Konfigurowanie bramy usług terminalowych systemu Windows Server 2008 (Część 1)

jeśli chcesz przeczytać następną część tej serii artykułów, przejdź do Konfigurowanie bramki usług terminalowych systemu Windows Server 2008 (część 2)

administratorzy zabezpieczeń firmy Microsoft zawsze byli nieco ostrożni w publikowaniu serwerów terminalowych w Internecie. I nie bez powodu-nie było możliwości wstępnego uwierzytelniania połączeń ani używania zasad do określania, którzy użytkownicy mogą uzyskać dostęp do serwerów terminali. Szczególnie trudnym problemem był brak wstępnego uwierzytelnienia. Bez wstępnego uwierzytelniania anonimowi użytkownicy mogą wykorzystać swoje anonimowe połączenia, aby zagrozić opublikowanemu serwerowi terminali. Skompromitowany serwer terminali jest prawdopodobnie najbardziej niebezpiecznym możliwym exploitem przeciwko twojej sieci, ponieważ atakujący ma dostęp do pełnego systemu operacyjnego, aby rozpocząć swoje ataki.

System Windows Server 2008 zapewnia rozwiązanie tego problemu bezpieczeństwa: Terminal Services Gateway. Za pomocą bramki usług terminalowych można wstępnie uwierzytelniać użytkowników i kontrolować, do których serwerów terminali użytkownicy mogą uzyskać dostęp na podstawie poświadczeń i zasad. Zapewnia to precyzyjną kontrolę potrzebną do zapewnienia bezpiecznego rozwiązania RDP do zdalnego dostępu.

w tej dwuczęściowej serii o tym, jak złożyć działające rozwiązanie bramki usług terminalowych, użyjemy sieci laboratoryjnej, którą widzisz na poniższym rysunku. Strzałki pokazują przepływ komunikacji z zewnętrznego klienta RDP do serwera terminali.

Rysunek 1

każdy z serwerów w tym scenariuszu działa w systemie Windows Server 2008 Enterprise Edition.

w tej przykładowej sieci używam serwera Nat Windows Server 2008 jako bramy internetowej. Możesz użyć dowolnego innego prostego urządzenia NAT lub routera filtrującego pakiety, takiego jak PIX, a nawet zaawansowanej zapory sieciowej, takiej jak Zapora sieciowa Microsoft ISA. Kluczową opcją konfiguracji jest przekierowanie połączeń portu TCP 443 do komputera Terminal Service Gateway.

kontroler domeny ma zainstalowane DNS, DHCP, Usługi certyfikatów w trybie Enterprise CA i WINS.

serwer terminali ma zainstalowany tylko podstawowy system operacyjny. Będziemy instalować inne usługi w trakcie tej serii artykułów.

bramka TS ma zainstalowany tylko podstawowy system operacyjny. Będziemy instalować inne usługi w trakcie tej serii artykułów.

w tej serii artykułów opiszę następujące procesy i procedury, które należy wykonać, aby uruchomić podstawowe rozwiązanie:

• zainstaluj Usługi terminalowe i Licencjonowanie usług terminalowych na serwerze terminalowym
• Skonfiguruj Licencjonowanie usług terminalowych
• zainstaluj Środowisko pulpitu na serwerze terminalowym (opcjonalnie)
• Skonfiguruj tryb licencjonowania usług terminalowych
• zainstaluj usługę Terminal Services Gateway na bramce usług terminalowych
• poproś o certyfikat dla terminala Brama usług
• skonfiguruj bramę usług terminalowych, aby korzystała z certyfikatu
• Utwórz bramę usług terminalowych RAP
• Utwórz Terminal Services Gateway CAP
• Skonfiguruj klienta RDP tak, aby korzystał z Terminal Services Gateway

zainstaluj Usługi terminalowe i Licencjonowanie usług terminalowych na serwerze terminalowym

pierwszym krokiem jest zainstalowanie usług terminalowych na komputerze usług terminalowych.

wykonaj następujące kroki, aby zainstalować Usługi terminalowe i Licencjonowanie usług terminalowych:

1. na komputerze serwera terminali otwórz Menedżera serwera. W Menedżerze serwera kliknij węzeł Role w lewym okienku konsoli.
2. kliknij łącze Dodaj role w prawym okienku konsoli.

Rysunek 2

1. kliknij Dalej na stronie przed rozpoczęciem.
2. na stronie wybierz role serwera zaznacz pole wyboru Usługi terminalowe. Kliknij Dalej.

Rysunek 3

1. kliknij Dalej na stronie Usługi terminalowe.
2. na stronie wybierz usługi ról zaznacz pole wyboru w polach wyboru serwer terminali i licencjonowanie TS. Kliknij Dalej.

Rysunek 4

1. kliknij Dalej na stronie Odinstaluj i zainstaluj ponownie aplikację, aby uzyskać zgodność.
2. na stronie Określ metodę uwierzytelniania dla serwera terminali wybierz Wymaganie uwierzytelniania na poziomie sieci. Możemy wybrać tę opcję w naszym bieżącym scenariuszu, ponieważ używamy tylko klientów Vista SP1 do łączenia się z serwerem terminali przez bramę TS. Nie bylibyśmy w stanie użyć tej opcji, gdybyśmy potrzebowali obsługi klientów Windows XP z dodatkiem SP2. Jednak powinieneś być w stanie obsługiwać Uwierzytelnianie na poziomie sieci w systemie Windows XP SP3. Jednak jeszcze tego nie potwierdziłem, więc sprawdź informacje o wersji systemu Windows XP SP3, gdy zostanie wydany jeszcze w tym roku. Kliknij Dalej.

Rysunek 5

1. na stronie Określanie trybu licencjonowania wybierz opcję Konfiguruj później. Możemy teraz wybrać opcję, ale zdecydowałem, że powinniśmy wybrać konfigurację później, abym mógł ci pokazać, gdzie w konsoli usług terminalowych konfigurujesz tryb licencjonowania. Kliknij Dalej.

Rysunek 6

1. na stronie Wybierz Użyj grup dozwolony dostęp do tego serwera terminali użyj opcji domyślnych. Możesz dodawać lub usuwać grupy, jeśli chcesz lepiej dostrojoną kontrolę dostępu nad serwerem terminali. Jeśli jednak wszyscy użytkownicy będą korzystać z bramki usług terminalowych, możesz kontrolować, kto może łączyć się z serwerem terminali, korzystając z ustawień zasad TS Gateway. Pozostaw ustawienia domyślne takie, jakie są i kliknij Dalej.

Rysunek 7

1. na stronie Konfiguruj Zakres Wykrywania dla licencjonowania TS wybierz opcję ta domena. Wybieramy tę opcję w tym scenariuszu, ponieważ mamy tylko jedną domenę. Jeśli posiadasz Las wielodomenowy, możesz rozważyć wybranie opcji Las. Kliknij Dalej.

Rysunek 8

1. na stronie potwierdź wybór instalacji sprawdź informacje ostrzegawcze wskazujące, że może być konieczne ponowne zainstalowanie aplikacji, które zostały już zainstalowane na tym komputerze, jeśli chcesz, aby działały poprawnie w środowisku sesji usług terminalowych. Należy również pamiętać, że konfiguracja Ie Enhanced Security zostanie wyłączona. Kliknij Zainstaluj.

Rysunek 9

1. na stronie Wyniki instalacji pojawi się ostrzeżenie o konieczności ponownego uruchomienia serwera, aby zakończyć instalację. Kliknij Przycisk Zamknij.

Rysunek 10

1. kliknij Tak w oknie dialogowym Kreator dodawania ról, w którym pojawia się pytanie, czy chcesz ponownie uruchomić serwer.
2. Zaloguj się jako Administrator. Instalacja będzie kontynuowana przez kilka minut, gdy pojawi się strona postępu instalacji po wyświetleniu Menedżera serwera.
3. kliknij Zamknij na stronie wyników instalacji po wyświetleniu komunikatu instalacja zakończyła się pomyślnie.

Rysunek 11

1. może pojawić się balon informujący, że tryb licencjonowania usług terminalowych nie jest skonfigurowany. Możesz odrzucić to Ostrzeżenie, ponieważ następnie skonfigurujemy Licencjonowanie usług terminalowych, a następnie skonfigurujemy tryb licencjonowania na serwerze terminali.

Rysunek 12

Konfiguracja licencjonowania usług terminalowych

W tym momencie jesteśmy gotowi skonfigurować Licencjonowanie usług terminalowych. W tym przykładzie użyję niektórych fałszywych danych, które nie spełniają rzeczywistych wymagań dotyczących licencjonowania połączeń z Klientami usług terminalowych, ale będą stanowić przykład działania tego procesu. Nie używaj tej samej procedury, którą tutaj pokazuję, aby licencjonować swoich klientów usług terminalowych, ponieważ nie będziesz zgodny z rzeczywistymi wymaganiami licencyjnymi.

wykonaj następujące czynności, aby aktywować serwer licencjonowania usług terminalowych:

1. w menu Narzędzia administracyjne kliknij menu Usługi terminalowe, a następnie kliknij TS Licensing Manager.
2. w konsoli TS Licensing Manager kliknij prawym przyciskiem myszy nazwę serwera w lewym okienku konsoli. Kliknij Aktywuj Serwer.

rysunek 13

1. kliknij Dalej na powitanie na stronie Aktywuj Kreatora serwera.
2. na stronie Metoda połączenia wybierz opcję Automatyczne połączenie (zalecane). Kliknij Dalej.

Rysunek 14

1. na stronie Informacje o firmie wprowadź informacje o firmie i kliknij przycisk Dalej.

rysunek 15

1. wprowadź opcjonalne informacje, jeśli chcesz, na stronie Informacje o firmie. Kliknij Dalej.

Rysunek 16

1. na stronie Kończenie Aktywuj Kreatora serwera upewnij się, że opcja rozpocznij instalowanie licencji jest zaznaczona. Kliknij Dalej.

rysunek 17

1. kliknij przycisk Dalej na stronie powitanie Kreatora instalacji licencji.
2. na stronie programu licencyjnego kliknij strzałkę w dół na liście programów licencyjnych i wybierz program licencyjny, w którym uczestniczysz. W tym przykładzie wybiorę inną umowę, ponieważ to laboratorium nie uczestniczy w żadnym programie licencyjnym. Kliknij Dalej.

rysunek 18

1. na stronie programu licencyjnego wprowadź numer umowy. W tym przykładzie po prostu wpisz 1234567. Kliknij Dalej.

rysunek 19

1. na stronie Wersja produktu i typ licencji wybierz wersję produktu, Typ Licencji i ilość, które odpowiadają potrzebom środowiska. W tej konfiguracji laboratorium używamy serwerów terminali Windows Server 2008, więc wybierzemy Windows Server 2008. W tej przykładowej sieci będziemy używać licencji CAL per user, więc wybierzemy Windows Server 2008 TS Per User CAL. I wprowadzimy 50 w polu tekstowym Ilość. Kliknij Dalej.

rysunek 20

1. na stronie Kreatora instalacji licencji kliknij przycisk Zakończ.

zainstaluj Środowisko pulpitu na serwerze terminali (opcjonalnie)

gdy klienci systemu Windows Vista łączą się z serwerem terminali systemu Windows Server 2008, mogą mieć środowisko pulpitu podobne do systemu Vista w sesji usług terminalowych, jeśli zainstalujesz opcję Środowisko pulpitu na serwerze terminali.

wykonaj następujące kroki, aby zainstalować funkcję Desktop Experience na serwerze terminali:

1. na stronie Wybierz funkcje zaznacz pole wyboru pulpit Experience. Kliknij Dalej.

Rysunek 21

1. kliknij przycisk Zainstaluj na stronie potwierdź wybór instalacji.
2. na stronie Wyniki instalacji przeczytaj informacje ostrzegawcze, że aby zakończyć proces instalacji, należy ponownie uruchomić komputer. Kliknij Przycisk Zamknij.
3. kliknij Tak w oknie dialogowym z pytaniem, czy chcesz ponownie uruchomić teraz.
4. Zaloguj się jako administrator. Instalacja zostanie wznowiona i zajmie kilka minut, więc bądź cierpliwy.
5. kliknij Zamknij na stronie wyników instalacji, która pokazuje, że instalacja zakończyła się pomyślnie.

Konfiguracja trybu licencjonowania usług terminalowych

zakończymy konfigurację serwera terminali, ustawiając tryb licencjonowania usług terminalowych. Aby skonfigurować tryb licencjonowania usług terminalowych, wykonaj następujące czynności:

1. w menu Narzędzia administracyjne kliknij pozycję Usługi terminalowe, a następnie kliknij pozycję Konfiguracja usług terminalowych.
2. w środkowym okienku konsoli konfiguracji usług terminalowych kliknij dwukrotnie tryb licencjonowania usług terminalowych.

rysunek 22

1. w oknie dialogowym Właściwości wybierz opcję dla użytkownika dla opcji określ tryb licencjonowania usług terminalowych. Wybierz opcję Automatycznie odkrywaj serwer licencji, aby określić tryb odkrywania serwera licencji. Kliknij OK.

rysunek 23

1. kliknij węzeł Diagnostyka licencji w lewym okienku konsoli. W środkowym okienku zobaczysz szczegóły konfiguracji licencji dla tego serwera terminali.

rysunek 24

1. zamknij konsolę konfiguracji usługi terminala.

podsumowanie

w tej części 1 z dwuczęściowej serii dotyczącej tworzenia rozwiązania bramy usług terminalowych przy użyciu systemu Windows Server 2008, przeszliśmy instalację usług serwera terminalowego i licencjonowania usług terminalowych na serwerze terminalowym, następnie skonfigurowaliśmy Licencjonowanie usług terminalowych, następnie zainstalowaliśmy Środowisko pulpitu na serwerze terminalowym i ostatecznie skonfigurowaliśmy tryb licencjonowania dla serwera terminalowego. Następnym razem zakończymy instalację i konfigurację bramki usług terminalowych oraz klienta RDP. Następnie zakończymy połączenie z zewnętrznej lokalizacji. Do zobaczenia! – Tom.

jeśli chcesz przeczytać następną część tej serii artykułów, przejdź do Konfigurowanie bramy usług terminalowych systemu Windows Server 2008 (część 2)