Se volete leggere la prossima parte di questa serie di articoli, si prega di andare a Configurazione di Windows Server 2008 Gateway di Servizi Terminal (Parte 2)
Microsoft security amministratori sono sempre stati un po ‘ diffidente di pubblicazione Terminal Server a Internet. E per una buona ragione – non c’era la possibilità di pre-autenticare le connessioni o utilizzare criteri per determinare quali utenti potevano accedere a quali Terminal Server. La mancanza di pre-autenticazione era un problema particolarmente difficile. Senza la pre-autenticazione, gli utenti anonimi potrebbero sfruttare le loro connessioni anonime per compromettere il server Terminal pubblicato. Un server terminale compromesso è forse l’exploit più pericoloso possibile contro la rete, come l’attaccante ha accesso a un sistema operativo completo per lanciare i suoi attacchi.
Windows Server 2008 fornisce una soluzione a questo problema di sicurezza: Terminal Services Gateway. Utilizzando un Terminal Services Gateway, è possibile pre-autenticare gli utenti e controllare a quali Terminal Server gli utenti possono accedere in base a credenziali e criteri. Questo ti dà il controllo a grana fine è necessario per assicurare che si dispone di una soluzione RDP accesso remoto sicuro.
In questa serie in due parti su come mettere insieme una soluzione di lavoro Terminal Services Gateway, useremo la rete di laboratorio che vedete nella figura seguente. Le frecce mostrano il flusso di comunicazioni dal client RDP esterno al server Terminal.
Figura 1
Ciascuno dei server in questo scenario esegue Windows Server 2008 Enterprise Edition.
In questa rete di esempio, sto usando il server NAT di Windows Server 2008 come gateway Internet. È possibile utilizzare qualsiasi altro dispositivo NAT semplice o router di filtraggio dei pacchetti, come un PIX, o anche un firewall avanzato come il firewall Microsoft ISA. L’opzione di configurazione chiave qui è che si inoltrano le connessioni della porta TCP 443 al computer Terminal Service Gateway.
Il controller di dominio dispone di DNS, DHCP, Servizi di certificazione in modalità Enterprise CA e WINS installati.
Il Terminal Server ha installato solo il sistema operativo di base. Installeremo altri servizi durante il corso di questa serie di articoli.
Il gateway TS ha installato solo il sistema operativo di base. Installeremo altri servizi durante il corso di questa serie di articoli.
In questa serie di articoli descriverò i seguenti processi e procedure che è necessario eseguire per ottenere la soluzione di base in esecuzione:
- Installazione di Servizi Terminal e gestione Licenze Servizi Terminal sul Server Terminal
- Configura gestione Licenze Servizi Terminal
- Installare Esperienza Desktop sul Terminal Server (opzionale)
- Configurare le Licenze di Servizi Terminal in Modalità
- Installare il Gateway di Servizi Terminal sul Gateway di Servizi Terminal
- Richiesta di un Certificato per il Gateway di Servizi Terminal
- Configurare il Gateway di Servizi Terminal per l’Utilizzo del Certificato
- Creare un Gateway di Servizi Terminal RAP
- Creare un Terminal Services Gateway CAP
- Configurare il client RDP per utilizzare Terminal Services Gateway
Installare Terminal Services e Terminal Services Licensing sul Terminal Server
Il primo passo consiste nell’installare Terminal Services sul computer Terminal Services.
Eseguire le seguenti operazioni per installare Terminal Services e Terminal Services Licensing:
- Nel computer Terminal Server, aprire Gestione server. In Gestione Server, fare clic sul nodo Ruoli nel riquadro sinistro della console.
- Fare clic sul collegamento Aggiungi ruoli nel riquadro destro della console.
Figura 2
- Fare clic su Avanti nella pagina Prima di iniziare.
- Nella pagina Seleziona ruoli server, inserire un segno di spunta nella casella Servizi terminal. Fare clic su Avanti.
Figura 3
- Fare clic su Avanti nella pagina Servizi terminal.
- Nella pagina Seleziona servizi ruolo, inserire un segno di spunta nelle caselle di controllo Terminal Server e TS Licensing. Fare clic su Avanti.
Figura 4
- Fare clic su Avanti nella pagina Disinstalla e Reinstalla applicazione per la compatibilità.
- Nella pagina Specifica metodo di autenticazione per Terminal Server, selezionare Richiedi autenticazione a livello di rete. Possiamo selezionare questa opzione nel nostro scenario attuale perché stiamo utilizzando solo i client Vista SP1 per connettersi al Terminal Server tramite il Gateway TS. Non saremmo in grado di utilizzare questa opzione se avessimo bisogno di supportare i client Windows XP SP2. Tuttavia, dovresti essere in grado di supportare l’autenticazione a livello di rete con Windows XP SP3. Tuttavia, non ho ancora confermato questo, quindi assicuratevi di controllare le note di rilascio su Windows XP SP3 quando viene rilasciato entro la fine dell’anno. Fare clic su Avanti.
Figura 5
- Nella pagina Specifica modalità di licenza, selezionare l’opzione Configura in seguito. Potremmo selezionare un’opzione ora, ma ho deciso che dovremmo selezionare Configura in seguito in modo da poterti mostrare dove nella console dei servizi Terminal configuri la modalità di licenza. Fare clic su Avanti.
Figura 6
- Nella pagina Seleziona Utilizza gruppi Consentito l’accesso a Questo Terminal Server, utilizzare le opzioni predefinite. È possibile aggiungere o rimuovere gruppi se si desidera un controllo di accesso più preciso sul server Terminal. Tuttavia, se tutti gli utenti passeranno attraverso il Terminal Services Gateway, è possibile controllare chi può connettersi al Terminal Server utilizzando le impostazioni dei criteri TS Gateway. Lasciare le impostazioni predefinite così come sono e fare clic su Avanti.
Figura 7
- Nella pagina Configura ambito di rilevamento per licenze TS, selezionare l’opzione Questo dominio. Selezioniamo questa opzione in questo scenario perché abbiamo solo un singolo dominio. Se si dispone di una foresta multi-dominio, è possibile selezionare l’opzione La foresta. Fare clic su Avanti.
Figura 8
- Nella pagina Conferma selezioni di installazione, controllare le informazioni di avviso che indicano che potrebbe essere necessario reinstallare le applicazioni già installate sulla macchina se si desidera che funzionino correttamente in un ambiente di sessione di Servizi Terminal. Si noti inoltre che la configurazione di sicurezza avanzata di IE verrà disattivata. Fare clic su Installa.
Figura 9
- Nella pagina dei risultati dell’installazione, verrà visualizzato un avviso che è necessario riavviare il server per completare l’installazione. Fare clic su Chiudi.
Figura 10
- Fare clic su Sì nella finestra di dialogo Aggiungi ruoli guidata che chiede se si desidera riavviare il server.
- Accedere come Amministratore. L’installazione continuerà per alcuni minuti quando viene visualizzata la pagina di avanzamento dell’installazione dopo l’apertura di Server Manager.
- Fare clic su Chiudi nella pagina dei risultati dell’installazione dopo aver visualizzato il messaggio Installazione riuscita.
Figura 11
- Si può vedere un palloncino che ti dice che Terminal Services modalità di licenza non è configurato. È possibile ignorare tale avviso, in quanto verrà successivamente configurata la licenza dei servizi terminal e quindi configurare la modalità di licenza sul Server Terminal.
Figura 12
Configura le licenze dei servizi terminal
Al momento siamo pronti per configurare le licenze dei servizi Terminal. In questo esempio userò alcuni dati fittizi, che non soddisfano i requisiti effettivi per la licenza delle connessioni client Terminal Services, ma fornirà un esempio di come funziona il processo. Si prega di non utilizzare la stessa procedura che vi mostro qui per concedere in licenza i vostri clienti Terminal Services, perché non sarà conforme con i requisiti di licenza effettivi.
Eseguire le seguenti operazioni per attivare il server licenze Terminal Services:
- Dal menu Strumenti di amministrazione, fare clic sul menu Servizi terminal e quindi fare clic su TS Licensing Manager.
- Nella console di TS Licensing Manager, fare clic con il pulsante destro del mouse sul nome del server nel riquadro sinistro della console. Fare clic su Attiva server.
Figura 13
- Fare clic su Avanti nella pagina Benvenuto alla procedura guidata Attiva server.
- Nella pagina Metodo di connessione, selezionare l’opzione Connessione automatica (consigliata). Fare clic su Avanti.
Figura 14
- Nella pagina Informazioni sulla società, inserire le informazioni sulla società e fare clic su Avanti.
Figura 15
- Inserisci informazioni facoltative se ti piace nella pagina Informazioni sulla società. Fare clic su Avanti.
Figura 16
- Nella pagina Completamento dell’attivazione guidata server, assicurarsi che l’opzione Avvia installazione guidata licenze ora sia selezionata. Fare clic su Avanti.
Figura 17
- Fare clic su Avanti nella pagina Benvenuto alla procedura guidata Installazione licenze.
- Nella pagina del programma di licenza, fare clic sulla freccia verso il basso nell’elenco dei programmi di licenza e selezionare il programma di licenza a cui si partecipa. In questo esempio selezionerò un altro accordo poiché questo laboratorio non partecipa a nessun programma di licenza. Fare clic su Avanti.
Figura 18
- Nella pagina Programma di licenza, inserire il numero del contratto. In questo esempio inseriremo semplicemente 1234567. Fare clic su Avanti.
Figura 19
- Nella pagina Versione del prodotto e tipo di licenza, selezionare la versione del prodotto, il tipo di licenza e la quantità che si adattano alle esigenze dell’ambiente. In questa configurazione di laboratorio, stiamo utilizzando Windows Server 2008 Terminal Server, quindi selezioneremo Windows Server 2008. Useremo per utente CALs in questa rete di esempio, quindi selezioneremo Windows Server 2008 TS Per Utente CAL. E inseriremo 50 nella casella di testo Quantità. Fare clic su Avanti.
Figura 20
- Fare clic su Fine nella pagina Completamento della procedura guidata Installazione licenze.
Installa esperienza desktop sul Terminal Server (opzionale)
Quando i client Windows Vista si connettono a un Terminal Server Windows Server 2008, possono avere un’esperienza desktop simile a Vista nella sessione Servizi Terminal se si installa l’opzione Esperienza desktop sul Terminal Server.
Eseguire le seguenti operazioni per installare la funzionalità Esperienza desktop sul server Terminal:
- Nella pagina Seleziona funzionalità, inserisci un segno di spunta nella casella Esperienza desktop. Fare clic su Avanti.
Figura 21
- Fare clic su Installa nella pagina Conferma selezioni installazione.
- Nella pagina dei risultati dell’installazione, leggere le informazioni di avviso che è necessario riavviare il computer per completare il processo di installazione. Fare clic su Chiudi.
- Fare clic su Sì nella finestra di dialogo per chiedere se si desidera riavviare ora.
- Accedere come amministratore. L’installazione riprenderà e richiederà alcuni minuti, quindi sii paziente.
- Fare clic su Chiudi nella pagina dei risultati dell’installazione, che mostra che l’installazione è riuscita.
Configura la modalità di licenza dei servizi Terminal
Completeremo la configurazione del Terminal Server impostando la modalità di licenza dei servizi Terminal. Eseguire le seguenti operazioni per configurare la modalità di licenza dei servizi terminal:
- Dal menu Strumenti di amministrazione, fare clic sulla voce Servizi terminal, quindi su Configurazione servizi terminal.
- Nel riquadro centrale della console di configurazione Servizi terminal, fare doppio clic su Modalità licenza Servizi terminal.
Figura 22
- Nella finestra di dialogo Proprietà, selezionare l’opzione Per utente per l’opzione Specifica la modalità di licenza dei servizi terminal. Selezionare Discover Automatically license server per l’opzione Specifica la modalità di rilevamento del server delle licenze. Fare clic su OK.
Figura 23
- Fare clic sul nodo Diagnosi licenze nel riquadro sinistro della console. Nel riquadro centrale vengono visualizzati i dettagli per la configurazione delle licenze per questo Terminal Server.
Figura 24
- Chiudere la console di configurazione del servizio terminale.
Sommario
In questo, la parte 1 di una serie in due parti sulla creazione di un Gateway di Servizi Terminal soluzione di utilizzo di Windows Server 2008, siamo andati oltre l’installazione di Terminal Server e servizi di gestione licenze Servizi Terminal sul Server Terminal, si è quindi configurato gestione licenze Servizi Terminal, quindi installato l’Esperienza Desktop sul Server Terminal e, infine, configurato la modalità di gestione licenze di terminal server. La prossima volta finiremo installando e configurando il Terminal Services Gateway e il client RDP. Ci sarà poi finire facendo la connessione da una posizione esterna. Ci vediamo allora! -Tom.
Se si desidera leggere la parte successiva di questa serie di articoli, andare a Configurazione del gateway di servizi terminal di Windows Server 2008 (Parte 2)