Miután az Útválasztás és távelérés szolgáltatás (RRAS) telepítése megtörtént, meg kell határozni azokat a felhasználókat, akik csatlakozhatnak az RRAS-kiszolgálóhoz. Az RRAS-hitelesítést vagy a felhasználói fiókra érvényes behívási tulajdonságok, vagy a hálózati házirendek, vagy a kettő együtt határozza meg.

Távelérési felhasználók számára nem kell külön felhasználói fiókokat létrehozni. Az RRAS-kiszolgálók a felhasználói fiókok adatbázisaiban található, meglévő felhasználói fiókokat is felhasználhatják. A felhasználói fiókok mind a a Helyi felhasználók és csoportok, mind pedig az Active Directory - felhasználók és számítógépek esetében rendelkeznek egy Betárcsázás lappal, amelyen konfigurálhatók a távelérési engedélyek. Nagyobb számú felhasználó esetében javasolt a hálózati házirendnek a hálózati házirend-kiszolgálót (NPS) futtató kiszolgálón való konfigurálása. További tájékoztatás a következő webhelyen található: Hálózati házirend-kiszolgáló (előfordulhat, hogy a lap angol nyelven jelenik meg) (https://go.microsoft.com/fwlink/?linkid=139764).

A csatlakozás előtti biztonság

A következő lépések bemutatják, hogy mi történik, ha egy távelérési ügyfél kapcsolatot kezdeményez a Windows-hitelesítés használatára konfigurált RRAS-kiszolgálóval:

  1. Egy távelérési ügyfél megkísérli az RRAS-kiszolgálóhoz való csatlakozást.

  2. A kiszolgáló egy kérdést küld az ügyfélnek.

  3. Az ügyfél egy titkosított választ küld a kiszolgálónak. A válasz a felhasználó nevéből, egy tartománynévből és egy jelszóból áll.

  4. A kiszolgáló összehasonlítja a választ a felhasználói fiókokat tartalmazó adatbázissal.

  5. Amennyiben a fiók érvényes, és a hitelesítő adatok is helyesek, a kiszolgáló a felhasználói fiók behívási tulajdonságai és a hálózati házirendek alapján engedélyezi a kapcsolatot.

Amennyiben a kapcsolat telefonos, és a visszahívás engedélyezett, a kiszolgáló bontja a kapcsolatot, visszahívja az ügyfelet, és folytatja a kapcsolategyeztetési folyamatot.

Megjegyzések:
  • A 2. és a 3. lépés feltételezi, hogy a távelérési ügyfél és az RRAS-kiszolgáló a PEAP-MS-CHAP v2 protokollt vagy a CHAP protokollt használja. Az ügyfélhitelesítő adatok küldése az egyéb hitelesítési protokolloknak megfelelően változik.
  • Ha az RRAS-kiszolgáló egy tartomány tagja, és a felhasználótól érkező válasz nem tartalmaz tartománynevet, akkor a rendszer az RRAS-kiszolgáló tartománynevét használja. Amennyiben nem az RRAS-kiszolgáló tartománynevét kívánja használni, a távelérési ügyfélen a következő beállításazonosítót állítsa a használni kívánt tartomány nevére:
  • HKEY_LOCAL_MACHINE\System\CurrentControlSet\Services\RasMan\PPP\ControlProtocols\BuiltIn\DefaultDomain
Figyelem!

A beállításjegyzék helytelen szerkesztése súlyos károkat okozhat a rendszerben. A beállításjegyzék módosítása előtt készítsen biztonsági másolatot a fontos adatokról.

A csatlakozás utáni biztonság

A táveléréshez használt hitelesítő adatok pusztán kommunikációs csatornát biztosítanak a célhálózatig. A távelérési kapcsolat létrejötte nem jelenti azt, hogy az ügyfél automatikusan be is jelentkezik a hálózatra. A rendszer minden egyes alkalommal lekérdezi a hitelesítési adatokat, amikor az ügyfél megpróbál hozzáférni egy hálózati erőforráshoz. Amennyiben az ügyfél a kérdésre nem tud helyes hitelesítő adatokkal válaszolni, a hozzáférési kísérlet sikertelen lesz. A Windows a távelérést leegyszerűsítő szolgáltatással bővült. Miután sikeresen létrejött a kapcsolat, a Windows Vista®, a Windows® 7, a Windows Server® 2008 és a Windows Server® 2008 R2 rendszer a gyorsítótárba teszi a hitelesítő adatokat, és ezeket kezeli alapértelmezett hitelesítő adatokként. Amikor egy hálózati erőforrás lekérdezi a távelérési ügyfél adatait, az ügyfél átadja a gyorsítótárazott hitelesítő adatokat, így a felhasználónak nem kell azokat újból megadnia.

További hivatkozások

Tartalom