När du har installerat RRAS (Routing and Remote Access service) måste du ange vilka användare som tillåts att ansluta till RRAS-servern. RRAS-auktorisering avgörs antingen av användarkontots fjärranslutningsegenskaper eller av nätverksprinciperna, eller både och.

Du behöver inte skapa användarkonton enbart för fjärråtkomstanvändare. RRAS-servrar kan använda befintliga användarkonton i användarkontodatabaserna. I både Lokala användare och grupper och i Active Directory - användare och datorer har användarkontona en Fjärråtkomst-flik där du kan konfigurera fjärråtkomstbehörighet. För ett stort antal användare rekommenderar vi att du konfigurerar nätverksprinciper på en server som kör NPS (Network Policy Server). Mer information finns i Network Policy Server (https://go.microsoft.com/fwlink/?linkid=139764).

Säkerhet innan anslutning

I följande steg beskrivs vad som händer när en fjärråtkomstklient försöker ansluta till en RRAS-server som är konfigurerad att använda Windows-autentisering:

  1. En fjärråtkomstklient försöker ansluta till en RRAS-server.

  2. Servern skickar ett anrop till klienten.

  3. Klienten skickar ett krypterat svar till servern som består av ett användarnamn, ett domännamn och ett lösenord.

  4. Servern kontrollerar svaret mot användarkontodatabasen.

  5. Om kontot är giltigt och autentiseringsuppgifterna stämmer används fjärranslutningsegenskaperna i användarkontot och nätverksprinciperna för att auktorisera anslutningen.

Om det är en fjärranslutning och motringning har aktiverats, avslutar servern anslutningen och ringer sedan upp klienten och fortsätter anslutningsförhandlingarna.

Kommentarer
  • Steg 2 och 3 förutsätter att fjärråtkomstklienten och RRAS-servern använder MS-CHAP v2 (Microsoft Challenge Handshake Authentication Protocol version 2) eller CHAP (Challenge Handshake Authentication Protocol). Sändningen av klientuppgifter kan vara annorlunda för andra autentiseringsprotokoll.
  • Om RRAS-servern ingår i en domän och användarsvaret inte innehåller ett domännamn används domännamnet för RRAS-servern. Om du vill använda ett annat domännamn än det för RRAS-servern anger du följande registervärde på fjärråtkomstklienten för det domännamn som du vill använda:
  • HKEY_LOCAL_MACHINE\System\CurrentControlSet\Services\RasMan\PPP\ControlProtocols\BuiltIn\DefaultDomain
Varning

Felaktig redigering i registret kan leda till allvarliga systemskador. Säkerhetskopiera alla viktiga data på datorn innan du ändrar registerinställningarna.

Säkerhet efter anslutning

Uppgifter som används för fjärråtkomst leder bara till att en kommunikationskanal till målnätverket upprättas. Klienten loggar inte in till nätverket på grund av att en fjärråtkomstanslutning upprättas. Varje gång klienten försöker att få åtkomst till en nätverksresurs efterfrågas dess uppgifter. Om den inte svarar med rätt uppgifter misslyckas åtkomstförsöket. I Windows finns en funktion som förenklar fjärråtkomst. När anslutningen har upprättats cachelagras uppgifterna i fjärråtkomstklienter som kör Windows Vista®, Windows® 7, Windows Server® 2008 och Windows Server® 2008 R2 som standard-autentiseringsuppgifter under resten av fjärråtkomstanslutningen. När en nätverksresurs kontrollerar fjärråtkomstklienten tillhandahåller klienten de cachelagrade autentiseringsuppgifterna så att användaren inte måste ange dem igen.

Ytterligare referenser

Innehåll