• biuro@ar-net.info
  • 48 663 208 340

Windows Server 2008 Terminal Services Gateway (cz. 2)

Windows Server 2008 Terminal Services Gateway (cz. 2)

Jak zainstalować i skonfigurować Bramę Usług Terminalowych oraz klienta RDP; wykonywanie i sprawdzanie połączenia.
Źródło: www.windowsecurity.com
Tłumaczenie: Monika Palonek, Bielsko-Biała

W pierwszej części tej serii artykułów dokonaliśmy podstawowej instalacji usług terminalowych i ich licencjonowania oraz skonfigurowaliśmy tryb licencjonowania serwera terminalowego. W tej, drugiej, części zakończymy temat poprzez instalację i konfigurację Bramy Usług Terminalowych oraz klienta RDP. Na samym końcu zrobimy połączenie, aby zobaczyć czy działa.

 

Instalacja Terminal Services Gateway Service na Terminal Services Gateway

Skierujemy teraz naszą uwagę na komputer Bramy Usług Terminalowych. Jest to komputer, do którego początkowo będą się podłączać zewnętrzni klienci przy wykonywaniu swoich połączeń klienta usług terminalowych.

 

Postępuj według następujących kroków, aby zainstalować Terminal Services Gateway na komputerze Terminal Services Gateway:

  1. Otwórz Server Manager na komputerze Terminal Services Gateway. Kliknij na węzeł Roles w lewym polu konsoli i następnie kliknij link Add Role w prawym polu.
  2. Kliknij Next na stronie Before You Begin.
  3. Na stronie Select Server Roles zaznacz pole wyboru przy Terminal Services.
  4. Na stronie Terminal Services kliknij Next.
  5. Na stronie Select Role Services zaznacz pole wyboru przy TS Gateway. Zobaczysz wtedy okno dialogowe Add Roles Wizard, pytające czy chcesz Add role services and features required for TS Gateway (Dodać usługi ról i funkcje wymagane dla Bramy Usług Terminalowych). Kliknij przycisk Add Required Role Services.

Rysunek 1

  1. Kliknij Next na stronie Select Role Services.
  2. Na stronie Choose a Server Authentication Certificate for SSL Encryption wybierz opcję Choose a certificate for SSL encryption later. Wybieramy tę opcję, ponieważ nie stworzyliśmy jeszcze certyfikatu dla TS Gateway, który korzystałby z połączenia SSL między sobą a klientem RDP. Poprosimy o ten certyfikat później i wtedy skonfigurujemy TS Gateway, aby korzystał z certyfikatu. Kliknij Next.

Rysunek 2

  1. Na stronie Create Authorization Policies for TS Gateway wybierz opcję Later. Wybieramy tę opcję, ponieważ chcę Cię zabrać do konsoli TS Gateway i pokazać jak skonfigurować polityki autoryzacji w konsoli. Kliknij Next.

Rysunek 3

  1. Kliknij Next na stronie Network Policy and Access Services.
  2. Na stronie Select Role Services upewnij się, że pole wyboru Network Policy Server jest zaznaczone. Kliknij Next.

 


Rysunek 4

  1. Na stronie Web Server (IIS) kliknij Next.
  2. Na stronie Select Role Services zaakceptuj domyślne usługi ról wybrane przez kreatora. To są usługi wymagane do uruchomienia usługi TS Gateway. Kliknij Next.

 


Rysunek 5

  1. Przeglądnij informacje na stronie Confirm Installation Selections i kliknij Install.

 


Rysunek 6

  1. Kliknij Close na stronie Installation Results, która pokazuje, że instalacja się powiodła.


Wywołanie certyfikatu dla Terminal Services Gateway

Teraz możemy poprosić o certyfikat, który będzie mógł być użyty przez witrynę TS Gateway do ustanowienia połączenia SSL z klientem RDP.

 

Postępuj według następujących kroków, aby wywołać certyfikat dla komputera TS Gateway:

  1. Z menu Administrative Tools kliknij Internet Information Services (IIS) Manager.
  2. W konsoli Internet Information Services (IIS) Manager kliknij na nazwę serwera w lewym polu konsoli. Kliknij dwukrotnie ikonę Server Certificates w środkowym polu konsoli.

 


Rysunek 7

  1. W prawym polu konsoli kliknij link Create Domain Certificate.

 


Rysunek 8

  1. Na stronie Distinguished Name Properties wpisz informacje określone przez tę stronę. Najważniejszym wpisem jest Common name. Nazwa, którą tu wpiszesz, musi być taka sama jak nazwa, jaką klient Usług Terminalowych ma skonfigurowaną do wykorzystywania przy kontaktowaniu się z komputerem TS Gateway. Jest to także nazwa, jaką Twój publiczny serwer DNS miałby skonfigurowaną do dostarczania publicznego adresu, który umożliwia dostęp do TS Gateway. W większości przypadków będzie to router lub zewnętrzny interfejs urządzenia NAT, lub być może zewnętrzny interfejs zaawansowanej zapory sieciowej, takiej jak Microsoft ISA Firewall. Kliknij Next.

 


Rysunek 9

  1. Na stronie Online Certification Authority kliknij przycisk Select. W oknie dialogowym Select Certification Authority wybierz nazwę Enterprise CA, z którego chcesz otrzymać certyfikat. Pamiętaj, że jesteśmy w stanie otrzymać certyfikat domeny i automatycznie go zainstalować, ponieważ korzystamy z Enterprise CA. Gdybyśmy korzystali z niezależnego CA, musielibyśmy mozolnie przechodzić przez witrynę rejestracyjną i dopiero po stworzeniu prośby off-line, musiałbyś ręcznie zainstalować certyfikat komputera. Kliknij OK po wybraniu Enterprise CA.

 


Rysunek 10

  1. Wpisz Friendly name na stronie Online Certification Authority. W tym przykładzie nadamy certyfikatowi przyjazną nazwę TSG Cert. Kliknij Finish.

 


Rysunek 11

  1. Po otrzymaniu certyfikatu, zobaczysz informacje z nim związane w środkowym polu konsoli. Jeśli klikniesz dwukrotnie na certyfikat, zobaczysz okno dialogowe Certificate, które pokaże nazwę publiczną w polu Issued to i informację, że You have a private key that corresponds to this certificate (Posiadasz klucz prywatny, który odpowiada certyfikatowi). Jest to istotne, ponieważ certyfikat nie będzie działał, jeżeli nie masz prywatnego klucza. Kliknij OK, aby zamknąć okno dialogowe Certificate.

 


Rysunek 12

Konfiguracja Terminal Services Gateway do korzystania z Certyfikatu

Gdy certyfikat jest już zainstalowany w magazynie certyfikatów, możesz ustanowić, że TS Gateway będzie używać tego certyfikatu.

 

Postępuj według następujących kroków, aby skonfigurować TS Gateway do korzystania z tego certyfikatu:

  1. W konsoli Administrative Tools kliknij wpis Terminal Services, a następnie kliknij TS Gateway.
  2. W TS Gateway Manager kliknij nazwę komputera TS Gateway w lewym polu konsoli. Środkowe pole dostarcza pomocnych informacji na temat kroków konfiguracji, które muszą być wykonane, aby zakończyć instalację. Kliknij link View or modify certificate properties (Przeglądaj lub modyfikuj właściwości certyfikatu).

 


Rysunek 13

  1. W oknie dialogowym Properties dla TS Gateway, w zakładce SSL Certificate, upewnij się, że opcja Select an existing certificate for SSL encryption jest aktywna następnie kliknij przycisk Browse Certificates. Wywoła to okno dialogowe Install Certificate. Kliknij certyfikat, którym w tym przypadku jest tsg.msfirewall.org, a potem kliknij przycisk Install.

 


Rysunek 14

  1. Zakładka SSL Certificate pokazuje teraz informacje o certyfikacie, z którego będzie korzystać TS Gateway do ustanowienia połączeń SSL. Kliknij OK.

 


Rysunek 15

  1. Treść w środkowej części pola zmienia się, odzwierciedlając fakt, że certyfikat jest teraz zainstalowany na TS Gateway. Jednakże widzimy teraz w sekcji Configuration Status, że musimy stworzyć zarówno politykę autoryzacji połączeń (CAP – connection authorization policy) jak i politykę autoryzacji źródła (RAP – resource authorization policy).

 


Rysunek 16

Tworzenie CAP dla Terminal Services Gateway

Polityka autoryzacji połączeń (CAP) umożliwia kontrolę tego, kto może połączyć się z serwerem terminalowym poprzez Bramę Usług Terminalowych.

 

Postępuj według następujących kroków, aby stworzyć politykę autoryzacji połączeń:

  1. W lewym polu konsoli kliknij węzeł Connection Authorization Policies, który leży pod węzłem Policies. W prawym polu konsoli kliknij strzałkę po prawej stronie opcji Create New Policy, a następnie kliknij Wizard.

 


Rysunek 17

  1. Na stronie Authorization Policies wybierz opcję Create only a TS CAP. Kliknij Next.

Rysunek 18

  1. Na stronie Connection Authorization Policy wpisz nazwę dla CAP. W tym przykładzie CAP zostanie nazwany General CAP. Kliknij Next.

 


Rysunek 19

  1. Na stronie Requirements zaznacz pole wyboru Password. Jeśli masz zamiar używać uwierzytelnienia typu Smartcard, to powinieneś wybrać opcję Smartcard. Teraz musisz skonfigurować, które grupy mogą mieć dostęp do serwera terminalowego poprzez TS Gateway. Aby to zrobić, kliknij przycisk Add Group. W oknie dialogowym Select Groups wpisz nazwę grupy, której chcesz umożliwić dostęp i kliknij Check Names. W tym przykładzie, wpisz Domain Users i następnie kliknij OK.

 


Rysunek 20

  1. Zauważ na stronie Requirements, że masz także opcję stworzenia grup komputerów i umożliwić dostęp tylko do określonych komputerów. W tym przykładzie nie będziemy konfigurować tej opcji. Kliknij Next.

 


Rysunek 21

  1. Na stronie Device Redirection wybierz opcję Enable device redirection for all client devices (Włącz przekierowanie urządzeń dla wszystkich urządzeń klienta). Zauważ, że jeśli wolisz środowisko o wyższym bezpieczeństwie, możesz rozważyć wybór Disable device redirection for the following client device types (Wyłącz przekierowanie urządzeń dla następujących rodzajów urządzeń klienta), a następnie wybrać opcje Drives oraz Clipboard. Dla jeszcze wyższego bezpieczeństwa, możesz nawet wybrać Disable device redirection for all client devices except for smart cards (Wyłącz przekierowanie urządzeń dla wszystkich urządzeń klienta oprócz kart elektronicznych). Kliknij Next.

 


Rysunek 22

  1. Na stronie Summary of TS CAP Settings przeczytaj efekty swoich wyborów i następnie kliknij Finish.

 


Rysunek 23

  1. Kliknij Close na stronie Confirm Policy Creation.

Tworzenie RAP dla Terminal Services Gateway

Kolejną polityką, jaką musimy stworzyć jest Polityka Autoryzacji Źródeł (Resource Authorization Policy – RAP). Uwierzytelnienia RAP są używane do kontroli, do których serwerów terminalowych dostęp może być zapewniony poprzez Bramę Usług Terminalowych.

 

Postępuj według następujących kroków, aby stworzyć RAP:

  1. Kliknij na węzeł Resource Authorization Policies w lewym polu konsoli TS Gateway Manager. W prawym polu konsoli kliknij strzałkę po prawej stronie linku Create New Policy i następnie kliknij Wizard.

 


Rysunek 24

  1. Na stronie Authorization Policies wybierz opcję Create only a TS RAP.

 


Rysunek 25

  1. Na stronie Resource Authorization Policy nadaj nazwę dla RAP w oknie dialogowym Enter a name for the TS RAP. W tym przykładzie RAP zostanie nazwany General RAP. Kliknij Next.

 


Rysunek 26

  1. Na stronie User Groups wybierz grupy użytkowników, dla których ten RAP będzie miał zastosowanie. Da Ci to precyzyjną kontrolę nad tym, którzy użytkownicy będą mieli dostęp do których serwerów terminalowych. Niektóre grupy mogą mieć umożliwiony dostęp do serwera terminalowego A, a niektóre grupy do serwera terminalowego B. RAP daje taki właśnie rodzaj kontroli. W tym przykładzie kliknij przycisk Add Group i dodaj grupę Domain Users. Kliknij Next.

 


Rysunek 27

  1. Na stronie Computer Group masz opcję zdefiniowania, do których serwerów terminalowych ten RAP umożliwia dostęp. Masz opcję wyboru zdefiniowanych grup lub komputerów Active Directory lub możesz stworzyć grupę zarządzającą TS Gateway. W tym przykładzie, ponieważ mamy tylko pojedynczy serwer terminalowy, wybierzemy najprostszą opcję, którą jest Allow users to connect to any network resource (computer) (Zezwól użytkownikom na połączenie się z którymkolwiek źródłem sieciowym /komputerem/). Umożliwi to użytkownikom na połączenie się ze wszystkimi serwerami terminalowymi w sieci. Kliknij Next.

 


Rysunek 28

  1. Na stronie TS Rap summary potwierdź swoje ustawienia i kliknij Finish.

 


Rysunek 29

  1. Kliknij Close na stronie Confirm Policy Creation.
  2. Kliknij na nazwę serwera w lewym polu konsoli. W środkowej części zobaczysz, że nie ma więcej problemów, które wymagają naszego działania. Brama Usług Terminalowych jest teraz gotowa do obsługi nowych połączeń przychodzących do któregokolwiek serwera terminalowego w sieci.

 


Rysunek 30

Konfiguracja klienta RDP do korzystania z Terminal Services Gateway

Jesteśmy prawie w domu! Serwer terminalowy i Brama TS są teraz skonfigurowane i gotowe do działania. Ostatnim krokiem jest konfiguracja klienta RDP na komputerze z Vistą. Musimy skonfigurować klienta z nazwą serwera terminalowego, z którym powinien się połączyć i nazwą komputera Bramy Usług Terminalowych, którego będzie używał, aby dostać się do serwera terminalowego.

 

Uwaga:
Skonfigurowałem komputer działający pod systemem Vista z wpisem pliku HOSTS dla tsg.msfirewall.org, w taki sposób, aby określał nazwę Bramy Usług Terminalowych na adresie IP zewnętrznego interfejsu urządzenia NAT z przodu sieci.

 

Postępuj według następujących kroków, aby skonfigurować klienta RDP na komputerze z systemem Windows Vista:

  1. Na komputerze z Vistą kliknij przycisk Start, a następnie kliknij Accessories. Dwukrotnie kliknij Remote Desktop Connection.
  2. W oknie dialogowym Remote Desktop Connection w zakładce General wpisz nazwę komputera serwera terminalowego w polu tekstowym Computer. Wpisz swoją nazwę użytkownika w polu tekstowym User name. Jeśli chcesz, aby klient zapamiętywał Twoje uwierzytelnienia, możesz zaznaczyć pole wyboru Allow me to save credentials (Zezwól, abym mógł zapamiętywać uwierzytelnienia).

 


Rysunek 31

  1. Kliknij na zakładkę Advanced. W sekcji Server authentication upewnij się, że wybrana jest opcja Warn me (Ostrzeż mnie). Kliknij przycisk Settings w sekcji Connect from anywhere (Połącz z każdego miejsca).

 


Rysunek 32

  1. W oknie dialogowym TS Gateway Server Settings wybierz opcję Use these TS Gateway server settings (Używaj tych ustawień serwerowych Bramy TS). Wpisz nazwę Bramy TS w polu tekstowym Server name. Dla Logon method wybierz Ask for password (NTLM). Zauważ, że opcja Automatically detect TS Gateway server settings (Wykryj automatycznie ustawienia serwerowe Bramy TS) umożliwia konfigurację klienta RDP, aby ściągał swoje ustawienia poprzez Politykę Grupową. Kliknij OK.

 


Rysunek 33

  1. Kliknij na zakładkę General, a następnie kliknij Connect.

 


Rysunek 34

  1. Pojawi się okno dialogowe Windows Security. Wpisz swoje hasło i potem kliknij OK.

 


Rysunek 35

  1. Sesja Usług Terminalowych zostaje otwarta i możesz zobaczyć pulpit oraz aplikacje uruchomione dla Twojego konta w sesji Usług Terminalowych.

 


Rysunek 36

  1. Przejdź do komputera Bramy TS i kliknij na węzeł Monitoring w lewym polu konsoli Bramy Usług Terminalowych. Widać tutaj informacje o sesjach Usług Terminalowych, przechodzących przez Bramę TS.

 


Rysunek 37

Podsumowanie

W drugiej części naszej serii artykułów na temat Bramy Usług Terminalowych zainstalowaliśmy i skonfigurowaliśmy Bramę TS i klienta RDP. Następnie połączyliśmy się z Bramą TS i potem z Serwerem Terminalowym poprzez Bramę TS. Zobaczyliśmy także, że węzeł monitorowania na Bramie TS dostarcza nam pomocnych informacji o tym, kto się łączy z Serwerem Terminalowym przez Bramę TS. Mam nadzieję, że informacje z tego artykułu były pomocne, a w razie jakichkolwiek pytań, czekam pod adresem: tshinder@windowsnetworking.com„>tshinder@windowsnetworking.com

Źródło: www.windowsecurity.com


Potrzebujesz wsparcia