Po zainstalowaniu usługi Routing i dostęp zdalny (RRAS) należy określić użytkowników, którzy mogą łączyć się z serwerem RRAS. Autoryzacja RRAS jest określana za pomocą właściwości telefonowania na koncie użytkownika, w zasadach sieciowych lub w obu tych miejscach.
Nie ma potrzeby tworzenia kont użytkowników tylko dla użytkowników dostępu zdalnego. Serwery RRAS mogą używać kont użytkowników istniejących w bazach danych kont użytkowników. W przystawkach Użytkownicy i grupy lokalne oraz Użytkownicy i komputery usługi Active Directory konta użytkowników zawierają kartę Telefonowanie, na której można skonfigurować uprawnienia dostępu zdalnego. W przypadku dużej liczby użytkowników zaleca się skonfigurowanie zasad sieciowych na serwerze zasad sieciowych (NPS). Aby uzyskać więcej informacji, zobacz
Zabezpieczenia przed połączeniem
W następujących krokach opisano, co dzieje się podczas próby połączenia klienta dostępu zdalnego z serwerem RRAS skonfigurowanym do używania uwierzytelniania systemu Windows:
- Klient dostępu zdalnego podejmuje próbę podłączenia do serwera RRAS.
- Serwer wysyła wyzwanie do klienta.
- Klient wysyła do serwera zaszyfrowaną odpowiedź zawierającą nazwę użytkownika, nazwę domeny i hasło.
- Serwer sprawdza zgodność odpowiedzi z bazą danych kont użytkowników.
- Jeśli konto i poświadczenia uwierzytelniania są prawidłowe, serwer autoryzuje połączenie przy użyciu właściwości telefonowania konta użytkownika oraz zasad sieciowych.
Jeśli jest to połączenie telefoniczne z włączonym wywołaniem zwrotnym, serwer kończy połączenie, ponownie łączy się telefonicznie z klientem i kontynuuje proces negocjacji połączenia.
Uwagi | |
|
Przestroga | |
Niewłaściwe modyfikacje rejestru mogą spowodować poważne uszkodzenie systemu. Przed wprowadzeniem zmian w rejestrze należy wykonać kopie zapasowe wszystkich ważnych danych przechowywanych na komputerze. |
Zabezpieczenia po połączeniu
Poświadczenia używane do uzyskania dostępu zdalnego stanowią tylko kanał komunikacyjny do sieci docelowej. Wynikiem połączenia dostępu zdalnego nie jest zalogowanie się klienta do sieci. Przy każdej próbie uzyskania dostępu do danego zasobu sieciowego do klienta jest wysyłane wyzwanie o podanie poświadczeń. Jeśli klient nie poda prawidłowych poświadczeń, próba uzyskania dostępu zakończy się niepowodzeniem. W systemie Windows dodano funkcję ułatwiającą uzyskanie dostępu zdalnego. Po pomyślnym nawiązaniu połączenia poświadczenia są zapisywane w pamięci podręcznej klientów dostępu zdalnego z systemami Windows Vista®, Windows® 7, Windows Server® 2008 oraz Windows Server® 2008 R2 jako poświadczenia domyślne na czas trwania połączenia dostępu zdalnego. Gdy zasób sieciowy wysyła wyzwanie do klienta dostępu zdalnego, klient podaje poświadczenia z pamięci podręcznej bez konieczności wprowadzania ich ponownie przez użytkownika.