze£niej w tym rozdziale, w paragrafie äUstawienia Zasad grup w Konfiguracji komputeraö.
Zezwalaj na konfiguracjΩ zaawansowan╣ TCP/IP
     Zasada ta okre£la, czy u┐ytkownicy mog╣ u┐ywaµ Po│╣cze± sieciowych i telefonicznych do konfigurowania ustawie± TCP/IP, DNS i WINS.
     Je┐eli zasada ta zostanie w│╣czona, to w oknie dialogowym W│a£ciwo£ci: Protok≤│ internetowy (TCP/IP) bΩdzie dostΩpny przycisk Zaawansowane. U┐ytkownicy mog╣ wtedy otwieraµ zak│adkΩ W│a£ciwo£ci w oknie dialogowym Zaawansowane ustawienia TCP/IP i modyfikowaµ ustawienia IP, takie jak opcje serwer≤w DNS i WINS. Je┐eli zasada ta zostanie wy│╣czona, to przycisk Zaawansowane bΩdzie niedostΩpny i u┐ytkownicy nie bΩd╣ mogli otwieraµ okna dialogowego Zaawansowane ustawienia TCP/IP.

Uwaga Je£li zasada W│╣cz dostΩp do w│a£ciwo£ci po│╣czenia LAN lub W│╣cz dostΩp do w│a£ciwo£ci sk│adnik≤w po│╣czenia LAN jest wy│╣czona, to u┐ytkownicy nie mog╣ korzystaµ z przycisku Zaawansowane. W wyniku tego opisywana zasada jest ignorowana.

UdostΩpnianie po│╣czenia internetowego

     Funkcja UdostΩpniania po│╣czenia internetowego (ICS) w systemie Windows 2000 umo┐liwia │╣czenie niewielkich sieci oddzia│owych lub domowych z Internetem. Na przyk│ad, je┐eli w sieci domowej tylko jeden komputer jest po│╣czony z Internetem za pomoc╣ po│╣czenia telefonicznego, to w│╣czaj╣c w tym komputerze UdostΩpnianie po│╣czenia internetowego umo┐liwia siΩ dostΩp do Internetu wszystkim pozosta│ym komputerom w sieci domowej. ICS udostΩpnia funkcje translacji adres≤w, przydzielania adres≤w IP oraz us│ugi rozpoznawania nazw wszystkim komputerom w sieci oddzia│owej lub domowej, kt≤re s╣ skonfigurowane tak, aby automatycznie ustawia│y opcje zwi╣zane z adresowaniem. Szczeg≤│owy scenariusz wykorzystania ICS w sieci lokalnej znajduje siΩ w kolejnym paragrafie tego rozdzia│u, zatytu│owanego äScenariusz udostΩpniania po│╣czenia internetowego: │╣czenie intranetu w oddziale z Internetemö.
     Po aktywowaniu funkcji UdostΩpniania po│╣czenia internetowego i ustawieniu opcji sieciowych w komputerach innych u┐ytkownik≤w, aplikacje takie jak Internet Explorer bΩd╣ mog│y byµ u┐ywane tak, jakby komputery te by│y bezpo£rednio po│╣czone z dostawc╣ us│ug internetowych. Je┐eli komputer, w kt≤rym dzia│a us│uga ICS nie jest po│╣czony z Internetem, to automatycznie zestawi on po│╣czenie w momencie, gdy dowolny u┐ytkownik bΩdzie potrzebowa│ skorzystaµ z zasobu sieci Web.
     Komputer, w kt≤rym dzia│a UdostΩpnianie po│╣czenia internetowego, musi mieµ skonfigurowane dwa po│╣czenia: jedno zwi╣zane z adapterem sieciowym i │╣cz╣ce go z sieci╣ lokaln╣, oraz drugie û │╣cz╣ce go z Internetem. Ponadto funkcja ICS, musi byµ w│╣czona w tym po│╣czeniu, kt≤re jest u┐ywane do │╣czenia sieci z Internetem. Je┐eli obydwa te warunki zostan╣ spe│nione, to po│╣czenie z sieci╣ lokaln╣ bΩdzie prawid│owo przydzielaµ adresy TCP/IP swoim u┐ytkownikom, udostΩpnione po│╣czenie umo┐liwi korzystanie w sieci lokalnej z Internetu, a u┐ytkownicy spoza tej sieci nie bΩd╣ zagro┐eni otrzymywaniem niew│a£ciwych adres≤w z sieci prywatnej. Po w│╣czeniu funkcji ICS komputer, w kt≤rym jest ona w│╣czona, staje siΩ serwerem protoko│u DHCP dla sieci lokalnej. Serwer DHCP przydziela adresy TCP/IP komputerom po ich uruchomieniu. Je£li UdostΩpnianie po│╣czenia internetowego by│oby w│╣czone dla niew│a£ciwego adaptera sieciowego, to u┐ytkownicy znajduj╣cy siΩ poza sieci╣ lokaln╣ mogliby otrzymywaµ adresy TCP/IP przeznaczone dla tej sieci lokalnej, co powodowa│oby problemy w ich w│asnych sieciach.
     Funkcja ICS jest przeznaczona dla niewielkich sieci oddzia│owych lub domowych, w kt≤rych konfiguracja sieci i po│╣czenia z Internetem s╣ zarz╣dzane przez komputer u┐ywaj╣cy systemu Windows 2000 (w kt≤rym funkcja ICS jest w│╣czona). W sieci takiej zak│ada siΩ, ┐e komputer ten jest jedynym po│╣czeniem i bram╣ do Internetu i jako jedyny przydziela wewnΩtrzne adresy sieciowe. Funkcja UdostΩpniania po│╣czenia internetowego nie dzia│a w sieciach, w kt≤rych znajduj╣ siΩ serwery DHCP lub DNS.
     Podczas konfigurowania UdostΩpniania po│╣czenia internetowego s╣ instalowane i konfigurowane nastΩpuj╣ce protoko│y, us│ugi, interfejsy i trasy:      
Tabela 21.6 Ustawienia ICS
ElementKonfiguracja
Adres IP 192.168.0.1 Konfigurowany z mask╣ podsieci 255.255.255.0 w adapterze sieciowym, kt≤ry jest po│╣czony z sieci╣ lokaln╣.
Funkcja Autowybierania numeru W│╣czona.
Domy£lna statyczna trasa IP Tworzona podczas nawi╣zywania po│╣czenia telefonicznego.
Us│uga UdostΩpniania po│╣czenia internetowego Uruchamiana automatycznie.
Sk│adnik DHCP oraz z mask╣ podsieci 255.255.255.0. W│╣czony, z domy£lnym zakresem od 192.168.0.2 do 192.168.0.254
Proxy DNS W│╣czony.

     Aby korzystanie z funkcji UdostΩpniania po│╣czenia internetowego by│o mo┐liwe, konieczne jest, aby protok≤│ TCP/IP w komputerach znajduj╣cych siΩ w sieci lokalnej by│ skonfigurowany do automatycznego otrzymywania adres≤w IP. WiΩcej informacji na temat konfigurowania UdostΩpniania po│╣czenia internetowego znajduje siΩ w Pomocy systemu Windows 2000.

Uwaga Aby klienci w sieci oddzia│owej lub domowej mogli │╣czyµ siΩ z Internetem, w komputerze, w kt≤rym w│╣czono funkcjΩ ICS, musi byµ aktywne po│╣czenie internetowe lub byµ w│╣czona funkcja Autowybierania numer≤w.

Scenariusz udostΩpniania po│╣czenia internetowego: │╣czenie intranetu w oddziale z Internetem

     Poni┐szy scenariusz opisuje spos≤b │╣czenia sieci oddzia│u korporacji z Internetem. Wyja£nia on tak┐e r≤┐nice pomiΩdzy tworzeniem po│╣czenia przy u┐yciu modemu analogowego lub │╣cza ISDN a tworzeniem po│╣czenia za pomoc╣ modemu kablowego lub │╣cza DSL. Opisano w nim r≤wnie┐ spos≤b takiej konfiguracji komputera znajduj╣cego siΩ w oddzia│owym intranecie, aby m≤g│ on │╣czyµ siΩ z sieci╣ korporacyjn╣ za pomoc╣ po│╣czenia VPN.

Om≤wienie

     Niniejszy paragraf opisuje podstawy scenariusza: aktualn╣ konfiguracjΩ sieci oddzia│owej oraz proponowane rozwi╣zanie, u┐ywaj╣ce funkcji UdostΩpniania po│╣czenia internetowego w systemie Windows 2000. Rysunek 21.14 przedstawia aktualn╣ konfiguracjΩ sieci w oddziale.


Rysunek 21.14 Aktualna konfiguracja sieci oddzia│owej

U┐ywanie funkcji UdostΩpniania po│╣czenia internetowego

     Funkcja UdostΩpniania po│╣czenia internetowego (ICS) w systemie Windows 2000 stanowi proste rozwi╣zanie umo┐liwiaj╣ce wsp≤│dzielenie jednego po│╣czenia z Internetem przez wszystkie komputery znajduj╣ce siΩ w lokalnym intranecie.
     Za pomoc╣ ICS mo┐na wyznaczyµ jeden komputer w oddziale jako komputer ICS. Zazwyczaj jest to komputer posiadaj╣cy najszybsze po│╣czenie z Internetem, np. modem kablowy lub │╣cze DSL. Wszystkie inne komputery w oddzia│owym intranecie û nazywane od tego momentu klientami û mog╣ korzystaµ z po│╣czenia udostΩpnionego przez komputer ICS i za jego po£rednictwem korzystaµ z Internetem. Generalnie proces udostΩpniania po│╣czenia internetowego mo┐na podzieliµ na trzy etapy:
  1. Skonfigurowanie dostΩpu do Internetu w komputerze ICS. Spos≤b tej konfiguracji zale┐y od tego, czy korzysta siΩ z modemu analogowego lub po│╣czenia ISDN, czy te┐ z modemu kablowego lub │╣cza ISDN.
  2. W│╣czenie funkcji UdostΩpniania po│╣czenia internetowego w komputerze ICS w celu umo┐liwienia dostΩpu do Internetu wszystkim klientom w sieci oddzia│owej.
  3. Skonfigurowanie komputer≤w klient≤w tak, aby u┐ywa│y automatycznego adresowania IP.
Uwaga Nigdy nie nale┐y wy│╣czaµ komputera ICS, gdy dzia│aj╣ inni klienci, poniewa┐ udostΩpnia on tym klientom us│ugi konfiguracji adres≤w IP, rozpoznawania nazw oraz bramy do Internetu. Je┐eli komputer ICS straci zasilanie, to inni klienci w oddziale nie bΩd╣ mogli korzystaµ z Internetu, poniewa┐ udostΩpnione w tym komputerze po│╣czenie nie bΩdzie dostΩpne.

Konfigurowanie komputera ICS

     Spos≤b konfigurowania komputera ICS zale┐y od tego, czy jest on po│╣czony z Internetem za pomoc╣ modemu analogowego lub po│╣czenia ISDN, czy te┐ szybkiego urz╣dzenia takiego jak modem kablowy lub DSL.

Uwaga Komputer ICS automatycznie przydziela adresy IP, przekazuje do Internetu nazwy DNS w celu ich rozpoznawania oraz staje siΩ domy£ln╣ bram╣ u┐ywan╣ do │╣czenia siΩ z Internetem. Je┐eli jaki£ inny klient w sieci oddzia│owej udostΩpnia te same funkcje, to UdostΩpnianie po│╣czenia internetowego mo┐e nie dzia│aµ.

Konfigurowanie komputera ICS z modemem analogowym lub │╣czem ISDN

     W tej konfiguracji komputer ICS │╣czy siΩ z Internetem przy u┐yciu modemu analogowego lub po│╣czenia ISDN. Komputer ICS i wszystkie inne komputery w oddziale s╣ po│╣czone z oddzia│owym intranetem za pomoc╣ adapter≤w sieciowych. Rysunek 21.15 przedstawia spos≤b udostΩpnienia po│╣czenia internetowego u┐ywaj╣cego modemu analogowego lub │╣cza ISDN.


Rysunek 21.15 UdostΩpnianie po│╣czenia internetowego u┐ywaj╣cego modemu analogowego lub │╣cza ISDN

     Modem analogowy nale┐y zainstalowaµ (lub sprawdziµ poprawno£µ jego instalacji) w komputerze ICS, kt≤ry ma byµ u┐ywany do │╣czenia sieci z Internetem. Je┐eli modem jest instalowany w tym komputerze po raz pierwszy, to us│uga Plug and Play systemu Windows 2000 automatycznie go wykryje i skonfiguruje.
     NastΩpnie nale┐y otworzyµ folder Po│╣czenia sieciowe i telefoniczne i klikn╣µ Utw≤rz nowe po│╣czenie. Spowoduje to uruchomienie Kreatora po│╣cze± sieciowych, za pomoc╣ mo┐na utworzyµ po│╣czenie do dostawcy us│ug internetowych (ISP). Po│╣czenie to nale┐y skonfigurowaµ u┐ywaj╣c ustawie± otrzymanych od ISP.
     Po utworzeniu po│╣czenia przez kreator, system Windows 2000 doda reprezentuj╣c╣ je ikonΩ w folderze Po│╣czenia sieciowe i telefoniczne. Po│╣czenie to mo┐na przetestowaµ │╣cz╣c siΩ z ISP i sprawdzaj╣c, czy mo┐na przegl╣daµ sieµ WWW.
     NastΩpnie nale┐y otworzyµ W│a£ciwo£ci nowego po│╣czenia, wybraµ zak│adkΩ UdostΩpnianie, i w│╣czyµ opcjΩ W│╣cz udostΩpnianie po│╣czenia internetowego dla tego po│╣czenia.
     W nastΩpnej kolejno£ci nale┐y dostosowaµ konfiguracjΩ klient≤w, jak opisano to w paragrafie äKonfigurowanie komputer≤w klient≤w w sieci oddzia│owejö. Na koniec nale┐y przetestowaµ dzia│anie udostΩpnianego po│╣czenia ICS, przegl╣daj╣c sieµ WWW z poziomu jednego z klient≤w w sieci oddzia│owej.

Konfigurowanie komputera ICS z modemem kablowym lub DSL

     W tej konfiguracji, komputer ICS │╣czy siΩ z Internetem u┐ywaj╣c adaptera sieciowego, po│╣czonego z szybkim modemem kablowym lub DSL. Komputer ten jest tak┐e po│╣czony z innymi komputerami w oddzia│owym intranecie za pomoc╣ drugiego adaptera sieciowego. Pozosta│e komputery w oddziale s╣ po│╣czone z lokalnym intranetem za pomoc╣ swoich adapter≤w sieciowych. Rysunek 21.16 przedstawia spos≤b udostΩpnienia po│╣czenia sieci z Internetem przy u┐yciu modemu kablowego lub DSL.


Rysunek 21.16 UdostΩpnianie po│╣czenia internetowego u┐ywaj╣cego modemu kablowego lub DSL

     W pierwszej kolejno£ci nale┐y zmieniµ (np. na äIntranetö) nazwΩ lokalnego po│╣czenia z intranetem w komputerze ICS, kt≤ry ma udostΩpniaµ po│╣czenie z Internetem. NastΩpnie nale┐y zainstalowaµ drugi adapter sieciowy (lub upewniµ siΩ, czy jest on ju┐ prawid│owo zainstalowany) i pod│╣czyµ go do modemu kablowego lub DSL. Je┐eli drugi adapter jest instalowany w komputerze po raz pierwszy, to zostanie on automatycznie wykryty i skonfigurowany przez us│ugΩ Plug and Play systemu Windows 2000.
     NastΩpnie nale┐y otworzyµ opcjΩ W│a£ciwo£ci nowego po│╣czenia i skonfigurowaµ je u┐ywaj╣c ustawie± otrzymanych od ISP. Po skonfigurowaniu po│╣czenia nale┐y klikn╣µ zak│adkΩ UdostΩpnianie i w│╣czyµ opcjΩ W│╣cz udostΩpnianie po│╣czenia internetowego dla tego po│╣czenia.

Uwaga Warto zmieniµ nazwΩ nowego po│╣czenia, │╣cz╣cego sieµ lokaln╣ z Internetem, aby mo┐na by│o je │atwo odr≤┐niµ od po│╣czenia z lokalnym intranetem.

     W dalszej kolejno£ci nale┐y przetestowaµ po│╣czenie z Internetem, │╣cz╣c siΩ w tym celu z ISP i sprawdzaj╣c, czy jest mo┐liwe korzystanie z sieci WWW.
     Na koniec nale┐y dostosowaµ konfiguracjΩ klient≤w (jak opisano w kolejnej sekcji) i zweryfikowaµ dzia│anie udostΩpnionego po│╣czenia przegl╣daj╣c sieµ WWW z poziomu jednego z nich.

Konfigurowanie klient≤w w sieci oddzia│owej

     Aby sprawdziµ, czy ustawienia sieci w ka┐dym z klient≤w w sieci oddzia│owej s╣ poprawnie skonfigurowane, nale┐y:
Uwaga Je┐eli nie mo┐na uzyskaµ dostΩpu do Internetu z poziomu klienta, to nale┐y sprawdziµ, czy przegl╣darka internetowa jest w nim skonfigurowana do │╣czenia siΩ za po£rednictwem sieci LAN. Je┐eli nie rozwi╣za│o to problemu, nale┐y sprawdziµ │╣czno£µ z komputerem ICS wpisuj╣c w wierszu polece± ping 192.168.0.1. Je┐eli to polecenie r≤wnie┐ nie dzia│a, nale┐y sprawdziµ fizyczne po│╣czenie klienta z intranetem. Je┐eli w dalszym ci╣gu nie mo┐na nawi╣zaµ │╣czno£ci, mo┐na pos│u┐yµ siΩ za│╣czonym do systemu Windows 2000 Professional narzΩdziem diagnostycznym IPConfig, umo┐liwiaj╣cym przejrzenie szczeg≤│owej konfiguracji protoko│u IP. NarzΩdzie to nale┐y uruchomiµ otwieraj╣c okno polece± i wpisuj╣c ipconfig. Aby uzyskaµ informacje na temat tego narzΩdzia, nale┐y pos│u┐yµ siΩ poleceniem ipconfig /?.

     Jedyn╣ niezbΩdn╣ dla aplikacji klienckich modyfikacj╣ jest skonfigurowanie programu Internet Explorer tak, aby do │╣czenia siΩ z Internetem u┐ywa│ po│╣czenia z oddzia│ow╣ sieci╣ LAN.

Aby skonfigurowaµ program Internet Explorer tak, aby u┐ywa│ udostΩpnionego po│╣czenia ICS, nale┐y:
  1. W menu NarzΩdzia klikn╣µ Opcje internetowe, a nastΩpnie wybraµ zak│adkΩ Po│╣czenia.
  2. W polu Ustawienia po│╣czenia telefonicznego klikn╣µ opcjΩ Nigdy nie wybieraj po│╣czenia, a nastΩpnie klikn╣µ Ustawienia sieci LAN.
  3. W polu Konfiguracja automatyczna wybraµ opcjΩ Automatycznie wykryj ustawienia i wy│╣czyµ opcjΩ U┐yj skryptu automatycznej konfiguracji.
  4. W polu Serwer proxy wy│╣czyµ opcjΩ U┐yj serwera proxy.

Konfiguracje, kt≤rych nale┐y unikaµ

     Funkcja ICS zosta│a zaprojektowana tak, aby umo┐liwia│a komputerowi dzia│anie jako brama │╣cz╣ca sieµ lokaln╣ z Internetem. Pewne konfiguracje, zwi╣zane ze stosowaniem modem≤w kablowych lub DSL, uniemo┐liwiaj╣ prawid│owe wykorzystanie tej funkcji. Aby UdostΩpnianie po│╣czenia internetowego mog│o dzia│aµ prawid│owo, nie nale┐y │╣czyµ modemu kablowego lub DSL z komputerem ICS i pozosta│ymi komputerami w intranecie za pomoc╣ koncentratora sieciowego, jak to pokazano na rysunku 21.17.


Rysunek 21.17 B│Ωdne po│╣czenie modemu kablowego lub DSL z koncentratorem sieciowym

Uwaga Przedstawionej konfiguracji mo┐na u┐ywaµ w sytuacji, gdy dostawca us│ug internetowych przypisa│ statyczny adres IP ka┐demu klientowi w intranecie. W tym przypadku, aby uzyskaµ dostΩp do Internetu, nie trzeba korzystaµ z funkcji ICS. W tej konfiguracji nale┐y jednak we wszystkich komputerach wy│╣czyµ UdostΩpnianie plik≤w i drukarek, aby uniemo┐liwiµ u┐ytkownikom Internetu dostΩp do nich.

     Pewne modemy kablowe lub DSL posiadaj╣ wbudowany koncentrator sieciowy. W tej sytuacji nie nale┐y │╣czyµ adapter≤w sieciowych wszystkich komputer≤w bezpo£rednio z modemem w spos≤b zilustrowany na rysunku 21.18.


Rysunek 21.18 B│Ωdne po│╣czenie wielu komputer≤w z jednym modemem

Tworzenie po│╣czenia VPN z sieci╣ korporacyjn╣

     Podczas administrowania sieci╣ oddzia│ow╣ mo┐e zaistnieµ potrzeba skonfigurowania kilku klient≤w tak, aby mogli │╣czyµ siΩ z sieci╣ korporacyjn╣ w celu wysy│ania i odbierania poczty elektronicznej, instalowania aktualizacji oprogramowania, transferu plik≤w lub innym.
     W tym celu mo┐na utworzyµ po│╣czenie wirtualnej sieci prywatnej (VPN) pomiΩdzy klientem a sieci╣ korporacyjn╣. Po│╣czenie takie jest tunelowane przez Internet i stanowi bezpieczny kana│ komunikacyjny pomiΩdzy oddzia│em a siedzib╣ organizacji. Na rysunku 21.19 przedstawiono, w jaki spos≤b klient w oddzia│owym intranecie │╣czy siΩ z korporacyjn╣ sieci╣ przy u┐yciu tunelu PPTP.


Rysunek 21.19 ú╣czenie klienta w oddziale z sieci╣ korporacyjn╣ za pomoc╣ po│╣czenia VPN

Uwaga Nie nale┐y tworzyµ po│╣czenia VPN z sieci╣ korporacyjn╣ bezpo£rednio z komputera ICS. Je┐eli siΩ takie po│╣czenie utworzy, to ca│y ruch z tego komputera, │╣cznie z generowanym przez klient≤w w intranecie, bΩdzie kierowany do sieci korporacyjnej. Z tego powodu zasoby Internetu przestan╣ byµ dostΩpne, a wszystkie komputery w oddziale bΩd╣ przesy│aµ dane przez logiczne po│╣czenie u┐ywaj╣ce po£wiadcze± komputera ICS. Jest to sytuacja niepo┐╣dana z punku widzenia bezpiecze±stwa.

     Za pierwszym razem, gdy korzysta siΩ z nowego po│╣czenia VPN, nale┐y odczekaµ kilka chwil, poniewa┐ w pierwszej kolejno£ci wypr≤bowywany jest protok≤│ L2TP wraz z IPSec, a nastΩpnie po│╣czenie jest nawi╣zywane przy u┐yciu protoko│u PPTP. P≤ƒniejsze nawi╣zywanie po│╣czenia nie trwa ju┐ tak d│ugo, poniewa┐ system zapamiΩtuje u┐ywany przez nie protok≤│ VPN.
     Po nawi╣zaniu po│╣czenia VPN klient w sieci oddzia│owej uzyskuje dostΩp do udostΩpnianych zasob≤w (takich jak serwery plik≤w i drukarek) w sieci korporacyjnej.

Uwaga Gdy komputer klienta jest po│╣czony z sieci╣ korporacyjn╣ za pomoc╣ VPN, jest on logicznie od│╣czony od Internetu, chyba ┐e sama sieµ korporacyjna umo┐liwia dostΩp do sieci Web. W tym przypadku, aby dostΩp do Internetu poprzez sieµ korporacyjn╣ by│ mo┐liwy, konfiguracja klienta w oddziale musi byµ dostosowana do regu│ dostΩpu do Internetu w sieci korporacyjnej. Na przyk│ad wiele korporacji korzysta z serwera proxy. W tej sytuacji konieczne jest skonfigurowanie przegl╣darki klienta tak, aby w celu uzyskania dostΩpu do sieci Web korzysta│a z korporacyjnego serwera proxy. Aby w po│╣czeniu z Internetem taki serwer by│ u┐ywany, konieczne jest odpowiednie skonfigurowanie przegl╣darki Internet Explorer. Po dokonaniu tej konfiguracji komputer mo┐e prze│╣czaµ siΩ pomiΩdzy dostΩpem do Internetu przy u┐yciu udostΩpnionego po│╣czenia w komputerze ICS a dostΩpem za po£rednictwem po│╣czenia VPN i sieci korporacyjnej.

Rozwi╣zywanie problem≤w

     Kolejne paragrafy opisuj╣ najczΩ£ciej spotykane problemy z Po│╣czeniami sieciowymi i telefonicznymi oraz narzΩdzia ich rozwi╣zywania, za│╣czone do systemu Windows 2000.

NarzΩdzia rozwi╣zywania problem≤w

     Do systemu Windows 2000 do│╣czono wiele narzΩdzi umo┐liwiaj╣cych monitorowanie i diagnozowanie dzia│ania po│╣cze± sieciowych i telefonicznych. Rejestrowanie protoko│u PPP umo┐liwia zapisanie szeregu funkcji programistycznych i komunikat≤w kontrolnych PPP podczas trwania po│╣czenia korzystaj╣cego z tego protoko│u. Dzia│anie modemu mo┐na zweryfikowaµ za pomoc╣ narzΩdzi diagnostyki i rejestrowania jego pracy. NarzΩdzie Netdiag mo┐e byµ u┐ywane do testowania wielu sk│adnik≤w sieci. Mo┐e byµ ono skonfigurowane do uruchamiania i raportowania dzia│ania narzΩdzi takich jak Ping, IPConfig itd.

Rejestrowanie protoko│u PPP

     Problemy zwi╣zane z klientem protoko│u PPP w systemie Windows 2000 Professional mo┐na diagnozowaµ przy u┐yciu funkcji rejestrowania. Rejestrowanie PPP polega na zapisywaniu szeregu funkcji programistycznych i komunikat≤w kontrolnych PPP podczas trwania po│╣czenia. Jest ono cennym ƒr≤d│em informacji pomagaj╣cych w usuwaniu usterki po│╣czenia PPP. Aby w│╣czyµ rejestrowanie PPP w serwerze zdalnego dostΩpu Windows 2000, nale┐y w│╣czyµ opcjΩ W│╣cz rejestrowanie z wykorzystaniem protoko│u PPP (Point-to-Point Protocol) na zak│adce Rejestrowanie zdarze± we w│a£ciwo£ciach serwera zdalnego dostΩpu, w snap-in Routing i dostΩp zdalny.
     Aby w│╣czyµ rejestrowanie PPP w kliencie, kt≤ry inicjuje po│╣czenie, nale┐y pos│u┐yµ siΩ poleceniem Netsh. Sk│adnia tego polecenia jest nastΩpuj╣ca:

Netsh ras set tracing ppp enabled

     Podobnie, je┐eli rejestrowanie PPP ma zostaµ wy│╣czone, nale┐y u┐yµ polecenia:

Netsh ras set tracing ppp disabled

Rejestrowanie dzia│ania modemu

     Za pomoc╣ Opcji telefonu i modemu w Panelu sterowania mo┐na w│╣czyµ rejestrowanie polece± wysy│anych do modemu przez programy komunikacyjne i system operacyjny. W systemie Windows 2000 Professional rejestrowanie jest zawsze w│╣czone, a plik dziennika jest nadpisywany na pocz╣tku ka┐dej sesji, chyba ┐e w│╣czona zostanie opcja Do│╣cz do dziennika.

Uwaga Polecenia wysy│ane do modemu s╣ przechwytywane do pliku %SystemRoot%\ModemLog_Model.txt. Folderem %SystemRoot% jest zazwyczaj katalog C:\Winnt\System32\. Model jest nazw╣ modemu pojawiaj╣c╣ siΩ na li£cie zainstalowanych urz╣dze± na zak│adce Modemy w Opcjach telefonu i modemu.

Diagnostyka modemu

     Poprawno£µ dzia│ania modemu mo┐na sprawdziµ u┐ywaj╣c narzΩdzia diagnostycznego dostΩpnego w module Opcje telefonu i modemu w Panelu sterowania.
     Podczas testowania modemu system Windows 2000 wysy│a do niego polecenia wymienione w tabeli 21.7.

Tabela 21.7 Polecenia i odpowiedzi modemu
PolecenieOdpowiedƒ
ATQ0V1E0 Inicjalizacja testowania
AT+GMM Identyfikacja modemu (zalecenie ITU V.250 nie jest obs│ugiwane przez wszystkie modemy).
AT+FCLASS=? Informacja o klasach faksu obs│ugiwanych przez modem.
AT#CLS=? Informacja o tym, czy modem obs│uguje zestaw polece± g│osowych w standardzie Rockwell.
ATIn Informacja producenta, n = 1 do 7. Wy£wietlane s╣ informacje takie jak prΩdko£µ portu, rezultat testu sumy kontrolnej i informacje o modelu. Poprawno£µ otrzymanych rezultat≤w mo┐na sprawdziµ w dokumentacji modemu.

NetDiag      NarzΩdzie NetDiag jest dostΩpne w katalogu \support\tools na dysku CD systemu operacyjnego Windows 2000 Professional. NarzΩdzie to rozpoznaje przyczyny problem≤w zwi╣zanych z prac╣ w sieci i │╣czno£ci╣, wykonuj╣c w tym celu szereg test≤w okre£laj╣cych stan klienta sieciowego i jego funkcjonalno£µ. Opcjonalnie mo┐e ono wygenerowaµ raport na temat rezultat≤w tych test≤w. Na przyk│ad mo┐e ono wy£wietliµ informacje na temat szczeg≤│≤w konfiguracji adaptera sieciowego, │╣cznie z jego nazw╣, konfiguracj╣, no£nikiem sieciowym, identyfikatorem globalnym (GUID) oraz statystykami. Za pomoc╣ narzΩdzia NetDiag mo┐na uruchomiµ sekwencjΩ narzΩdzi, takich jak Ping, IPConfig itd. WiΩcej informacji na temat narzΩdzia NetDiag mo┐na znaleƒµ w rozdziale äNarzΩdzia i strategie rozwi╣zywania problem≤wö.

Mened┐er urz╣dze±

     Mened┐er urz╣dze± udostΩpnia informacje na temat szczeg≤│≤w instalacji i konfiguracji sprzΩtu znajduj╣cego siΩ w komputerze. Informacje te opisuj╣ stan port≤w COM, a ponadto mog╣ pom≤c w zlokalizowaniu ƒr≤d│a problem≤w û np. konfliktu zasob≤w.

Rozwi╣zywanie problem≤w zwi╣zanych z konfiguracj╣

     Kolejne sekcje opisuj╣ najczΩ£ciej spotykane problemy, ich mo┐liwe przyczyny oraz sposoby ich rozwi╣zywania.
Modem nie dzia│a.
Podczas pr≤by nawi╣zania po│╣czenia wy£wietlany jest komunikat informuj╣cy o tym, ┐e serwer dostΩpu zdalnego nie odpowiada.
Sesja z serwerem zdalnego dostΩpu jest przerywana.
Po│╣czenia s╣ nieprawid│owo roz│╣czane.
Podczas pr≤by po│╣czenia zg│aszany jest b│╣d sprzΩtowy.
Po│╣czenia nie pojawiaj╣ siΩ w folderze Po│╣czenia sieciowe i telefoniczne.
Konflikty pomiΩdzy portami szeregowymi powoduj╣ problemy z po│╣czeniami.
Gdy u┐ywa siΩ po│╣czenia ISDN, pojawia siΩ komunikat äBrak odpowiedziö.
Nawi╣zanie po│╣czenia przy u┐yciu │╣cza X.25 nie jest mo┐liwe.
Nawi╣zanie po│╣czenia przy u┐yciu protoko│u PPTP nie jest mo┐liwe.
Nawi╣zanie po│╣czenia PPP nie jest mo┐liwe lub narzΩdzia TCP/IP nie dzia│aj╣.
Nawi╣zanie po│╣czenia utworzonego przy u┐yciu UdostΩpniania po│╣czenia internetowego nie jest mo┐liwe.
Gdy korzysta siΩ z po│╣czenia lokalnego, brak jest odpowiedzi.
Po│╣czenie z ISP jest mo┐liwe, jednak nie mo┐na przegl╣daµ Internetu.
Klienci po│╣cze± przychodz╣cych nie maj╣ dostΩpu do zasob≤w znajduj╣cych siΩ w podsieci za komputerem akceptuj╣cym te po│╣czenia.