Windows Server 2008 R2:為什麼使用網路層級驗證?
使用網路級身份驗證 (NLA),而不較舊的終端服務方法,是更快、 更安全。
Kristin Griffin
從 Windows Server 2003 終端服務移動到 Windows Server 2008 R2 遠端桌面服務已成為一個相當普遍的升級路徑。 像人此升級,你經常會聽到他們不知道為什麼這兩個版本之間的使用者連接體驗如此不同。
連接到一台 2003年終端伺服器時,使用者在其憑據啟動會話和類型。 使用 RD 工作階段主機伺服器時,使用者通常到用戶端的對話方塊中輸入憑據。 預設情況下,用戶端不支援調用網路級身份驗證 (NLA) 技術無法連接。 為什麼差異? 有為什麼微軟推出網路級身份驗證,原因和理由,為什麼它的確是一件好事。
NLA 是什麼?
NLA 部隊到目前使用者憑據進行身份驗證的用戶端電腦之前,伺服器將創建一個為該使用者的會話。 這一進程,因為它有時稱為"前的身份驗證"。伺服器運行的 Windows Server 2008/Vista 或更高版本,並在用戶端運行 Windows XP SP3 或以後,支援 NLA。 NLA 依賴技術稱為憑據安全支援提供程式 (CredSSP) 的協定,如果您使用另一個作業系統的遠端桌面協定 (RDP) 用戶端,因為你要問其開發人員,是否它支援 NLA。
所以為什麼提交憑據,然後會話創建這樣的好事嗎? 有兩個主要好處不創建會話之前你一定嘗試連接該人有權這樣做:它提供了一層防禦拒絕服務 (DoS) 攻擊,它加快了經紀的過程。
啟動會話 — — 甚至只顯示登錄螢幕 — — 需要伺服器創建的許多支援會話,如 Csrss.exe 和 Winlogon.exe 所需的過程。 為此,會話創建非常昂貴且相對耗時。 如果大量的未經授權的使用者嘗試連接到一個會話在同一時間,他們可能能阻止其他人使用該伺服器,因為它創建會話接受這些虛假的登錄憑據。
更關鍵的性能問題。 在 Windows Server 2003,相對較少的農場。 Windows Server 2008 的開頭,農場變得更為常見。 記住每個工作階段主機 RD 場中的伺服器可能是重定向器。 如果主機伺服器必須創建整個會話之前將連接請求重定向到該路連接經紀,這會減慢連接的時間。
NLA 使用 CredSSP 來向伺服器進行身份驗證創建會話之前的使用者憑據。 這一進程可以避免這些問題。 使用 CredSSP 有其他好處。 CredSSP 可以減少使用者必須通過存儲特定連接的憑據登錄次數。
第一次的使用者連接到新的伺服器、 虛擬機器 (VM) 或甚至另一台 PC,他們需要提供其憑據。 不過,他們也要保存他們的選項。 如果他們這樣做,他們不需要直到他們更改自己的密碼再次提供這方面的憑據。
如何支援 CredSSP NLA
CredSSP 協定輔助應用程式安全地將從用戶端的使用者憑據委託到目標伺服器。 本議定書首先確立了在用戶端與目標伺服器 (如指定的 [RFC2246]) 使用傳輸層安全性 (TLS) 加密的通道。
當您連接到 RD 工作階段主機伺服器 RDC 6.x 版或更高版本的用戶端時,您可能已經注意你不直接連接路工作階段主機伺服器登錄螢幕,提供您的憑據。 相反,一個地方的對話方塊彈出採取在用戶端上的您的憑據。 此對話方塊是 CredSSP 的前端。
即使您沒有選擇將它們保存到此對話方塊中,鍵入您的憑據,當他們去 CredSSP。 然後將憑據傳遞給 RD 工作階段主機伺服器,通過秘密頻道。 RD 工作階段主機伺服器只將開始建設一旦接受了這些憑據的使用者會話。
用戶端支援 CredSSP 和 RDP 6.x 和稍後將始終使用 NLA,如果可用的話。 CredSSP (技術支援 NLA) 是作業系統的一部分,而不是的 RDP 的一部分,因為用戶端作業系統必須支援 NLA 工作為 CredSSP。
因此,雖然有 RDC 6.0 用戶端可用的 Windows XP SP2,這不讓使用 NLA 的 Windows XP SP2。 運行 Windows XP SP3 的用戶端,Windows Vista 和 Windows 7 都支援 CredSSP。 此外,RDC 會告訴你是否它支援 NLA 在關於螢幕。 若要看到這種情況,按一下左上角的 RDC 的電腦圖示,選擇關於。 這將指示是否支援 NLA。
Windows XP SP3 支援 CredSSP,但不一定在預設情況下啟用它。 若要啟用它,微軟發佈了一篇知識庫文章,與修復它我連結。 本文還介紹如何手動啟用 CredSSP。 一旦啟用了 CredSSP,重新開機電腦。
如果您的用戶端電腦不正確設置最多支援的 NLA 你會得到一條消息,所以當您嘗試遠端連接到電腦時,需要在 NLA 說。 例如,如果您的 Windows XP SP3 用戶端沒有啟用 CredSSP,會出現此錯誤,當您嘗試遠端連接到所需 NLA RD 工作階段主機伺服器:"遠端電腦需要網路級身份驗證您的電腦不支援"。
如何強制使用 NLA
預設情況下,路工作階段主機伺服器不需要 NLA。 您可以配置他們允許僅從支援 NLA,通過群組原則或從 RD 工作階段主機配置每個伺服器基礎上的電腦的連接。
用於連接到每台伺服器上的 RD 工作階段主機伺服器要求 NLA,打開 RD 工作階段主機配置。 (在連接部分中) 下按兩下 Rdp-tcp),然後在常規選項卡上選擇允許連接只從電腦運行遠端桌面網路級身份驗證與旁邊的核取方塊。 這將阻止任何用戶端不支援 NLA (即任何用戶端運行在版本 6 之前的 RDC。x和任何作業系統不支援 CredSSP) 連接到伺服器。
要啟用 NLA 通過群組原則,啟用以下策略,並將其應用到 OU RD 工作階段主機伺服器:電腦配置 |政策 |管理範本 |Windows 元件 |遠端桌面服務 |遠端桌面工作階段主機 |安全 |通過使用網路級別的身份驗證要求進行遠端連接的使用者身份驗證。
如果禁用或未配置此策略意味著 NLA 並不需要。
VDI 請求
對於虛擬桌面基礎設施 (VDI) 部署,還可以限制 Windows Vista 和 Windows 7,接受只支援 NLA 用戶端的連接請求。 轉到控制台 |系統 |遠端設置。 從系統屬性對話方塊中的遠端選項卡,選擇允許連接只從電腦運行遠端桌面的網路級身份驗證 (更安全) 的選項。
這應解釋為什麼 RD 工作階段主機伺服器上的啟用 NLA 和 VDI 虛擬機器是一個好主意。 您應該瞭解如何在您的伺服器和 VDI 虛擬機器上要求 NLA 以及如何設置 NLA 支援的用戶端電腦。
證書,雖然只是簡單地說,提到的是必不可少的任何 RDS 部署。 這不只是為了 NLA,而且伺服器身份驗證,使用路閘道路 Web 訪問、 甚至路連接經紀人。 下次我會深入到 RDS 部署證書要求的更多。
Kristin Griffin遠端桌面服務 MVP。 她溫和派微軟論壇致力於説明基於伺服器的計算社區 (遠端桌面服務) 和維護在 blog.kristinlgriffin.com RDS 博客。 她是貢獻者馬克米納西的"掌控 Windows Server 2008"(Sybex,2008年) 和"掌握 Windows Server 2008 R2"(Sybex,2010年)。 她還與塔 · 安德森合著的"Microsoft Windows Server 2008 終端服務資源工具包"(微軟出版社,2008年) 和"Microsoft Windows Server 2008 R2 遠端桌面服務資源工具包"(微軟出版社,2010年)。
NLA 問答
**Q。**我正在 Windows XP SP3。 我啟用了 CredSSP,但仍然出現以下錯誤時連接到需要 NLA RD 工作階段主機伺服器:"已發生驗證錯誤"。
答: 有用於解決此問題的修復程式 我的博客。
在此特定的情況下,這些因素的存在,也會發生此錯誤:
- 與 CredSSP 啟用 Windows XP SP3 運行用戶端。
- 配置要使用一個真正的 SSL 證書來標識自己的伺服器 (它不使用自動生成的證書,即在預設情況下的地方)。
- 用戶端不信任用於簽署伺服器上使用 SSL 證書的 CA 證書。
由於 NLA 要求秘密頻道,它接收憑據,和它無法創建此隧道,如果它不信任的證書,NLA 不起作用。 要解決此問題,請確保 XP 用戶端電腦有用於簽署 RD 工作階段主機伺服器的 SSL 證書安裝在其電腦受信任的根憑證授權證書的憑證存放區區的資料夾。
注意:此特定的錯誤會稍有變化從 RDC 6.x RDC 7.0。 如果您安裝 RDC 7.0,您可能會看到此錯誤消息:"連接已被終止因為從遠端電腦收到意外的伺服器身份驗證證書。