安装路由和远程访问服务 (RRAS) 之后,必须指定允许其连接到 RRAS 服务器的用户。RRAS 授权由用户帐户和/或网络策略上的拨入属性决定。

不必只为远程访问用户创建用户帐户。RRAS 服务器可以使用用户帐户数据库中的现有用户帐户。在“本地用户和组”与“Active Directory 用户和计算机”中,用户帐户都拥有可用于配置远程访问权限的“拨入”选项卡。对于大量用户的情况,建议您在运行网络策略服务器 (NPS) 的服务器上配置网络策略。有关详细信息,请参阅网络策略服务器(https://go.microsoft.com/fwlink/?linkid=139764)(可能为英文网页)。

连接前的安全

下列步骤描述了从远程访问客户端尝试连接到配置为使用 Windows 身份验证的 RRAS 服务器期间出现的情况:

  1. 远程访问客户端尝试连接到 RRAS 服务器。

  2. 服务器向客户端发送质询。

  3. 客户端向服务器发送加密的响应,其中包含用户名、域名和密码。

  4. 服务器根据用户帐户数据库检查响应。

  5. 如果帐户有效并且身份验证凭据正确,服务器将使用用户帐户的拨入属性和网络策略来为连接授权。

如果是拨号连接并且启用了回拨,则服务器将挂断连接,回拨客户端,然后继续执行连接协商过程。

注意
  • 步骤 2 和 3 假定远程访问客户端和 RRAS 服务器使用 Microsoft 质询握手身份验证协议版本 2 (MS-CHAP v2) 或质询握手身份验证协议 (CHAP)。对于其他身份验证协议,客户端凭据的发送有所不同。
  • 如果 RRAS 服务器是域的成员,并且用户响应中没有包含域名,则默认情况下使用 RRAS 服务器的域名。如果希望使用与 RRAS 服务器不同的域名,则将远程访问客户端上的以下注册表值设置为要使用的域的名称:
  • HKEY_LOCAL_MACHINE\System\CurrentControlSet\Services\RasMan\PPP\ControlProtocols\BuiltIn\DefaultDomain
小心

对注册表编辑不当可能会严重损坏您的系统。在更改注册表之前,应备份计算机上任何有价值的数据。

连接后的安全

用于远程访问的凭据只提供到达目标网络的通信通道。客户端不会由于远程访问连接而登录到网络上。每次客户端尝试访问网络资源时,将接受凭据质询。如果没有使用正确的凭据响应质询,访问尝试将失败。Windows 添加了可简化远程访问的功能。成功建立连接后,在远程访问连接期间,运行 Windows Vista(R)、Windows(R) 7、Windows Server(R) 2008 和 Windows Server(R) 2008 R2 的远程访问客户端将这些凭据作为默认凭据存储在缓存中。网络资源质询远程访问客户端时,客户端将提供缓存的凭据,因此用户不需要再次输入这些凭据。

其他参考

目录