Windows Server 2008 R2: Die Vorteile der Authentifizierung auf Netzwerkebene
Mithilfe der Authentifizierung auf Netzwerkebene (NLA), anstelle der älteren Terminaldienste-Methode, ist schneller und sicherer.
Kristin Griffin
Verschieben von Windows Server 2003-Terminaldienste in Windows Server 2008 R2 Remote Desktop Services ist ein recht häufiges Aktualisierungspfad geworden. Menschen dieses Upgrade vornehmen, werden Sie oft hören sie Fragen sich, warum die Benutzerführung Verbindung zwischen den beiden Versionen so verschieden ist.
Beim Herstellen einer Verbindung mit einem Terminalserver 2003 startet ein Benutzer eine Sitzung und Typen in ihre Anmeldeinformationen. Wenn Sie einen Remotedesktop-Sitzungshost-Server verwenden, tritt ein Benutzer in der Regel Anmeldeinformationen in eine Client-seitige-Dialogfeld. In der Standardeinstellung Verbindung keine Clients, die eine Technologie namens Authentifizierung auf Netzwerkebene (NLA) unterstützen keine. Warum der Unterschied? Es gibt Gründe, warum Microsoft-Authentifizierung auf Netzwerkebene eingeführt, und Gründe, warum es in der Tat eine gute Sache ist.
Was ist NLA?
NLA erzwingt den Clientcomputer vorhanden Benutzeranmeldeinformationen für die Authentifizierung, bevor der Server Sitzung für diesen Benutzer erstellen wird. Durch diesen Prozess wird es manchmal genannt, "Authentifizierung des vorderen." Server, auf denen Windows Server 2008/Vista oder höher, und Clients Ausführen von Windows XP SP3 oder höher, unterstützen NLA. Da NLA auf eine Technologie namens Credential Security Support Provider (CredSSP) Protokoll, beruht Wenn Sie einen Client Remote Desktop Protocol (RDP) für ein anderes OS verwenden, müssen Sie ihre Entwickler bitten, wenn es NLA unterstützt.
Also, warum Anmeldeinformationen vor der Sitzung Schöpfung präsentiert eine gute Sache? Es gibt zwei primäre Vorteile für nicht erstellen einer Sitzung bis Sie sicher sind, dass die Person versucht, eine Verbindung autorisiert ist, dies zu tun: Es bietet eine Schicht der Verteidigung gegen Denial of Service (DoS) Angriffe und es beschleunigt den Investitionsstandorten Prozess.
Starten einer Sitzung — auch nur präsentiert einen Anmelde-Bildschirm — benötigt der Server zu viele Prozesse erforderlich, um eine Sitzung, z. B. Csrss.exe und Winlogon.exe unterstützen erstellen. Aus diesem Grund ist Sitzung Erstellung teuer und relativ zeitaufwändig. Wenn eine Anzahl von nicht autorisierten Benutzern zum Herstellen einer Verbindung mit einer Sitzungs zur gleichen Zeit versucht, könnte sie möglicherweise blockiert andere von diesen Server verwenden, weil es Sitzungen akzeptieren diese falsche Anmeldeinformationen erstellt.
Das Leistungsproblem ist wichtiger. In Windows Server 2003 wurden Betriebe relativ selten. Beginnend mit Windows Server 2008, wurde auf dem Bauernhof häufiger. Denken Sie daran, dass jeder Server in einer Host für Remotedesktopsitzungen-Serverfarm möglicherweise einen Redirector ist. Wenn der Server mit dem Host eine gesamte Sitzung vor der Umleitung einer Verbindungsanforderung an den RD-Verbindungsbroker erstellen muss, verlangsamt dies das Verbindungszeit.
NLA verwendet CredSSP die Anmeldeinformationen des Benutzers an dem Server für die Authentifizierung vor dem Erstellen einer Sitzungs zu präsentieren. Dabei vermeidet beide dieser Probleme. Mit CredSSP hat andere Vorteile sowie. CredSSP verringern die Anzahl der Anmeldungen, die ein Benutzer durch Speichern von Anmeldeinformationen für eine bestimmte Verbindung vornehmen muss.
Das erste Mal, wenn ein Benutzer auf einen neuen Server, Virtual Machine (VM) oder sogar einen anderen PC, müssen sie ihre Anmeldeinformationen bereitstellen. Jedoch müssen sie auch die Möglichkeit, sie zu retten. Wenn sie dies tun, müssen sie nicht wieder geben von Anmeldeinformationen für diese Verbindung, bis sie ihr Kennwort ändern.
Wie CredSSP unterstützt NLA
Das Protokoll CredSSP hilft Anwendungen sicher Benutzeranmeldeinformationen von einem Client an einen Zielserver delegieren. Dieses Protokoll legt zunächst einen verschlüsselten Kanal zwischen dem Client und dem Zielserver mit Transport Layer Security (TLS) (gemäß [RFC2246]).
Wenn Sie auf einem Host für Remotedesktopsitzungen-Server mit einem RDC 6.x oder späteren Client verbinden, vielleicht haben Sie bemerkt, dass Sie direkt mit dem Remotedesktop-Sitzungshost Server Anmeldebildschirm Ihre Anmeldeinformationen eingeben verbinden nicht. Stattdessen erscheint eine lokale Dialogfeld zu Ihrer Anmeldeinformationen auf dem Client. Dieses Dialogfeld ist das vordere Ende des CredSSP.
Wenn Sie Ihre Anmeldeinformationen in diesem Dialogfeld eingeben, auch wenn Sie nicht wählen, um sie zu speichern, gehen sie zu CredSSP. Diese dann übergibt die Anmeldeinformationen an dem Host für Remotedesktopsitzungen-Server über einen sicheren Kanal. Der Host für Remotedesktopsitzungen-Server wird nur beginnen den Aufbau einer Benutzersitzung, sobald es diese Anmeldeinformationen akzeptiert.
Clients, die Unterstützung von CredSSP und RDP 6.x und später werden immer verwenden NLA, wenn es verfügbar ist. Da CredSSP (die Technologie, die NLA unterstützt) Teil des Betriebssystems und nicht Teil des RDP ist, muss der Client OS CredSSP für NLA arbeiten unterstützen.
Zwar es einen RDC 6.0-Client für Windows XP SP2 verfügbar gibt, lassen nicht dies daher, Windows XP SP2 NLA verwenden. Clients unter Windows XP SP3, unterstützen Windows Vista und Windows 7 CredSSP. RDC wird auch Sie sagen, wenn es NLA im Info-Bildschirm unterstützt. Um dies zu sehen, klicken Sie auf das Symbol in der oberen linken Ecke des der RDC, und wählen Sie über. Dies wird angegeben, ob es NLA unterstützt.
Windows XP SP3 unterstützt CredSSP, aber nicht es standardmäßig aktiviert. Um es zu aktivieren, veröffentlicht Microsoft einen Knowledge Base-Artikel mit einem Fix It für mich link. Der Artikel erläutert auch, wie CredSSP manuell aktivieren. Sobald Sie CredSSP aktivieren, starten Sie den Computer.
Wenn Ihre Client-Computer bis zu richtig eingestellt ist nicht unterstützen Sie NLA Sie eine Meldung erhalten, wenn Sie, eine Remoteverbindung mit einem Computer versuchen erforderlich, die NLA. Beispielsweise, wenn der Client Windows XP SP3 CredSSP aktiviert hat, erhalten dieser Fehler Sie wenn Sie eine remote-Verbindung zu einem Remotedesktop-Sitzungshost-Server versuchen, die NLA erforderlich: "Der remote-Computer erfordert Authentifizierung auf Netzwerkebene, die Ihren Computer nicht unterstützt."
Wie man die Verwendung der NLA erzwingen
Host für Remotedesktopsitzungen-Server erfordern nicht standardmäßig NLA. Sie können konfigurieren sie Verbindungen nur von Computern zulassen, die NLA, entweder mithilfe von Gruppenrichtlinien oder auf einer pro-Server-Basis von Konfiguration des Host für Remotedesktopsitzungen RD unterstützen.
Öffnen Sie NLA benötigen für die Verbindung mit dem Host für Remotedesktopsitzungen-Server auf einer pro-Server-Basis, RD Konfiguration des Host für Remotedesktopsitzungen. Doppelklicken Sie auf RDP-Tcp (im Abschnitt "Verbindungen") und wählen Sie auf der Registerkarte Allgemein das Kontrollkästchen neben ermöglichen Verbindungen nur von Computern ausführen Remotedesktop mit Authentifizierung auf Netzwerkebene. Dies verhindert, dass Clients, die nicht NLA unterstützen (nämlich jeder Client unter RDC Version 6.x und Betriebssystemunabhängig nicht unterstützen CredSSP) eine Verbindung mit dem Server herstellen.
NLA über Gruppenrichtlinien aktivieren, aktivieren Sie die folgende Richtlinie und der Hostserver für Remotedesktopsitzungen OU zuweisen: Computerkonfiguration | Richtlinien | Administrative Vorlagen | Windows-Komponenten | Remotedesktopdienste | Remote Desktop Session-Host | Sicherheit | Benutzerauthentifizierung für Remoteverbindungen mithilfe der Authentifizierung auf Netzwerkebene erforderlich.
Deaktivieren oder nicht konfigurieren diese Politik bedeutet, dass NLA nicht erforderlich ist.
VDI-Anforderungen
Für virtuelle desktop-Infrastruktur (VDI)-Bereitstellungen können Sie auch einschränken, Windows Vista und Windows 7 Verbindungsanforderungen nur von Clients annehmen werden, die NLA unterstützen. Gehen Sie zu Systemsteuerung | System | Remoteeinstellungen. Wählen Sie aus der Registerkarte Remote im Dialogfeld Systemeigenschaften die Option ermöglichen Verbindungen nur von Computern ausführen Remote Desktop mit Authentifizierung auf Netzwerkebene (sicherer).
Dies sollte erklären, warum die NLA auf den Host für Remotedesktopsitzungen-Servern und VDI VMs eine gute Idee ist. Sie sollten verstehen, wie NLA auf Ihren Servern und VDI VMs benötigen und wie Sie Ihren Client-Computern unterstützen NLA setup.
Zertifikate, sind während nur kurz erwähnt ein so wichtiger Teil jeder RDS-Bereitstellung. Und das ist nicht nur für NLA, sondern auch mithilfe von RD-Gateway, Web Access für Remotedesktop und sogar RD-Verbindungsbroker Server-Authentifizierung. Das nächste Mal werde ich mehr in Zertifikatanforderungen für RDS-Bereitstellungen eintauchen.
.jpg)
Kristin Griffinist ein Remote Desktop Services MVP. Sie moderiert ein Microsoft-Forum gewidmet zu helfen, die Server-basierten computing Gemeinschaft (Remote Desktop Services) und führt eine RDS-Blog unter blog.kristinlgriffin.com. Sie leistet einen Beitrag zur Mark Minasi "Mastering Windows Server 2008" (Sybex, 2008) und "Mastering Windows Server 2008 R2" (Sybex, 2010). Mit Christa Anderson zusammen sie auch "Microsoft Windows Server 2008 Terminal Services Resource Kit" (Microsoft Press, 2008) und "Microsoft Windows Server 2008 R2 Remote Desktop Services Resource Kit" (Microsoft Press, 2010).
NLA q & a
F: Ich bin mit Windows XP SP3. Ich habe CredSSP aktiviert, aber ich still ankommen den folgenden Fehler beim Verbinden mit einem RD-Sitzungshostserver eine NLA erfordert: "Ein Authentifizierungsfehler ist aufgetreten."
A. Es ist ein Hotfix, das dieses Problem behoben wird, auf mein Blog.
Dieser Fehler tritt auch unter diesen besonderen Umständen mit diesen Faktoren vorhanden:
- Der Client läuft Windows XP SP3 mit CredSSP aktiviert.
- Sie haben den Server für ein echtes SSL-Zertifikat verwenden, um sich selbst zu identifizieren konfiguriert (es ist nicht unter Verwendung das automatisch generierten Zertifikat, das in der Standardeinstellung ist).
- Der Client Vertrauen nicht das CA-Zertifikat verwendet, um das SSL-Zertifikat auf dem Server verwendete signieren.
Da NLA einen sicheren Kanal, erfordert über die es erhält Anmeldeinformationen, und es kann nicht diesen Tunnel erstellt, wenn es nicht das Zertifikat vertraut, funktioniert NLA nicht. Um dieses Problem zu beheben, sicherzustellen Sie, dass der XP-Clientcomputer das Zertifikat verwendet, um den Host für Remotedesktopsitzungen-Server SSL-Zertifikat in den Zertifikatspeicher Vertrauenswürdige Stammzertifizierungsstellen installiert Signieren Ordner gespeichert hat.
Hinweis: Diese Fehler kann leicht variieren von RDC 6.x auf RDC 7.0. Wenn Sie RDC 7.0 installieren, können Sie diese Fehlermeldung sehen: "Die Verbindung wurde beendet da eine unerwartete Serverauthentifizierungszertifikat vom Remotecomputer empfangen wurde."