После установки службы маршрутизации и удаленного доступа (RRAS) следует задать пользователей, которым разрешено подключение к серверу RRAS. Проверка подлинности RRAS определяется свойствами удаленного доступа в учетной записи пользователя или политиках сети.

Нет необходимости создавать учетные записи специально для пользователей удаленного доступа. Серверами RRAS могут использоваться существующие учетные записи пользователей из базы данных. В учетных записях «Локальные пользователи и группы» и «Active Directory - пользователи и компьютеры» доступна вкладка Входящие звонки, на которой можно настроить разрешения удаленного доступа. При большом числе пользователей рекомендуется настроить политики сети на сервере политики сети (NPS). Дополнительные сведения см. на веб-странице Сервер политики сети (страница может быть на английском языке) (http://go.microsoft.com/fwlink/?linkid=139764).

Безопасность до подключения

Ниже описываются события, происходящие при попытке подключения клиента удаленного доступа к серверу RRAS, на котором используется проверка подлинности Windows:

  1. Клиент удаленного доступа предпринимает попытку подключения к серверу RRAS.

  2. Сервер отправляет клиенту вызов.

  3. Клиент отправляет серверу зашифрованный ответ, состоящий из имени пользователя, доменного имени и пароля.

  4. Сервер проверяет ответ с использованием подходящей базы данных учетных записей пользователей.

  5. Если учетная запись действительна и учетные данные для проверки подлинности указаны правильно, сервер использует свойства удаленного доступа учетной записи пользователя и политик сети для авторизации подключения.

Если подключение является подключением удаленного доступа и включена функция ответного вызова, сервер разрывает подключение, выполняет ответный вызов клиента и продолжает процесс согласования подключения.

Примечания
  • На этапах 2 и 3 подразумевается, что клиент удаленного доступа и сервер RRAS используют протокол MS-CHAP v2 или CHAP. Для других протоколов проверки подлинности процесс отправки учетных данных клиента может быть иным.
  • Если сервер RRAS является членом домена, а ответ пользователя не содержит доменное имя, по умолчанию используется доменное имя сервера RRAS. Чтобы использовать доменное имя, отличное от доменного имени сервера RRAS, задайте на клиенте удаленного доступа соответствующее имя в следующем разделе реестра:
  • HKEY_LOCAL_MACHINE\System\CurrentControlSet\Services\RasMan\PPP\ControlProtocols\BuiltIn\DefaultDomain
Внимание!

Ошибка при изменении реестра может серьезно повредить систему. Перед внесением изменений следует сделать резервную копию всех важных данных на компьютере.

Безопасность после подключения

Учетные данные, используемые для удаленного доступа, предназначены только для установления канала подключения к целевой сети. В результате установления подключения удаленного доступа не выполняется вход клиента в сеть. При попытке клиента получить доступ к сетевому ресурсу будут запрашиваться учетные данные. Если в ответ на вызов не предоставляются действительные учетные данные, доступ к ресурсу не предоставляется. В ОС Windows предусматривается возможность упрощенного удаленного доступа. После успешного подключения учетные данные клиентов удаленного доступа под управлением Windows Vista®, Windows® 7, Windows Server® 2008 или Windows Server® 2008 R2 кэшируются как учетные данные по умолчанию на период действия подключения удаленного доступа. В ответ на вызов сетевого ресурса клиент удаленного доступа предоставляет кэшированные учетные данные, не требуя от пользователя их повторного ввода.

Дополнительные источники информации

  • Удаленный доступ к сети
  • Назначение IP-адресов