Использование служб терминалов через Internet Information Server

Хотя многие администраторы думают о службах терминалов Windows в первую очередь как о механизме размещения пользовательских сеансов, их также можно использовать как очень эффективный инструмент удаленного управления. Например, если вам нужно работать на сервере, который не находится в непосредственной географической близости, вы можете использовать службы терминалов как способ удаленного доступа к консоли сервера. Это правда, что большинство инструментов администрирования Windows позволяют вам управлять удаленным сервером, но службы терминалов имеют то преимущество, что позволяют вам видеть рабочий стол удаленного сервера. Это выгодно, потому что иногда на экране сервера может отображаться сообщение об ошибке, и вы никогда не увидите это сообщение, если вы обращаетесь к серверу исключительно через средство просмотра событий или один из многих других инструментов управления.

Проблема с установлением сеанса службы терминалов между вашим компьютером и удаленным сервером связана с подключением. Представьте на мгновение, что вы дома, в постели, блаженно спите. Звонит телефон и будит тебя. Вы сонно замечаете, что сейчас 3:30 утра, когда голос в телефоне начинает объяснять вам, что есть проблема с сервером, который находится в офисе за сотню миль от вас.

На данный момент у вас есть несколько вариантов. Вы можете проигнорировать звонок, вернуться в сон и быть уволенным (не лучший выбор). Вы можете доставить его на удаленный объект (неинтересно в 3:30 утра) или установить сеанс службы терминалов с неисправным сервером. Вот тут-то и возникает проблема с подключением. У вашей компании, вероятно, есть соединения WAN между различными офисами, но сейчас это вам не поможет, потому что вы находитесь дома. Если в вашей компании есть VPN, вы можете установить VPN-подключение, а затем установить сеанс службы терминалов через VPN. Другая альтернатива, о которой, похоже, не знает большинство людей, заключается в том, что вы можете взаимодействовать со службами терминалов через Интернет.

Хорошо, прежде чем я перейду к мельчайшим деталям, давайте остановимся, чтобы проверить реальность. С точки зрения безопасности создание сеанса службы терминалов с вашими серверами, доступными через Интернет, вероятно, является плохой идеей. Однако сеанс веб-службы терминалов не является полностью безопасным. Шифрование SSL является абсолютным требованием, и любой, кто подключается, должен иметь действительный набор учетных данных, которые авторизованы не только для входа в систему, но и для входа через службы терминалов. Вы также можете заблокировать IIS, чтобы к нему могли подключаться только машины с определенными IP-адресами. Есть множество других вещей, которые вы можете сделать, чтобы сделать сервер более безопасным, но мысль о возможности удаленного управления моим сервером через Интернет все еще заставляет меня немного нервничать.

Это не означает, что вы не должны пользоваться преимуществами возможности использования служб терминалов через Интернет. Если вы чувствуете себя комфортно, делая свой сервер доступным через Интернет, сделайте это. Если вы похожи на меня и вам неудобно это делать, вы можете использовать ту же технику и те же меры безопасности, чтобы сделать сервер доступным через вашу корпоративную интрасеть.

Что хорошего в этом? Что ж, давайте вернемся к моему более раннему примеру, в котором вы сидели перед своим компьютером дома в пижаме посреди ночи. Вместо того, чтобы ехать в офис или на удаленный объект, вы можете подключиться к серверу удаленного доступа в офисе, а затем использовать веб-браузер для установления сеанса службы терминалов с удаленным объектом.

Прямо сейчас вы можете задаться вопросом, почему вы когда-либо сталкивались со всеми этими проблемами, когда клиент удаленного рабочего стола Windows на самом деле является клиентом службы терминалов. Правда, вы могли подключиться и использовать клиент удаленного рабочего стола для установления сеанса сервера терминалов, даже не устанавливая веб-компонент удаленного доступа. Тем не менее, есть по крайней мере пара причин, по которым иметь под рукой веб-компонент — хорошая идея. Прежде всего, клиент удаленного рабочего стола поставляется с Windows XP. Если у вас дома есть старый компьютер, на котором все еще работает Windows 98, то на вашем компьютере не будет клиента удаленного рабочего стола. Еще одна причина использования веб-интерфейса вместо клиента удаленного рабочего стола заключается в том, что в зависимости от настройки вашей сети брандмауэры могут препятствовать использованию клиента удаленного рабочего стола. Клиент удаленного рабочего стола взаимодействует через порт 3389. Если где-то между вами и сервером, на котором возникла проблема, есть брандмауэр, у которого этот порт не открыт, вам не повезло. Веб-интерфейс для служб терминалов также использует порт 3389, но вы можете перенастроить его для использования любого номера порта по вашему желанию.

Настройка удаленного администрирования через веб-интерфейс

Теперь, когда я рассказал о некоторых принципах доступа к службе терминалов через Интернет, давайте взглянем на процесс установки. Компонент, выполняющий всю работу, технически известен как «Удаленное администрирование через HTML» (ранее известный как «Расширенный клиент служб терминалов» (TSAC) в Windows 2000 Server).

Начните с выбора параметра «Установка и удаление программ» на панели управления. Когда запустится апплет «Установка и удаление программ», нажмите кнопку «Установка и удаление компонентов Windows». Это заставит Windows отобразить список компонентов Windows, которые вы можете установить. Выберите опцию «Сервер приложений» и нажмите кнопку «Подробнее». Выберите параметр «Информационная служба Интернета» (IIS) и снова нажмите «Подробности». Теперь выберите из списка службу World Wide Web и еще раз нажмите «Подробнее». На этом этапе установите флажок «Удаленное администрирование (HTML)», как показано на рисунке A, а затем три раза нажмите «ОК», а затем «Далее». Теперь Windows установит необходимые файлы. Вам может быть предложено вставить установочный компакт-диск Windows, поэтому обязательно держите его под рукой. Когда установка завершится, нажмите Готово.

Рисунок A. Установите флажок «Удаленное администрирование (HTML)».

Теперь, когда вы установили необходимые файлы, выберите команду «Диспетчер информационных служб Интернета (IIS)» в меню «Администрирование» Windows. Когда откроется консоль диспетчера IIS, перейдите по дереву консоли к Internet Information Services | ваш сервер | веб-сайты | Администрация. Теперь щелкните правой кнопкой мыши веб-сайт администрирования и выберите команду «Свойства» в появившемся контекстном меню, чтобы увидеть страницу свойств сайта администрирования. Теперь выберите вкладку «Веб-сайт» и запишите номера портов, указанные для портов TCP и SSL. Значения по умолчанию для TCP-порта и SSL-порта — 8099 и 8098 соответственно, как показано на рисунке B. Если вам нужно изменить номера портов из-за того, как настроены ваши брандмауэры, вы можете сделать это здесь. Теперь выберите вкладку «Безопасность каталога» и нажмите кнопку «Изменить», расположенную в разделе «Ограничения IP-адресов и доменных имен». Если вы хотите ограничить доступ к службе терминалов по IP-адресу, то здесь вы должны ввести адреса, которые вы хотите разрешить или заблокировать. Нажмите OK, когда закончите.

Рисунок B. Значения по умолчанию для TCP-порта и SSL-порта — 8099 и 8098 соответственно.

Теперь давайте посмотрим, как управлять сервером через веб-браузер. Откройте Internet Explorer и введите HTTPS://, затем IP-адрес сервера, двоеточие и номер порта. Например, https://192.168.0.1:3389 Когда вы это сделаете, вам будет предложено войти на сервер. Вы должны использовать учетную запись с правами администратора. После входа в систему отобразится веб-сайт администрирования. Чтобы инициировать сеанс службы терминалов, щелкните ссылку «Обслуживание», расположенную на синей панели вверху, а затем нажмите кнопку «Удаленный рабочий стол». Internet Explorer установит необходимый компонент ActiveX, и удаленный рабочий стол отобразится в окне браузера, как показано на рисунке C.

Рисунок C. Введите HTTPS://, затем IP-адрес сервера, двоеточие и номер порта для доступа к службам терминалов через Интернет.

Вывод

Настройка доступа к веб-службе терминалов сопряжена с определенным риском. Однако при надлежащей защите доступ к веб-службе терминалов может быть чрезвычайно ценным инструментом управления.