使用网络级身份验证 (NLA),而不较旧的终端服务方法,是更快、 更安全。Kristin Griffin从Windows Server 2003 终端服务移动到 Windows Server 2008 R2 远程桌面服务已成为一个相当普遍的升级路径。像人此升级,你经常会听到他们不知道为什么这两个版本之间的用户连接体验如此不同。连接到一台 2003年终端服务器时,用户在其凭据启动会话和类型。使用RD 会话主机服务器时,用户通常到客户端的对话框中输入凭据。默认情况下,客户端不支持调用网络级身份验证 (NLA) 技术无法连接。为什么差异?有为什么微软推出网络级身份验证,原因和理由,为什么它的确是一件好事。NLA 是什么?NLA 部队到目前用户凭据进行身份验证的客户端计算机之前,服务器将创建一个为该用户的会话。这一进程,因为它有时称为"前的身份验证"。服务器运行的 Windows Server 2008/Vista 或更高版本,并在客户端运行 Windows XP SP3 或以后,支持 NLA。NLA 依赖技术称为凭据安全支持提供程序 (CredSSP) 的协议,如果您使用另一个操作系统的远程桌面协议 (RDP) 客户端,因为你要问其开发人员,是否它支持 NLA。所以为什么提交凭据,然后会话创建这样的好事吗?有两个主要好处不创建会话之前你一定尝试连接该人有权这样做:它提供了一层防御拒绝服务 (DoS) 攻击,它加快了经纪的过程。启动会话 —— 甚至只显示登录屏幕 —— 需要服务器创建的许多支持会话,如 Csrss.exe 和 Winlogon.exe 所需的过程。为此,会话创建非常昂贵且相对耗时。如果大量的未经授权的用户尝试连接到一个会话在同一时间,他们可能能阻止其他人使用该服务器,因为它创建会话接受这些虚假的登录凭据。更关键的性能问题。在Windows Server 2003,相对较少的农场。Windows Server 2008 的开头,农场变得更为常见。记住每个会话主机 RD 场中的服务器可能是重定向器。如果主机服务器必须创建整个会话之前将连接请求重定向到该路连接经纪,这会减慢连接的时间。NLA 使用 CredSSP 来向服务器进行身份验证创建会话之前的用户凭据。这一进程可以避免这些问题。使用CredSSP 有其他好处。CredSSP 可以减少用户必须通过存储特定连接的凭据登录次数。第一次的用户连接到新的服务器、 虚拟机 (VM) 或甚至另一台 PC,他们需要提供其凭据。不过,他们也要保存他们的选项。如果他们这样做,他们不需要直到他们更改自己的密码再次提供这方面的凭据。如何支持 CredSSP NLACredSSP 协议帮助应用程序安全地将从客户端的用户凭据委托到目标服务器。本议定书首先确立了在客户端与目标服务器 (如指定的 [RFC2246]) 使用传输层安全性 (TLS) 加密的通道。当您连接到 RD 会话主机服务器 RDC 6.x 版或更高版本的客户端时,您可能已经注意你不直接连接路会话主机服务器登录屏幕,提供您的凭据。相反,一个地方的对话框弹出采取在客户端上的您的凭据。此对话框是 CredSSP 的前端。即使您没有选择将它们保存到此对话框中,键入您的凭据,当他们去 CredSSP。然后将凭据传递给 RD 会话主机服务器,通过安全通道。RD 会话主机服务器只将开始建设一旦接受了这些凭据的用户会话。客户端支持 CredSSP 和 RDP 6.x 和稍后将始终使用 NLA,如果可用的话。CredSSP (技术支持 NLA) 是操作系统的一部分,而不是的 RDP 的一部分,因为客户端操作系统必须支持 NLA 工作为 CredSSP。因此,虽然有 RDC 6.0 客户端可用的 Windows XP SP2,这不让使用 NLA 的 Windows XP SP2。运行Windows XP SP3 的客户端,Windows Vista 和 Windows 7 都支持 CredSSP。此外,RDC 会告诉你是否它支持 NLA 在关于屏幕。若要看到这种情况,单击左上角的 RDC 的电脑图标,选择关于。这将指示是否支持 NLA。Windows XP SP3 支持 CredSSP,但不一定在默认情况下启用它。若要启用它,微软发布了一篇知识库文章,与修复它我链接。本文还介绍如何手动启用 CredSSP。一旦启用了 CredSSP,重新启动计算机。如果您的客户端计算机不正确设置最多支持的 NLA 你会得到一条消息,所以当您尝试远程连接到计算机时,需要在 NLA 说。例如,如果您的 Windows XP SP3 客户端没有启用 CredSSP,会出现此错误,当您尝试远程连接到所需 NLA RD 会话主机服务器:"远程计算机需要网络级身份验证您的计算机不支持"。如何强制使用 NLA默认情况下,路会话主机服务器不需要 NLA。您可以配置他们允许仅从支持 NLA,通过组策略或从 RD 会话主机配置每个服务器基础上的计算机的连接。用于连接到每台服务器上的 RD 会话主机服务器要求 NLA,打开 RD 会话主机配置。(在连接部分中) 下双击 Rdp-tcp),然后在常规选项卡上选择允许连接只从计算机运行远程桌面网络级身份验证与旁边的复选框。这将阻止任何客户端不支持 NLA (即任何客户端运行在版本 6 之前的 RDC。x和任何操作系统不支持 CredSSP) 连接到服务器。要启用 NLA 通过组策略,启用以下策略,并将其应用到 OU RD 会话主机服务器:计算机配置 |政策 |管理模板 |Windows 组件 |远程桌面服务 |远程桌面会话主机 |安全 |通过使用网络级别的身份验证要求进行远程连接的用户身份验证。如果禁用或未配置此策略意味着 NLA 并不需要。VDI 请求对于虚拟桌面基础设施 (VDI) 部署,还可以限制 Windows Vista 和 Windows 7,接受只支持 NLA 客户端的连接请求。转到控制面板 |系统 |远程设置。从系统属性对话框中的远程选项卡,选择允许连接只从计算机运行远程桌面的网络级身份验证 (更安全) 的选项。这应解释为什么 RD 会话主机服务器上的启用 NLA 和 VDI 虚拟机是一个好主意。您应该了解如何在您的服务器和 VDI 虚拟机上要求 NLA 以及如何设置 NLA 支持的客户端计算机。证书,虽然只是简单地说,提到的是必不可少的任何 RDS 部署。这不只是为了 NLA,而且服务器身份验证,使用路网关路 Web 访问、 甚至路连接经纪人。下次我会深入到 RDS 部署证书要求的更多。Kristin Griffin远程桌面服务 MVP。她温和派微软论坛致力于帮助基于服务器的计算社区 (远程桌面服务) 和维护在 blog.kristinlgriffin.com RDS 博客。她是贡献者马克米纳西的"掌控 Windows Server 2008"(Sybex,2008年) 和"掌握 Windows Server 2008 R2"(Sybex,2010年)。她还与塔 · 安德森合著的"Microsoft Windows Server 2008 终端服务资源工具包"(微软出版社,2008年) 和"Microsoft Windows Server 2008 R2 远程桌面服务资源工具包"(微软出版社,2010年)。NLA 问答Q。我正在 Windows XP SP3。我启用了 CredSSP,但仍然出现以下错误时连接到需要 NLA RD 会话主机服务器:"已发生验证错误"。答: 有用于解决此问题的修复程序 我的博客。在此特定的情况下,这些因素的存在,也会发生此错误:与CredSSP 启用 Windows XP SP3 运行客户端。配置要使用一个真正的 SSL 证书来标识自己的服务器 (它不使用自动生成的证书,即在默认情况下的地方)。客户端不信任用于签署服务器上使用 SSL 证书的 CA 证书。由于NLA 要求安全通道,它接收凭据,和它无法创建此隧道,如果它不信任的证书,NLA 不起作用。要解决此问题,请确保 XP 客户端计算机有用于签署 RD 会话主机服务器的 SSL 证书安装在其计算机受信任的根证书颁发机构证书的证书存储区的文件夹。Novex此特定的错误会稍有变化从 RDC 6.x RDC 7.0。如果您安装 RDC 7.0,您可能会看到此错误消息:"连接已被终止因为从远程计算机收到意外的服务器身份验证证书。相关的内容如何扩展您的应用程序和数据的 to…到处 !桌面文件:了解 RDP虚拟化:使用路网关