Обзор шлюза службы терминалов Longhorn Server (часть 4)

Опубликовано: 24 Апреля, 2023

До сих пор в этой серии статей я показывал вам, как установить компоненты шлюза службы терминалов и как прикрепить сертификат центра сертификации предприятия к шлюзу сервера терминалов. Шлюз службы терминалов почти готов к использованию, но нам нужно внести последние изменения в IIS и настроить несколько политик.

Настройка IIS

До сих пор в этой серии мы настроили шлюз служб терминалов почти в пригодном для использования состоянии. Имейте в виду, что основная цель шлюза служб терминалов — предоставить удаленным пользователям доступ к службам терминалов через Интернет. Таким образом, ваш сервер шлюза служб терминалов также должен действовать как сервер IIS. На стороне IIS необходимо выполнить небольшую настройку, но процедура очень проста.

Обычно при настройке IIS вы делаете это через консоль IIS. В данном конкретном случае вам придется выполнять настройку IIS через консоль управления шлюзом служб терминалов. Когда консоль откроется, перейдите к контейнеру и дереву консоли, которое представляет ваш сервер шлюза службы терминалов. Когда вы это сделаете, в средней панели консоли отобразится состояние шлюза службы терминалов. В разделе состояния есть раздел с надписью «Задачи настройки». Щелкните задачу настройки с пометкой Настройка параметров IIS для шлюза служб терминалов. Теперь вы увидите предупреждающее сообщение о том, что необходимо изменить настройки IIS. Нажмите Да, чтобы разрешить модификацию. Теперь вы должны увидеть сообщение о том, что IIS успешно настроен для операций шлюза служб терминалов.

Создание политики авторизации подключения

На этом этапе шлюз служб терминалов должен быть в рабочем состоянии и готов к использованию. Осталось только разрешить некоторым людям использовать его. Первым шагом в этом является создание политики авторизации подключения. Политика авторизации любого подключения, или сокращенно CAP, — это политика, которая позволяет указать, какие группы пользователей могут получать доступ к ресурсам в вашей сети через шлюз служб терминалов.

Прежде чем я покажу вам, как создать CAP, я хочу упомянуть одну вещь. Благодаря конструкции Longhorn Server можно создать несколько политик авторизации подключения. Хотя вы можете создать несколько политик, каждая группа пользователей может принадлежать только одной политике. Это делается для того, чтобы избежать проблем, которые могут возникнуть из-за противоречивой политики.

С учетом сказанного давайте создадим политику. Начните с открытия консоли управления шлюзом служб терминалов, если она еще не открыта. Когда консоль откроется, перейдите по дереву консоли к контейнеру, который представляет ваш сервер шлюза службы терминалов. Когда вы выберете этот контейнер, в средней панели консоли отобразится информация о состоянии, которую вы видели ранее. Перейдите в раздел состояния конфигурации и нажмите ссылку View Connection Authorization Policies.

На этом этапе средняя часть консоли должна измениться, чтобы отобразить все существующие политики авторизации подключения. Конечно, с момента установки сервера их быть не должно. Чтобы создать политику, нажмите ссылку «Создать новую политику» на панели «Действия». Когда вы это сделаете, Windows отобразит лист свойств новой политики авторизации подключения.

Начните с ввода имени политики в поле на вкладке «Общие». Введенное имя будет использоваться для отличия этой политики от других политик, которые вы можете создать в будущем. Поэтому я рекомендую использовать описательное имя. Вы можете использовать до 64 символов.

Теперь перейдите на вкладку условий ограничения. Теперь необходимо указать условия, которым должны соответствовать учетные записи пользователей для доступа к сети через шлюз служб терминалов. Первое, что вы должны сделать, это выбрать группы пользователей, которым вы хотите разрешить. Это абсолютное требование. Для этого просто нажмите кнопку «Добавить» в разделе «Членство в группе пользователей» и следуйте инструкциям.

После ввода группы пользователей у вас есть возможность ввести группу клиентских компьютеров. Это необязательно, но если вы решите, что хотите ввести группу клиентских компьютеров, просто нажмите кнопку «Добавить» в разделе «Группы клиентских компьютеров» и следуйте инструкциям. Имейте в виду, что если вы добавляете группу клиентских компьютеров, то любой, кто получает доступ к шлюзу служб терминалов и использует эту политику, должен быть членом как одной из перечисленных групп пользователей, так и членом списка группы клиентских компьютеров.

Последнее, что вы должны ввести на вкладке «Условия», — это метод аутентификации. Вы можете разрешить использование смарт-карт и/или паролей. Выберите методы аутентификации, которые вы хотите разрешить, установив соответствующие флажки.

Теперь вы ввели всю необходимую информацию для создания политики авторизации подключения. Тем не менее, я рекомендую взглянуть на вкладку «Перенаправление устройства» на странице свойств, прежде чем нажимать «ОК». Вы должны использовать любые функции безопасности, находящиеся на вкладке «Перенаправление устройств», но доступные вам параметры довольно крутые, поэтому хотелось бы хотя бы упомянуть о них.

Перенаправление устройств дает вам возможность отключить перенаправление для доверенных удаленных клиентских устройств. Вкладка содержит ряд флажков, которые вы можете использовать для отключения таких вещей, как дисководы, буфер обмена Windows, принтеры, последовательные порты и даже устройства plug and play.

Когда вы закончите настройку политики авторизации подключения, нажмите OK, чтобы продолжить. Созданная политика теперь отображается в разделе «Политики авторизации подключения» консоли управления шлюзом служб терминалов.

Ранее я упоминал, что группу пользователей можно включать только в одну политику во избежание противоречий. Конечно, всегда возможно, что отдельная учетная запись пользователя будет включена в несколько групп пользователей. Если это так, то возможно, что к пользователю может применяться несколько политик авторизации подключения.

К счастью, консоль управления шлюзом служб терминалов позволяет справляться с такими противоречиями. Если вы посмотрите на список политик авторизации подключения, вы заметите, что каждой из них присвоен порядковый номер. Политики авторизации подключения применяются в соответствии с их порядковым номером. В этом случае первая политика в списке, которой соответствует пользователь, является политикой, которая будет применена. Например, если политики номер один и номер три совпадают для определенной учетной записи пользователя, тогда будет применена политика номер один, поскольку она имеет более низкий порядковый номер, чем политика номер три.

Вывод

Теперь мы полностью настроили шлюз служб терминалов и создали несколько политик авторизации подключений, определяющих, каким пользователям разрешен доступ к сетевым ресурсам через шлюз. В пятой части я завершу серию, показав вам, как создавать группы ресурсов и политики доступа к ресурсам.

Виртуализация

РЕКОМЕНДУЕМЫЕ СТАТЬИ

Типы клиентов Citrix: возможности и ограничения
25 Апреля, 2023
Мой процессор на 100%, что я могу с этим поделать?
25 Апреля, 2023
Запуск устаревших 16-разрядных приложений в среде службы терминалов
25 Апреля, 2023
Внутри среды изоляции приложений Citrix Presentation Server
25 Апреля, 2023
Управление полосой пропускания: Часть 1 – Старомодный способ
25 Апреля, 2023
Управление специфичными для пользователя данными конфигурации приложения в среде службы терминалов
25 Апреля, 2023
Работа с плохой пропускной способностью и задержкой
25 Апреля, 2023
Терминальный сервер и вызов профиля
25 Апреля, 2023