Wenn Sie den nächsten Teil dieser Artikelserie lesen möchten, gehen Sie bitte zu Konfigurieren des Windows Server 2008 Terminal Services Gateway (Teil 2)
Microsoft-Sicherheitsadministratoren waren bei der Veröffentlichung von Terminalservern im Internet immer etwas vorsichtig. Und das aus gutem Grund: Es gab keine Möglichkeit, Verbindungen vorab zu authentifizieren oder Richtlinien zu verwenden, um zu bestimmen, welche Benutzer auf welche Terminalserver zugreifen konnten. Das Fehlen einer Vorauthentifizierung war ein besonders schwieriges Problem. Ohne Vorauthentifizierung könnten anonyme Benutzer ihre anonymen Verbindungen nutzen, um den veröffentlichten Terminalserver zu kompromittieren. Ein kompromittierter Terminalserver ist möglicherweise der gefährlichste Exploit für Ihr Netzwerk, da der Angreifer Zugriff auf ein vollständiges Betriebssystem hat, um seine Angriffe zu starten.
Windows Server 2008 bietet eine Lösung für dieses Sicherheitsproblem: Terminaldienste-Gateway. Mithilfe eines Terminaldienste-Gateways können Sie Benutzer vorab authentifizieren und steuern, auf welche Terminalserver Benutzer basierend auf Anmeldeinformationen und Richtlinien zugreifen können. Dies gibt Ihnen die feinkörnige Kontrolle, die Sie benötigen, um sicherzustellen, dass Sie über eine sichere Remote Access RDP-Lösung verfügen.
In dieser zweiteiligen Serie zum Zusammenstellen einer funktionierenden Terminal Services Gateway-Lösung verwenden wir das Labornetzwerk, das Sie in der folgenden Abbildung sehen. Die Pfeile zeigen den Kommunikationsfluss vom externen RDP-Client zum Terminalserver.
Abbildung 1
Auf jedem der Server in diesem Szenario wird Windows Server 2008 Enterprise Edition ausgeführt.
In diesem Beispielnetzwerk verwende ich den Windows Server 2008 NAT-Server als Internetgateway. Sie können jedes andere einfache NAT-Gerät oder Paketfilterrouter wie einen PIX oder sogar eine erweiterte Firewall wie die Microsoft ISA Firewall verwenden. Die wichtigste Konfigurationsoption besteht darin, dass Sie TCP-Port 443-Verbindungen an den Terminal Service Gateway-Computer weiterleiten.
Auf dem Domänencontroller sind DNS, DHCP, Zertifikatdienste im Enterprise CA-Modus und WINS installiert.
Auf dem Terminalserver ist nur das Basisbetriebssystem installiert. Wir werden im Laufe dieser Artikelserie weitere Dienste installieren.
Auf dem TS-Gateway ist nur das Basisbetriebssystem installiert. Wir werden im Laufe dieser Artikelserie weitere Dienste installieren.
In dieser Artikelserie werde ich die folgenden Prozesse und Verfahren beschreiben, die Sie ausführen müssen, um die grundlegende Lösung zum Laufen zu bringen:
- Installieren von Terminaldiensten und Terminaldienstlizenzierung auf dem Terminalserver
- Konfigurieren der Terminaldienstlizenzierung
- Installieren von Desktop Experience auf dem Terminalserver (optional)
- Konfigurieren des Terminaldienstlizenzierungsmodus
- Installieren des Terminaldienstgateway-Dienstes auf dem Terminaldienstgateway
- Anfordern eines Zertifikats für das Terminal Services Gateway
- Konfigurieren des Terminal Services Gateways für die Verwendung des Zertifikats
- Erstellen eines Terminal Services Gateway-Zertifikats
- Erstellen eines Terminal Services Gateway CAP
- Konfigurieren des RDP-Clients für die Verwendung des Terminal Services Gateways
Installieren von Terminal Services und Terminal Services-Lizenzierung auf dem Terminalserver
Der erste Schritt besteht darin, Terminal Services auf dem Terminal Services-Computer zu installieren.
Führen Sie die folgenden Schritte aus, um Terminaldienste und Terminaldienste-Lizenzierung zu installieren:
- Öffnen Sie auf dem Terminalserver-Computer den Server-Manager. Klicken Sie im Server-Manager im linken Bereich der Konsole auf den Knoten Rollen.
- Klicken Sie im rechten Bereich der Konsole auf den Link Rollen hinzufügen.
Abbildung 2
- Klicken Sie auf Weiter auf der Seite Bevor Sie beginnen.
- Setzen Sie auf der Seite Serverrollen auswählen ein Häkchen in das Kontrollkästchen Terminaldienste. aufWeiter.
Abbildung 3
- Klicken Sie auf der Seite Terminaldienste auf Weiter.
- Setzen Sie auf der Seite Rollendienste auswählen ein Häkchen in die Kontrollkästchen Terminalserver und TS-Lizenzierung. aufWeiter.
Abbildung 4
- Klicken Sie auf der Seite Anwendung für Kompatibilität deinstallieren und neu installieren auf Weiter.
- Wählen Sie auf der Seite Authentifizierungsmethode für Terminalserver angeben die Option Authentifizierung auf Netzwerkebene erforderlich aus. Wir können diese Option in unserem aktuellen Szenario auswählen, da wir nur Vista SP1-Clients verwenden, um über das TS-Gateway eine Verbindung zum Terminalserver herzustellen. Wir könnten diese Option nicht verwenden, wenn wir Windows XP SP2-Clients unterstützen müssten. Sie sollten jedoch in der Lage sein, die Authentifizierung auf Netzwerkebene mit Windows XP SP3 zu unterstützen. Allerdings habe ich dies noch nicht bestätigt, so stellen Sie sicher, die Versionshinweise auf Windows XP SP3 zu überprüfen, wenn es später in diesem Jahr veröffentlicht wird. aufWeiter.
Abbildung 5
- Wählen Sie auf der Seite Lizenzmodus angeben die Option Später konfigurieren aus. Wir könnten jetzt eine Option auswählen, aber ich habe beschlossen, später konfigurieren auszuwählen, damit ich Ihnen zeigen kann, wo Sie in der Terminal Services-Konsole den Lizenzierungsmodus konfigurieren. aufWeiter.
Abbildung 6
- Verwenden Sie auf der Seite Select Use Groups Allowed Access To This Terminal Server die Standardoptionen. Sie können Gruppen hinzufügen oder entfernen, wenn Sie eine feinere Zugriffskontrolle über den Terminalserver wünschen. Wenn jedoch alle Benutzer das Terminaldienste-Gateway durchlaufen, können Sie mithilfe der TS-Gateway-Richtlinieneinstellungen steuern, wer eine Verbindung zum Terminalserver herstellen kann. Lassen Sie die Standardeinstellungen unverändert und klicken Sie auf Weiter.
Abbildung 7
- Wählen Sie auf der Seite Erkennungsbereich für TS-Lizenzierung konfigurieren die Option Diese Domäne aus. Wir wählen diese Option in diesem Szenario, da wir nur eine einzige Domäne haben. Wenn Sie über eine Gesamtstruktur mit mehreren Domänen verfügen, können Sie die Option Gesamtstruktur auswählen. aufWeiter.
Abbildung 8
- Überprüfen Sie auf der Seite Installationsauswahl bestätigen die Warnhinweise, die darauf hinweisen, dass Sie möglicherweise Anwendungen neu installieren müssen, die bereits auf diesem Computer installiert waren, wenn Sie möchten, dass sie in einer Terminaldienste-Sitzungsumgebung ordnungsgemäß funktionieren. Beachten Sie auch, dass IE Enhanced Security Configuration deaktiviert wird. Klicken Sie auf Installieren.
Abbildung 9
- Auf der Seite Installationsergebnisse wird eine Warnung angezeigt, dass Sie den Server neu starten müssen, um die Installation abzuschließen. Klicken Sie auf Schließen.
Abbildung 10
- Klicken Sie im Dialogfeld des Assistenten zum Hinzufügen von Rollen auf Ja, in dem Sie gefragt werden, ob Sie den Server neu starten möchten.
- Melden Sie sich als Administrator an. Die Installation wird für einige Minuten fortgesetzt, da die Seite Installationsfortschritt angezeigt wird, nachdem der Server-Manager gestartet wurde.
- Klicken Sie auf der Seite Installationsergebnisse auf Schließen, nachdem die Meldung Installation erfolgreich angezeigt wird.
Abbildung 11
- Möglicherweise wird in einer Sprechblase angezeigt, dass der Terminaldienste-Lizenzierungsmodus nicht konfiguriert ist. Sie können diese Warnung verwerfen, da wir als nächstes die Terminaldienstlizenzierung konfigurieren und dann den Lizenzierungsmodus auf dem Terminalserver konfigurieren werden.
Abbildung 12
Konfigurieren der Terminaldienstlizenzierung
Zu diesem Zeitpunkt können wir die Terminaldienstlizenzierung konfigurieren. In diesem Beispiel verwende ich einige Dummy-Daten, die nicht den tatsächlichen Anforderungen für die Lizenzierung von Terminaldienste-Clientverbindungen entsprechen, aber ein Beispiel für die Funktionsweise des Prozesses liefern. Bitte verwenden Sie nicht dasselbe Verfahren, das ich hier zeige, um Ihre Terminal Services-Clients zu lizenzieren, da Sie die tatsächlichen Lizenzanforderungen nicht erfüllen.
Führen Sie die folgenden Schritte aus, um Ihren Terminal Services-Lizenzserver zu aktivieren:
- Klicken Sie im Menü Verwaltung auf das Menü Terminaldienste und dann auf TS Licensing Manager.
- Klicken Sie in der TS Licensing Manager-Konsole mit der rechten Maustaste auf den Servernamen im linken Bereich der Konsole. Klicken Sie auf Server aktivieren.
Abbildung 13
- Klicken Sie auf der Seite Willkommen beim Assistenten zum Aktivieren des Servers auf Weiter.
- Wählen Sie auf der Seite Verbindungsmethode die Option Automatische Verbindung (empfohlen) aus. aufWeiter.
Abbildung 14
- Geben Sie auf der Seite Unternehmensinformationen Ihre Unternehmensinformationen ein und klicken Sie auf Weiter.
Abbildung 15
- Geben Sie optionale Informationen ein, wenn Sie möchten, auf der Seite mit den Unternehmensinformationen. aufWeiter.
Abbildung 16
- Stellen Sie auf der Seite Server-Assistenten abschließen sicher, dass die Option Lizenz-Assistent jetzt installieren starten aktiviert ist. aufWeiter.
Abbildung 17
- Klicken Sie auf der Seite Willkommen beim Assistenten zum Installieren von Lizenzen auf Weiter.
- Klicken Sie auf der Seite Lizenzprogramm auf den Abwärtspfeil in der Liste Lizenzprogramm, und wählen Sie das Lizenzprogramm aus, an dem Sie teilnehmen. In diesem Beispiel wähle ich Eine andere Vereinbarung aus, da dieses Labor an keinem Lizenzprogramm teilnimmt. aufWeiter.
Abbildung 18
- Geben Sie auf der Seite Lizenzprogramm Ihre Vertragsnummer ein. In diesem Beispiel geben wir einfach 1234567 ein. aufWeiter.
Abbildung 19
- Wählen Sie auf der Seite Produktversion und Lizenztyp die Produktversion, den Lizenztyp und die Menge aus, die den Anforderungen Ihrer Umgebung entsprechen. In diesem Lab-Setup verwenden wir Windows Server 2008-Terminalserver, daher wählen wir Windows Server 2008 aus. Wir werden pro Benutzer CALs in diesem Beispiel Netzwerk verwenden, so werden wir Windows Server 2008 TS pro Benutzer CAL wählen. Und wir geben 50 in das Textfeld Menge ein. aufWeiter.
Abbildung 20
- Klicken Sie auf der Seite Installationslizenzen abschließen auf Fertig stellen.
Desktoperfahrung auf dem Terminalserver installieren (optional)
Wenn Windows Vista-Clients eine Verbindung zu einem Windows Server 2008-Terminalserver herstellen, können sie in der Terminalservicesitzung eine Vista-ähnliche Desktoperfahrung haben, wenn Sie die Option Desktoperfahrung auf dem Terminalserver installieren.
Führen Sie die folgenden Schritte aus, um die Desktop Experience-Funktion auf dem Terminalserver zu installieren:
- Setzen Sie auf der Seite Features auswählen ein Häkchen in das Kontrollkästchen Desktop Experience. aufWeiter.
Abbildung 21
- Klicken Sie auf der Seite Installationsauswahl bestätigen auf Installieren.
- Lesen Sie auf der Seite Installationsergebnisse die Warnhinweise, dass Sie den Computer neu starten müssen, um den Installationsvorgang abzuschließen. Klicken Sie auf Schließen.
- Klicken Sie im Dialogfeld auf Ja und fragen Sie, ob Sie jetzt neu starten möchten.
- Melden Sie sich als Administrator an. Die Installation wird fortgesetzt und dauert einige Minuten.
- Klicken Sie auf der Seite Installationsergebnisse auf Schließen, um anzuzeigen, dass die Installation erfolgreich war.
Konfigurieren des Terminalservices-Lizenzierungsmodus
Wir werden nun mit der Konfiguration des Terminalservers abschließen, indem wir den Terminalservices-Lizenzierungsmodus einstellen. Führen Sie die folgenden Schritte aus, um den Lizenzierungsmodus für Terminaldienste zu konfigurieren:
- Klicken Sie im Menü Verwaltung auf den Eintrag Terminaldienste und dann auf Terminaldienstkonfiguration.
- Doppelklicken Sie im mittleren Bereich der Terminal Services Configuration console auf Terminal Services Licensing mode.
Abbildung 22
- Wählen Sie im Dialogfeld Eigenschaften die Option Pro Benutzer für die Option Terminaldienste-Lizenzierungsmodus angeben aus. Wählen Sie Lizenzserver automatisch ermitteln für die Option Lizenzserver-Erkennungsmodus angeben aus. OK.
Abbildung 23
- Klicken Sie im linken Bereich der Konsole auf den Knoten Lizenzierungsdiagnose. Im mittleren Bereich sehen Sie Details zur Lizenzierungskonfiguration für diesen Terminalserver.
Abbildung 24
- Schließen Sie die Terminal Service Configuration Console.
Zusammenfassung
In diesem Teil 1 einer zweiteiligen Serie zum Erstellen einer Terminaldienste-Gateway-Lösung unter Verwendung von Windows Server 2008 haben wir die Installation der Terminalserverdienste und der Terminaldienstlizenzierung auf dem Terminalserver durchgeführt, dann die Terminaldienstlizenzierung konfiguriert, dann die Desktopumgebung auf dem Terminalserver installiert und schließlich den Lizenzierungsmodus für den Terminalserver konfiguriert. Das nächste Mal werden wir das Terminal Services Gateway und den RDP-Client installieren und konfigurieren. Wir werden dann die Verbindung von einem externen Ort aus herstellen. Bis dann! -Tom.
Wenn Sie den nächsten Teil dieser Artikelserie lesen möchten, gehen Sie bitte zu Konfigurieren des Windows Server 2008 Terminal Services Gateway (Teil 2)