Nachdem der Routing- und RAS-Dienst (RRAS) installiert wurde, müssen Sie die Benutzer angeben, die Verbindungen mit dem RRAS-Server herstellen dürfen. Die RRAS-Autorisierung wird durch die Einwähleigenschaften für das Benutzerkonto, durch die Netzwerkrichtlinien oder durch beides bestimmt.

Sie müssen keine Benutzerkonten ausschließlich für RAS-Benutzer erstellen. Für RRAS-Server können vorhandene Benutzerkonten in den Benutzerkontendatenbanken verwendet werden. Sowohl unter Lokale Benutzer und Gruppen als auch unter Active Directory-Benutzer und -Computer ist für Benutzerkonten die Registerkarte Einwählen vorhanden, auf der Sie RAS-Berechtigungen konfigurieren können. Für eine große Anzahl an Benutzern empfiehlt es sich, Netzwerkrichtlinien auf einem Server mit Netzwerkrichtlinienserver (Network Policy Server, NPS) zu konfigurieren. Weitere Informationen (möglicherweise in englischer Sprache) finden Sie unter Netzwerkrichtlinienserver (https://go.microsoft.com/fwlink/?linkid=139764).

Sicherheit vor dem Verbindungsaufbau

In den folgenden Schritten wird beschrieben, was während eines Verbindungsversuchs von einem RAS-Client mit einem RRAS-Server passiert, der für die Verwendung der Windows-Authentifizierung konfiguriert ist:

  1. Ein RAS-Client versucht, eine Verbindung mit einem RRAS-Server herzustellen.

  2. Der Server sendet eine Abfrage an den Client.

  3. Der Client sendet eine verschlüsselte Antwort an den Server, die einen Benutzernamen, einen Domänennamen und ein Kennwort umfasst.

  4. Der Server überprüft die Antwort mithilfe der Benutzerkontendatenbank.

  5. Wenn das Konto gültig ist und die Anmeldeinformationen für die Authentifizierung korrekt sind, verwendet der Server die Einwähleigenschaften des Benutzerkontos und die Netzwerkrichtlinien, um die Verbindung zu autorisieren.

Wenn es sich bei der Verbindung um eine Einwählverbindung handelt und die Rückruffunktion aktiviert ist, trennt der Server die Verbindung. Anschließend ruft er den Client zurück und setzt den Aushandlungsprozess für die Verbindung fort.

Hinweis
  • In Schritt 2 und 3 wird vorausgesetzt, dass der RAS-Client und der RRAS-Server MS-CHAP v2 (Microsoft Challenge Handshake Authentication-Protokoll, Version 2) oder CHAP (Challenge Handshake Authentication-Protokoll) verwenden. Bei anderen Authentifizierungsprotokollen variiert das Senden der Clientanmeldeinformationen.
  • Wenn der RRAS-Server Mitglied einer Domäne ist und die Benutzerantwort keinen Domänennamen enthält, wird standardmäßig der Domänenname des RRAS-Servers verwendet. Wenn Sie einen anderen Domänennamen als den des RRAS-Servers verwenden möchten, legen Sie den folgenden Registrierungswert auf den Namen der gewünschten Domäne fest:
  • HKEY_LOCAL_MACHINE\System\CurrentControlSet\Services\RasMan\PPP\ControlProtocols\BuiltIn\DefaultDomain
Vorsicht

Durch fehlerhaftes Bearbeiten der Registrierung können ernsthafte Systemschäden verursacht werden. Bevor Sie Änderungen an der Registrierung vornehmen, sollten Sie eine Sicherungskopie aller wichtigen Daten auf dem Computer erstellen.

Sicherheit nach dem Verbindungsaufbau

Mithilfe der Anmeldeinformationen für den Remotezugriff wird nur der Kommunikationskanal zum Zielnetzwerk bereitgestellt. Der Aufbau einer RAS-Verbindung bedeutet nicht, dass sich der Client beim Netzwerk anmeldet. Jedes Mal, wenn der Client versucht, auf eine Netzwerkressource zuzugreifen, werden die Anmeldeinformationen abgefragt. Wenn er als Antwort auf die Abfrage keine richtigen Anmeldeinformationen sendet, führt der Zugriffsversuch zu einem Fehler. Unter Windows gibt es nun ein Feature, mit dem der Remotezugriff vereinfacht wird. Unter Windows Vista®, Windows® 7, Windows Server® 2008 und Windows Server® 2008 R2 werden die Anmeldeinformationen nach einem erfolgreichen Verbindungsaufbau für die Dauer der RAS-Verbindung auf den RAS-Clients als Standardanmeldeinformationen zwischengespeichert. Wenn eine Netzwerkressource eine Abfrage an den RAS-Client sendet, werden die zwischengespeicherten Anmeldeinformationen vom Client bereitgestellt, sodass der Benutzer diese nicht erneut eingeben muss.

Weitere Verweise

Inhaltsverzeichnis