Обзор шлюза службы терминалов Longhorn Server (часть 2)

Опубликовано: 24 Апреля, 2023

  • Обзор шлюза службы терминалов Longhorn Server (часть 1)

В части 1 этой серии статей я показал вам, как установить службу шлюза службы терминалов и все лежащие в ее основе зависимости. В этой статье я продолжу обсуждение, показав вам, как убедиться, что необходимые службы установлены правильно. Далее я покажу вам, как создать центр сертификации, который выдает сертификаты, используемые для шифрования трафика шлюза.

Убедитесь, что службы запущены

Теперь, когда установлены службы шлюза службы терминалов и различные зависимые службы, нам нужно убедиться, что они функционируют. Для этого выберите команду «Управление компьютером» в меню «Администрирование» Longhorn. Когда откроется консоль управления компьютером, перейдите по дереву консоли к разделу Управление компьютером | Услуги и приложения | Услуги.

При выборе контейнера «Службы» в области «Сведения» консоли должен появиться список системных служб. Прокрутите список служб и убедитесь, что служба проверки подлинности в Интернете запущена. Если он не запущен, щелкните правой кнопкой мыши службу проверки подлинности в Интернете и выберите команду «Пуск» в появившемся контекстном меню.

Затем прокрутите вниз список служб и убедитесь, что служба публикации в Интернете запущена. Опять же, если служба не запущена, щелкните ее правой кнопкой мыши и выберите команду «Пуск» в появившемся контекстном меню.

Теперь, когда вы знакомы с процедурой проверки запуска служб, убедитесь, что служба балансировки нагрузки RPC/HTTP и службы шлюза служб терминалов запущены, и при необходимости запустите их.

Сертификаты

Служба шлюза служб терминалов зависит от использования шифрования TLS. Если вы не знакомы с TLS, это последняя реализация шифрования SSL. Из того, что мне сказали, служба шлюза службы терминалов в конечном итоге будет содержать механизм, упрощающий получение сертификата в процессе первоначальной установки. На данный момент, хотя процесс имеет тенденцию быть немного грязным и громоздким.

Служба шлюза службы терминалов разработана таким образом, что вы можете использовать либо сертификат собственного центра сертификации предприятия, либо сертификат TLS стороннего производителя. Поскольку моя цель в написании этой статьи — познакомить вас со службой шлюза службы терминалов, а не настроить идеальное развертывание в реальном мире, давайте создадим центр сертификации предприятия, а затем используем его для выдачи необходимого сертификата.

Установка корпоративного центра сертификации

Поскольку Longhorn Server все еще находится в стадии бета-тестирования и эта статья не предназначена для того, чтобы провести вас через развертывание в реальных условиях, нам не нужно слишком беспокоиться о семантике, связанной с настройкой корпоративного центра сертификации. Единственное реальное требование состоит в том, что вы должны убедиться, что сервер, который будет действовать как центр сертификации, и сервер, который будет действовать как сервер шлюза службы терминалов, существуют в лесу, отдельном от вашего рабочего леса. Вы бы никогда не захотели делать это в реальном мире, но в демонстрационных целях вы даже можете запустить службы центра сертификации предприятия на том же физическом сервере, что и службы шлюза сервера терминалов.

Если бы это было развертывание в реальном мире, вы бы серьезно подумали о своем сервере сертификатов. На это есть несколько причин. Во-первых, если кто-то получит доступ к вашему серверу сертификатов, значит, он владеет вашей сетью. Следовательно, безопасность вашего сервера сертификатов должна иметь чрезвычайно высокий приоритет в реальной среде. Я знаю, что в наши дни безопасность всегда вызывает беспокойство, но когда дело доходит до центра сертификации, вам нужно сделать все возможное, чтобы обеспечить безопасность.

Точно так же, если бы вы планировали центр сертификации реального мира, надежность и отказоустойчивость также должны были бы иметь чрезвычайно высокий приоритет. Очевидно, что никто никогда не хочет, чтобы сервер вышел из строя, особенно если этот сбой привел к потере данных. Это особенно важно для центра сертификации. Ключи, содержащиеся в центре сертификации, используются для шифрования данных. Если вы зашифруете кучу данных, а затем потеряете ключи, то при правильном стечении обстоятельств вы можете потерять возможность дешифровать (доступ) к своим данным. Поэтому вы хотите убедиться, что ваш центр сертификации хорошо защищен от аппаратных сбоев и потери данных.

Однако в этом случае мы устанавливаем центр сертификации в тестовой среде с единственной целью, поэтому нам действительно не нужно беспокоиться обо всех обычных мерах предосторожности (опять же, убедитесь, что вы используете выделенный лес). В таком случае я просто проведу вас через процесс запуска центра сертификации как можно быстрее и проще.

Начните процесс, открыв диспетчер серверов Longhorn Server и выбрав опцию «Управление ролями» в дереве консоли. Затем щелкните ссылку «Добавить роли» в разделе консоли «Сводка ролей». Это заставит Windows запустить мастер добавления ролей. Щелкните Далее, чтобы пропустить экран приветствия мастера. Теперь вы увидите список всех доступных ролей. Выберите из списка параметр Сервер сертификатов Active Directory. Хотя на первый взгляд может показаться, что роли перечислены не в алфавитном порядке, поэтому вам, возможно, придется прочитать весь список, чтобы найти службу. Нажмите Далее, чтобы продолжить.

На этом этапе вы увидите экран, который знакомит вас со службами сертификатов и содержит некоторые предостережения. Нажмите «Далее», чтобы проигнорировать этот экран, и вы увидите другой экран, в котором вас спросят, какие компоненты вы хотите установить. Установите флажки Центр сертификации и Регистрация в центре сертификации через Интернет и нажмите кнопку Далее.

Теперь вы увидите экран с вопросом, хотите ли вы создать корпоративный центр сертификации или автономный центр сертификации. Выберите параметр «Центр сертификации предприятия» и нажмите «Далее». Теперь вам будет предложено указать, должен ли этот сервер действовать как корневой ЦС или как подчиненный ЦС. Поскольку это первый (и единственный) центр сертификации в вашей лаборатории, вам следует выбрать вариант Root CA. Нажмите Далее, чтобы продолжить.

Теперь мастер спросит вас, хотите ли вы создать новый закрытый ключ или хотите использовать существующий закрытый ключ. Опять же, это лабораторная установка, поэтому выберите вариант создания нового закрытого ключа и нажмите «Далее», чтобы продолжить.

На следующем экране, с которым вы столкнетесь, вас попросят выбрать поставщика криптографических услуг, длину ключа и алгоритм хеширования. В реальном развертывании это все вещи, которые вы хотели бы тщательно рассмотреть. Поскольку мы настраиваем этот центр сертификации исключительно в демонстрационных целях, просто используйте значения по умолчанию и нажмите «Далее».

Следующий экран, который вы увидите, дает вам возможность определить общее имя и суффикс отличительного имени для центра сертификации. Опять же, просто используйте значения по умолчанию и нажмите «Далее».

Теперь вы должны увидеть экран с вопросом, как долго должны быть действительны сертификаты. Период времени по умолчанию составляет 5 лет, что подходит для наших целей, поэтому просто нажмите «Далее». Следующий экран, который вы увидите, спросит вас, где должны быть расположены базы данных сертификатов и соответствующие журналы транзакций. В производственной среде выбор подходящего расположения имеет решающее значение для обеспечения отказоустойчивости и безопасности. Поскольку это лабораторная работа, просто используйте значения по умолчанию и нажмите «Далее».

Теперь вы увидите экран с подробным описанием выбранных вами параметров. Нажмите кнопку «Установить», и Windows скопирует необходимые файлы и настроит базовые службы.

Вывод

В части 3 этой серии статей я продолжу обсуждение, показав вам, как запросить сертификат, а затем сопоставить этот сертификат со службой шлюза служб терминалов. Однако на данный момент я предполагаю, что вы, вероятно, захотите убедиться, что центр сертификации установлен правильно (помимо подтверждающего сообщения после завершения процесса установки).

Самый простой способ убедиться, что центр сертификации работает правильно, — открыть веб-браузер и перейти по URL-адресу центра сертификации. Когда вы это сделаете, вы должны увидеть веб-страницу, содержащую несколько параметров, относящихся к центру сертификации.

URL-адрес — это HTTP://, за которым следует полное доменное имя сервера и /CertSrv/Default.asp. Например, при написании этой статьи я установил службы сертификатов на сервер LONGHORN-DC. Этот сервер является контроллером домена в домене с именем EXCH12.COM. Таким образом, URL-адрес моего центра сертификации: http://longhorn-dc.exch12.com/certsrv/default.asp

  • Обзор шлюза службы терминалов Longhorn Server (часть 1)

Виртуализация

РЕКОМЕНДУЕМЫЕ СТАТЬИ

Типы клиентов Citrix: возможности и ограничения
25 Апреля, 2023
Мой процессор на 100%, что я могу с этим поделать?
25 Апреля, 2023
Запуск устаревших 16-разрядных приложений в среде службы терминалов
25 Апреля, 2023
Внутри среды изоляции приложений Citrix Presentation Server
25 Апреля, 2023
Управление полосой пропускания: Часть 1 – Старомодный способ
25 Апреля, 2023
Управление специфичными для пользователя данными конфигурации приложения в среде службы терминалов
25 Апреля, 2023
Работа с плохой пропускной способностью и задержкой
25 Апреля, 2023
Терминальный сервер и вызов профиля
25 Апреля, 2023