• biuro@ar-net.info
  • 48 663 208 340

Windows Server 2008 Terminal Services Gateway (cz. 1)

Windows Server 2008 Terminal Services Gateway (cz. 1)

 

Jak zorganizować usługę Terminal Services Gateway.

Administratorzy ds. bezpieczeństwa Microsoftu zawsze byli trochę nieufni przy udostępnianiu w Internecie serwerów terminalowych. I ze słusznego powodu: nie było możliwości wcześniejszego sprawdzenia uwierzytelnień połączeń lub wykorzystania polityki w celu określenia, którzy użytkownicy mogą mieć dostęp do których serwerów terminalowych. Brak wcześniejszego sprawdzenia uwierzytelnień był szczególnie trudnym problemem. Bez niego anonimowi użytkownicy mogli wykorzystać swoje anonimowe połączenia, aby wejść do udostępnionego serwera terminalowego. Naruszony w taki sposób serwer terminalowy jest przypuszczalnie najniebezpieczniejszym z możliwych nadużyć sieci, ponieważ atakujący ma dostęp do całego systemu operacyjnego do rozpoczęcia swoich ataków.

 

Windows Server 2008 dostarcza rozwiązania dla tego problemu dotyczącego bezpieczeństwa: Terminal Services Gateway. Przy jej użyciu możesz wcześniej sprawdzić uwierzytelnienia użytkowników i kontrolować do czego użytkownicy serwera terminalowego mogą mieć dostęp w oparciu o uwierzytelnienia oraz politykę. Daje to precyzyjną kontrolę, jakiej potrzebujesz do zabezpieczenia zdalnego dostępu RDP.

 

W tej dwuczęściowej serii na temat jak zorganizować rozwiązanie Terminal Services Gateway, użyjemy sieci laboratoryjnej, jaką widać na rysunku poniżej. Strzałki pokazują przepływ komunikacji od zewnętrznego klienta RDP do serwera terminalowego.

 

Rysunek 1

 

Każdy z serwerów w tym scenariuszu działa pod systemem Windows Server 2008 Enterprise Edition.

 

W tej przykładowej sieci korzystam z serwera Windows Server 2008 NAT jako mojej bramy internetowej. Możesz wykorzystać jakiekolwiek inne, proste urządzenie NAT lub router filtrowania pakietów, np. PIX, lub nawet zaawansowaną zaporę sieciową, taką jak Microsoft ISA Firewall. Główną opcją konfiguracji jest tutaj to, że przekierowujesz połączenia portu 443 protokołu TCP do komputera Terminal Service Gateway.

 

Kontroler domeny ma zainstalowane DNS, DHCP, Certificate Services w trybie Enterprise CA oraz WINS.

 

Serwer terminalowy ma zainstalowany jedynie bazowy system operacyjny. Zainstalujemy inne usługi w tej serii artykułów.

 

Brama Usług Terminalowych ma zainstalowany jedynie bazowy system operacyjny. Zainstalujemy inne usługi w tej serii artykułów.

 

W tej serii artykułów opiszę następujące procesy i procedury, które należy wykonać, aby podstawowe rozwiązanie działało:

  • Instalacja Terminal Services i Terminal Services Licensing na serwerze terminalowym
  • Konfiguracja Terminal Services Licensing
  • Instalacja Desktop Experience na serwerze terminalowym (opcjonalnie)
  • Konfiguracja trybu Terminal Services Licensing Mode
  • Instalacja Terminal Services Gateway Service na Terminal Services Gateway
  • Wymóg certyfikatu dla Terminal Services Gateway
  • Konfiguracja Terminal Services Gateway, aby wykorzystywała certyfikat
  • Stworzenie Terminal Services Gateway RAP
  • Stworzenie Terminal Services Gateway CAP
  • Konfiguracja Klienta RDP, aby wykorzystywał Terminal Services Gateway.

 

Zainstaluj Terminal Services oraz Terminal Services Licensing na serwerze terminalowym

Pierwszym krokiem jest instalacja Terminal Services na komputerze Terminal Services.

Postępuj według następujących kroków, aby zainstalować Terminal Services i Terminal Services Licensing:

  1. Na komputerze Terminal Server computer otwórz Server Manager. W Server Manager kliknij na węzeł Roles w lewym polu konsoli.
  2. Kliknij link Add Roles w prawym polu konsoli.

 


Rysunek 2
 

  1. Kliknij Next na stronie Before You Begin.
  2. Na stronie Select Server Roles zaznacz pole wyboru Terminal Services. Kliknij Next.

Rysunek 3

 

  1. Kliknij Next na stronie Terminal Services.
  2. Na stronie Select Role Services zaznacz pole wyboru Terminal Server i TS Licensing. Kliknij Next.

Rysunek 4

 

  1. Kliknij Next na stronie Uninstall and Reinstall Application for Compatibility.
  2. Na stronie Specify Authentication Method for Terminal Server wybierz Require Network Level Authentication. Możemy wybrać tę opcję w naszym aktualnym scenariuszu, ponieważ używamy tylko klientów Vista SP1 do połączenia do serwera terminalowego poprzez Bramę Usług Terminalowych. Nie bylibyśmy w stanie użyć tej opcji, gdybyśmy musieli obsługiwać klientów Windows XP SP2. Jednak powinieneś być w stanie obsługiwać Network Level Authentication pod systemem Windows XP SP3. Jednakże jeszcze tego nie potwierdziłem, więc upewnij się, że sprawdziłeś informacje o wersji systemu Windows XP SP3, gdy jest on wypuszczany w późniejszym okresie tego roku. Kliknij Next.

Rysunek 5

 

  1. Na stronie Specify Licensing Mode wybierz opcję Configure later. Moglibyśmy teraz wybrać opcję, ale zdecydowałem, że powinniśmy wybrać Configure later, abym mógł pokazać, gdzie w konsoli Terminal Services można skonfigurować tryb licencji. Kliknij Next.

Rysunek 6

 

  1. Na stronie Select Use Groups Allowed Access To This Terminal Server skorzystaj z opcji domyślnych. Możesz dodać lub usunąć grupy, jeżeli chcesz mieć bardziej precyzyjne ustawienie dostępu kontroli nad serwerem terminalowym. Jednak jeśli wszyscy użytkownicy będą przechodzić przez Bramę Usług Terminalowych, to wtedy możesz kontrolować, kto się łączy z serwerem terminalowym przy użyciu ustawień polityki Bramy Usług Terminalowych. Pozostań przy ustawieniach domyślnych w takiej postaci, w jakiej są i kliknij Next.

Rysunek 7

 

  1. Na stronie Configure Discovery Scope for TS Licensing wybierz opcję This domain. Wybieramy tę opcję w naszym scenariuszu, ponieważ mamy tylko pojedynczą domenę. Jeśli masz las wielu domen, możesz rozważyć wybranie opcji The forest. Kliknij Next.

Rysunek 8

 

  1. Na stronie Confirm Installation Selections sprawdź informacje ostrzegające, które wskazują, że być może będziesz musiał przeinstalować aplikacje, które są już zainstalowane na komputerze, jeżeli chcesz, aby działały prawidłowo w środowisku sesji Usług Terminalowych. Zauważ także, że konfiguracja IE Enhanced Security Configuration będzie wyłączona. Kliknij Install.

Rysunek 9

 

  1. Na stronie Installation Results zobaczysz ostrzeżenie, że musisz zrestartować serwer, aby zakończyć instalację. Kliknij Close.

Rysunek 10

 

  1. Kliknij Yes w oknie dialogowym Add Roles Wizard, które spyta czy chcesz zrestartować serwer.
  2. Zaloguj się jako Administrator. Instalacja będzie trwać kilka minut, a strona Installation Progress się pojawi po ukazaniu się Server Manager.
  3. Kliknij Close na stronie Installation Results po tym, jak zobaczysz wiadomość Installation succeeded.

Rysunek 11

 

  1. Możesz zobaczyć dymek, mówiący o tym, że Terminal Services licensing mode is not configured (Tryb licencyjny Usług Terminalowych nie jest skonfigurowany). Możesz odrzucić to ostrzeżenie, ponieważ później skonfigurujemy Terminal Services Licensing, a następnie skonfigurujemy tryb licencyjny na serwerze terminalowym.

Rysunek 12

 

Skonfiguruj Terminal Services Licensing

W tym momencie jesteśmy gotowi, aby skonfigurować Terminal Services Licensing. W tym przykładzie użyję próbnych danych, które nie spełniają rzeczywistych wymagań dla licencjonowania połączeń klienta Usług Terminalowych, ale dostarczy przykładu na to, jak ten proces działa. Proszę NIE używać tej samej procedury, jaką tu pokazuję do licencjonowania swoich klientów Usług Terminalowych, ponieważ nie będą one zgodne z rzeczywistymi wymaganiami licencjonowania.

 

Postępuj według następujących kroków, aby aktywować swój Terminal Services Licensing Server:

  1. Z menu Administrative Tools kliknij na menu Terminal Services, a następnie kliknij na TS Licensing Manager.
  2. W konsoli TS Licensing Manager prawym przyciskiem myszy kliknij na nazwę serwera w lewym polu konsoli. Kliknij na Activate Server.

Rysunek 13

 

  1. Kliknij Next na stronie Welcome to the Activate Server Wizard.
  2. Na stronie Connection Method wybierz opcję Automatic Connection (recommended). Kliknij Next.

Rysunek 14

 

  1. Na stronie Company Information wpisz informacje o swojej firmie i kliknij Next.

Rysunek 15

 

  1. Jeśli chcesz, wpisz dodatkowe informacje na stronie Company Information. Kliknij Next.

Rysunek 16

 

  1. Na stronie Completing the Activate Server Wizard upewnij się, że zaznaczona jest teraz opcja Start Install Licenses Wizard. Kliknij Next.

Rysunek 17

 

  1. Kliknij Next na stronie Welcome to the Install Licenses Wizard.
  2. Na stronie License Program kliknij strzałkę w dół na liście License program i wybierz program licencyjny, w którym bierzesz udział. W tym przykładzie wybiorę Other agreement, ponieważ to laboratorium nie uczestniczy w żadnym programie licencyjnym. Kliknij Next.

Rysunek 18

 

  1. Na stronie License Program wpisz swój numer umowy Agreement number. W tym przykładzie wpiszę jedynie 1234567. Kliknij Next.

Rysunek 19

 

  1. Na stronie Product Version and License Type wybierz Product version (wersja produktu), License type (rodzaj licencji) oraz Quantity (ilość), które pasują do potrzeb Twojego środowiska. W tej laboratoryjnej konfiguracji korzystamy z Windows Server 2008 Terminal Servers, więc wybierzemy Windows Server 2008. W tej przykładowej sieci używamy licencji dostępowych typu „per user”, więc wybierzemy Windows Server 2008 TS Per User CAL. I wpiszemy 50 w oknie tekstowym Quantity. Kliknij Next.

Rysunek 20

 

  1. Kliknij Finish na stronie Completing the Install Licenses Wizard.

 

Zainstaluj Desktop Experience na Terminal Server (opcjonalnie)


Kiedy klienci Windows Vista podłączają się do Windows Server 2008 Terminal Server, mogą mieć podobną do Visty funkcję desktop experience w sesji Terminal Services, jeśli zainstalujesz opcję Desktop Experience na serwerze terminalowym.

 

Postępuj według następujących kroków, aby zainstalować funkcję Desktop Experience na serwerze terminalowym:

  1. Na stronie Select Features zaznacz pole wyboru Desktop Experience. Kliknij Next.

Rysunek 21

 

  1. Kliknij Install na stronie Confirm Installation Selections.
  2. Na stronie Installation Results przeczytaj informację ostrzegającą o tym, że musisz zrestartować komputer, aby zakończyć proces instalacji. Kliknij Close.
  3. Kliknij Yes w oknie dialogowym, jeżeli chcesz zrestartować komputer w tej chwili.
  4. Zaloguj się jako administrator. Instalacja zostanie wznowiona i zajmie kilka minut, więc bądź cierpliwy.
  5. Kliknij Close na stronie Installation Results, która pokazuje, że instalacja się powiodła.

 

Skonfiguruj tryb Terminal Services Licensing Mode


Zakończymy teraz wszystko, konfigurując serwer terminalowy poprzez ustawienie trybu Terminal Services Licensing Mode. Postępuj według następujących kroków, aby skonfigurować tryb Terminal Services Licensing Mode:

  1. Z menu Administrative Tools kliknij wpis Terminal Services i następnie kliknij Terminal Services Configuration.
  2. W środkowym polu konsoli Terminal Services Configuration kliknij dwukrotnie Terminal Services Licensing mode.

Rysunek 22

 

  1. W oknie dialogowym Properties wybierz opcję Per User dla opcji Specify the Terminal Services licensing mode. Wybierz Automatically discover license server dla opcji Specify the license server discovery mode. Kliknij OK.

Rysunek 23

 

  1. Kliknij węzeł Licensing Diagnosis w lewym polu konsoli. W środkowym polu zobaczysz szczegóły, dotyczące konfiguracji licencjonowania dla tego serwera terminalowego.

Rysunek 24

 

  1. Zamknij konsolę Terminal Service Configuration.

Podsumowanie

W pierwszej części tej dwuczęściowej serii na temat tworzenia rozwiązania Terminal Services Gateway przy użyciu Windows Server 2008, przeszliśmy przez instalację usług serwera terminalowego oraz licencjonowania usług terminalowych na serwerze terminalowym, następnie skonfigurowaliśmy licencjonowanie usług terminalowych, potem zainstalowaliśmy funkcję Desktop Experience na serwerze terminalowym i w końcu skonfigurowaliśmy tryb licencjonowania dla serwera terminalowego. Następnym razem zakończymy temat poprzez instalację i konfigurację Bramy Usług Terminalowych oraz klienta RDP. Na samym końcu zrobimy połączenie z zewnętrznej lokalizacji. Do zobaczenia! –Tom.

 


Potrzebujesz wsparcia