Windows Server 2008 R2: Perché utilizzare Autenticazione a livello di rete?
L'utilizzo di autenticazione a livello di rete (NLA), anziché il vecchio metodo di servizi terminal, è più veloce e più sicuro.
Kristin Griffin
Lo spostamento da servizi Terminal di Windows Server 2003 a Windows Server 2008 R2 Remote Desktop Services è diventato un percorso di aggiornamento abbastanza comune. Come persone rendono questo aggiornamento, si sente spesso li chiedendo perché l'esperienza di connessione utente tra le due versioni è così diverso.
Quando si collega a un Server Terminal 2003, un utente inizia una sessione e tipi nelle loro credenziali. Quando si utilizza un server Host sessione Desktop remoto, un utente entra in genere le credenziali in una dialogo sul lato client. Per impostazione predefinita, i client che non supportano una tecnologia chiamata autenticazione a livello di rete (NLA) non possono connettersi. Perché la differenza? Ci sono ragioni perché Microsoft ha introdotto l'autenticazione a livello di rete e ragioni perché è davvero una buona cosa.
Che cosa È NLA?
NLA forze al computer client di presenti credenziali utente per l'autenticazione prima che il server creerà una sessione per quell'utente. A causa di quel processo, viene talvolta chiamato "anteriore autenticazione." Server che eseguono Windows Server 2008/Vista o versioni successive, e i client che eseguono Windows XP SP3 o più tardi, supporto NLA. Poiché NLA si basa su una tecnologia chiamata Credential Security Support Provider (CredSSP) protocollo, se stai usando un client Remote Desktop Protocol (RDP) per un altro sistema operativo, sarà necessario chiedere il suo sviluppatore se supporta NLA.
Allora perché presenta credenziali prima creazione di sessione una buona cosa? Ci sono due principali vantaggi a non creare una sessione fino a quando non si è sicuri che la persona che tenta di connettersi è autorizzata a farlo: esso offre un livello di difesa contro attacchi Denial of Service (DoS) e si accelera il processo di intermediazione.
Avvio di una sessione — anche solo presentando una schermata di accesso — richiede al server di creare molti dei processi necessari per supportare una sessione, ad esempio CSRSS e Winlogon. exe. A causa di questo, la creazione di sessione è costoso e tempi relativamente lunghi. Se un numero di utenti non autorizzati tentato di connettersi a una sessione allo stesso tempo, potrebbe potenzialmente bloccano gli altri dall'utilizzo di tale server perché è creato sessioni di accettare tali credenziali di accesso falsa.
Il problema di prestazioni è più critico. In Windows Server 2003, fattorie erano relativamente rari. A partire da Windows Server 2008, fattorie divennero più comuni. Ricordate che ogni server in una fattoria di Host sessione Desktop remoto è potenzialmente un redirector. Se il server host deve creare un'intera sessione prima di reindirizzare una richiesta di connessione per il gestore di connessione desktop remoto, questo rallenta il tempo di connessione.
NLA utilizza CredSSP per presentare le credenziali dell'utente al server per l'autenticazione prima di creare una sessione. Questo processo evita entrambi questi problemi. L'utilizzo di CredSSP ha altri benefici pure. CredSSP può ridurre il numero di accessi, che un utente deve rendere archiviando le credenziali per una particolare connessione.
La prima volta che un utente si connette a un nuovo server, virtual machine (VM) o anche un altro PC, avrete bisogno di fornire le proprie credenziali. Tuttavia, avranno anche la possibilità di salvarli. Se lo fanno, non hanno bisogno fornire credenziali nuovamente per tale connessione fino a cambiare la propria password.
Come CredSSP supporta NLA
Il protocollo CredSSP aiuta applicazioni in modo sicuro delegare le credenziali dell'utente da un client a un server di destinazione. Questo protocollo stabilisce innanzitutto un canale crittografato tra il client e il server di destinazione utilizzando Transport Layer Security (TLS) (come specificato in [RFC2246]).
Quando si connette a un server Host sessione Desktop remoto con un RDC 6. x o successive client, forse avete notato che è non collegare direttamente alla schermata di accesso del server Host sessione Desktop remoto per fornire le proprie credenziali. Invece, una finestra di dialogo locale si apre a prendere le vostre credenziali sul client. Questa finestra di dialogo è il front-end di CredSSP.
Quando si digitano le vostre credenziali in questa finestra di dialogo, anche se non si sceglie per salvarli, vanno a CredSSP. Questo allora passa le credenziali al server Host sessione Desktop remoto tramite un canale sicuro. Il server Host sessione Desktop remoto inizierà solo costruendo una sessione utente, una volta accetta tali credenziali.
I client che supportano CredSSP e RDP 6. x e più tardi saranno sempre utilizzare NLA se è disponibile. Perché CredSSP (la tecnologia che supporta NLA) fa parte del sistema operativo e non fa parte di RDP, il client OS deve supportare CredSSP per NLA a lavorare.
Pertanto, anche se c'è un client RDC 6.0 disponibile per Windows XP SP2, questo non lascia Windows XP SP2 utilizzare NLA. Client che eseguono Windows XP SP3, Windows Vista e Windows 7 tutti supportano CredSSP. Inoltre, RDC vi dirà se supporta NLA nella schermata About. Per vedere questo, fare clic sull'icona nell'angolo superiore sinistro della RDC Computer e scegliere circa. Questo indicherà se supporta NLA.
Windows XP SP3 supporta CredSSP, ma non ce l'ha attivata per impostazione predefinita. Per attivarlo, Microsoft ha rilasciato un articolo della knowledge base con un Difficoltà E per Me ' link. L'articolo spiega anche come abilitare CredSSP manualmente. Una volta che si attiva CredSSP, riavviare il computer.
Se la vostra macchina client non è impostato correttamente fino a supportare NLA si otterrà un messaggio che dice così quando si tenta di una connessione remota a una macchina che richiede NLA. Ad esempio, se il client di Windows XP SP3 non ha CredSSP abilitato, otterrete questo errore quando si tenta di una connessione remota a un server Host sessione Desktop remoto che richiedevano NLA: "Il computer remoto richiede autenticazione a livello di rete, che il computer non supporta".
Come forzare l'utilizzo di NLA
Server Host sessione Desktop non richiedono NLA per impostazione predefinita. È possibile configurare li per consentire connessioni solo dai computer che supportano NLA, tramite criteri di gruppo o su una base per server da configurazione Host sessione di RD.
Per richiedere NLA per connettersi al server in base al server Host sessione Desktop remoto, aprire configurazione Host sessione di RD. Fare doppio clic su RDP-Tcp (sotto la sezione connessioni) e nella scheda Generale selezionare la casella di controllo accanto a consentire connessioni solo da computer che eseguono Desktop remoto con autenticazione a livello di rete. Questo consentirà di evitare qualsiasi client che non supportano NLA (vale a dire, qualsiasi client che eseguono RDC precedenti alla versione 6.x e qualsiasi sistema operativo non supporta CredSSP) di connettersi al server.
Per abilitare NLA tramite criteri di gruppo, attivare la seguente politica e applicarlo al server Host sessione Desktop remoto OU: Configurazione computer | Politiche | Modelli amministrativi | Componenti di Windows | Servizi Desktop remoto | Host sessione Desktop remoto | Sicurezza | Richiedono l'autenticazione dell'utente per le connessioni Remote utilizzando l'autenticazione di livello di rete.
Disattivazione o configurazione di questa politica non significa che NLA non è obbligatorio.
Richieste di VDI
Per le distribuzioni di virtual desktop infrastructure (VDI), è possibile limitare Windows Vista e Windows 7 ad accettare le richieste di connessione solo da client che supportano NLA. Vai al pannello di controllo | Sistema | Impostazioni remote. Dalla scheda della finestra di dialogo Proprietà del sistema remota, selezionare l'opzione per consentire connessioni solo da computer che eseguono Desktop con rete livello autenticazione remota (più Secure).
Questo dovrebbe spiegare perché l'abilitazione NLA sui server Host sessione Desktop remoto e VDI VMs è una buona idea. È necessario comprendere come richiedono NLA sul vostro server e VDI VMs e come configurare i computer client per supportare NLA.
Certificati, mentre menzionato solo brevemente, sono una parte essenziale di qualsiasi distribuzione di RDS. E che non è solo per NLA, ma anche l'autenticazione Server, utilizzando Gateway Desktop remoto, accesso Web e persino RD Connection Broker. La prossima volta sarò approfondire maggiormente in requisiti dei certificati per le distribuzioni di RDS.
.jpg)
Kristin Griffinè un MVP per Servizi Desktop remoto. Lei moderati un forum Microsoft dedicato ad aiutare la comunità informatica basata su server (servizi di Desktop remoto) e mantiene un blog RDS a blog.kristinlgriffin.com. Lei è un collaboratore "Mastering Windows Server 2008" di Mark Minasi (Sybex, 2008) e "Mastering Windows Server 2008 R2" (Sybex, 2010). Lei anche coautore di "Microsoft Windows Server 2008 Terminal Services Resource Kit" (Microsoft Press, 2008) e "Microsoft Windows Server 2008 R2 Remote Desktop Services Resource Kit" (Microsoft Press, 2010) con Christa Anderson.
NLA q & a
D. Sono in esecuzione Windows XP SP3. Ho abilitato per CredSSP, ma ancora ottengo il seguente errore durante la connessione a un server Host sessione Desktop remoto che richiede NLA: "Un errore di autenticazione has occurred."
R. C'è un hotfix che risolve questo problema su mio blog.
Questo errore si verifica anche in questa circostanza specifica con questi fattori presenti:
- Il client è in esecuzione Windows XP SP3 con CredSSP abilitato.
- Hai configurato il server da utilizzare un certificato SSL reale per identificare se stesso (è non utilizzando il certificato generato automaticamente che è nel posto per impostazione predefinita).
- Il client non fiducia il certificato della CA utilizzato per firmare il certificato SSL utilizzato sul server.
Perché NLA richiede un canale sicuro sui quali riceve le credenziali, e non è possibile creare questo tunnel se esso non attendibile il certificato, NLA non funzionerà. Per risolvere il problema, assicurarsi che la macchina client XP ha il certificato utilizzato per firmare il certificato SSL del server Host sessione Desktop remoto, installato nel suo certificato di autorità di certificazione principale attendibili del computer archivio cartella.
Nota: Questo errore specifico possa variare leggermente da RDC 6. x 7.0 RDC. Se si installa RDC 7.0, si potrebbe vedere questo messaggio di errore: "La connessione è stata terminata perché un certificato di autenticazione server inaspettato è stato ricevuto dal computer remoto."