安裝路由及遠端存取服務 (RRAS) 之後,您必須指定被允許連線到 RRAS 伺服器的使用者。透過使用者帳戶的撥入內容、網路原則或兩者來決定 RRAS 授權。

您不需要針對遠端存取使用者來建立使用者帳戶。RRAS 伺服器可以使用使用者帳戶資料庫中現有的使用者帳戶。在 [本機使用者和群組] 與 [Active Directory 使用者和電腦] 中,使用者帳戶都擁有 [撥入] 索引標籤,您可在此設定遠端存取權限。對於大部分的使用者,建議在執行網路原則伺服器 (NPS) 的伺服器上設定網路原則。如需相關資訊,請參閱網路原則伺服器 (可能為英文網頁) (https://go.microsoft.com/fwlink/?linkid=139764)。

連線前的安全性

下列步驟描述在從遠端存取用戶端嘗試連線到設定為使用 Windows 驗證之 RRAS 伺服器時,會發生什麼事情:

  1. 遠端存取用戶端嘗試連線到 RRAS 伺服器。

  2. 伺服器傳送挑戰至用戶端。

  3. 用戶端傳送加密的回應至伺服器,此回應包含使用者名稱、網域名稱以及密碼。

  4. 伺服器根據使用者帳戶資料庫來檢查回應。

  5. 如果帳戶為有效的,且驗證認證為正確的,伺服器會使用使用者帳戶的撥入內容和網路原則來授權連線。

如果連線是撥號網路並啟用回撥,伺服器會掛斷連線、回撥給用戶端,然後繼續連線交涉處理。

附註
  • 步驟 2 與 3 假設遠端存取用戶端和 RRAS 伺服器使用 Microsoft Challenge Handshake 驗證通訊協定第 2 版 (MS-CHAP  v2) 或 Challenge Handshake 驗證通訊協定 (CHAP)。在其他的驗證通訊協定下,用戶端認證的傳送會有所不同。
  • 如果 RRAS 伺服器是網域的成員,且使用者回應不包含網域名稱,則預設會使用 RRAS 伺服器的網域名稱。如果您想要使用和 RRAS 伺服器不一樣的網域名稱,請將遠端存取用戶端的下列登錄值設為您要使用的網域名稱:
  • HKEY_LOCAL_MACHINE\System\CurrentControlSet\Services\RasMan\PPP\ControlProtocols\BuiltIn\DefaultDomain
注意

不正確地編輯登錄將會造成系統嚴重損害。變更登錄之前,您應該先備份電腦所有的重要資料。

連線後的安全性

遠端存取使用的認證僅提供到目標網路的通訊通道。用戶端不會因為遠端存取連線而登入網路。用戶端每一次嘗試存取網路資源時,都必須接受認證的挑戰。若它不回應正確認證的挑戰,則存取嘗試將失敗。Windows 新增了一個簡化遠端存取的功能。成功連線之後,執行 Windows Vista(R)、Windows(R) 7、Windows Server(R) 2008 以及 Windows Server(R) 2008 R2 的遠端存取用戶端會快取這些認證,作為遠端存取連線持續期間的預設認證。當網路資源挑戰遠端存取用戶端時,用戶端會提供快取的認證,而不必要求使用者重新輸入。

其他參考資料

目錄