远程桌面服务客户端上的用户必须符合特定的要求,才能连接到 RD 网关。这些要求包括:
- 受支持的 Windows 身份验证方法(必需)。可以使用远程桌面网关管理器配置 RD 网关服务器将允许的身份验证方法。在客户端上,可以使用组策略配置连接到 RD 网关服务器时使用的身份验证方法。
重要 客户端以及该客户端连接到的 RD 网关服务器至少必须有一种通用的身份验证方法,否则,客户端尝试连接到 RD 网关服务器时将失败。
注意 请记住,使用组策略在客户端上配置身份验证方法时,有两种方式可应用远程桌面服务客户端连接的组策略设置。可以推荐使用这些策略设置(即,可以启用,但是不能强制使用),也可以启用并强制使用这些策略设置。有关详细信息,请参阅使用组策略管理通过远程桌面网关建立的客户端连接。
- 用户组成员身份(必需)。使用远程桌面网关管理器配置用户组成员身份要求。
- 客户端计算机组成员身份(可选)。使用远程桌面网关管理器配置客户端计算机组成员身份要求。
- 在远程桌面网关管理器中,在远程桌面连接授权策略 (RD CAP)的“要求”选项卡上配置这些要求。有关详细信息,请参阅创建 RD CAP。
受支持的 Windows 身份验证方法
如果使用远程桌面网关管理器配置受支持的 Windows 身份验证方法,可以指定用户必须使用密码还是智能卡,还是两者都可使用。如果选择“两者都可用”,则两者中的任意一个都可用于建立连接。
如果使用组策略配置受支持的 Windows 身份验证方法,可以使用下列选项:
- 询问凭据,使用 NTLM 协议(Windows NT 质询/响应协议)。有关 NTLM 协议的信息,请参阅 see Logon and Authentication Technologies (
https://go.microsoft.com/fwlink/?LinkId=94215 ) 和 Microsoft NTLM (https://go.microsoft.com/fwlink/?LinkId=94216 )(可能为英文网页)。 - 询问凭据,使用基本协议。基本身份验证方法是收集用户名和密码信息时广泛使用的行业标准方法。但是,由于密码以 Base64 编码的形式传输,未进行加密,所以,该方法不够安全。有关详细信息,请参阅 Basic Authentication (
https://go.microsoft.com/fwlink/?LinkId=94217 )(可能为英文网页)。 - 使用本地登录凭据。在这种情况下,将使用用户登录到本地计算机时提供的相同凭据连接到 RD 网关服务器。注意,如果选择此选项,但是用户曾连接到同一台 RD 网关服务器,并在其客户端计算机的“RD 网关服务器设置”对话框中选中了“记住我的凭据”复选框,则将使用其保存的凭据连接到 RD 网关服务器。
- 使用智能卡。智能卡包含一个微型计算机以及少量内存,并为私钥和 X.509 安全证书提供安全的防篡改存储。智能卡是双因子身份验证的一种形式,要求用户拥有智能卡并且了解用于访问网络资源的 PIN。有关详细信息,请参阅 The Secure Access Using Smart Cards Planning Guide (
https://go.microsoft.com/fwlink/?LinkId=94218 )(可能为英文网页)。 - 如果用户可以使用所有这些凭据,并且用户在连接到 RD 网关服务器时已指定保存其凭据,将按照下列顺序使用凭据:
- 保存的凭据
- 本地登录凭据
- 用户提供的其他密码或智能卡凭据
其他参考
- 有关如何使用组策略为 RD 网关配置受支持的 Windows 身份验证方法的信息,请参阅设置远程桌面网关服务器身份验证方法。
- 有关如何使用远程桌面网关管理器配置受支持的 Windows 身份验证方法的信息,请参阅创建 RD CAP。
- 有关如何使用远程桌面网关管理器配置用户组和客户端计算机组的成员身份要求的信息,请参阅创建 RD CAP。
- 管理远程桌面连接授权策略 (RD CAP)