Una vez instalado el Servicio de enrutamiento y acceso remoto (RRAS), debe determinar los usuarios que pueden conectarse al servidor RRAS. Las autorización RRAS se determina por las propiedades de marcado en la cuenta del usuario, por las directivas de redes, o por ambas.

No es necesario crear cuentas de usuario simplemente para usuarios de acceso remoto. Los servidores RRAS pueden usar cuentas de usuario existentes en las bases de datos de cuentas de usuario. En Usuarios y grupos locales y en Usuarios y equipos de Active Directory, las cuentas de usuario tienen la ficha Marcado donde puede configurar los permisos de acceso remoto. Para un gran número de usuarios, se recomienda configurar las directivas de red en un servidor que ejecuta el servicio de servidor de directivas de redes (NPS). Para obtener más información, vea Servidor de directivas de redes (puede estar en inglés) (https://go.microsoft.com/fwlink/?linkid=139764).

Seguridad antes de la conexión

Los siguientes pasos describen qué sucede durante los intentos de conexión de un cliente de acceso remoto a un servidor RRAS que está configurado para usar la autenticación de Windows:

  1. Un cliente de acceso remoto intenta conectarse a un servidor RRAS.

  2. El servidor envía una comprobación al cliente.

  3. El cliente envía una respuesta cifrada al servidor que consta de un nombre de usuario, un nombre de dominio y una contraseña.

  4. El servidor comprueba la respuesta en la base de datos de cuentas de usuario.

  5. Si la cuenta es válida y las credenciales de autenticación son correctas, el servidor usa las propiedades de acceso telefónico de la cuenta de usuario y las directivas de red para autorizar la conexión.

Si la conexión es de acceso telefónico y la devolución de llamada está habilitada, el servidor corta la conexión, devuelve la llamada al cliente y continúa el proceso de negociación de la conexión.

Notas
  • En los pasos 2 y 3, se asume que tanto el cliente de acceso remoto como el servidor RRAS usan el Protocolo de autenticación por desafío mutuo de Microsoft versión 2 (MS-CHAP v2) o el Protocolo de autenticación por desafío mutuo (CHAP). El envío de credenciales del cliente puede variar para otros protocolos de autenticación.
  • Si el servidor RRAS es miembro del dominio y la respuesta del usuario no contiene un nombre de dominio, de forma predeterminada se usará el nombre de dominio del servidor RRAS. Si desea usar un nombre de dominio distinto al del servidor RRAS, en el cliente de acceso remoto, defina el siguiente valor del Registro como el nombre del dominio que desee usar:
  • HKEY_LOCAL_MACHINE\System\CurrentControlSet\Services\RasMan\PPP\ControlProtocols\BuiltIn\DefaultDomain
Precaución

La modificación incorrecta del Registro puede dañar gravemente el sistema. Antes de realizar cambios en el Registro, debe hacer una copia de seguridad de los datos de valor guardados en el equipo.

Seguridad después de la conexión

Las credenciales usadas para el acceso remoto sólo proporcionan un canal de comunicación con la red de destino. El cliente no inicia sesión en la red como resultado de una conexión de acceso remoto. Cada vez que el cliente intente obtener acceso a un recurso de red, se le solicitarán sus credenciales. Si no responde al desafío con las credenciales adecuadas, el intento de acceso generará un error. Windows agrega una característica para simplificar el acceso remoto. Tras una conexión correcta, los clientes de acceso remoto que ejecutan Windows Vista®, Windows® 7, Windows Server® 2008 y Windows Server® 2008 R2 almacenarán esas credenciales en caché como predeterminadas durante el transcurso de toda la conexión de acceso remoto. Cuando un recurso de red solicita una autenticación al cliente de acceso remoto, éste proporciona las credenciales almacenadas en caché para que el usuario no tenga que volver a escribirlas.

Referencias adicionales

Tabla de contenido