Настройка шлюза служб терминалов Windows Server 2008 (часть 1)
Если вы хотите прочитать следующую часть этой серии статей, перейдите к разделу Настройка шлюза служб терминалов Windows Server 2008 (часть 2).
Администраторы безопасности Microsoft всегда с осторожностью относились к публикации терминальных серверов в Интернете. И не зря — не было возможности предварительно аутентифицировать соединения или использовать политику для определения того, какие пользователи могут получить доступ к тем или иным терминальным серверам. Отсутствие предварительной аутентификации было особенно сложной проблемой. Без предварительной аутентификации анонимные пользователи могут использовать свои анонимные соединения для компрометации опубликованного сервера терминалов. Скомпрометированный сервер терминалов — это, пожалуй, самый опасный эксплойт, возможный для вашей сети, поскольку злоумышленник имеет доступ к полной операционной системе для запуска своих атак.
Windows Server 2008 предлагает решение этой проблемы безопасности: шлюз служб терминалов. Используя шлюз служб терминалов, вы можете предварительно аутентифицировать пользователей и контролировать доступ пользователей к серверам терминалов на основе учетных данных и политики. Это дает вам детальный контроль, необходимый для обеспечения безопасного удаленного доступа RDP.
В этой серии из двух частей о том, как собрать работающее решение для шлюза служб терминалов, мы будем использовать лабораторную сеть, которую вы видите на рисунке ниже. Стрелки показывают поток сообщений от внешнего клиента RDP к серверу терминалов.
фигура 1
Каждый из серверов в этом сценарии работает под управлением Windows Server 2008 Enterprise Edition.
В этом примере сети я использую NAT-сервер Windows Server 2008 в качестве интернет-шлюза. Вы можете использовать любое другое простое устройство NAT или маршрутизатор с фильтрацией пакетов, например PIX, или даже расширенный брандмауэр, такой как брандмауэр Microsoft ISA. Ключевым параметром конфигурации здесь является то, что вы перенаправляете соединения TCP-порта 443 на компьютер шлюза службы терминалов.
На контроллере домена установлены DNS, DHCP, службы сертификации в режиме ЦС предприятия и WINS.
На терминальном сервере установлена только базовая операционная система. Мы установим другие службы в ходе этой серии статей.
На шлюзе служб терминалов установлена только базовая операционная система. Мы установим другие службы в ходе этой серии статей.
В этой серии статей я опишу следующие процессы и процедуры, которые необходимо выполнить, чтобы запустить базовое решение:
- Установка служб терминалов и лицензирование служб терминалов на сервере терминалов
- Настройка лицензирования служб терминалов
- Установите Desktop Experience на сервер терминалов (необязательно)
- Настройка режима лицензирования служб терминалов
- Установите службу шлюза служб терминалов на шлюзе служб терминалов.
- Запрос сертификата для шлюза служб терминалов
- Настройте шлюз служб терминалов для использования сертификата
- Создание RAP шлюза служб терминалов
- Создайте CAP шлюза служб терминалов
- Настройте клиент RDP для использования шлюза служб терминалов.
Установка служб терминалов и лицензирование служб терминалов на сервере терминалов
Первым шагом является установка служб терминалов на компьютер служб терминалов.
Выполните следующие шаги, чтобы установить службы терминалов и лицензирование служб терминалов:
- На компьютере с сервером терминалов откройте Диспетчер серверов. В диспетчере серверов щелкните узел «Роли» в левой панели консоли.
- Нажмите ссылку «Добавить роли» на правой панели консоли.
фигура 2
- Нажмите «Далее» на странице «Перед началом работы».
- На странице «Выбор ролей сервера» установите флажок «Службы терминалов». Нажмите «Далее».
Рисунок 3
- Нажмите «Далее» на странице «Службы терминалов».
- На странице «Выбор служб ролей» установите галочки в полях «Сервер терминалов» и «Лицензирование служб терминалов». Нажмите «Далее».
Рисунок 4
- Нажмите «Далее» на странице «Удалить и переустановить приложение для совместимости».
- На странице Specify Authentication Method for Terminal Server выберите Require Network Level Authentication. Мы можем выбрать этот вариант в нашем текущем сценарии, поскольку мы используем только клиентов Vista SP1 для подключения к серверу терминалов через шлюз служб терминалов. Мы не смогли бы использовать эту опцию, если бы нам нужно было поддерживать клиентов Windows XP SP2. Однако вы должны быть в состоянии поддерживать аутентификацию на уровне сети с Windows XP SP3. Однако я еще не подтвердил это, поэтому обязательно ознакомьтесь с примечаниями к выпуску Windows XP SP3, когда он будет выпущен в конце этого года. Нажмите «Далее».
Рисунок 5
- На странице «Укажите режим лицензирования» выберите параметр «Настроить позже». Мы могли бы выбрать вариант сейчас, но я решил, что мы должны выбрать «Настроить» позже, чтобы я мог показать вам, где в консоли служб терминалов вы настраиваете режим лицензирования. Нажмите «Далее».
Рисунок 6
- На странице Выбор использования групп, которым разрешен доступ к этому серверу терминалов, используйте параметры по умолчанию. Вы можете добавлять или удалять группы, если хотите более точно настроить контроль доступа к серверу терминалов. Однако, если все ваши пользователи будут проходить через шлюз служб терминалов, вы можете контролировать, кто может подключаться к серверу терминалов, используя параметры политики шлюза служб терминалов. Оставьте настройки по умолчанию такими, какие они есть, и нажмите «Далее».
Рисунок 7
- На странице Настройка области обнаружения для лицензирования служб терминалов выберите параметр Этот домен. Мы выбираем этот вариант в этом сценарии, потому что у нас есть только один домен. Если у вас есть многодоменный лес, вы можете выбрать вариант Лес. Нажмите «Далее».
Рисунок 8
- На странице Подтвердить выбор установки проверьте предупреждающую информацию о том, что вам, возможно, придется переустановить приложения, которые уже были установлены на этом компьютере, если вы хотите, чтобы они правильно работали в среде сеанса служб терминалов. Также обратите внимание, что конфигурация усиленной безопасности IE будет отключена. Щелкните Установить.
Рисунок 9
- На странице результатов установки вы увидите предупреждение о том, что для завершения установки необходимо перезапустить сервер. Щелкните Закрыть.
Рисунок 10
- Нажмите «Да» в диалоговом окне «Мастер добавления ролей», которое спросит, хотите ли вы перезапустить сервер.
- Войдите в систему как администратор. Установка будет продолжаться в течение нескольких минут, так как после запуска диспетчера серверов появится страница «Ход установки».
- Нажмите «Закрыть» на странице «Результаты установки» после того, как появится сообщение «Установка прошла успешно».
Рисунок 11
- Вы можете увидеть сообщение о том, что режим лицензирования служб терминалов не настроен. Вы можете отклонить это предупреждение, так как далее мы настроим лицензирование служб терминалов, а затем настроим режим лицензирования на сервере терминалов.
Рисунок 12
Настройка лицензирования служб терминалов
На данный момент мы готовы настроить лицензирование служб терминалов. В этом примере я буду использовать некоторые фиктивные данные, которые не соответствуют фактическим требованиям для лицензирования клиентских подключений служб терминалов, но послужат примером того, как работает этот процесс. Пожалуйста, не используйте ту же процедуру, которую я показываю здесь, для лицензирования ваших клиентов служб терминалов, потому что вы не будете соответствовать фактическим требованиям лицензирования.
Выполните следующие шаги, чтобы активировать сервер лицензирования служб терминалов:
- В меню «Администрирование» щелкните меню «Службы терминалов», а затем щелкните «Диспетчер лицензирования служб терминалов».
- В консоли TS Licensing Manager щелкните правой кнопкой мыши имя сервера на левой панели консоли. Нажмите «Активировать сервер».
Рисунок 13
- Нажмите «Далее» на странице «Добро пожаловать на страницу мастера активации сервера ».
- На странице «Метод подключения» выберите параметр «Автоматическое подключение (рекомендуется)». Нажмите «Далее».
Рисунок 14
- На странице «Информация о компании» введите информацию о своей компании и нажмите «Далее».
Рисунок 15
- Введите дополнительную информацию, если хотите, на странице информации о компании. Нажмите «Далее».
Рисунок 16
- На странице Завершение работы мастера активации сервера убедитесь, что установлен флажок Запустить мастер установки лицензий сейчас. Нажмите «Далее».
Рисунок 17
- Нажмите «Далее» на странице «Вас приветствует мастер установки лицензий».
- На странице Лицензионная программа щелкните стрелку вниз в списке Лицензионная программа и выберите лицензионную программу, в которой вы участвуете. В этом примере я выберу Другое соглашение, так как эта лаборатория не участвует ни в одной лицензионной программе. Нажмите «Далее».
Рисунок 18
- На странице Лицензионная программа введите номер вашего соглашения. В этом примере мы просто введем 1234567. Нажмите «Далее».
Рисунок 19
- На странице Версия продукта и тип лицензии выберите версию продукта, тип лицензии и количество, соответствующие потребностям вашей среды. В этой экспериментальной установке мы используем серверы терминалов Windows Server 2008, поэтому мы выберем Windows Server 2008. В этом примере сети мы будем использовать клиентские лицензии «на пользователя», поэтому выберем Windows Server 2008 TS «на пользователя» CAL. И мы введем 50 в текстовое поле Количество. Нажмите «Далее».
Рисунок 20
- Нажмите «Готово» на странице «Завершение работы мастера установки лицензий».
Установите Desktop Experience на сервер терминалов (необязательно)
Когда клиенты Windows Vista подключаются к серверу терминалов Windows Server 2008, они могут иметь возможности рабочего стола, подобные Vista, в сеансе служб терминалов, если вы установите параметр Desktop Experience на сервере терминалов.
Выполните следующие шаги, чтобы установить компонент Desktop Experience на сервер терминалов:
- На странице «Выбор компонентов» установите флажок «Возможности рабочего стола». Нажмите «Далее».
Рисунок 21
- Нажмите «Установить» на странице «Подтверждение выбора установки».
- На странице результатов установки прочтите предупреждение о том, что для завершения процесса установки необходимо перезагрузить компьютер. Щелкните Закрыть.
- Нажмите «Да» в диалоговом окне с вопросом, хотите ли вы перезапустить сейчас.
- Войдите в систему как администратор. Установка возобновится и займет несколько минут, так что наберитесь терпения.
- Нажмите «Закрыть» на странице «Результаты установки », которая показывает, что установка прошла успешно.
Настройка режима лицензирования служб терминалов
Теперь мы закончим настройку сервера терминалов, установив режим лицензирования служб терминалов. Выполните следующие шаги, чтобы настроить режим лицензирования служб терминалов:
- В меню «Администрирование» щелкните запись «Службы терминалов», а затем щелкните «Конфигурация служб терминалов ».
- В средней панели консоли настройки служб терминалов дважды щелкните Режим лицензирования служб терминалов.
Рисунок 22
- В диалоговом окне «Свойства» выберите параметр «На пользователя» для параметра «Указать режим лицензирования служб терминалов». Выберите Автоматически обнаруживать сервер лицензий для параметра Указать режим обнаружения сервера лицензий. Нажмите ОК.
Рисунок 23
- Щелкните узел «Диагностика лицензирования» на левой панели консоли. В средней панели вы увидите подробную информацию о конфигурации лицензирования для этого сервера терминалов.
Рисунок 24
- Закройте консоль настройки службы терминалов.
Резюме
В этой части, состоящей из двух частей, посвященной созданию шлюза служб терминалов с использованием Windows Server 2008, мы рассмотрели установку служб сервера терминалов и лицензирование служб терминалов на сервере терминалов, затем настроили лицензирование служб терминалов, а затем установили рабочий стол. Опыт работы на терминальном сервере и, наконец, настройка режима лицензирования для терминального сервера. В следующий раз мы закончим установкой и настройкой шлюза служб терминалов и клиента RDP. Затем мы закончим, установив соединение из внешнего места. Тогда увидимся! -Том.