Po instalaci služby Směrování a vzdálený přístup (RRAS) je nutné určit uživatele, kteří se mohou připojit k serveru RRAS. Autorizace služby RRAS je určena vlastnostmi telefonického připojení uživatelského účtu, zásadami sítě nebo obojím.

Není nutné vytvářet uživatelské účty pouze pro uživatele vzdáleného přístupu. Servery RRAS mohou používat existující uživatelské účty v databázích uživatelských účtů. Jak v modulu Místní uživatelé a skupiny, tak v modulu Uživatelé a počítače služby Active Directory mají uživatelské účty kartu Telefonické připojení, na které lze konfigurovat oprávnění k vzdálenému přístupu. Při velkém počtu uživatelů je doporučeno nakonfigurovat zásady sítě na serveru NPS (Network Policy Server). Další informace naleznete v článku Server NPS (Network Policy Server) (stránka může být v angličtině) (https://go.microsoft.com/fwlink/?linkid=139764).

Zabezpečení před připojením

Následující kroky popisují, co se stane během pokusu o připojení klienta vzdáleného přístupu k serveru RRAS, u kterého je nakonfigurováno ověřování systému Windows:

  1. Klient vzdáleného přístupu se pokusí o připojení k serveru RRAS.

  2. Server odešle klientovi výzvu.

  3. Klient odešle na server šifrovanou odpověď, která obsahuje uživatelské jméno, název domény a heslo.

  4. Server tuto odpověď ověří vůči databázi uživatelských účtů.

  5. Pokud je účet platný a pověření pro ověření jsou správná, server pomocí vlastností telefonického připojení uživatelského účtu a zásad sítě toto připojení autorizuje.

Pokud se jedná o telefonické připojení a je povoleno zpětné volání, server zavěsí, zavolá zpět klientovi a pokračuje ve vyjednávání připojení.

Poznámky
  • Kroky 2 a 3 předpokládají, že klient vzdáleného přístupu a server RRAS používají protokol MS-CHAP v2 (Microsoft Challenge Handshake Authentication Protocol version 2) nebo CHAP (Challenge Handshake Authentication Protocol). Odeslání pověření klienta může být u jiných ověřovacích protokolů odlišné.
  • Pokud je server RRAS členem domény a odpověď uživatele neobsahuje název domény, ve výchozím nastavení se použije název domény serveru RRAS. Chcete-li použít název domény odlišný od názvu domény serveru RRAS, u klienta vzdáleného přístupu nastavte následující hodnotu registru na požadovaný název domény:
  • HKEY_LOCAL_MACHINE\System\CurrentControlSet\Services\RasMan\PPP\ControlProtocols\BuiltIn\DefaultDomain
Upozornění

Nesprávná úprava registru může vážně poškodit systém. Před prováděním změn v registru byste měli zálohovat veškerá cenná data v počítači.

Zabezpečení po připojení

Pověření použitá pro vzdálený přístup poskytují pouze komunikační kanál k cílové síti. Výsledkem připojení vzdáleného přístupu není přihlášení klienta k síti. Při každém pokusu o získání přístupu k síťovému prostředku bude klient vyzván k zadání pověření. Pokud klient na tuto výzvu neodpoví pomocí správných pověření, pokus o přístup se nezdaří. Systém Windows je doplněn o funkci, která zjednodušuje vzdálený přístup. Po úspěšném připojení budou u klientů vzdáleného přístupu používajících systémy Windows Vista®, Windows® 7, Windows Server® 2008 a Windows Server® 2008 R2 tato pověření uložena do mezipaměti jako výchozí pověření po dobu trvání připojení vzdáleného přístupu. Bude-li klient vzdáleného přístupu vyzván síťovým prostředkem, poskytne pověření uložená v mezipaměti, takže je uživatel nebude muset zadávat znovu.

Další informace

Obsah