Telnet方式远程管理WIN2003 Server

ZDNetChina服务器站 x86技巧 Telnet是TCP/IP协议系列中的成员，它可使用户在服务器上建立远程会话。该协议只支持字母数字终端，也就是它不支持鼠标和其他指针设备，也不支持图形用户界面。相应，所有命令都必须在命令行中输入。

    Telnet协议所提供的安全性非常低。在不使用NTLM（NT LAN Manager，Windows NT系统局域网管理）身份验证的Telnet会话中，包括密码的所有数据都在客户端和服务器之间以明文的形式传输。因为Telnet会话通信不安全，请确保在Telnet会话过程中没有发送敏感数据。

    Telnet通信分Telnet客户端和服务器端两部分。

（1）Telnet客户端

    使用Telnet客户端，可以连接到运行Telnet服务器软件的远程计算机，并且可以通过控制台窗口与该计算机进行交互。

    Telnet客户端使用Telnet协议通过网络连接远程计算机。Telnet客户端允许计算机连接到远程的Telnet服务器并运行该服务器上的应用程序。

    Windows Server 2003家族的所有成员都包括改进的、面向命令行版本的Telnet客户端。可以使用NTLM验证过程来验证连接在运行Windows NT、Windows 2000、Windows XP或Windows Server 2003家族的计算机之间的Telnet 客户端。

    可以使用本地Windows用户名和密码或域帐户信息访问运行Telnet服务器的计算机。

    如果不使用NTLM身份验证选项，则用户名和密码将以明文方式发送到Telnet服务器上；如果使用NTLM身份验证，Telnet客户端会使用Windows安全上下文进行身份验证，也不提示用户提供用户名和密码。用户名和密码是加密的。

    如果将用户密码选项设置为“下次登录时必须更改密码”（在用户属性对话框中设置，如下图所示），则用户将无法利用NTLM身份验证登录Telnet服务器。要使登录成功，您必须直接登录到服务器，更改密码，然后通过Telnet客户端登录。

（2）Telnet服务器端

    使用Telnet服务器，可以允许Telnet客户端软件的用户登录到您的计算机并在其上运行字符模式的应用程序。Telnet服务器给Telnet客户端提供ASCII码终端会话。Telnet服务器支持两种类型的身份认证和四种类型的终端：ANSI、VT-100、VT-52和VTNT。

Telnet服务器的配置

    Telnet服务器是Telnet客户端的网关。当计算机上运行Telnet服务器时，用户可以使用Telnet客户端从远程计算机连接Telnet服务器。当Telnet客户端连接到运行Telnet服务器的计算机时，系统会要求远程用户输入用户名和密码。默认情况下，只有同时使用本地服务器上合法的用户名和密码才能登录该服务器。

    登录之后，用户将接收到命令提示符，然后用户就可以象在本地打开的命令提示符窗口中一样使用。但是，默认情况下用户不能使用可与桌面交互的应用程序。

    Telnet使用Telnet协议通过网络连接远程计算机。Administrators组成员可以登录到Telnet服务器。TelnetClients组的成员身份会控制其他用户的访问权限。默认情况下，该组不包含任何项。如果您希望允许非Administrators组成员的用户登录到Telnet服务器，请将适当的用户或组添加到TelnetClients组。创建TelnetClients组后，必须在用户能够登录前终止并启动Telnet服务器服务，如下图所示。

    通过Windows Server 2003家组成员的安装，协议许可将提供Telnet服务器的安装。但是，可以同时存在多个Telnet会话。默认情况下，Telnet服务器同时支持最多两个Telnet客户端。但是，管理员可以通过使用tlntadmn命令更改该值。可以连接到运行Telnet服务器的计算机的不同设备的数量将受可用资源（例如RAM）、虚拟内存以及“客户访问许可证（CAL）”的限制。

Telnet服务器身份验证

    通过身份验证可以标识用户并为其授权。Telnet服务器支持两种身份验证方法：NTLM和明文。如果使用“NTLM”身份验证，则基于Windows的客户端将使用Windows安全上下文进行身份验证，系统也不会提示用户键入用户名和密码。用户名和密码是加密的。不使用加密的会话将使用未加密文本（也称作明文），且可以在网络上看到。如果不使用NTLM身份验证，则用户名和密码将以明文方式发送到运行Telnet服务器的计算机上。任何捕获身份验证过程数据包的人都可轻易阅读密码，并使用该密码可获得对Intranet未经授权的访问。因此，完全不鼓励使用明文身份验证。

    如果对用户设置了“下次登录时用户须更改密码”，则用户将无法登录到运行Telnet的服务器。用户必须直接登录到服务器并更改密码，再通过Telnet登录。

    如果使用NTLM身份验证连接到运行Telnet服务器的计算机，则由于这种身份验证的限制，用户将无法访问其他网络资源。为了能从Telnet会话访问网络资源，需要重新提供用户名和密码访问网络驱动器。

    NTLM可能不是客户端身份验证所选的模式。当客户端是以下类型时，会发生此情况：

    （1）不通过选择使用NTLM的基于Windows的客户端；

    （2）UNIX Telnet客户端。

    在此情况下，运行Telnet服务器的计算机所支持的唯一的其他身份验证将是用户名/密码方式。在该方式中，服务器将用户名和密码以明文的形式发送以进行身份验证。

    Telnet的远程管理方法和功能都比较简单，一般用于远程系统调试，很少用它来真正进行日常的系统管理，所以在此不作详细的实例介绍。不过在一些黑客却经常使用，因为它们的目的只是入侵系统，获取一些有用的信息，如帐户和密码等，还经常用它来传播病毒。