jos haluat lukea seuraavan osan tästä artikkelisarjasta, siirry kohtaan Windows Server 2008 Terminal Services Gateway (Osa 2)
Microsoft security järjestelmänvalvojat ovat aina olleet hieman varovaisia julkaisemaan päätelaitteita internetiin. Ja hyvästä syystä-ei ollut kykyä ennalta todentaa yhteyksiä tai käyttää politiikkaa määrittää, mitkä käyttäjät voisivat käyttää mitä päätelaitteiden palvelimia. Ennakkotunnistuksen puute oli erityisen vaikea ongelma. Ilman ennakkotodennusta anonyymit käyttäjät voisivat hyödyntää anonyymejä yhteyksiään vaarantaakseen julkaistun Terminaalipalvelimen. Vaarantunut Terminaalipalvelin on ehkä vaarallisin mahdollinen hyväksikäyttö verkkoasi vastaan, sillä hyökkääjällä on käytössään täysi käyttöjärjestelmä hyökkäystensä käynnistämiseksi.
Windows Server 2008 tarjoaa ratkaisun tähän tietoturvaongelmaan: Terminal Services Gateway. Käyttämällä Terminal Services Gateway, voit ennalta todentaa käyttäjät ja hallita mitä Terminal palvelimia käyttäjät voivat käyttää valtakirjojen ja käytäntö. Tämä antaa sinulle hienorakeinen control sinun täytyy vakuuttaa, että sinulla on turvallinen etäkäyttö RDP ratkaisu.
tässä toimivaa Terminal Services Gateway-ratkaisua käsittelevässä kaksiosaisessa sarjassa käytämme alla olevassa kuvassa näkyvää laboratorioverkkoa. Nuolet näyttävät viestinnän virtauksen ulkoisesta RDP-asiakasohjelmasta Terminaalipalvelimelle.
Kuva 1
jokaisessa tämän skenaarion palvelimessa on Windows Server 2008 Enterprise Edition.
tässä esimerkissä verkko, käytän Windows Server 2008 Nat palvelin minun Internet yhdyskäytävä. Voit käyttää mitä tahansa muuta yksinkertaista Nat-laitetta tai pakettisuodatusreititintä, kuten PIX-laitetta tai jopa edistynyttä palomuuria, kuten Microsoft ISA-palomuuria. Avaimen määritysvaihtoehto tässä on, että välität TCP-portin 443 yhteydet Terminal Service Gateway-tietokoneeseen.
toimialueen Ohjaimessa on DNS, DHCP, varmennepalvelut Enterprise CA-tilassa ja WINS asennettuna.
päätepalvelimeen on asennettu vain peruskäyttöjärjestelmä. Asennamme muita palveluita tämän artikkelisarjan aikana.
TS-yhdyskäytävässä on vain peruskäyttöjärjestelmä asennettuna. Asennamme muita palveluita tämän artikkelisarjan aikana.
tässä artikkelissa sarja aion kuvata seuraavat prosessit ja menettelyt, jotka sinun täytyy suorittaa saada perusratkaisu käynnissä:
- Terminaalipalvelujen ja Terminaalipalvelujen lisensoinnin asentaminen Terminaalipalvelimelle
- Terminaalipalvelujen lisensoinnin määrittäminen
- työpöytäkokemuksen asentaminen Päätepalvelimelle (valinnainen)
- Terminaalipalvelujen Lisensiointitilan määrittäminen
- Terminaalipalvelujen Gateway-palvelun asentaminen Terminaalipalvelujen yhdyskäytävälle
- pyydä varmenne Terminaalipalvelimelle Services Gateway
- configure Terminal Services Gateway to use the certificate
- create a Terminal Services Gateway Rap
- create a Terminal Services Gateway CAP
- Configure the RDP Client to use the Terminal Services Gateway
Install Terminal Services and Terminal Services Licensing on the Terminal Services computer
the first step is to install Terminal Services on the Terminal Services computer.
suorita seuraavat vaiheet Terminaalipalvelujen ja Terminaalipalvelujen lisensoinnin asentamiseksi:
- avaa Terminal Server-tietokoneessa Palvelinten Hallinta. Napsauta palvelimen hallinta-kohdassa roolit-solmua konsolin vasemmassa ruudussa.
- Napsauta konsolin oikeassa ruudussa olevaa Lisää roolit-linkkiä.
kuva 2
- napsauta Seuraava ennen kuin aloitat-sivua.
- valitse palvelinroolit-sivulla valintamerkki päätepalveluiden valintaruutuun. Valitse Seuraava.
kuva 3
- valitse Terminal Services-sivulla Seuraava.
- valitse roolipalvelut-sivulla laita valintamerkki päätepalvelimeen ja TS-lisensoinnin valintaruutuihin. Valitse Seuraava.
Kuva 4
- napsauta Seuraava-kohtaa Uninstall and Reinstall Application for Compatibility-sivulla.
- valitse Terminal Server-sivun Määritä Todennusmenetelmästä Require Network Level Authentication. Voimme valita tämän vaihtoehdon nykyisessä skenaariossa, koska käytämme vain Vista SP1-asiakkaita yhteyden päätepalvelimeen TS-yhdyskäytävän kautta. Emme voi käyttää tätä vaihtoehtoa, jos tarvitsemme tukea Windows XP SP2 asiakkaita. Kuitenkin, sinun pitäisi pystyä tukemaan verkkotason todennus Windows XP SP3. Kuitenkin, en ole vielä vahvistanut tätä, joten varmista tarkistaa julkaisutiedot Windows XP SP3 kun se julkaistaan myöhemmin tänä vuonna. Valitse Seuraava.
kuva 5
- Valitse Määritä Lisensiointitila-sivulta Määritä myöhemmin-asetus. Voisimme valita vaihtoehdon nyt, mutta päätin, että meidän pitäisi valita Configure myöhemmin, jotta voin näyttää, missä Terminal Services konsolin määrität lisensointitilaa. Valitse Seuraava.
kuva 6
- valitse Valitse Käytä ryhmiä, joilla on oikeus käyttää tätä päätepalvelimen sivua, Käytä oletusasetuksia. Voit lisätä tai poistaa ryhmiä, jos haluat hienompaa viritettyä kulunvalvontaa Terminaalipalvelimelle. Kuitenkin, jos kaikki käyttäjät ovat menossa Terminal Services Gateway, voit hallita, kuka voi muodostaa yhteyden Terminal Server käyttäen TS Gateway käytäntö asetukset. Jätä oletusasetukset sellaisiksi kuin ne ovat ja valitse Seuraava.
Kuva 7
- Valitse tämä toimialue-asetus ts-Lisensiointisivulta Discovery Scope for TS Licensing. Valitsemme tämän vaihtoehdon tässä skenaariossa, koska meillä on vain yksi verkkotunnus. Jos sinulla on monen toimialueen metsä, voit harkita metsän valintaa. Valitse Seuraava.
Kuva 8
- Tarkista Vahvista Asennusvalinnat-sivulla varoitustiedot, jotka osoittavat, että saatat joutua asentamaan uudelleen sovelluksia, jotka on jo asennettu tähän koneeseen, jos haluat niiden toimivan oikein Terminal Services-istuntoympäristössä. Huomaa myös, että IE: n parannettu Tietoturvakokoonpano kytketään pois päältä. Valitse Asenna.
Kuva 9
- asennuksen tulokset-sivulla näet varoituksen siitä, että sinun on käynnistettävä palvelin uudelleen asennuksen loppuun saattamiseksi. Napsauta Sulje.
Kuva 10
- valitse Kyllä ohjatun toiminnon Lisää roolit-valintaikkunassa, jossa kysytään, haluatko käynnistää palvelimen uudelleen.
- Kirjaudu ylläpitäjäksi. Asennus jatkuu muutaman minuutin ajan, kun asennuksen Edistymissivu ilmestyy palvelinten hallinnan jälkeen.
- napsauta Sulje asennuksen tulokset-sivua, kun näet asennuksen onnistunut viesti.
Kuva 11
- saatat nähdä ilmapallon, joka kertoo, että Terminal Services licensing-tilaa ei ole määritetty. Voit hylätä tämän varoituksen, koska määritämme seuraavaksi Terminal Services Licensing-toiminnon ja määritämme sen jälkeen Terminal Serverin lisensiointitilan.
Kuva 12
Configure Terminal Services Licensing
at the point we are ready to configure Terminal Services Licensing. Tässä esimerkissä käytän valedataa, joka ei täytä varsinaisia vaatimuksia Terminaalipalvelujen asiakasyhteyksien lisensoinnille, mutta se antaa esimerkin siitä, miten prosessi toimii. Älä käytä samaa menettelyä, jonka näytän tässä lisensoidaksesi Terminal Services-asiakkaitasi, koska et noudata varsinaisia lisenssivaatimuksia.
suorita seuraavat vaiheet aktivoidaksesi Terminal Services Licensing Server-palvelimesi:
- valitse hallintatyökalut-valikosta Terminal Services-valikko ja valitse sitten TS Licensing Manager.
- Napsauta TS Licensing Manager-konsolissa palvelimen nimeä hiiren kakkospainikkeella konsolin vasemmassa ruudussa. Napsauta Aktivoi palvelin.
kuva 13
- napsauta Seuraava ohjatun toiminnon Tervetuloa aktivoi Palvelin-sivulla.
- valitse yhteystapa-sivulta Automaattinen yhteys (suositeltava). Valitse Seuraava.
Kuva 14
- syötä yrityksen tiedot-sivulla yrityksesi tiedot ja napsauta Next.
Kuva 15
- Anna valinnaiset tiedot, Jos haluat yrityksen tiedot-sivulla. Valitse Seuraava.
Kuva 16
- kun olet suorittanut ohjatun Aktivointipalvelimen sivun, varmista, että ohjatun ohjatun käynnistys-lisenssin nyt-asetus on valittuna. Valitse Seuraava.
Kuva 17
- napsauta Seuraava ohjatun toiminnon Welcome to the Install Licenses-sivulla.
- Napsauta lisenssiohjelman sivulla Alanuolinäppäintä Lisenssiohjelmaluettelossa ja valitse lisenssiohjelma, johon osallistut. Tässä esimerkissä valitsen muun sopimuksen, koska tämä laboratorio ei osallistu mihinkään lisenssiohjelmaan. Valitse Seuraava.
Kuva 18
- lisää lisenssiohjelman sivulle Sopimusnumerosi. Tässä esimerkissä me vain syöttää 1234567. Valitse Seuraava.
Kuva 19
- valitse tuoteversio ja lisenssityyppi-sivulta tuoteversio, lisenssityyppi ja määrä, joka sopii ympäristösi tarpeisiin. Tässä lab-asennuksessa käytämme Windows Server 2008-Terminaalipalvelimia, joten valitsemme Windows Server 2008: n. Käytämme per käyttäjä CALs tässä esimerkissä verkossa, joten valitsemme Windows Server 2008 TS Per käyttäjä CAL. Ja lisäämme 50 määrä tekstikenttään. Valitse Seuraava.
Kuva 20
- Napsauta ohjatun Asennuslisenssien valmiiksi saattaminen-sivua.
Install Desktop Experience on the Terminal Server (valinnainen)
kun Windows Vista-asiakkaat muodostavat yhteyden Windows Server 2008 Terminal Server-palvelimeen, niillä voi olla Vistan kaltainen työpöytäkokemus Terminal Services-istunnossa, jos asennat Desktop Experience-vaihtoehdon Terminal Server-palvelimelle.
suorita seuraavat vaiheet työpöytäkokemuksen asentamiseksi päätepalvelimeen:
- valitse Ominaisuudet-sivulla aseta valintamerkki työpöytäkokemuksen valintaruutuun. Valitse Seuraava.
Kuva 21
- napsauta Vahvista Asennusvalinnat-sivulla Asenna.
- Lue asennuksen tulossivulta varoitus siitä, että tietokone on käynnistettävä uudelleen, jotta asennus on valmis. Napsauta Sulje.
- napsauta Kyllä-valintaikkunassa, jossa kysytään, haluatko aloittaa uudelleen nyt.
- Kirjaudu ylläpitäjäksi. Asennus jatkuu ja kestää muutaman minuutin, joten ole kärsivällinen.
- napsauta Sulje Asennustulossivua, josta näkyy, että asennus onnistui.
Terminal Services Licensing Mode
päätämme nyt Terminal Server-palvelimen konfiguroinnin asettamalla Terminal Services Licensing Mode-tilan. Suorita seuraavat vaiheet Terminal Services Licensing-tilan määrittämiseksi:
- valitse hallintatyökalut-valikosta Terminal Services-merkintä ja valitse sitten Terminal Services Configuration.
- kaksoisnapsauta Terminal Services Configuration Consolen keskimmäisessä ruudussa Terminal Services Licensing-tilaa.
Kuva 22
- valitse Ominaisuudet-valintaikkunasta käyttäjäkohtainen vaihtoehto Määritä Terminal Services licensing mode-vaihtoehdolle. Valitse automaattisesti discover license server Määritä license server discovery mode-vaihtoehdolle. Klikkaa OK.
Kuva 23
- Napsauta konsolin vasemmassa ruudussa olevaa Lisensointidiagnosointisolmua. Keskimmäisessä ruudussa näet tiedot tämän päätepalvelimen lisensointiasetuksista.
Kuva 24
- Sulje Terminal Service Configuration console.
Yhteenveto
tässä kaksiosaisen sarjan osassa 1, joka koskee Terminal Services Gateway-ratkaisun luomista Windows Server 2008: n avulla, kävimme läpi Terminal Server services-ja Terminal Services licensing-palvelujen asentamista Terminal Server-palvelimelle, määritimme Terminal Services licensing-ohjelmiston, asensimme työpöytäkokemuksen Terminal Server-palvelimelle ja määritimme lopuksi terminal server-palvelimelle lisensiointitilan. Seuraavan kerran viimeistelemme asentamalla ja konfiguroimalla Terminal Services Gateway ja RDP client. Lopetamme sitten tekemällä yhteyden ulkoisesta paikasta. Nähdään sitten! -Tom.
jos haluat lukea seuraavan osan tästä artikkelisarjasta, siirry kohtaan Windows Server 2008 Terminal Services Gateway (Osa 2)