Обзор шлюза службы терминалов Longhorn Server (часть 1)
- .
Одним из аспектов работы в сети, который всегда был острой проблемой, является обеспечение доступа к общим ресурсам для удаленных пользователей. Те администраторы, которые развернули традиционные сети Windows Server, уже давно могут обслуживать удаленных пользователей с помощью удаленного доступа или VPN-соединений. Однако те организации, которые полагаются исключительно на службы терминалов Windows, столкнулись с гораздо более серьезными проблемами при обеспечении доступа к ресурсам для удаленных пользователей. Одной из целей Microsoft в Windows Longhorn Server было упростить удаленным пользователям доступ к сеансу сервера терминалов. Одним из способов достижения этой цели Microsoft является новая роль сервера, известная как Terminal Services Gateway. В этой статье я объясню, что это за новая роль и как она работает.
Что такое шлюз служб терминалов?
Лучший способ, который я могу придумать для описания шлюза служб терминалов, - это то, что он похож на VPN служб терминалов. Удаленные пользователи могут использовать свое существующее подключение к Интернету для установки безопасного зашифрованного подключения к серверу терминалов вашей организации. После установления соединения пользователи могут выполнять удаленный сеанс служб терминалов, используя протокол RDP через протокол HTTPS.
Хотя шлюз служб терминалов — это служба, предназначенная для обеспечения доступа к вашим терминальным серверам через HTTPS (порт 443), это гораздо больше, чем просто прокси-сервер. Шлюз служб терминалов содержит комплексный механизм настройки, позволяющий контролировать доступ к сетевым ресурсам. Консоль управления шлюзом служб терминалов позволяет вам контролировать такие вещи, как то, каким пользователям разрешено подключаться к вашей сети, и конкретные ресурсы, к которым можно получить удаленный доступ. Консоль управления также позволяет отслеживать такие события, как неудачные входы в систему, и генерировать соответствующие предупреждения.
Некоторые соображения
Единственным реальным недостатком шлюза служб терминалов является то, что его настройка немного утомительна. Перед настройкой службы в вашей сети должен быть корпоративный центр сертификации. Причина, по которой это требование, заключается в том, что протокол RDP будет инкапсулирован в пакеты HTTPS. Протокол HTTPS — это зашифрованная версия HTTP, использующая порт 443. Шифрование основано на сертификате, выданном IIS. Поэтому у вас должен быть центр сертификации, который может выдать IIS необходимый сертификат.
Еще одна вещь, о которой я хочу упомянуть, прежде чем показать вам, как настроить службу шлюза службы терминалов, заключается в том, что в то время, когда я писал эту статью, Longhorn Server все еще находился в стадии бета-тестирования. Поэтому возможно, что фактический процесс настройки может измениться до выпуска Longhorn Server.
Установка необходимых служб
Служба шлюза служб терминалов имеет ряд зависимых служб. Для работы службы шлюза служб терминалов должны быть запущены службы IIS, IAS и RPC/HTTP. Документация Microsoft, которую мне дали вместе с моей копией Longhorn Server, рекомендует использовать командную строку для установки необходимых служб. Я лично обнаружил, что проще использовать диспетчер серверов.
Вы можете получить доступ к диспетчеру серверов из меню «Администрирование» сервера. Когда откроется Диспетчер серверов, щелкните контейнер «Управление ролями» в дереве в левой части консоли, а затем щелкните ссылку «Добавить роли» в дальней правой части экрана, как показано на рисунке A.
Рисунок A. Диспетчер серверов — это инструмент, который лучше всего подходит для большинства задач управления сервером в Longhorn.
При нажатии на ссылку «Добавить роли» диспетчер серверов запустит мастер добавления ролей. Нажмите «Далее», чтобы пропустить экран приветствия мастера, и вы увидите экран, содержащий список всех доступных ролей, в которых может участвовать сервер, как показано на рисунке B.
Рисунок B. Мастер добавления ролей позволяет выбрать одну из нескольких предопределенных ролей.
Выберите роль «Службы терминалов» и нажмите кнопку «Далее». Теперь вы увидите экран, который дает вам абзац, знакомящий вас со службами терминалов. Этот экран также содержит пару ссылок, которые можно использовать для получения более подробной информации о конкретных аспектах служб терминалов, включая информацию о службе шлюза служб терминалов. На самом деле вам не нужно ничего делать на этом экране, кроме как нажать «Далее».
На этом этапе вы увидите экран с вопросом, какие роли вы хотели бы установить для служб терминалов, как показано на рисунке C. Роль сервера терминалов выбрана по умолчанию.
Рисунок C. Мастер добавления ролей спросит вас, какие роли сервера терминалов вы хотели бы установить.
В производственной среде вы, скорее всего, захотите запустить роль сервера терминалов на сервере, отдельном от шлюза служб терминалов. Имейте в виду, что Longhorn Server все еще находится в стадии бета-тестирования. Моя цель написания этой статьи — познакомить вас с новой технологией Longhorn Server, а не продемонстрировать идеальный метод развертывания служб терминалов в производственной среде. Поэтому в демонстрационных целях я собираюсь установить роль Terminal Server и роль Terminal Server Gateway Services на один и тот же сервер.
Убедитесь, что установлен флажок «Сервер терминалов», затем установите флажок «Шлюз служб терминалов» и нажмите «Далее». Когда вы это сделаете, вы увидите всплывающее диалоговое окно, показанное на рисунке D.
Рисунок D. Вы можете развернуть и посмотреть, какие подкомпоненты будут установлены
Последнее, что стоит отметить в отношении рисунка D, это то, что список зависимых служб немного отличается от того, что я рассказал вам ранее. В начале этой статьи я упомянул, что IAS является обязательной службой, но IAS нет в списке. Вместо этого есть несколько сервисов, которые я не упомянул; Служба доступа к сети и служба активации Windows (WAS).
Насколько я могу судить, служба доступа к сети — это новое название IAS. Это одна из тех областей, в которых продукт отличается от документации. Требования, о которых я говорил ранее, были взяты непосредственно из документации Microsoft. Я предполагаю, что эти противоречия будут устранены к моменту выпуска Longhorn Server. А пока просто нажмите кнопку «Добавить необходимые службы ролей», а затем кнопку «Далее».
На этом этапе вы увидите экран, информирующий вас о том, что некоторые приложения, возможно, потребуется переустановить после установки служб терминалов. Нажмите «Далее», и вам будет предложено указать модель лицензирования, которую вы хотите использовать. Сделайте свой выбор и нажмите Далее. Вы можете просто продолжать нажимать «Далее», чтобы пройти оставшиеся экраны мастера. На некоторых экранах вас спросят, какие компоненты вы хотите установить, но просто используйте предварительно выбранные компоненты.
Вывод
Теперь вы установили все необходимые службы. Во второй части я продолжу обсуждение, показав вам, как настроить ваш сервер.
- .