126深入理解远程访问策略.doc.docxVIP

深入理解远程访问策略 在虚拟专用网络（ VPN ）连接基础 一文中我们曾经提及，你可以通过以下两种方式来控制用户的远程拨入： 在用户账户的拨入属性中设置为  允许访问 或拒绝访问 来显式控制  VPN  客户的远程 拨入； 在用户账户的拨入属性中设置为  通过远程访问策略控制访问  ，然后创建远程访问策 略来控制用户的远程拨入。 那么，它们之间有什么区别呢？ 它们之间的主要区别在于：显式控制方式只能针对单个用户进行设置，而通过远程访问策略控制访问可以针对多个用户或用户组进行设置。 远程访问策略 （ RAP ）是定义是否授权 VPN 客户远程访问的一系列规则集合， 每个 RAP 具有一个或多个匹配条件、一组配置文件设置和一个远程访问权限设置。 如果设置为通过远程访问策略控制访问，当 VPN 客户发起连接请求时， VPN 服务器按照优先级顺序（ 顺序值 越低的 RAP 具有越高的优先级） 对 RAP 进行评估， 并且应用第一个匹配 VPN 客户连接请求的 RAP 中的授权设置。当 VPN 客户的连接请求匹配某个远程访问 策略的所有匹配条件时， VPN 服务器根据此远程访问策略的授权设置来决定是否允许 VPN 客户的拨入， 并且根据此 RAP 的配置文件来决定如何处理此 VPN 客 户的远程拨入。 如果使用显式控制方式，当 VPN 客户发起连接请求时， VPN 服务器只是根据发起连接请求的用户账户的拨入属性来简单的允许或拒绝 VPN 客户的远程访问。而采用通过远程访问策略控制访问时， VPN 服务器 评估是否授权 VPN 客户的远程拨入的过程如下： VPN 服务器按照优先级顺序（ 顺序 值越低的 RAP 具有越高的优先级）对 RAP 进行 评估。如果 VPN 客户的连接请求匹配某个 RAP 的所有匹配条件，则检查远程访问 策略的远程访问权限设置： 如果远程访问权限被设置为 授予远程访问权限 ，则允许 VPN 客户的远程拨 入并应用 RAP 的配置文件来处理 VPN 连接； 如果远程访问权限被设置为 拒绝远程访问权限 ，则拒绝 VPN 客户的远程拨 入； 如果 VPN 客户的连接请求不匹配此 如果没有任何远程访问策略匹配 入。  RAP 的任何条件，则处理下一远程访问策略。 VPN 客户的连接请求，则拒绝 VPN 客户的远程拨 默认情况下，在 Windows Server 2003 远程访问权限设置为 拒绝远程访问权限  中预定义了以下两个远程访问策略，不过它们的 ，即拒绝匹配条件的 VPN 客户的远程拨入： 到 Microsoft 路由和远程访问服务器的连接 ：定义的匹配条件为 RRAS 服务器特 征字符串等于 “^311$ ”，这代表 到 Microsoft 路由和远程访问服务器的远程访问 连接。如果 VPN 客户向 Microsoft 路由和远程访问服务发起连接请求，则匹配此 RAP 。 到其他访问服务器的连接 ：定义的匹配条件为任何时间发起的 VPN 客户连接请求， 此 RAP 匹配任何 VPN 客户连接的请求。在远程访问策略中，你可以设置以下匹配条件： VPN 客户身份验证方式； VPN 客户发起连接请求的电话号码或连接到的电话号码； VPN 客户发起连接请求的日期和时间； VPN 客户使用的链路协议； RRAS 服务器特征字符串； VPN 客户请求的服务类型； VPN 客户使用的隧道类型； VPN 客户所属于的 Windows 用户组； 其他还可以在  IAS  服务器中使用的匹配条件，如  RADIUS  客户端的友好名称、  IP 地址等等； 对于每一个 VPN 客户的远程拨入，路由和远程访问服务完整的处理过程分为两部分： 处理授权 ：如上文中所描述的显式控制或通过远程访问策略控制，从而决定是否允许 VPN 客户的远程拨入； 处理连接 ：当允许 VPN 用户远 程拨入时， 路由和远程服务将处理和 VPN 客户之间 的连接。 路由和远程访问服务将结合用户账户拨入属性中的设置和第一个匹配 VPN 客户连接请求的远程访问策 略中的配置文件设置来处理与 VPN 客户之间的连接。 如果 两者之间出现冲突， 用户账户拨入属性中的设置将覆盖远程访问策略中的配置 文件设置。不过用户账户拨入属性中可用设置比较少，主要使用的是远程访问策略 中的 配置文件中的设置。 需要注意的是， 处理连接和处理授权是独立进行的， 即采用何种授权方式不会影响连接 的处理 。 即使你通过显式控制来处理授权，但是当路由和远程访问服务处理连接时，同样 会使用第一个匹配 VPN 客户连接请求的远程访问策略中的配置文件设置。如果没有 匹配 VPN 客户请求的远程访问策略， 则路由和远程访问服务会拒绝 VPN 客户的远程拨入； 如果 VP