om du vill läsa nästa del i den här artikelserien, gå till konfigurera Windows Server 2008 Terminal Services Gateway (del 2)
Microsoft security administrators har alltid varit lite försiktiga med att publicera terminalservrar till Internet. Och av goda skäl-det fanns ingen möjlighet att förverifiera anslutningar eller använda policy för att bestämma vilka användare som kunde komma åt vilka terminalservrar. Bristen på pre-autentisering var ett särskilt svårt problem. Utan förautentisering kan anonyma användare utnyttja sina anonyma anslutningar för att äventyra den publicerade terminalservern. En komprometterad Terminalserver är kanske den farligaste exploateringen som är möjlig mot ditt nätverk, eftersom angriparen har tillgång till ett fullständigt operativsystem för att starta sina attacker.
Windows Server 2008 ger en lösning på detta säkerhetsproblem: Terminal Services Gateway. Med hjälp av en Terminal Services Gateway kan du autentisera användare i förväg och kontrollera vilka terminalservrar användare kan komma åt baserat på referenser och policy. Detta ger dig den finkorniga kontrollen du behöver för att försäkra dig om att du har en säker RDP-lösning för fjärråtkomst.
i den här tvådelsserien om hur man sätter ihop en fungerande Terminal Services Gateway-lösning, kommer vi att använda lab-nätverket som du ser i figuren nedan. Pilarna visar kommunikationsflödet från den externa RDP-klienten till terminalservern.
Figur 1
var och en av servrarna i detta scenario kör Windows Server 2008 Enterprise Edition.
i det här exemplet nätverk använder jag Windows Server 2008 nat server som min Internet-gateway. Du kan använda någon annan enkel nat-enhet eller paketfiltreringsrouter, som en PIX, eller till och med en avancerad brandvägg som Microsoft ISA-brandväggen. Nyckelkonfigurationsalternativet här är att du vidarebefordrar TCP-port 443-anslutningar till Terminal Service Gateway-datorn.
domänkontrollanten har DNS, DHCP, certifikattjänster i Enterprise CA-läge och WINS installerat.
terminalservern har endast basoperativsystemet installerat. Vi kommer att installera andra tjänster under denna artikelserie.
TS Gateway har endast basoperativsystemet installerat. Vi kommer att installera andra tjänster under denna artikelserie.
i den här artikelserien kommer jag att beskriva följande processer och procedurer som du behöver utföra för att få den grundläggande lösningen igång:
- installera Terminal Services och Terminal Services-licensiering på terminalservern
- konfigurera Terminal Services-licensiering
- installera Desktop Experience på terminalservern (tillval)
- konfigurera Terminal Services-Licensläget
- installera Terminal Services Gateway-tjänsten på Terminal Services Gateway
- begär ett certifikat för terminalen Services Gateway
- konfigurera Terminal Services Gateway för att använda certifikatet
- skapa en Terminal Services Gateway Rap
- skapa en Terminal Services Gateway CAP
- konfigurera RDP-klienten för att använda Terminal Services Gateway
installera Terminal Services och Terminal Services Licensing på Terminal Server
det första steget är att installera Terminal Services på Terminal Services-datorn.
utför följande steg för att installera Terminal Services och Terminal Services Licensing:
- öppna Serverhanteraren på Terminal Server-datorn. I Serverhanteraren klickar du på noden roller i den vänstra rutan i konsolen.
- klicka på länken Lägg till roller i den högra rutan i konsolen.
Figur 2
- klicka på Nästa på sidan innan du börjar.
- på sidan Välj serverroller markerar du kryssrutan Terminal Services. Klicka På Nästa.
Figur 3
- klicka på Nästa på sidan Terminal Services.
- på sidan Välj Rolltjänster markerar du kryssrutorna Terminal Server och TS Licensing. Klicka På Nästa.
Figur 4
- klicka på Nästa på sidan avinstallera och installera om program för kompatibilitet.
- på sidan Ange autentiseringsmetod för Terminal Server väljer du Kräv autentisering på nätverksnivå. Vi kan välja det här alternativet i vårt nuvarande scenario eftersom vi bara använder Vista SP1-klienter för att ansluta till terminalservern via TS-gatewayen. Vi skulle inte kunna använda det här alternativet om vi behövde stödja Windows XP SP2-klienter. Du bör dock kunna stödja autentisering på nätverksnivå med Windows XP SP3. Jag har dock ännu inte bekräftat detta, så se till att kontrollera release notes på Windows XP SP3 när den släpps senare i år. Klicka På Nästa.
Figur 5
- på sidan Ange Licensläge väljer du alternativet Konfigurera senare. Vi kunde välja ett alternativ nu, men jag bestämde mig för att vi skulle välja Konfigurera senare så att jag kan visa dig var i Terminal Services-konsolen du konfigurerar licensläget. Klicka På Nästa.
Figur 6
- på sidan välj Använd grupper tillåten åtkomst till den här terminalservern använder du standardalternativen. Du kan lägga till eller ta bort grupper om du vill ha finare inställd åtkomstkontroll över terminalservern. Men om alla dina användare kommer att gå igenom Terminal Services Gateway kan du styra vem som kan ansluta till terminalservern med TS Gateway-principinställningarna. Lämna standardinställningarna som de är och klicka på Nästa.
Figur 7
- på sidan Konfigurera Upptäcktsomfång för Ts-licensiering väljer du alternativet den här domänen. Vi väljer det här alternativet i det här scenariot eftersom vi bara har en enda domän. Om du har en skog med flera domäner kan du överväga att välja alternativet skogen. Klicka På Nästa.
figur 8
- på sidan Bekräfta Installationsval kontrollerar du varningsinformationen som indikerar att du kanske måste installera om program som redan var installerade på den här datorn om du vill att de ska fungera korrekt i en Terminal Services-sessionsmiljö. Observera också att IE Enhanced Security Configuration kommer att stängas av. Klicka På Installera.
Figur 9
- på sidan Installationsresultat ser du en varning om att du måste starta om servern för att slutföra installationen. Klicka På Stäng.
Figur 10
- klicka på Ja i dialogrutan Lägg till roller som frågar om du vill starta om servern.
- logga in som administratör. Installationen fortsätter i några minuter när sidan för Installationsförlopp visas efter att Serverhanteraren kommer upp.
- klicka på Stäng på sidan Installationsresultat när du ser meddelandet Installation lyckades.
Figur 11
- du kan se en ballong som säger att Licensläget för terminaltjänster inte är konfigurerat. Du kan avvisa den varningen, eftersom vi nästa gång konfigurerar Terminal Services-licensiering och sedan konfigurerar licensläget på terminalservern.
Figur 12
konfigurera Terminal Services Licensing
vid den punkten är vi redo att konfigurera Terminal Services Licensing. I det här exemplet kommer jag att använda vissa dummy-data, som inte uppfyller de faktiska kraven för licensiering av Terminal Services-klientanslutningar, men det kommer att ge ett exempel på hur processen fungerar. Använd inte samma procedur som jag visar här för att licensiera dina Terminal Services-klienter, eftersom du inte kommer att uppfylla faktiska licenskrav.
utför följande steg för att aktivera din Terminal Services Licensing Server:
- klicka på Terminal Services-menyn på menyn Administrativa verktyg och klicka sedan på TS Licensing Manager.
- i TS Licensing Manager-konsolen högerklickar du på servernamnet i den vänstra rutan i konsolen. Klicka på Aktivera Server.
figur 13
- klicka på Nästa på sidan Välkommen till Aktivera Serverguiden.
- på sidan anslutningsmetod väljer du alternativet Automatisk anslutning (rekommenderas). Klicka På Nästa.
figur 14
- på sidan Företagsinformation anger du din företagsinformation och klickar på Nästa.
figur 15
- ange valfri information om du vill på sidan Företagsinformation. Klicka På Nästa.
figur 16
- på sidan Slutför aktivera Serverguiden, se till att alternativet Starta installera licenser nu är markerat. Klicka På Nästa.
figur 17
- klicka på Nästa på sidan Välkommen till guiden installera licenser.
- på sidan licensprogram klickar du på nedåtpilen i listan licensprogram och väljer det licensprogram du deltar i. I det här exemplet kommer jag att välja annat avtal eftersom detta lab inte deltar i något licensprogram. Klicka På Nästa.
Figur 18
- på Licensprogramsidan anger du ditt avtalsnummer. I det här exemplet anger vi bara 1234567. Klicka På Nästa.
figur 19
- på sidan Produktversion och licenstyp väljer du Produktversion, licenstyp och kvantitet som passar behoven i din miljö. I den här labbinställningen använder vi Windows Server 2008 terminalservrar, så vi väljer Windows Server 2008. Vi kommer att använda per användare CAL i detta exempel nätverk, så vi kommer att välja Windows Server 2008 TS per användare CAL. Och vi kommer att ange 50 i textrutan kvantitet. Klicka På Nästa.
figur 20
- klicka på Slutför på sidan Slutför guiden installera licenser.
installera Desktop Experience på Terminal Server (tillval)
när Windows Vista-klienter ansluter till en Windows Server 2008 Terminal Server kan de ha en Vista-liknande desktop experience I Terminal Services-sessionen om du installerar alternativet Desktop Experience på Terminal Server.
utför följande steg för att installera funktionen Desktop Experience på terminalservern:
- på sidan Välj funktioner markerar du kryssrutan Desktop Experience. Klicka På Nästa.
figur 21
- klicka på Installera på sidan Bekräfta Installationsval.
- på sidan Installationsresultat läser du varningsinformationen om att du måste starta om datorn för att slutföra installationen. Klicka På Stäng.
- klicka på Ja i dialogrutan som frågar om du vill starta om nu.
- logga in som administratör. Installationen återupptas och tar några minuter, så var tålamod.
- klicka på Stäng på sidan Installationsresultat, vilket visar att installationen lyckades.
konfigurera Licensläget för terminaltjänster
vi avslutar nu med att konfigurera terminalservern genom att ställa in Licensläget för terminaltjänster. Utför följande steg för att konfigurera Licensläget för Terminal Services:
- på menyn Administrativa verktyg klickar du på posten Terminal Services och sedan på Terminal Services Configuration.
- dubbelklicka på Terminal Services Licensing mode i den mellersta rutan i Terminal Services Configuration console.
figur 22
- i dialogrutan Egenskaper väljer du alternativet per användare för alternativet Ange Terminal Services licensing mode. Välj automatiskt upptäck licensserver för alternativet Ange licensserver-upptäcktsläge. Klicka på OK.
figur 23
- klicka på noden licensiering diagnos i den vänstra rutan i konsolen. I den mellersta rutan ser du Detaljer för licenskonfigurationen för den här terminalservern.
figur 24
- Stäng Terminal Service Configuration console.
sammanfattning
i denna del 1 av en tvådelad serie om att skapa en Terminal Services Gateway-lösning med Windows Server 2008 gick vi över installationen av Terminal Server services och Terminal Services licensing på Terminal Server, vi konfigurerade sedan Terminal Services licensing, installerade sedan Desktop Experience på Terminal Server och slutligen konfigurerade licensläget för terminal server. Nästa gång kommer vi att avsluta med att installera och konfigurera Terminal Services Gateway och RDP-klienten. Vi avslutar sedan genom att göra anslutningen från en extern plats. Vi ses då! -Tom.
om du vill läsa nästa del i den här artikelserien, gå till konfigurera Windows Server 2008 Terminal Services Gateway (del 2)