hvis du gerne vil læse den næste del i denne artikelserie, skal du gå til konfiguration af Server 2008 Terminal Services Port (del 2)
Microsoft security administratorer har altid været lidt forsigtige med at offentliggøre terminalservere til internettet. Og med god grund-der var ingen mulighed for at forhåndsgodkende forbindelser eller bruge politik til at bestemme, hvilke brugere der kunne få adgang til hvilke terminalservere. Manglen på forhåndsgodkendelse var et særligt vanskeligt problem. Uden forhåndsgodkendelse kunne anonyme brugere udnytte deres anonyme forbindelser til at kompromittere den offentliggjorte terminalserver. En kompromitteret terminalserver er måske den farligste udnyttelse, der er mulig mod dit netværk, da angriberen har adgang til et fuldt operativsystem til at starte sine angreb.
Server 2008 giver en løsning på dette sikkerhedsproblem: Terminal Services. Ved hjælp af en Terminaltjenesteportal kan du forhåndsgodkende brugere og kontrollere, hvilke terminalservere brugere kan få adgang til baseret på legitimationsoplysninger og politik. Dette giver dig den finkornede kontrol, du har brug for for at sikre, at du har en sikker RDP-løsning med fjernadgang.
i denne todelt serie om, hvordan man sammensætter en fungerende Terminaltjenesteporteløsning, bruger vi det laboratorienetværk, du ser i nedenstående figur. Pilene viser strømmen af kommunikation fra den eksterne RDP-klient til terminalserveren.
Figur 1
hver af serverne i dette scenario kører
i dette eksempel netværk, Jeg bruger vinduer Server 2008 NAT server som min internetportal. Du kan bruge enhver anden simpel nat-enhed eller pakkefiltreringsrouter, som f.eks. Nøglekonfigurationsindstillingen her er, at du videresender TCP-port 443-forbindelser til Terminaltjenesteportens computer.
domænecontrolleren har DNS, DHCP, Certifikattjenester i Enterprise CA-tilstand og vinder installeret.
terminalserveren har kun basisoperativsystemet installeret. Vi installerer andre tjenester i løbet af denne artikelserie.
TS-porten har kun basisoperativsystemet installeret. Vi installerer andre tjenester i løbet af denne artikelserie.
i denne artikelserie vil jeg beskrive følgende processer og procedurer, som du skal udføre for at få den grundlæggende løsning til at køre:
- installer terminaltjenester og terminaltjenester licensering på terminalserveren
- Konfigurer terminaltjenester licensering
- installer desktopoplevelse på terminalserveren (valgfrit)
- Konfigurer Terminaltjenesternes Licenseringstilstand
- installer Terminaltjenesternes Portaltjeneste på Terminaltjenestens Port
- Anmod om et certifikat til Terminaltjenesterne serviceport
- konfigurer terminaltjenesteport til brug af certifikatet
- Opret en Terminaltjenesteport Rap
- Opret en Terminal Services Port CAP
- Konfigurer RDP-klienten til at bruge Terminaltjenesteporten
installer Terminal Services og Terminal Services Licensing på terminalserveren
det første trin er at installere terminaltjenester på Terminaltjenestecomputeren.
Udfør følgende trin for at installere Terminal Services og Terminal Services Licensing:
- åbn serveradministratoren på Terminalservercomputeren. I serveradministratoren skal du klikke på rollerne node i venstre rude af konsollen.
- Klik på linket Tilføj roller i højre rude i konsollen.
figur 2
- Klik på Næste på siden før du begynder.
- på siden Vælg serverroller skal du sætte et flueben i afkrydsningsfeltet Terminal Services. Klik På Næste.
figur 3
- Klik på Næste på siden Terminal Services.
- på siden Vælg Rolletjenester skal du sætte et flueben i afkrydsningsfelterne Terminal Server og TS Licensing. Klik På Næste.
figur 4
- Klik på Næste på siden Afinstaller og geninstaller programmet for Kompatibilitet.
- på siden Angiv godkendelsesmetode for terminalserver skal du vælge godkendelse på netværksniveau. Vi kan vælge denne mulighed i vores nuværende scenarie, fordi vi kun bruger Vista SP1-klienter til at oprette forbindelse til terminalserveren via TS-porten. Vi ville ikke være i stand til at bruge denne mulighed, hvis vi havde brug for at støtte
SP2 klienter. Du skal dog være i stand til at understøtte godkendelse på netværksniveau med SP3. Jeg har dog endnu ikke bekræftet dette, så sørg for at tjekke udgivelsesnotaterne på SP3, når den frigives senere på året. Klik På Næste.
figur 5
- på siden Angiv Licenstilstand skal du vælge indstillingen Konfigurer senere. Vi kunne vælge en mulighed nu, men jeg besluttede, at vi skulle vælge Konfigurer senere, så jeg kan vise dig, hvor i Terminal Services-konsollen du konfigurerer licensfunktionen. Klik På Næste.
figur 6
- på siden Vælg Brug grupper tilladt adgang til denne terminalserver skal du bruge standardindstillingerne. Du kan tilføje eller fjerne grupper, hvis du vil have finere indstillet adgangskontrol over terminalserveren. Men hvis alle dine brugere vil gå gennem Terminaltjenesteporten, kan du kontrollere, hvem der kan oprette forbindelse til terminalserveren ved hjælp af TS-Portens politikindstillinger. Lad standardindstillingerne være som de er, og klik på Næste.
Figur 7
- vælg indstillingen dette domæne på siden Konfigurer Opdagelsesomfang for TS-licensering. Vi vælger denne indstilling i dette scenario, fordi vi kun har et enkelt domæne. Hvis du har en skov med flere domæner, kan du overveje at vælge indstillingen skov. Klik På Næste.
figur 8
- på siden Bekræft installationsvalg skal du kontrollere advarselsoplysningerne, der angiver, at du muligvis skal geninstallere programmer, der allerede var installeret på denne maskine, hvis du vil have dem til at fungere korrekt i et Terminal Services-sessionsmiljø. Bemærk også, at IE forbedret sikkerhedskonfiguration vil blive slået fra. Klik På Installer.
figur 9
- på siden med Installationsresultater vil du se en advarsel om, at du skal genstarte serveren for at fuldføre installationen. Klik På Luk.
Figur 10
- Klik på Ja i dialogboksen Tilføj roller, der spørger, om du vil genstarte serveren.
- Log på som Administrator. Installationen fortsætter i et par minutter, da siden med Installationsfremskridt vises, når serveradministratoren kommer op.
- Klik på Luk på siden Installationsresultater, når du har set meddelelsen Installation lykkedes.
Figur 11
- du kan muligvis se en ballon, der fortæller dig, at Licenstilstand for terminaltjenester ikke er konfigureret. Du kan afvise denne advarsel, da vi næste gang konfigurerer Terminal Services-licensering og derefter konfigurerer licenstilstanden på terminalserveren.
Figur 12
Konfigurer Terminal Services Licensing
på det tidspunkt er vi klar til at konfigurere Terminal Services Licensing. I dette eksempel vil jeg bruge nogle dummy-data, som ikke opfylder de faktiske krav til licensering af terminaltjenester klientforbindelser, men det vil give et eksempel på, hvordan processen fungerer. Brug ikke den samme procedure, som jeg viser her for at licensere dine Terminal Services-klienter, fordi du ikke overholder de faktiske licenskrav.
Udfør følgende trin for at aktivere din Terminal Services licensserver:
- i menuen Administrative værktøjer skal du klikke på menuen Terminal Services og derefter klikke på TS Licensing Manager.
- Højreklik på servernavnet i venstre rude på konsollen i TS Licensing Manager-konsollen. Klik på Aktiver Server.
figur 13
- Klik på Næste på siden Velkommen til guiden aktiver Server.
- på siden forbindelsesmetode skal du vælge indstillingen Automatisk forbindelse (anbefales). Klik På Næste.
figur 14
- på siden virksomhedsoplysninger skal du indtaste dine virksomhedsoplysninger og klikke på Næste.
Figur 15
- indtast valgfri information, hvis du vil på siden med virksomhedsoplysninger. Klik På Næste.
Figur 16
- på siden fuldførelse af guiden aktiver Server skal du sørge for, at indstillingen Start installer licenser nu er markeret. Klik På Næste.
figur 17
- Klik på Næste på siden Velkommen til guiden installer licenser.
- på siden licensprogram skal du klikke på pil ned på listen over licensprogrammer og vælge det licensprogram, du deltager i. I dette eksempel vil jeg vælge anden aftale, da dette laboratorium ikke deltager i noget licensprogram. Klik På Næste.
figur 18
- indtast dit aftalenummer på siden licensprogram. I dette eksempel indtaster vi bare 1234567. Klik På Næste.
figur 19
- på siden produktversion og licenstype skal du vælge den produktversion, licenstype og mængde, der passer til dit miljøs behov. I denne lab opsætning, vi bruger vinduer Server 2008 Terminal servere, så vi vil vælge vinduer Server 2008. Vi vil bruge per bruger CALs i dette eksempel netværk, så vi vil vælge vinduer Server 2008 TS per bruger CAL. Og vi vil indtaste 50 i tekstfeltet mængde. Klik På Næste.
Figur 20
- Klik på Udfør på siden fuldførelse af guiden installer licenser.
installer desktopoplevelse på terminalserveren (valgfrit)
når Vista-klienter opretter forbindelse til en terminalserver 2008, kan de få en Vista-lignende desktopoplevelse i Terminal Services-sessionen, hvis du installerer indstillingen desktopoplevelse på terminalserveren.
Udfør følgende trin for at installere Skrivebordsoplevelsesfunktionen på terminalserveren:
- på siden vælg Funktioner skal du sætte et afkrydsningsfelt i afkrydsningsfeltet Skrivebordsoplevelse. Klik På Næste.
figur 21
- Klik på Installer på siden Bekræft installationsvalg.
- på siden Installationsresultater skal du læse advarselsoplysningerne om, at du skal genstarte computeren for at afslutte installationsprocessen. Klik På Luk.
- Klik på Ja i dialogboksen og spørg, om du vil genstarte nu.
- Log på som administrator. Installationen genoptages og tager et par minutter, så vær tålmodig.
- Klik på Luk på siden Installationsresultater, som viser, at installationen var vellykket.
Konfigurer Terminal Services Licensing Mode
vi vil nu afslutte med at konfigurere Terminal Server ved at indstille Terminal Services Licensing Mode. Udfør følgende trin for at konfigurere Terminal Services Licensing Mode:
- klik på posten terminaltjenester i menuen Administrative værktøjer, og klik derefter på Konfiguration af terminaltjenester.
- dobbeltklik på Licenstilstand for terminaltjenester i den midterste rude i Konfigurationskonsollen for terminaltjenester.
figur 22
- i dialogboksen Egenskaber skal du vælge indstillingen per bruger for indstillingen Angiv Licenstilstand for terminaltjenester. Vælg automatisk opdag licensserver for indstillingen Angiv licensserveropdagelsestilstand. Klik på OK.
figur 23
- Klik på Licensdiagnosenoden i venstre rude på konsollen. I den midterste rude vil du se detaljer for licenskonfigurationen for denne terminalserver.
figur 24
- Luk Terminal Service Configuration console.
Resume
i denne del 1 af en todelt serie om oprettelse af en Terminaltjenesteporteløsning ved hjælp af vinduer Server 2008 gik vi over installation af Terminalservertjenester og Terminaltjenestelicenser på terminalserveren, vi konfigurerede derefter Terminaltjenestelicenser, installerede derefter Desktopoplevelsen på terminalserveren og konfigurerede endelig licenstilstanden for terminalserveren. Næste gang vil vi afslutte ved at installere og konfigurere Terminaltjenesteporten og RDP-klienten. Vi afslutter derefter ved at oprette forbindelsen fra en ekstern placering. Så ses vi! -Tom.
hvis du gerne vil læse den næste del i denne artikelserie, skal du gå til konfiguration af Server 2008 Terminal Services-porten (Del 2)