How to allow remote users to access your network in Windows Server 2003

This article describes how to configure a computer that is running Windows Server 2003 to allow remote users to establish an encrypted channel to a corporate network.

Original product version: В Windows Server 2003
Original KB number: В 323381

Summary

Users can connect to a remote access server through a dial-up connection or a virtual private network (VPN) connection.

A dial-up connection requires both the server and the client computer to have a correctly configured modem. The client and the server connect over analog public telephone networks. To enhance the security of a dial-up connection, use data encryption, Windows logon and domain security, remote access policies and callback security.

A VPN connection is made over a public network, for example the Internet, and uses Point-to-Point Tunneling Protocol (PPTP), logon and domain security, and remote access policies to help secure the transfer of data.

The scenarios that are described in this article assume the following configurations:

• For dial-up connection capability, the modems are configured on the server.
• For VPN capability, the server has two network adapters, with one of them connected directly to the Internet.
• For VPN capability, PPTP is used for the VPN tunnel.
• No routing protocols, such as Routing Information Protocol (RIP) or Open Shortest Path First (OSPF), are configured.

The following topics describes how to configure Routing and Remote Access Service in Windows Server 2003.

Turn on Routing and Remote Access Service

The Routing and Remote Access service is automatically installed during the installation of Windows Server 2003. By default, however, this service is turned off.

Turn on Windows Server 2003 Routing and Remote Access Service to allow dial-up connections or VPN connections

Click Start, point to Administrative Tools, and then click Routing and Remote Access.

In the console directory, click Your_Server_Name.

In the lower-right corner of the server icon next to Your_Server_Name, there is a circle that contains an arrow that indicates whether the Routing and Remote Access service is on or off:

• If the circle contains a red arrow that points down, the Routing and Remote Access service is not turned on.
• If the circle contains a green arrow that points up, the Routing and Remote Access service is turned on.

If the Routing and Remote Access service is turned on and you want to reconfigure the server, you must turn off the Routing and Remote Access service. To do this, follow these steps:

1. Right-click Your_Server_Name, and then click Disable Routing and Remote Access.
2. In the dialog box, click Yes.

Right-click Your_Server_Name, and then click Configure and Enable Routing and Remote Access to start the Routing and Remote Access Server Setup Wizard.

Click Next, click Remote access (dial-up or VPN), and then click Next.

Click either VPN or Dial-up, depending on the role that you want to assign to this server.

Under How do you want IP addresses to be assigned to remote clients?, click either Automatically or From a specific range of addresses, and then click Next.

If you clicked Automatically, go to step 9.

If you clicked From a specific range of addresses, follow these steps:

1. In the Address Range Assignment dialog box, click New.
2. In the Start IP address box, type the first address of the range of IP addresses that you want to use.
3. In the End IP address box, type the last address of the range of IP addresses that you want to use, click OK, and then click Next.

Click No, use Routing and Remote Access to authenticate connection requests, and then click Next.

Click Finish to turn on the Routing and Remote Access service and to configure the server as a Remote Access server.

Allow access to all users or individual users

Before users can connect to the server, you must configure the server to either accept all remote access clients or you must grant dial-in access permissions to individual users.

To allow the server to accept all remote access clients, follow these steps:

1. Click Start, point to Administrative Tools, and then click Routing and Remote Access.
2. Double-click Your_Server_Name, and then click Remote Access Policies.
3. Right-click Connections to Microsoft Routing and Remote Access server, and then click Properties.
4. Click Grant remote access permission, and then click OK.

To grant dial-up access permission to individual users, follow these steps:

1. Click Start, point to Administrative Tools, and then click Active Directory Users and Computers.
2. Right-click the user account that you want to allow remote access, and then click Properties.
3. Click the Dial-in tab, click Allow access, and then click OK.
4. Close the UserAccountProperties dialog box.

Troubleshoot

The number of dial-up modem connections depends on the number of modems that are installed on the server. If you have only one modem installed on the server, you can only have one modem connection at a time.

The number of VPN connections depends on the number of users that you want to allow access at one time. By default, 128 connections are permitted. To change this number, follow these steps:

1. Click Start, point to Administrative Tools, and then click Routing and Remote Access.
2. Double-click Your_Server_Name, right-click Ports, and then click Properties.
3. In the Ports Properties dialog box, click WAN Miniport (PPTP), and then click Configure.
4. In the Maximum ports box, type the number of VPN connections that you want to allow.
5. Click OK, click OK again, and then quit Routing and Remote Access.

—>

Разрешение на доступ Access Permission

Применяется к: Windows Server (Semi-Annual Channel), Windows Server 2016 Applies to: Windows Server (Semi-Annual Channel), Windows Server 2016

Разрешение на доступ настраивается на вкладке Обзор каждой сетевой политики на сервере политики сети (NPS). Access permission is configured on the Overview tab of each network policy in Network Policy Server (NPS).

Этот параметр позволяет настроить политику, чтобы предоставить или запретить доступ пользователям, если условия и ограничения политики сети соответствуют запросу на подключение. This setting allows you to configure the policy to either grant or deny access to users if the conditions and constraints of the network policy are matched by the connection request.

Параметры разрешений на доступ имеют следующий результат: Access permission settings have the following effect:

• Предоставление доступа. Grant access. Доступ предоставляется, если запрос на подключение соответствует условиям и ограничениям, настроенным в политике. Access is granted if the connection request matches the conditions and constraints that are configured in the policy.
• Запрет доступа. Deny access. Отказано в доступе, если запрос на подключение соответствует условиям и ограничениям, настроенным в политике. Access is denied if the connection request matches the conditions and constraints that are configured in the policy.

Разрешение на доступ также предоставляется или запрещается в зависимости от конфигурации свойств входящих звонков каждой учетной записи пользователя. Access permission is also granted or denied based on your configuration of the dial-in properties of each user account.

Учетные записи пользователей и их свойства, такие как свойства удаленного доступа, настраиваются в оснастке MMC «Active Directory пользователи и компьютеры» или «Локальные пользователи и группы» консоли управления Microsoft Management Console в ( ) зависимости от того, ® установлены ли Active Directory доменных служб (AD DS). User accounts and their properties, such as dial-in properties, are configured in either the Active Directory Users and Computers or the Local Users and Groups Microsoft Management Console (MMC) snap-in, depending on whether you have Active Directory® Domain Services (AD DS) installed.

Параметр учетной записи пользователя разрешение на доступ к сети, настроенный в свойствах входящих звонков учетных записей пользователей, переопределяет параметр разрешения на доступ к политике сети. The user account setting Network Access Permission, which is configured on the dial-in properties of user accounts, overrides the network policy access permission setting. Если разрешение на доступ к сети для учетной записи пользователя настроено на Управление доступом через политику сети NPS , параметр разрешения доступа политики сети определяет, предоставлен ли пользователю или запрещен доступ. When network access permission on a user account is set to the Control access through NPS Network Policy option, the network policy access permission setting determines whether the user is granted or denied access.

В Windows Server 2016 значение по умолчанию для разрешения сетевого доступа в AD DS свойствах удаленного доступа учетной записи пользователя управляет доступом через политику сети NPS. In Windows Server 2016, the default value of Network Access Permission in AD DS user account dial-in properties is Control access through NPS Network Policy.

Когда сервер политики сети оценивает запросы на подключение к настроенным сетевым политикам, он выполняет следующие действия: When NPS evaluates connection requests against configured network policies, it performs the following actions:

• Если условия первой политики не совпадают, NPS оценивает следующую политику и продолжит выполнение этого процесса, пока не будет найдено соответствие или не будут проверены все политики для соответствия. If the conditions of the first policy are not matched, NPS evaluates the next policy, and continues this process until either a match is found or all policies have been evaluated for a match.
• Если условия и ограничения политики совпадают, сервер политики сети предоставляет или запрещает доступ в зависимости от значения параметра разрешения доступа в политике. If the conditions and constraints of a policy are matched, NPS either grants or denies access, depending on the value of the Access Permission setting in the policy.
• Если условия соответствия политике, но ограничения в политике не совпадают, сервер политики сети отклоняет запрос на подключение. If the conditions of a policy match but the constraints in the policy do not match, NPS rejects the connection request.
• Если условия всех политик не совпадают, сервер политики сети отклоняет запрос на подключение. If the conditions of all policies do not match, NPS rejects the connection request.

Игнорировать свойства входящих звонков учетной записи пользователя Ignore user account dial-in properties

Можно настроить политику сети NPS, чтобы игнорировать свойства входящих звонков учетных записей пользователей, установив или сняв флажок игнорировать свойства удаленного доступа учетной записи пользователя на вкладке Обзор политики сети. You can configure NPS network policy to ignore the dial-in properties of user accounts by selecting or clearing the Ignore user account dial-in properties check box on the Overview tab of a network policy.

Обычно, когда NPS выполняет авторизацию запроса на подключение, он проверяет свойства удаленного доступа учетной записи пользователя, где значение параметра разрешения на доступ к сети может влиять на то, разрешено ли пользователю подключаться к сети. Normally when NPS performs authorization of a connection request, it checks the dial-in properties of the user account, where the network access permission setting value can affect whether the user is authorized to connect to the network. При настройке NPS для игнорирования свойств входящих звонков учетных записей пользователей во время авторизации параметры сетевой политики определяют, предоставлен ли пользователю доступ к сети. When you configure NPS to ignore the dial-in properties of user accounts during authorization, network policy settings determine whether the user is granted access to the network.

В свойствах входящих звонков учетных записей пользователей содержатся следующие параметры. The dial-in properties of user accounts contain the following:

• Разрешение на доступ к сети Network access permission
• Идентификатор звонящего Caller-ID
• Параметры обратного вызова Callback options
• Статический IP-адрес Static IP address
• Статические маршруты Static routes

Для поддержки нескольких типов подключений, для которых NPS обеспечивает проверку подлинности и авторизацию, может потребоваться отключить обработку свойств входящих звонков учетной записи пользователя. To support multiple types of connections for which NPS provides authentication and authorization, it might be necessary to disable the processing of user account dial-in properties. Это можно сделать для поддержки сценариев, в которых определенные свойства входящих звонков не требуются. This can be done to support scenarios in which specific dial-in properties are not required.

Например, свойства «вызывающий код», «обратный вызов», «статический IP-адрес» и «статические маршруты» предназначены для клиента, который набирает сетевой доступ к серверу ( NAS ) , а не для клиентов, подключающихся к точкам беспроводного доступа. For example, the caller-ID, callback, static IP address, and static routes properties are designed for a client that is dialing into a network access server (NAS), not for clients that are connecting to wireless access points. Беспроводная точка доступа, получающая эти параметры в сообщении RADIUS из NPS, может не суметь обработать их, что может привести к отключению беспроводного клиента. A wireless access point that receives these settings in a RADIUS message from NPS might not be able to process them, which can cause the wireless client to be disconnected.

Если сервер политики сети обеспечивает проверку подлинности и авторизацию для пользователей, которые одновременно подключаются к сети организации и обращаются к ней через точки беспроводного доступа, необходимо настроить свойства удаленного доступа для поддержки подключений входящих вызовов ( , установив свойства входящих звонков ) или беспроводных подключений ( , не задавая свойства входящих звонков ) . When NPS provides authentication and authorization for users who are both dialing in and accessing your organization network through wireless access points, you must configure the dial-in properties to support either dial-in connections (by setting dial-in properties) or wireless connections (by not setting dial-in properties).

Сервер политики сети можно использовать для включения обработки свойств удаленного доступа для учетной записи пользователя в некоторых сценариях, ( таких как удаленный доступ, ) и для отключения обработки свойств удаленного доступа в других сценариях ( , таких как 802.1 x Wireless и аутентифицированный коммутатор ) . You can use NPS to enable dial-in properties processing for the user account in some scenarios (such as dial-in) and to disable dial-in properties processing in other scenarios (such as 802.1X wireless and authenticating switch).

Для управления доступом к сети с помощью групп и параметров разрешения на доступ в сетевой политике можно также использовать параметр игнорировать учетные записи пользователей . You can also use Ignore user account dial-in properties to manage network access control through groups and the access permission setting on the network policy. При установке флажка игнорировать свойства удаленного доступа к учетной записи пользователя разрешение на доступ к сети для учетной записи пользователя игнорируется. When you select the Ignore user account dial-in properties check box, network access permission on the user account is ignored.

Единственным недостатком этой конфигурации является то, что нельзя использовать дополнительные свойства удаленного доступа учетной записи пользователя для идентификатора звонящего, обратного вызова, статического IP-адреса и статических маршрутов. The only disadvantage to this configuration is that you cannot use the additional user account dial-in properties of caller-ID, callback, static IP address, and static routes.

Дополнительные сведения о NPS см. в разделе сервер политики сети (NPS). For more information about NPS, see Network Policy Server (NPS).