ha szeretné elolvasni a cikksorozat következő részét, kérjük, lépjen a Windows Server 2008 Terminálszolgáltatások átjárójának konfigurálása (2. rész)
A Microsoft biztonsági rendszergazdái mindig is óvatosak voltak a terminálkiszolgálók Interneten történő közzétételével kapcsolatban. És jó okból-nem volt lehetőség a kapcsolatok előzetes hitelesítésére vagy a házirend használatára annak meghatározására, hogy mely felhasználók férhetnek hozzá mely terminálkiszolgálókhoz. Az előzetes hitelesítés hiánya különösen nehéz probléma volt. Előzetes hitelesítés nélkül a névtelen felhasználók kihasználhatják névtelen kapcsolataikat a közzétett Terminálkiszolgáló veszélyeztetésére. A veszélyeztetett Terminálkiszolgáló talán a lehető legveszélyesebb kihasználás a hálózat ellen, mivel a támadó hozzáférhet egy teljes operációs rendszerhez a támadások elindításához.
A Windows Server 2008 megoldást kínál erre a biztonsági problémára: Terminal Services Gateway. A Terminal Services Gateway használatával előzetesen hitelesítheti a felhasználókat, és a hitelesítő adatok és a házirend alapján szabályozhatja, hogy a felhasználók milyen terminálkiszolgálókhoz férhetnek hozzá. Ez megadja a finomszemcsés vezérlést, amelyre szüksége van annak biztosításához, hogy biztonságos távoli hozzáférési RDP-megoldása legyen.
ebben a két részből álló sorozatban, amely egy működő Terminálszolgáltatások átjáró megoldásának összeállításáról szól, az alábbi ábrán látható laboratóriumi hálózatot fogjuk használni. A nyilak a kommunikáció áramlását mutatják a külső RDP kliensről a terminálkiszolgálóra.
1. ábra
az ebben a forgatókönyvben szereplő kiszolgálók mindegyike Windows Server 2008 Enterprise Edition rendszert futtat.
ebben a példahálózatban A Windows Server 2008 NAT kiszolgálót használom internetes átjáróként. Használhat bármilyen más egyszerű NAT eszközt vagy csomagszűrő útválasztót, például egy PIX-et, vagy akár egy fejlett tűzfalat, például a Microsoft ISA tűzfalat. A kulcskonfigurációs lehetőség itt az, hogy a 443-as TCP-port kapcsolatait továbbítja a Terminálszolgáltatási átjáró számítógépéhez.
a tartományvezérlőn DNS, DHCP, tanúsítványszolgáltatások vannak telepítve vállalati hitelesítésszolgáltató módban, és wins van telepítve.
a terminálkiszolgálón csak az alap operációs rendszer van telepítve. A cikksorozat során egyéb szolgáltatásokat telepítünk.
A TS átjárón csak az alap operációs rendszer van telepítve. A cikksorozat során egyéb szolgáltatásokat telepítünk.
ebben a cikksorozatban a következő folyamatokat és eljárásokat írom le, amelyeket végre kell hajtania az alapvető megoldás futtatásához:
- Terminálszolgáltatások és Terminálszolgáltatások licencelésének telepítése a terminálkiszolgálón
- Terminálszolgáltatások licencelésének konfigurálása
- Asztali élmény telepítése a terminálkiszolgálón (opcionális)
- a Terminálszolgáltatások licencelési módjának konfigurálása
- telepítse a Terminálszolgáltatások átjáró szolgáltatását a Terminálszolgáltatások Átjárójára
- tanúsítvány kérése a terminálkiszolgálóhoz Services Gateway
- a terminálszolgáltatások gateway konfigurálása a tanúsítvány használatához
- hozzon létre egy Terminálszolgáltatások Gateway Rap
- hozzon létre egy Terminal Services Gateway CAP
- az RDP-ügyfél konfigurálása a Terminal Services Gateway használatára
a Terminal Services és a Terminal Services Licensing telepítése a terminálkiszolgálón
az első lépés a Terminal Services telepítése a Terminal Services számítógépre.
A Terminálszolgáltatások és a Terminálszolgáltatások licencelésének telepítéséhez hajtsa végre a következő lépéseket:
- a Terminálkiszolgáló számítógépen nyissa meg a Kiszolgálókezelőt. A Kiszolgálókezelőben kattintson a konzol bal oldali ablaktáblájában található szerepek csomópontra.
- kattintson a Szerepkörök hozzáadása hivatkozásra a konzol jobb oldali ablaktáblájában.
ábra 2
- kattintson a Tovább gombra a Mielőtt elkezdené oldal.
- a Kiszolgálói szerepkörök kiválasztása lapon jelölje be a Terminálszolgáltatások jelölőnégyzetet. Kattintson A Tovább Gombra.
ábra 3
- kattintson a Tovább gombra a Terminálszolgáltatások oldalon.
- a Szerepkör-szolgáltatások kiválasztása lapon jelölje be a Terminal Server and TS Licensing jelölőnégyzeteket. Kattintson A Tovább Gombra.
ábra 4
- kattintson a Tovább gombra az alkalmazás eltávolítása és újratelepítése a kompatibilitáshoz oldalon.
- a Terminálkiszolgáló hitelesítési módjának megadása oldalon válassza a hálózati szintű hitelesítés megkövetelése lehetőséget. Ezt a lehetőséget választhatjuk a jelenlegi forgatókönyvünkben, mert csak a Vista SP1 klienseket használjuk a terminálkiszolgálóhoz való csatlakozáshoz a TS átjárón keresztül. Nem tudnánk használni ezt a lehetőséget, ha a Windows XP SP2 ügyfelek támogatására lenne szükségünk. A hálózati szintű hitelesítést azonban a Windows XP SP3 szervizcsomaggal is támogatnia kell. Ezt azonban még nem erősítettem meg, ezért feltétlenül ellenőrizze a Windows XP SP3 kiadási megjegyzéseit, amikor az idén később megjelenik. Kattintson A Tovább Gombra.
ábra 5
- a Licencelési mód megadása lapon válassza a későbbi Konfigurálás lehetőséget. Most választhatunk egy lehetőséget, de úgy döntöttem, hogy később a Konfigurálás lehetőséget kell választanunk, hogy megmutathassam, hol konfigurálja a Terminálszolgáltatások konzoljában a licencelési módot. Kattintson A Tovább Gombra.
ábra 6
- az ehhez a terminálkiszolgálóhoz engedélyezett csoportok kiválasztása lapon használja az alapértelmezett beállításokat. Hozzáadhat vagy eltávolíthat csoportokat, ha finomabban hangolt hozzáférés-vezérlést szeretne a Terminálkiszolgáló felett. Ha azonban az összes felhasználó a Terminálszolgáltatások átjáróján megy keresztül, akkor a TS átjáró házirend-beállításaival szabályozhatja, hogy ki csatlakozhat a terminálkiszolgálóhoz. Hagyja az alapértelmezett beállításokat úgy, ahogy vannak, majd kattintson a Tovább gombra.
ábra 7
- a TS-licencelés felderítési hatókörének konfigurálása oldalon válassza a ez a tartomány lehetőséget. Ebben a forgatókönyvben ezt a lehetőséget választjuk, mert csak egyetlen domainünk van. Ha több tartományból álló erdővel rendelkezik, érdemes az erdő lehetőséget választania. Kattintson A Tovább Gombra.
ábra 8
- a telepítési beállítások megerősítése lapon ellenőrizze a figyelmeztető információkat, amelyek azt jelzik, hogy előfordulhat, hogy újra kell telepítenie a gépen már telepített alkalmazásokat, ha azt szeretné, hogy megfelelően működjenek a Terminálszolgáltatások munkamenetkörnyezetében. Vegye figyelembe azt is, hogy az IE továbbfejlesztett biztonsági konfigurációja ki lesz kapcsolva. Kattintson A Telepítés Gombra.
ábra 9
- a telepítési eredmények oldalon figyelmeztetés jelenik meg, hogy a telepítés befejezéséhez újra kell indítania a kiszolgálót. Kattintson A Bezárás Gombra.
ábra 10
- kattintson az Igen gombra a Szerepkörök hozzáadása varázsló párbeszédpanelen, amely megkérdezi, hogy szeretné-e újraindítani a kiszolgálót.
- jelentkezzen be Rendszergazdaként. A telepítés néhány percig folytatódik, mivel a Kiszolgálókezelő megjelenése után megjelenik a telepítési folyamat oldal.
- kattintson a Bezárás gombra a telepítés eredményoldalán, miután megjelenik a telepítés sikeres üzenet.
ábra 11
- előfordulhat, hogy egy léggömb jelzi, hogy a Terminálszolgáltatások licencelési módja nincs konfigurálva. Elutasíthatja ezt a figyelmeztetést, mivel ezután konfiguráljuk a Terminálszolgáltatások licencelését, majd konfiguráljuk a licencelési módot a terminálkiszolgálón.
12. ábra
konfigurálja a Terminálszolgáltatások licencelését
ezen a ponton készen állunk a Terminálszolgáltatások licencelésének konfigurálására. Ebben a példában néhány dummy adatot fogok használni, amelyek nem felelnek meg a Terminálszolgáltatások ügyfélkapcsolatainak licencelésére vonatkozó tényleges követelményeknek, de példát mutatnak a folyamat működésére. Kérjük, ne használja ugyanazt az eljárást, amelyet itt mutatok be a Terminálszolgáltatások ügyfeleinek licenceléséhez, mert nem felel meg a tényleges licencelési követelményeknek.
A Terminálszolgáltatások Licenckiszolgálójának aktiválásához hajtsa végre a következő lépéseket:
- a Felügyeleti eszközök menüben kattintson a Terminálszolgáltatások Menüre, majd kattintson a TS Licensing Manager elemre.
- a TS Licensing Manager konzolon kattintson a jobb gombbal a kiszolgáló nevére a konzol bal oldali ablaktáblájában. Kattintson aktiválja a szervert.
ábra 13
- kattintson a Tovább gombra az Üdvözöljük a Kiszolgáló aktiválása varázsló oldalon.
- a Csatlakozási mód oldalon válassza az Automatikus csatlakozás (ajánlott) lehetőséget. Kattintson A Tovább Gombra.
ábra 14
- a céginformációk oldalon adja meg céginformációit, majd kattintson a Tovább gombra.
ábra 15
- adja meg a választható információkat, ha úgy tetszik, a céginformációs oldalon. Kattintson A Tovább Gombra.
ábra 16
- a Kiszolgáló aktiválása varázsló befejezése lapon ellenőrizze, hogy be van-e jelölve a Licencek telepítése varázsló indítása most lehetőség. Kattintson A Tovább Gombra.
ábra 17
- kattintson a Tovább gombra az Üdvözöljük a Licencek telepítése varázslólapon.
- a licencprogram oldalon kattintson a lefelé mutató nyílra a licencprogram listában, és válassza ki azt a licencprogramot, amelyben részt vesz. Ebben a példában más megállapodást választok, mivel ez a labor nem vesz részt semmilyen licencprogramban. Kattintson A Tovább Gombra.
ábra 18
- a licencprogram oldalon írja be a szerződés számát. Ebben a példában csak 1234567-et írunk be. Kattintson A Tovább Gombra.
ábra 19
- a Termékverzió és licenctípus oldalon válassza ki a környezet igényeinek megfelelő termékverziót, Licenctípust és mennyiséget. Ebben a laboratóriumi beállításban Windows Server 2008 terminálkiszolgálókat használunk, ezért a Windows Server 2008 lehetőséget választjuk. Ebben a példahálózatban felhasználónkénti CAL-okat fogunk használni, ezért a Windows Server 2008 TS felhasználói CAL-t választjuk. 50-et írunk be a mennyiség szövegmezőbe. Kattintson A Tovább Gombra.
ábra 20
- kattintson a Befejezés gombra a Licencek telepítése varázsló befejezése lapon.
Asztali élmény telepítése a terminálkiszolgálón (opcionális)
amikor a Windows Vista-ügyfelek Windows Server 2008 terminálkiszolgálóhoz csatlakoznak, Vista-szerű asztali élményt kaphatnak a Terminálszolgáltatások munkamenetében, ha telepíti az asztali élmény beállítást a terminálkiszolgálóra.
az asztali élmény funkció terminálkiszolgálóra történő telepítéséhez hajtsa végre a következő lépéseket:
- a Szolgáltatások kiválasztása oldalon jelöljön be egy pipát az asztali élmény jelölőnégyzetbe. Kattintson A Tovább Gombra.
ábra 21
- kattintson a Telepítés gombra a telepítési beállítások megerősítése oldalon.
- a telepítési eredmények oldalon olvassa el a figyelmeztetést, hogy a telepítés befejezéséhez újra kell indítania a számítógépet. Kattintson A Bezárás Gombra.
- kattintson az Igen gombra a párbeszédpanelen, amelyben megkérdezi, hogy most szeretné-e újraindítani.
- jelentkezzen be Rendszergazdaként. A telepítés folytatódik, és néhány percet vesz igénybe, ezért legyen türelmes.
- kattintson a Bezárás gombra a telepítési eredmények oldalon, amely azt mutatja, hogy a telepítés sikeres volt.
a Terminálszolgáltatások licencelési módjának konfigurálása
most befejeztük a Terminálkiszolgáló konfigurálását a Terminálszolgáltatások licencelési módjának beállításával. A Terminálszolgáltatások licencelési módjának konfigurálásához hajtsa végre a következő lépéseket:
- a Felügyeleti eszközök menüben kattintson a Terminálszolgáltatások bejegyzésre, majd a Terminálszolgáltatások konfigurálása elemre.
- a Terminálszolgáltatások konfigurációs konzoljának középső ablaktáblájában kattintson duplán a Terminálszolgáltatások licencelési módjára.
ábra 22
- a Tulajdonságok párbeszédpanelen válassza a Felhasználónként lehetőséget a Terminálszolgáltatások licencelési módjának megadása lehetőséghez. Válassza a licenckiszolgáló automatikus felfedezése lehetőséget a licenckiszolgáló felderítési mód megadása lehetőségnél. Kattintson az OK gombra.
ábra 23
- kattintson a Licencdiagnosztikai csomópontra a konzol bal oldali ablaktáblájában. A középső ablaktáblában a Terminálkiszolgáló licencelési konfigurációjának részletei láthatók.
ábra 24
- zárja be a terminálszolgáltatás konfigurációs konzolját.
Összegzés
A Windows Server 2008 rendszerű Terminal Services Gateway megoldás létrehozásáról szóló kétrészes sorozat 1.részében áttekintettük a Terminal Server services és a Terminal Services licensing telepítését a terminálkiszolgálóra, majd konfiguráltuk a Terminal Services licensing szolgáltatást, majd telepítettük az asztali élményt a terminálkiszolgálóra, és végül konfiguráltuk a terminálkiszolgáló licencelési módját. Legközelebb a Terminal Services Gateway és az RDP kliens telepítésével és konfigurálásával fejezzük be. Ezután befejezzük a kapcsolatot egy külső helyről. Akkor viszlát! – Tom.
ha el szeretné olvasni a cikksorozat következő részét, olvassa el a Windows Server 2008 Terminálszolgáltatások átjárójának konfigurálása (rész 2)