Windows szerver 2018 r2 miért kell használni hitelesítési hálózati szinten
A használata hitelesítés a hálózat szintjén, hanem a Terminal Services lehetővé teszi, hogy gyorsítsa fel a munkát, és hogy biztonságosabb.
Kristin Griffin
Mi NLA
Tehát mi olyan jó, hogy a hitelesítő adatokat, hogy hozzon létre egy munkamenet? Két előnye van a teremtés az ülés csak akkor ellenőrzi, hogy a felhasználó pontosan azt állítja: ez lehetővé teszi, hogy hozzon létre egy további védelmi szintet elleni DoS-támadások, hanem felgyorsítja a folyamatot közvetítés.
Amikor létrehoz egy munkamenet, akár csak megjelenik a bejelentkező képernyő, akkor kell létrehozni, sok kiszolgáló folyamat támogatásához szükséges egy ilyen találkozón, mint a Csrss.exe és Winlogon.exe. Emiatt létrehozását a munkamenet drága és hosszú időt vesz igénybe működését. Ha több a jogosulatlan felhasználók megpróbál csatlakozni a munkamenet egyidejűleg, akkor blokkolja a mások jogszerűen regisztrált felhasználónak, a képesség, hogy hozzon létre ülés.
Az NLA használ CredSSP, hogy képviselje a hitelesítő szerver hitelesítéshez létrehozása előtt ülés. Ez az eljárás mellőzi mindkét problémára. Az általunk használt CredSSP más előnyei is vannak. CredSSP csökkenti a bemeneti által végrehajtott műveletek a felhasználó által tárolására számviteli adatkapcsolatot.
Amikor először csatlakozik az új szerver, virtuális gép, vagy akár egy másik számítógép-felhasználók be kell nyújtaniuk az adatait. Ugyanakkor, még egy esélyt, hogy megmentse őket. Ebben az esetben a kapcsolat nem kell a hitelesítő adatok ismételt, amíg meg nem változtatja meg a jelszót.
Hogyan CredSSP támogatja NLA
CredSSP protokoll lehetővé teszi az alkalmazások biztonságosan átruházza a felhasználói hitelesítő adatokat az ügyfél a cél kiszolgáló. Ez a protokoll először létrehoz egy titkosított csatornán a kliens és a szerver segítségével a TLS protokoll (Transport Layer Security) (a specifikáció szerint RFC2246).
Lehet, hogy észrevette, hogy amikor egy kliens csatlakozik RDC 6.x vagy újabb a RD Session Host kiszolgálón az RD nyújtó hitelesítő nem csatlakozik közvetlenül a RD Session Host bejelentkező képernyő Remote Desktop. Ehelyett egy párbeszédablak, hogy adja meg az adatait a kliens megnyílik. Ez az „arc» CredSSP párbeszéd.
Ha belép hitelesítő ebben az ablakban, ha úgy dönt, hogy nem menti őket, mennek CredSSP. Ezután a hitelesítő adatokat továbbítják a fogadó szerver közti kapcsolatokat RD biztonságos csatornán. Ez a szerver létrehoz egy felhasználói munkamenet, csak megkapta az adatokat.
Támogató kliensek CredSSP és RDP 6.x és újabb, mindig használja a NLA, ha ez a protokoll áll rendelkezésre. Mivel CredSSP (a technológia, amely NLA) része az operációs rendszer, sem az RDP protokoll normál NLA kliens operációs rendszernek támogatnia kell CredSSP.
Ezért, bár a Windows XP SP2 és az RDC 6.0 kliens, a használata NLA az OS lehetetlen. Az ügyfelek a Windows XP SP3, Windows Vista és Windows 7 támogatása CredSSP. Ezen túlmenően, az ablak About (Névjegy), amely összeköti az ablakon a távoli asztali jelzik, hogy NLA támogatott. Az ablak megnyitásához, az ablakban, hogy csatlakozni a távoli asztalon kattintson a bal felső sarokban a számítógép ikon, és válassza A (Kb). Az ablak, amely jelzi, hogy a hitelesítés támogatott hálózati szinten.
Ha a kliens gépen nincs megfelelően beállítva, hogy támogassa a NLA, akkor megjelenik egy üzenet jelenik meg, távolról csatlakozni a gép, amely előírja, hogy támogassa NLA. Például, ha az ügyfél a Windows XP SP3 nem tartalmazza a CredSSP, amikor megpróbál csatlakozni a RD Session Host kiszolgáló Remote Desktop, amely előírja, hogy az NLA, akkor a következő hibaüzenet jelenik meg: «A távoli számítógép igényel hálózati szintű hitelesítés, amely a számítógép nem támogatás »(a távoli számítógép hitelesítést igényel hálózati szinten, hogy a számítógép nem támogatja).
Hogyan lehet biztosítani a kötelező használatát NLA
Alapértelmezésben a RD Session Host szerverek, Remote Desktop nem igényel NLA. De be lehet állítani, hogy támogassa a csatlakozást csak a számítógépek, amelyek támogatják NLA - csoport politikai eszközöket, vagy adott számítógépek csomópont a RD Session konfiguráció.
Megkövetelni NLA csatlakozzon a RD Session Host kiszolgáló, a Remote Desktop Session Host, nyissa meg a konfigurációs ablak Remote Desktop. Kattintson duplán az RDP-TCP-t (a kapcsolatok szakasz), valamint az Általános lapon jelölje be kapcsolódásának engedélyezése csak futtató számítógépek Remote Desktop Network Level Authentication (kapcsolódásának engedélyezése csak futtató számítógépek Remote Desktop Network Level Authentication). Ez nem teszi lehetővé a felhasználók is kapcsolódni a szerverhez, és nem támogatja a NLA (vagyis az ügyfelek RDC-esnél korábbi 6.x és az OS nem támogatja CredSSP).
Annak érdekében, hogy NLA csoport politikai eszközöket, többek között a következő politikai és alkalmazza azt az egységet, amely a RD Session Host kiszolgáló Remote Desktop: Számítógép konfigurációja / házirend / Felügyeleti sablonok / Windows-összetevők / Remote Desktop Services / Remote Desktop Session Host / Biztonság / amelyekhez felhasználói azonosítást a távoli kapcsolatok használata hálózati szintű hitelesítés (számítógép konfigurációja / házirend / Felügyeleti sablonok / Windows-összetevők / Remote Desktop Services / RD Session Host távoli asztali / Biztonság / megkövetelése felhasználói hitelesítést a távoli kapcsolatok Bizonyítsuk RCT hálózati szintű hitelesítés).
Ha letiltja vagy nem állítja ezt a politikát támogatják NLA nem lesz szükség.
VDI-lekérdezések
A desktop virtualizációs környezetek (VDI) lehet, hogy a Windows Vista és a Windows 7, hogy elfogadja a csatlakozást csak az ügyfelek, amelyek támogatják NLA. Válassza ki az applet Vezérlőpult / Rendszer / Remote Settings (Vezérlőpult / Rendszer / Távoli beállítások). A Távoli (Remote Access) rendszer tulajdonságai ablakban jelöljük be a csatlakozást csak a futtató számítógépek Remote Desktop hálózati szintű hitelesítés (biztonságosabb) [kapcsolódásának engedélyezése csak futtató számítógépek Remote Desktop Network Level Authentication (biztonságosabb)].
Ez a cikk elmagyarázza, hogy miért olyan fontos az NLA szerverek Session Host Távoli asztal és asztali virtualizációs környezetben. Meg kell érteni, hogy az igénylő NLA használhat szerverek és a virtuális gépek VDI környezetben, valamint, hogy hogyan állítsa be a számítógépeket, hogy támogassa NLA.
Gyakran Ismételt Kérdések a NLA
Kérdés Van egy számítógép Windows XP SP3. Már tartalmazza az CredSSP, de ha megpróbál csatlakozni a RD Session Host kiszolgáló Remote Desktop, amely előírja, hogy az NLA, hibaüzenetet kapok: «Egy hitelesítési hiba történt» (Egy hitelesítési hiba).
Válaszul a blogomban egy fix, hogy ezt a problémát.
Ez a hiba akkor fordul elő az alábbi feltételekkel:
- A kliens Windows XP SP3, és ez lehetővé tette CredSSP.
- Beállította a szervert, hogy egy igazi SSL-tanúsítvány azonosító (nem pedig automatikusan generált tanúsítványt, amely elérhető az alapértelmezés).
- Az ügyfél nem abban a CA aláírta az SSL-tanúsítvány.
NLA elengedhetetlen a biztonságos csatornán keresztül, amelyet kap adatait, de nem tud létrehozni egy alagút, ha nem bízik a tanúsítványt. Ezért NLA nem fog működni. A helyzet orvoslása érdekében szükséges annak biztosítása, hogy a kliens gépen Windows XP aláírásához használt tanúsítvány az SSL-tanúsítvány a RD Session Host kiszolgáló Remote Desktop került a boltban Megbízható legfelső szintű hitelesítésszolgáltató tanúsítványokat (Megbízható legfelső szintű hitelesítésszolgáltatók).
Megjegyzés különböző változatai - az RDC 6.x az RDC 7.0 - hibaszövegével más. Az RDC 7.0, akkor a következő üzenet jelenik: «A kapcsolat megszakadt, mert egy váratlan szerver hitelesítési tanúsítványt kapott a távoli számítógép» (A kapcsolat megszakadt, mert a hitelesítési szerver érkezett kéretlen vizsgálati bizonyítvány egy távoli számítógép).