pokud si chcete přečíst další část v této sérii článků, přejděte na konfiguraci brány terminálových služeb Windows Server 2008 (Část 2)
správci zabezpečení společnosti Microsoft byli vždy trochu opatrní při publikování terminálových serverů na internetu. A z dobrého důvodu-neexistovala možnost předběžného ověření připojení nebo použití zásad k určení, kteří uživatelé mají přístup ke kterým terminálovým serverům. Nedostatek předběžné autentizace byl obzvláště obtížným problémem. Bez předběžné autentizace by anonymní uživatelé mohli využít své anonymní připojení k ohrožení zveřejněného terminálového serveru. Ohrožený terminálový Server je možná nejnebezpečnějším možným zneužitím proti vaší síti, protože útočník má přístup k plnému operačnímu systému, aby mohl zahájit své útoky.
Windows Server 2008 poskytuje řešení tohoto bezpečnostního problému: brána terminálových služeb. Pomocí brány terminálových služeb můžete uživatele předem ověřit a řídit, k jakým terminálovým serverům mají uživatelé přístup, na základě pověření a Zásad. To vám dává jemnozrnný kontrolu, kterou potřebujete, aby se ujistili, že máte bezpečný vzdálený přístup RDP řešení.
v této dvoudílné sérii o tom, jak dát dohromady řešení brány pracovních terminálových služeb, použijeme laboratorní síť, kterou vidíte na obrázku níže. Šipky ukazují tok komunikace z externího klienta RDP na terminálový Server.
Obrázek 1
každý ze serverů v tomto scénáři používá Windows Server 2008 Enterprise Edition.
v tomto příkladu sítě používám Server Windows Server 2008 Nat jako svou internetovou bránu. Dalo by se použít jakýkoli jiný jednoduchý NAT zařízení nebo filtrování paketů router, jako PIX, nebo dokonce pokročilý firewall, jako je Microsoft ISA Firewall. Možnost konfigurace klíče je, že předáte připojení TCP portu 443 k počítači Terminal Service Gateway.
řadič domény má nainstalované služby DNS, DHCP, certifikátů v režimu Enterprise CA a WINS.
terminálový Server má nainstalován pouze základní operační systém. V průběhu této série článků nainstalujeme další služby.
brána TS má nainstalován pouze základní operační systém. V průběhu této série článků nainstalujeme další služby.
v této sérii článků popíšu následující procesy a postupy, které je třeba provést, aby bylo možné spustit základní řešení:
- instalace terminálových služeb a terminálových služeb licencování na terminálovém serveru
- konfigurace terminálových služeb licencování
- instalace Desktop Experience na terminálovém serveru (volitelné)
- konfigurace licenčního režimu terminálových služeb
- instalace služby terminálových služeb Gateway
- požádejte o certifikát pro bránu terminálových služeb
- Konfigurace brány terminálových služeb pro použití certifikátu
- vytvořit bránu terminálových služeb rap
- vytvořit Terminal Services Gateway CAP
- nakonfigurujte klienta RDP tak, aby používal Terminal Services Gateway
nainstalujte Terminal Services a Terminal Services Licensing na terminálovém serveru
prvním krokem je instalace terminálových služeb do počítače Terminal Services.
pro instalaci licencí terminálových služeb a terminálových služeb proveďte následující kroky:
- v počítači terminálového serveru otevřete Správce Serveru. Ve Správci serverů klikněte na uzel role v levém podokně konzoly.
- klikněte na odkaz Přidat role v pravém podokně konzoly.
Obrázek 2
- klikněte na další na stránce před zahájením.
- na stránce Vybrat role serveru zaškrtněte políčko Terminálové služby. Klikněte Na Další.
obrázek 3
- klikněte na další na stránce Terminálové služby.
- na stránce Vybrat služby rolí zaškrtněte políčka Terminal Server a TS Licensing. Klikněte Na Další.
obrázek 4
- klepněte na tlačítko Další na stránce odinstalovat a znovu nainstalovat aplikaci pro kompatibilitu.
- na stránce specifikovat metodu ověřování pro terminálový Server vyberte možnost vyžadovat ověření na úrovni sítě. Tuto možnost můžeme vybrat v našem aktuálním scénáři, protože k připojení k terminálovému serveru prostřednictvím brány TS používáme pouze klienty Vista SP1. Tuto možnost bychom nemohli použít, pokud bychom potřebovali podporovat klienty Windows XP SP2. Měli byste však být schopni podporovat ověřování na úrovni sítě pomocí systému Windows XP SP3. Nicméně, ještě jsem to nepotvrdil, takže nezapomeňte zkontrolovat poznámky k vydání systému Windows XP SP3, když bude vydán později v tomto roce. Klikněte Na Další.
obrázek 5
- na stránce zadat režim licencování vyberte možnost konfigurovat později. Nyní bychom mohli vybrat možnost, ale rozhodl jsem se, že bychom měli vybrat konfigurovat později, abych vám mohl ukázat, kde v konzole Terminal Services nakonfigurujete režim licencování. Klikněte Na Další.
obrázek 6
- na stránce Select Use Groups povolený přístup na tuto stránku terminálového serveru použijte výchozí možnosti. Můžete přidat nebo odebrat skupiny, pokud chcete jemnější vyladěné řízení přístupu přes terminálový Server. Pokud však všichni vaši uživatelé budou procházet bránou terminálových služeb, můžete určit, kdo se může připojit k terminálovému serveru pomocí nastavení zásad brány TS. Ponechte výchozí nastavení tak, jak jsou, a klikněte na další.
Obrázek 7
- na stránce Konfigurace rozsahu zjišťování pro licencování TS vyberte možnost tato doména. Tuto možnost vybereme v tomto scénáři, protože máme pouze jednu doménu. Pokud máte doménu s více doménami, můžete zvážit výběr možnosti les. Klikněte Na Další.
Obrázek 8
- na stránce potvrdit výběr instalace zkontrolujte varovné informace, které naznačují, že možná budete muset přeinstalovat aplikace, které již byly na tomto počítači nainstalovány, pokud chcete, aby správně fungovaly v prostředí relace terminálových služeb. Všimněte si také, že IE Vylepšená konfigurace zabezpečení bude vypnuta. Klikněte Na Instalovat.
obrázek 9
- na stránce s výsledky instalace se zobrazí varování, že pro dokončení instalace musíte restartovat server. Klikněte Na Zavřít.
obrázek 10
- klepněte na tlačítko Ano V dialogovém okně Průvodce přidáním rolí, které se zeptá, zda chcete restartovat server.
- přihlaste se jako správce. Instalace bude pokračovat několik minut, jakmile se po zobrazení Správce Serveru zobrazí stránka průběhu instalace.
- po zobrazení zprávy o úspěšné instalaci klikněte na Zavřít na stránce s výsledky instalace.
obrázek 11
- můžete vidět balón, který vám říká, že režim licencování terminálových služeb není nakonfigurován. Toto varování můžete odmítnout, protože dále nakonfigurujeme licencování terminálových služeb a poté nakonfigurujeme licenční režim na terminálovém serveru.
Obrázek 12
konfigurace licencování terminálových služeb
v okamžiku, kdy jsme připraveni nakonfigurovat licencování terminálových služeb. V tomto příkladu použiji nějaká fiktivní data, která nesplňují skutečné požadavky na licencování klientských připojení terminálových služeb, ale poskytnou příklad toho, jak proces funguje. Nepoužívejte prosím stejný postup, který zde zobrazuji, abyste licencovali své klienty terminálových služeb, protože nebudete splňovat skutečné licenční požadavky.
pro aktivaci licenčního serveru terminálových služeb proveďte následující kroky:
- v nabídce Nástroje pro správu klikněte na nabídku Terminálové služby a poté na Správce licencí TS.
- v konzole správce licencí TS klikněte pravým tlačítkem myši na název serveru v levém podokně konzoly. Klikněte na Aktivovat Server.
obrázek 13
- klikněte na další na uvítací stránce Průvodce aktivací serveru.
- na stránce metoda připojení vyberte možnost Automatické připojení (doporučeno). Klikněte Na Další.
Obrázek 14
- na stránce s informacemi o společnosti zadejte informace o společnosti a klikněte na další.
obrázek 15
- pokud chcete, zadejte volitelné informace na stránce s informacemi o společnosti. Klikněte Na Další.
obrázek 16
- na dokončení stránky průvodce aktivací serveru se ujistěte, že je zaškrtnuta možnost Spustit Průvodce instalací licencí. Klikněte Na Další.
obrázek 17
- klikněte na další na stránce Průvodce instalací licencí.
- na stránce licenčního programu klikněte na šipku dolů v seznamu licenčních programů a vyberte licenční program, kterého se účastníte. V tomto příkladu vyberu jinou dohodu, protože tato laboratoř se neúčastní žádného licenčního programu. Klikněte Na Další.
obrázek 18
- na stránce licenčního programu zadejte číslo smlouvy. V tomto příkladu stačí zadat 1234567. Klikněte Na Další.
obrázek 19
- na stránce verze produktu a typ licence vyberte verzi produktu, typ licence a množství, které odpovídá potřebám vašeho prostředí. V tomto nastavení laboratoře používáme terminálové servery Windows Server 2008, takže vybereme Windows Server 2008. Budeme používat na uživatele CALs v tomto příkladu sítě, takže vybereme Windows Server 2008 TS na uživatele CAL. A do textového pole Množství zadáme 50. Klikněte Na Další.
obrázek 20
- klikněte na Dokončit na dokončení stránky Průvodce instalací licencí.
Install Desktop Experience na terminálovém serveru (volitelné)
když se klienti Windows Vista připojí k terminálovému serveru Windows Server 2008, mohou mít v relaci Terminálové služby zážitek z desktopu podobný Vista, pokud na terminálovém serveru nainstalujete možnost Desktop Experience.
pro instalaci funkce Desktop Experience na terminálový Server proveďte následující kroky:
- na stránce vybrat funkce zaškrtněte políčko Desktop Experience. Klikněte Na Další.
obrázek 21
- klikněte na Instalovat na stránce potvrdit výběr instalace.
- na stránce s výsledky instalace si přečtěte varovné informace, že musíte restartovat počítač, abyste dokončili proces instalace. Klikněte Na Zavřít.
- v dialogovém okně klikněte na Ano s dotazem, zda chcete restartovat nyní.
- přihlaste se jako správce. Instalace bude pokračovat a trvá několik minut, takže buďte trpěliví.
- klikněte na Zavřít na stránce s výsledky instalace, která ukazuje, že instalace byla úspěšná.
nakonfigurujte licenční režim terminálových služeb
nyní dokončíme konfiguraci terminálového serveru nastavením licenčního režimu terminálových služeb. Chcete-li nakonfigurovat režim licencování terminálových služeb, proveďte následující kroky:
- v nabídce Nástroje pro správu klikněte na položku Terminálové služby a poté na položku Konfigurace terminálových služeb.
- ve středním podokně konzoly konfigurace terminálových služeb poklepejte na režim licencování terminálových služeb.
obrázek 22
- v dialogovém okně Vlastnosti vyberte možnost pro uživatele pro volbu zadat režim licencování terminálových služeb. Vyberte možnost Automaticky objevit licenční server pro volbu určit režim zjišťování licenčního serveru. Klikněte na OK.
obrázek 23
- klikněte na uzel diagnostiky licencí v levém podokně konzoly. Ve středním podokně uvidíte podrobnosti o konfiguraci licencí pro tento terminálový Server.
obrázek 24
- Zavřete konzolu konfigurace Terminálové služby.
shrnutí
v této části 1 dvoudílné série o vytvoření řešení brány terminálových služeb pomocí systému Windows Server 2008 jsme přešli na instalaci Služeb terminálového serveru a licencování terminálových služeb na terminálovém serveru, poté jsme nakonfigurovali licencování terminálových služeb, poté nainstalovali zážitek z plochy na terminálový Server a nakonec nakonfigurovali režim licencování pro terminálový server. Příště dokončíme instalaci a konfiguraci brány terminálových služeb a klienta RDP. Poté dokončíme připojení z externího umístění. Tak zatím! -Tom.
pokud si chcete přečíst další část v této sérii článků, přejděte na konfiguraci brány Windows Server 2008 Terminal Services (Část 2)