In seguito all'installazione di Routing e Accesso remoto (RRAS), è necessario specificare gli utenti che potranno connettersi al server RRAS. L'autorizzazione RRAS è determinata dalle proprietà della connessione remota dell'account utente e/o dai criteri di rete.

Non è necessario creare account utente specifici per gli utenti di Accesso remoto. I server RRAS possono utilizzare account utente esistenti nei database degli account utente. Sia in Utenti e gruppi locali che in Utenti e computer di Active Directory per gli account utente è presente una scheda Chiamate in ingresso che consente di configurare le autorizzazioni per l'accesso remoto. In caso di numero elevato di utenti, è consigliabile configurare criteri di rete in un server che esegue Server dei criteri di rete. Per ulteriori informazioni, visitare la pagina relativa a Server dei criteri di rete (https://go.microsoft.com/fwlink/?linkid=139764).

Sicurezza prima della connessione

Nei passaggi riportati di seguito viene descritto quello che accade durante un tentativo di connessione da parte di un client di accesso remoto verso un server RRAS configurato per l'utilizzo dell'autenticazione di Windows:

  1. Un client di accesso remoto tenta di connettersi a un server RRAS.

  2. Il server invia una richiesta di verifica al client.

  3. Il client invia una risposta crittografata al server, costituita da nome utente, nome di dominio e password.

  4. Il server verifica la risposta nel database degli account utente.

  5. Se l'account è valido e le credenziali di autenticazione sono corrette, il server utilizza le proprietà della connessione remota dell'account utente e i criteri di rete per autorizzare la connessione.

Se la connessione è di tipo remoto e la richiamata è abilitata, il server chiude la connessione, richiama il client e continua il processo di negoziazione della connessione.

Note
  • Nei passaggi 2 e 3 si presume che il client di accesso remoto e il server RRAS utilizzino Microsoft Challenge Handshake Authentication Protocol versione 2 (MS-CHAP v2) o Challenge Handshake Authentication Protocol (CHAP). L'invio delle credenziali client è diverso per altri protocolli di autenticazione.
  • Se il server RRAS fa parte di un dominio e la risposta dell'utente non contiene un nome di dominio, per impostazione predefinita verrà utilizzato il nome di dominio del server RRAS. Se si desidera utilizzare un nome di dominio diverso rispetto a quello del server RRAS, impostare il seguente valore nel Registro di sistema nel client di accesso remoto sul nome di dominio che si desidera utilizzare:
  • HKEY_LOCAL_MACHINE\System\CurrentControlSet\Services\RasMan\PPP\ControlProtocols\BuiltIn\DefaultDomain
Attenzione

La modifica non corretta del Registro di sistema può danneggiare gravemente il sistema. Prima di apportare modifiche al Registro di sistema, è consigliabile eseguire il backup di tutti i dati più importanti presenti nel computer.

Sicurezza dopo la connessione

Le credenziali utilizzate per l'accesso remoto assicurano solo un canale di comunicazione con la rete di destinazione. La connessione di accesso remoto non determina l'accesso del client alla rete. A ogni tentativo di accesso a una risorsa di rete, viene eseguita una richiesta di verifica delle credenziali del client. Se alla richiesta di verifica il client non risponde con credenziali corrette, il tentativo di accesso non riuscirà. In Windows è stata aggiunta una funzionalità che semplifica l'accesso remoto. In seguito a ogni connessione, i client di accesso remoto che eseguono Windows Vista®, Windows® 7, Windows Server® 2008 e Windows Server® 2008 R2 memorizzano nella cache queste credenziali come credenziali predefinite per tutta la durata della connessione di accesso remoto. Quando una risorsa di rete invia una richiesta di verifica al client di accesso remoto, quest'ultimo fornisce le credenziali memorizzate nella cache senza che l'utente debba reimmetterle.

Ulteriori riferimenti


Argomenti della Guida