headermask image

Настройка шлюза служб терминала (Terminal Services Gateway) в Windows Server 2008 (часть 1)

Администраторы безопасности Microsoft всегда были немного осторожны с публикацией серверов терминала в Интернете. И на то была веская причина – не было возможности для предварительной аутентификации соединения или использования политики для определения того, какие пользователи могли получить доступ к тому или иному серверу терминала (Terminal Servers). Отсутствие предварительной аутентификации было особенно сложной проблемой. Без предварительной аутентификации анонимные пользователи могли использовать свое анонимное подключение для компрометации опубликованных серверов терминала. Скомпрометированный сервер терминала, возможно, представлял собой самое опасное средство атаки вашей сети, так как атакующий пользователь имеет доступ ко всей ОС, чтобы запустить свою атаку.

Windows Server 2008 предоставляет решение для этой проблемы безопасности: шлюз служб терминала (Terminal Services Gateway). Используя шлюз служб терминала, вы можете предварительно аутентифицировать пользователей и контролировать, к каким серверам терминала пользователи могут получить доступ на основе мандатов и политики. Этот дает вам гибкий контроль, необходимый для RDP решения по безопасному удаленному доступу.

В этой серии статей, состоящей из двух частей, о том как заставить это решение работать, мы будем использовать лабораторную сеть, показанную на рисунке ниже. Стрелки показывают поток соединений внешнего RDP клиента с сервером терминала.

1.JPG

На каждом сервере в этом примере стоит Windows Server 2008 Enterprise Edition.

В этой сети я использую Windows Server 2008 NAT сервер в качестве Интернет-шлюза. Вы можете использовать любое другое простое устройство NAT или маршрутизатор с фильтрацией пакетов, например PIX, или даже расширенный брандмауэр типа Microsoft ISA Firewall. Ключевая опция конфигурации здесь заключается в том, что вы будете направлять соединения TCP порта 443 на компьютер шлюза служб терминала.

На контроллере домена установлены DNS, DHCP, служба сертификации в режиме Enterprise CA, а также WINS.

На сервере терминала установлена только базовая операционная система. Мы установим другие службы в ходе статьи.

На шлюзе TS установлена только базовая ОС. Мы будем устанавливать другие сервисы по ходу этой серии статей.

В этой серии статей я опишу следующие процессы и процедуры, которые вы должны будите выполнить, чтобы ваше решение работало:

  • Установка служб терминала (Terminal Services) и лицензий этих служб на сервере терминала
  • Настройка лицензирования служб терминала (Terminal Services Licensing)
  • Установка Desktop Experience на сервер терминала (не обязательно)
  • Настройка режима лицензирования служб терминала (Terminal Services Licensing Mode)
  • Установка сервиса шлюза служб терминала (Terminal Services Gateway Service) на шлюзе TS
  • Запрос сертификата для шлюза TS
  • Настройка шлюза TS на использование сертификата
  • Создание RAP шлюза TS
  • Создание САР шлюза TS
  • Настройка клиента RDP на использование шлюза TS

Установка служб терминала и лицензирования служб терминала на сервере терминала

Первым шагом будет установка служб терминала на компьютере служб терминала.

Для этого нужно выполнить следующие шаги:

  1. На компьютере служб терминала отрываем менеджера Server Manager. В Server Manager жмем по вкладке Роли в левой панели консоли.
  2. Переходим по ссылке Добавить роли в правой панели консоли.

21.jpg

Рисунок 2

  1. Жмем Далее на странице Прежде чем вы начнете.
  2. На странице Выберите роли сервера ставим галочку напротив строки Службы терминала. Жмем Далее.

31.jpg

Рисунок 3

  1. Жмем Далее на странице Службы терминала.
  2. На странице Выберите роль служб ставим галочку напротив стоки Сервер терминала и TS лицензирование. Жмем Далее.

41.jpg

Рисунок 4

  1. Жмем Далее на странице Удалить и переустановить приложение для совместимости.
  2. На странице Укажите способ аутентификации для сервера терминала выбираем опцию Требовать сетевой уровень аутентификации. В данном случае мы можем выбрать эту опцию, поскольку мы используем только Vista SP1 клиентов для подключения к серверу терминала через TS шлюз. Мы бы не смогли использовать эту опцию, если бы нам пришлось поддерживать Windows XP SP2 клиентов. Однако вы сможете поддерживать аутентификацию на сетевом уровне (Network Level Authentication) для клиентов Windows XP SP3. Но эта информация еще не подтверждена, поэтому прочтите инструкцию к Windows XP SP3, когда она будет выпущена. Жмем Далее.

51.jpg

Рисунок 5

  1. На странице Укажите способ лицензирования выбираем опцию Настроить позже. Мы могли бы выбрать опцию и сейчас, но я решил, что мы выберем опцию Настроить позже, чтобы я смог показать вам, где в консоли служб терминала вы можете настроить режим лицензирования. Жмем Далее.

61.jpg

Рисунок 6

  1. На странице Выберите использование групп, которым разрешен доступ к этому серверу терминала выбираем опцию по умолчанию. Вы можете добавлять или удалять группы, если хотите более точный контроль доступа к серверу терминала. Однако если все пользователи будут проходить через шлюз TS, вы сможете контролировать, кто из них сможет подключаться к серверу терминала, используя параметры политики шлюза TS. Оставляем стандартные настройки, как они есть, и жмем Далее.

71.jpg

Рисунок 7

  1. На странице Настроить границы обнаружения (Discovery Scope) для TS лицензирования выбираем опцию Этот домен. Мы выбираем эту опцию в данном случае, потому что у нас есть только один домен. Если бы у нас был мультидоменная среда, мы могли бы выбрать опцию Среда. Жмем Далее.

8.jpg

Рисунок 8

  1. На странице Подтвердите выбранные компоненты установки проверяем окно предупреждения, указывающее на то, что нам, возможно, придется переустановить приложения, которые уже были установлены на эту машину, если мы хотим, чтобы они корректно работали в окружении сеанса служб терминала. Также следует обратить внимание на то, что расширенные настройки безопасности IE будут выключены. Жмем Установить.

9.jpg

Рисунок 9

  1. На странице Результаты установки вы увидите предупреждение о том, что нужно перезагрузить сервер, чтобы завершить процесс установки. Жмем Далее.

10.jpg

Рисунок 10

  1. Жмем Да в диалоговом окне Мастер добавления ролей, которое спрашивает, хотим ли мы перезагрузить сервер.
  2. Входим от имени администратора. Процесс установки продолжится в течение пары минут после того, как появится страница Прогресс установки после открытия менеджера Server Manager.
  3. Жмем Закрыть на странице Результаты установки после того, как появилось сообщение Установка успешно завершена.

11.jpg

Рисунок 11

  1. Может появиться подсказка, говорящая, что Режим лицензирования служб терминала не настроен. Вы можете пропустить это предупреждение, поскольку мы настроим лицензирование служб терминала и режим лицензирования на сервер терминала позже.

12.jpg

Рисунок 12

Настройка лицензирования служб терминала

На данный момент мы готовы настроить лицензирование служб терминала. В этом примере я буду использовать некоторые подложные данные, которые не отвечают действительным требованиям лицензирования служб терминала клиентских подключений, но послужат примером того, как работает этот процесс. Пожалуйста, НЕ используйте ту же процедуру, которую я буду показывать здесь, для лицензирования ваших клиентов служб терминала, поскольку в этом случае вы не будете соответствовать действительным требованиям лицензирования.

Для активации вашего сервера лицензирования служб терминала выполните следующие шаги:

  1. В меню инструменты администрирования выберите меню Службы терминала, а затем нажмите Менеджер лицензирования TS.
  2. В левой панели консоли TS Licensing Manager правой клавишей кликните на имени сервера. Нажмите Активировать сервер.

13.jpg

Рисунок 13

  1. Нажмите Далее на приветственной странице Welcome to the Activate Server Wizard.
  2. На странице Способ соединения выберите опцию Автоматическое подключение (рекомендуется). Нажмите Далее.

14.jpg

Рисунок 14

  1. На странице Информация о компании введите информацию о своей компании и нажмите Далее.

15.jpg

Рисунок 15

  1. Если нужно введите информацию в необязательные поля на странице Информация о компании. Нажмите Далее.

16.jpg

Рисунок 16

  1. На странице завершения работы мастера Completing the Activate Server Wizard проверьте, что опция Запустить мастера установки лицензий (Start Install Licenses Wizard) теперь выбрана. Нажмите Далее.

17.jpg

Рисунок 17

  1. Нажмите Далее на приветственной странице Welcome to the Install Licenses Wizard.
  2. На странице Программа лицензированиянажмите стрелку вниз в списке Программа лицензирования и выберите программу лицензирования, в которой вы хотите участвовать. В этом примере я выбрал опцию Другое соглашение поскольку данное лабораторное окружение не участвует ни в одной лицензионной программе. Нажмите Далее.

18.jpg

Рисунок 18

  1. На странице Программа лицензирования введите свой Номер соглашения. В этом примере я просто ввел 1234567. Нажмите Далее.

19.jpg

Рисунок 19

  1. На странице Версия продукта и тип лицензии выберите Версию продукта, Тип лицензии и Количество, которые соответствуют нуждам вашего окружения. В этом примере мы используем Windows Server 2008 Terminal Servers, поэтому мы выбрали Windows Server 2008. Мы будем использовать CAL для каждого пользователя в примерной сети, поэтому выбрали Windows Server 2008 TS Per User (для каждого пользователя) CAL. Мы также введем 50 в текстовом окне Количество. Нажмите Далее.

20.jpg

Рисунок 20

  1. Нажмите Закончить на странице завершения работы мастера Completing the Install Licenses Wizard.

Установка Desktop Experience на сервере терминала (необязательно)

Когда клиенты Windows Vista подключаются к серверу терминала Windows Server 2008 Terminal Server, они смогут использовать функцию Vista-like desktop experience во время сеанса с сервером терминала, если установить опцию Desktop Experience на сервере терминала.

Для установки функции Desktop Experience на сервере терминала выполните следующие шаги:

  1. На странице Выберите параметры поставьте галочку напротив строки Desktop Experience. Нажмите Далее.

211.jpg

Рисунок 21

  1. Нажмите Установить на странице Подтвердите выбранные компоненты установки.
  2. На странице Результаты установки прочтите предупреждение, говорящее о том, что необходимо перезагрузить компьютер для завершения процесса установки. Нажмите Закрыть.
  3. Нажмите Да в диалоговом окне, запрашивающем ваше согласие на перезагрузку компьютера.
  4. Войдите от имени администратора. Процесс установки возобновится и займет пару минут, так что наберитесь терпения.
  5. Нажмите Закрыть на странице Результаты установки, которая показывает, что процесс установки успешно завершен.

Настройка режима лицензирования служб терминала

Сейчас мы завершим настройку севера терминала путем установки режима лицензирования служб терминала. Для этого нужно выполнить следующие шаги:

  1. В меню Инструменты администрирования выбираем элемент Службы терминала и жмем Конфигурация служб терминала.
  2. В средней панели консоли Конфигурация служб терминала дважды жмем на строку Режим лицензирования служб терминала.

22.jpg

Рисунок 22

  1. В диалоговом окне Свойства выбираем опцию Для каждого пользователя (Per User) для строки Укажите режим лицензирования служб терминала. Выбираем Автоматически определять сервер лицензирования для опции Укажите режим определения сервера лицензирования. Нажимаем OK.

23.jpg

Рисунок 23

  1. Переходим по вкладке Диагностика лицензирования в левой панели консоли. В средней панели вы увидите подробности конфигурации лицензирования для этого сервера терминала.

24.jpg

Рисунок 24

  1. Закрываем консоль Конфигурация служб терминала.

Заключение

В этой части серии статей по созданию решения шлюза TS, используя Windows Server 2008, мы рассмотрели процесс установки служб сервера терминала и лицензирования служб терминала, затем мы настроили лицензирование служб терминала, установили Desktop Experience на сервер терминала и, наконец, настроили режим лицензирования для сервера терминала. В следующей части мы установим и настроим шлюз TS и RDP клиента. Затем мы завершим статью установкой соединения с внешнего расположения. Увидимся! ‘Том.

Автор: Томас Шиндер (Thomas Shinder)

Источник:  winsecurity.ru

Похожие посты
  • Веб-трансляция: Особенности служб сертификации в Windows Server 2008
  • Решение ошибки аутентификации клиентов при подключении к Remote Desktop Gateway
  • WSUS станет опциональной ролью для Windows Server 2008 Server Manager
  • Веб-трансляция: Active Directory Rights Management Services в Windows Server 2008
  • Пошаговые руководства по Windows Server 2008 на русском
  • Настройка Windows Server 2008 R2 в качестве RADIUS сервера для Cisco ASA, часть 2
  • Активация служб терминалов
  • Веб-трансляция: Внешний доступ к службам RMS (Windows Server 2008)
  • Веб-трансляция: Новые приемы управления серверами в Windows Server 2008: Server Manager и PowerShell
  • 1 октября. Веб-трансляция “Windows Server Core: отличия от полной версии Windows Server 2008. Варианты применения.”