Nadat de Routing and Remote Access-service (RRAS) is geïnstalleerd, moet u de gebruikers opgeven die verbinding met de RRAS-server mogen maken. RRAS-autorisatie wordt bepaald door de inbeleigenschappen van de gebruikersaccount, het netwerkbeleid, of beide.

U hoeft niet alleen voor RAS-gebruikers gebruikersaccounts te maken. RRAS-servers kunnen bestaande gebruikersaccounts in de databases met gebruikersaccounts gebruiken. In zowel Lokale gebruikers en groepen als Active Directory-gebruikers en -computers hebben gebruikersaccounts een tabblad Inbellen waarop u RAS-machtigingen kunt configureren. Bij een groot aantal gebruikers kunt u netwerkbeleid het beste configureren op een server met Network Policy Server (NPS). Zie Netwerkbeleidsserver (https://go.microsoft.com/fwlink/?linkid=139764) voor meer informatie (deze pagina is mogelijk Engelstalig).

Beveiliging vóór de verbinding

Met de volgende stappen wordt beschreven wat er gebeurt bij een verbindingspoging van een RAS-client naar een RRAS-server die voor het gebruik van Windows-verificatie is geconfigureerd:

  1. Een RAS-client probeert verbinding te maken met een RRAS-server.

  2. De server verzendt een challenge naar de client.

  3. De client verzendt een versleutelde respons naar de server, die bestaat uit een gebruikersnaam, een domeinnaam en een wachtwoord.

  4. Op de server wordt de respons gecontroleerd aan de hand van de database met gebruikersaccounts.

  5. Als het account geldig is en de verificatiereferenties juist zijn, worden op de server de inbeleigenschappen van het gebruikersaccount en het netwerkbeleid gebruikt om de verbinding te autoriseren.

Als er sprake is van een verbinding door inbellen en callback is ingeschakeld, wordt de verbinding op de server verbroken, wordt de client teruggebeld en wordt het onderhandelingsproces voor de verbinding voortgezet.

Opmerkingen
  • In stap 2 en 3 wordt ervan uitgegaan dat de RAS-client en de RRAS-server gebruikmaken van Microsoft Challenge Handshake Authentication Protocol versie 2 (MS-CHAP v2) of Challenge Handshake Authentication Protocol (CHAP). Het verzenden van clientreferenties kan verschillen voor andere verificatieprotocollen.
  • Als de RRAS-server lid is van een domein en de gebruikersrespons geen domeinnaam bevat, wordt standaard de domeinnaam van de RRAS-server gebruikt. Als u een andere domeinnaam wilt gebruiken dan de domeinnaam van de RRAS-server, stelt u op de RAS-client de volgende registerwaarde in op de naam van het domein dat u wilt gebruiken:
  • HKEY_LOCAL_MACHINE\System\CurrentControlSet\Services\RasMan\PPP\ControlProtocols\BuiltIn\DefaultDomain
Waarschuwing

Het niet correct bewerken van het register kan ernstige gevolgen voor uw systeem hebben. Maak daarom eerst een back-up van belangrijke computergegevens, voordat u wijzigingen aanbrengt in het register.

Beveiliging na de verbinding

Referenties die worden gebruikt voor externe toegang, zorgen alleen voor een communicatiekanaal naar het doelnetwerk. De client wordt niet aangemeld bij het netwerk via een RAS-verbinding. Elke keer dat via een client toegang wordt gezocht tot een netwerkbron, wordt om referenties gevraagd. Als de challenge niet wordt beantwoord met de juiste referenties, mislukt de verbinding. Windows voorziet in een functie waarmee externe toegang wordt vereenvoudigd. Wanneer verbinding is gemaakt, worden op RAS-clients met Windows Vista®, Windows® 7, Windows Server® 2008 en Windows Server® 2008 R2 deze referenties in de cache opgeslagen als standaardreferenties voor de duur van de RAS-verbinding. Wanneer de RAS-client een challenge ontvangt van een netwerkbron, worden de referenties in de cache vanaf de client verzonden zonder dat de gebruiker deze opnieuw hoeft in te voeren.

Aanvullende naslaginformatie


Inhoudsopgave