Po zainstalowaniu usługi Routing i dostęp zdalny (RRAS) należy określić użytkowników, którzy mogą łączyć się z serwerem RRAS. Autoryzacja RRAS jest określana za pomocą właściwości telefonowania na koncie użytkownika, w zasadach sieciowych lub w obu tych miejscach.

Nie ma potrzeby tworzenia kont użytkowników tylko dla użytkowników dostępu zdalnego. Serwery RRAS mogą używać kont użytkowników istniejących w bazach danych kont użytkowników. W przystawkach Użytkownicy i grupy lokalne oraz Użytkownicy i komputery usługi Active Directory konta użytkowników zawierają kartę Telefonowanie, na której można skonfigurować uprawnienia dostępu zdalnego. W przypadku dużej liczby użytkowników zaleca się skonfigurowanie zasad sieciowych na serwerze zasad sieciowych (NPS). Aby uzyskać więcej informacji, zobacz artykuł dotyczący serwera zasad sieciowych (strona może zostać wyświetlona w języku angielskim) (https://go.microsoft.com/fwlink/?LinkId=139764).

Zabezpieczenia przed połączeniem

W następujących krokach opisano, co dzieje się podczas próby połączenia klienta dostępu zdalnego z serwerem RRAS skonfigurowanym do używania uwierzytelniania systemu Windows:

  1. Klient dostępu zdalnego podejmuje próbę podłączenia do serwera RRAS.

  2. Serwer wysyła wyzwanie do klienta.

  3. Klient wysyła do serwera zaszyfrowaną odpowiedź zawierającą nazwę użytkownika, nazwę domeny i hasło.

  4. Serwer sprawdza zgodność odpowiedzi z bazą danych kont użytkowników.

  5. Jeśli konto i poświadczenia uwierzytelniania są prawidłowe, serwer autoryzuje połączenie przy użyciu właściwości telefonowania konta użytkownika oraz zasad sieciowych.

Jeśli jest to połączenie telefoniczne z włączonym wywołaniem zwrotnym, serwer kończy połączenie, ponownie łączy się telefonicznie z klientem i kontynuuje proces negocjacji połączenia.

Uwagi
  • W krokach 2 i 3 założono, że klient dostępu zdalnego i serwer RRAS używają protokołu uwierzytelniania Challenge Handshake firmy Microsoft w wersji 2 (MS-CHAP v2) lub protokołu uwierzytelniania Challenge Handshake (CHAP). Proces wysyłania poświadczeń klienta różni się w zależności od używanego protokołu uwierzytelniania.
  • Jeśli serwer RRAS jest elementem członkowskim domeny, a odpowiedź użytkownika nie zawiera nazwy domeny, zostanie użyta nazwa domeny serwera RRAS. Aby użyć innej nazwy domeny niż nazwa serwera RRAS, należy na kliencie dostępu zdalnego ustawić następującą wartość rejestru na nazwę domeny, która ma być używana:
  • HKEY_LOCAL_MACHINE\System\CurrentControlSet\Services\RasMan\PPP\ControlProtocols\BuiltIn\DefaultDomain
Przestroga

Niewłaściwe modyfikacje rejestru mogą spowodować poważne uszkodzenie systemu. Przed wprowadzeniem zmian w rejestrze należy wykonać kopie zapasowe wszystkich ważnych danych przechowywanych na komputerze.

Zabezpieczenia po połączeniu

Poświadczenia używane do uzyskania dostępu zdalnego stanowią tylko kanał komunikacyjny do sieci docelowej. Wynikiem połączenia dostępu zdalnego nie jest zalogowanie się klienta do sieci. Przy każdej próbie uzyskania dostępu do danego zasobu sieciowego do klienta jest wysyłane wyzwanie o podanie poświadczeń. Jeśli klient nie poda prawidłowych poświadczeń, próba uzyskania dostępu zakończy się niepowodzeniem. W systemie Windows dodano funkcję ułatwiającą uzyskanie dostępu zdalnego. Po pomyślnym nawiązaniu połączenia poświadczenia są zapisywane w pamięci podręcznej klientów dostępu zdalnego z systemami Windows Vista®, Windows® 7, Windows Server® 2008 oraz Windows Server® 2008 R2 jako poświadczenia domyślne na czas trwania połączenia dostępu zdalnego. Gdy zasób sieciowy wysyła wyzwanie do klienta dostępu zdalnego, klient podaje poświadczenia z pamięci podręcznej bez konieczności wprowadzania ich ponownie przez użytkownika.

Dodatkowe informacje

Spis treści