Windows Server 2008 R2：为什么要使用网络级别身份验证？

使用网络级身份验证 (NLA)，而不较旧的终端服务方法，是更快、 更安全。Kristin Griffin从Windows Server 2003 终端服务移动到 Windows Server 2008 R2 远程桌面服务已成为一个相当普遍的升级路径。像人此升级，你经常会听到他们不知道为什么这两个版本之间的用户连接体验如此不同。连接到一台 2003年终端服务器时，用户在其凭据启动会话和类型。使用RD 会话主机服务器时，用户通常到客户端的对话框中输入凭据。默认情况下，客户端不支持调用网络级身份验证 (NLA) 技术无法连接。为什么差异？有为什么微软推出网络级身份验证，原因和理由，为什么它的确是一件好事。NLA 是什么？NLA 部队到目前用户凭据进行身份验证的客户端计算机之前，服务器将创建一个为该用户的会话。这一进程，因为它有时称为"前的身份验证"。服务器运行的 Windows Server 2008/Vista 或更高版本，并在客户端运行 Windows XP SP3 或以后，支持 NLA。NLA 依赖技术称为凭据安全支持提供程序 （CredSSP） 的协议，如果您使用另一个 *** 作系统的远程桌面协议 (RDP) 客户端，因为你要问其开发人员，是否它支持 NLA。所以为什么提交凭据，然后会话创建这样的好事吗？有两个主要好处不创建会话之前你一定尝试连接该人有权这样做：它提供了一层防御拒绝服务 (DoS) 攻击，它加快了经纪的过程。启动会话 —— 甚至只显示登录屏幕 —— 需要服务器创建的许多支持会话，如 Csrssexe 和 Winlogonexe 所需的过程。为此，会话创建非常昂贵且相对耗时。如果大量的未经授权的用户尝试连接到一个会话在同一时间，他们可能能阻止其他人使用该服务器，因为它创建会话接受这些虚假的登录凭据。更关键的性能问题。在Windows Server 2003，相对较少的农场。Windows Server 2008 的开头，农场变得更为常见。记住每个会话主机 RD 场中的服务器可能是重定向器。如果主机服务器必须创建整个会话之前将连接请求重定向到该路连接经纪，这会减慢连接的时间。NLA 使用 CredSSP 来向服务器进行身份验证创建会话之前的用户凭据。这一进程可以避免这些问题。使用CredSSP 有其他好处。CredSSP 可以减少用户必须通过存储特定连接的凭据登录次数。第一次的用户连接到新的服务器、 虚拟机 (VM) 或甚至另一台 PC，他们需要提供其凭据。不过，他们也要保存他们的选项。如果他们这样做，他们不需要直到他们更改自己的密码再次提供这方面的凭据。如何支持 CredSSP NLACredSSP 协议帮助应用程序安全地将从客户端的用户凭据委托到目标服务器。本议定书首先确立了在客户端与目标服务器 （如指定的 [RFC2246]） 使用传输层安全性 (TLS) 加密的通道。当您连接到 RD 会话主机服务器 RDC 6x 版或更高版本的客户端时，您可能已经注意你不直接连接路会话主机服务器登录屏幕，提供您的凭据。相反，一个地方的对话框d出采取在客户端上的您的凭据。此对话框是 CredSSP 的前端。即使您没有选择将它们保存到此对话框中，键入您的凭据，当他们去 CredSSP。然后将凭据传递给 RD 会话主机服务器，通过安全通道。RD 会话主机服务器只将开始建设一旦接受了这些凭据的用户会话。客户端支持 CredSSP 和 RDP 6x 和稍后将始终使用 NLA，如果可用的话。CredSSP （技术支持 NLA） 是 *** 作系统的一部分，而不是的 RDP 的一部分，因为客户端 *** 作系统必须支持 NLA 工作为 CredSSP。因此，虽然有 RDC 60 客户端可用的 Windows XP SP2，这不让使用 NLA 的 Windows XP SP2。运行Windows XP SP3 的客户端，Windows Vista 和 Windows 7 都支持 CredSSP。此外，RDC 会告诉你是否它支持 NLA 在关于屏幕。若要看到这种情况，单击左上角的 RDC 的电脑图标，选择关于。这将指示是否支持 NLA。Windows XP SP3 支持 CredSSP，但不一定在默认情况下启用它。若要启用它，微软发布了一篇知识库文章，与修复它我链接。本文还介绍如何手动启用 CredSSP。一旦启用了 CredSSP，重新启动计算机。如果您的客户端计算机不正确设置最多支持的 NLA 你会得到一条消息，所以当您尝试远程连接到计算机时，需要在 NLA 说。例如，如果您的 Windows XP SP3 客户端没有启用 CredSSP，会出现此错误，当您尝试远程连接到所需 NLA RD 会话主机服务器："远程计算机需要网络级身份验证您的计算机不支持"。如何强制使用 NLA默认情况下，路会话主机服务器不需要 NLA。您可以配置他们允许仅从支持 NLA，通过组策略或从 RD 会话主机配置每个服务器基础上的计算机的连接。用于连接到每台服务器上的 RD 会话主机服务器要求 NLA，打开 RD 会话主机配置。（在连接部分中） 下双击 Rdp-tcp），然后在常规选项卡上选择允许连接只从计算机运行远程桌面网络级身份验证与旁边的复选框。这将阻止任何客户端不支持 NLA (即任何客户端运行在版本 6 之前的 RDC。x和任何 *** 作系统不支持 CredSSP） 连接到服务器。要启用 NLA 通过组策略，启用以下策略，并将其应用到 OU RD 会话主机服务器：计算机配置 |政策 |管理模板 |Windows 组件 |远程桌面服务 |远程桌面会话主机 |安全 |通过使用网络级别的身份验证要求进行远程连接的用户身份验证。如果禁用或未配置此策略意味着 NLA 并不需要。VDI 请求对于虚拟桌面基础设施 (VDI) 部署，还可以限制 Windows Vista 和 Windows 7，接受只支持 NLA 客户端的连接请求。转到控制面板 |系统 |远程设置。从系统属性对话框中的远程选项卡，选择允许连接只从计算机运行远程桌面的网络级身份验证 （更安全） 的选项。这应解释为什么 RD 会话主机服务器上的启用 NLA 和 VDI 虚拟机是一个好主意。您应该了解如何在您的服务器和 VDI 虚拟机上要求 NLA 以及如何设置 NLA 支持的客户端计算机。证书，虽然只是简单地说，提到的是必不可少的任何 RDS 部署。这不只是为了 NLA，而且服务器身份验证，使用路网关路 Web 访问、 甚至路连接经纪人。下次我会深入到 RDS 部署证书要求的更多。Kristin Griffin远程桌面服务 MVP。她温和派微软论坛致力于帮助基于服务器的计算社区 （远程桌面服务） 和维护在 blogkristinlgriffincom RDS 博客。她是贡献者马克米纳西的"掌控 Windows Server 2008"（Sybex，2008年） 和"掌握 Windows Server 2008 R2"（Sybex，2010年）。她还与塔 · 安德森合著的"Microsoft Windows Server 2008 终端服务资源工具包"（微软出版社，2008年） 和"Microsoft Windows Server 2008 R2 远程桌面服务资源工具包"（微软出版社，2010年）。NLA 问答Q。我正在 Windows XP SP3。我启用了 CredSSP，但仍然出现以下错误时连接到需要 NLA RD 会话主机服务器："已发生验证错误"。答： 有用于解决此问题的修复程序 我的博客。在此特定的情况下，这些因素的存在，也会发生此错误：与CredSSP 启用 Windows XP SP3 运行客户端。配置要使用一个真正的 SSL 证书来标识自己的服务器 （它不使用自动生成的证书，即在默认情况下的地方）。客户端不信任用于签署服务器上使用 SSL 证书的 CA 证书。由于NLA 要求安全通道，它接收凭据，和它无法创建此隧道，如果它不信任的证书，NLA 不起作用。要解决此问题，请确保 XP 客户端计算机有用于签署 RD 会话主机服务器的 SSL 证书安装在其计算机受信任的根证书颁发机构证书的证书存储区的文件夹。Novex此特定的错误会稍有变化从 RDC 6x RDC 70。如果您安装 RDC 70，您可能会看到此错误消息："连接已被终止因为从远程计算机收到意外的服务器身份验证证书。相关的内容如何扩展您的应用程序和数据的 to…到处 ！桌面文件：了解 RDP虚拟化：使用路网关

Windows 身份验证 和 SQL Server身份验证 。
主要集中在信任连接和非信任连接。
windows 身份验证相对于混合模式更加安全，使用本连接模式时候，sql不判断sa密码，而仅根据用户的windows权限来进行身份验证，我们称为“信任连接”，但是在远程连接的时候会因NTML验证的缘故，无法登陆。
混合模式验证就比较既当本地用户访问sql时候采用windows身份验证建立信任连接，当远程用户访问时由于未通过windows认证，而进行sql server认证（使用sa的用户也可以登录sql），建立“非信任连接”，从而使得远程用户也可以登录。
更加直接一些就是windows身份验证，不验证sa密码，如果windows登录密码不正确，无法访问sql，混合模式既可以使用windows身份验证登录，有可以在远程使用sa密码登录。
准确来说，混合身份验证模式，也就是基于Windows
身份验证和SQL Server身份混合验证。在这个模式中，系统会判断账号在Windows *** 作系统
下是否可信，对于可信连接，系统直接采用Windows身份验证机制，而非可信连接，这个连接
不仅包括远程用户还包括本地用户，SQL Server 会自动通过账户的存在性和密码的匹配
性来进行验证。比如当SQL Server实例在Windows 98上运行时，必须使用混合模式，因为在
Windows 98上不支持Windows身份验证模式。

您好！

SSL证书是一种数字证书，主要是给予网站>

网站实现加密传输

用户通过>

网站安装SSL证书后，使用>

认证服务器真实身份

钓鱼欺诈网站泛滥，用户如何识别网站是钓鱼网站。

网站部署全球信任的SSL证书后，浏览器内置安全机制，实时查验证书状态，通过浏览器向用户展示网站认证信息，让用户轻松识别网站真实身份，防止钓鱼网站仿冒。

此外，证书显示的信息包含完整的公司信息。此类证书通过256位SSL加密来保障在线交易安全，能使你的用户和访问者明白他们与你网站的信息传输是采用先进的SSL加密技术，有赔付保障。

EV SSL证书内容

浏览器显示绿色地址栏，绿色“锁”型安全标志，超强的256位加密保护，以及公司的名称和证书颁发该证机构名称。

在网站使用>

提高网站搜索排名

通过百度公告的颁布，明确指出搜索引擎在排名上，会优先对待采用>

提高网站访问速度

通过>

提高公司品牌形象和可信度

部署了SSL证书的网站会在浏览器地址栏中显示>SSL证书是数字证书(数字证书包括：SSL证书、客户端证书、代码签名证书等)的一种，因为配置在服务器上也称为服务器SSL证书。SSL证书就是遵守SSL协议，由受信任的数字证书颁发机构CA(如：沃通CA)在验证服务器身份后颁发的一种数字证书。

身份验证模式为混合模式。
身份验证方式的设置方法：1、打开窗口，选择查看已注册的服务器命令，打开已注册的服务器窗口；
2、依次展开数据库引擎和本地服务器组节点，查看当前已注册的服务器，右键单击服务器名称，在d出的快捷菜单中选择属性命令，打开编辑服务器注册属性窗口；
3、在常规选项卡中的服务器名称下拉列表中选择或输入需要设置的服务器名称，在身份验证下拉表中选择身份验证方式，如果选择“sql server身份验证”还必须输入登录名和相应的密码；
4、单击测试按钮，验证设置是否正确；
5、测试正确无误后，单击保存按钮，即可完成身份验证方式的设置。

如果您在使用计算机或手机等设备连接到某个网站时出现了“无法验证服务器身份”的提示，这可能是因为：
1 证书过期或不受信任。一些网站需要使用安全套接字层（SSL）证书来证明其身份，并加密与客户端之间的通信。如果证书已经过期或被撤销，或者由于其他原因未能得到浏览器的信任，那么您将会看到此类警告。
2 中间人攻击。黑客可以利用中间人攻击技术，在客户端和服务器之间拦截通信，并冒充服务器向客户端发送虚假的证书。这种攻击方式可以导致客户端无法验证服务器的身份，从而导致此类错误信息的出现。
3 客户端时间不正确。如果您的计算机或手机时间与实际时间相差太远，可能会导致无法验证服务器身份的错误。这是因为证书具有有效期限，如果当前时间不在其有效期内，将导致此类错误的发生。
如果遇到这种问题，您应该先确保您使用的浏览器或客户端软件是最新版本，并尝试清除浏览器缓存和 cookie。如果问题仍然存在，您可以尝试手动安装服务器证书或联系网站管理员进行协助。同时，请注意确保您连接的网络是安全可靠的，避免自己成为中间人攻击的受害者。

---