headermask image
Рекомендую: Фриланс-биржа | Кэшбэк-сервис | Интернет-бухгалтерия

Настройка шлюза служб терминала (Terminal Services Gateway) в Windows Server 2008 (Часть 2)

В первой части этой серии статей мы выполнили базовую установку служб терминала и лицензирование служб терминала, а также настроили режим лицензирования служб терминала. В этой части мы закончим установку и настройку шлюза TS и клиента RDP. Затем создадим соединение и посмотрим, как оно работает.

Установка службы шлюза TS на шлюзе служб терминала

Теперь мы перенесем наше внимание на компьютер шлюза TS. Это та машина, к которой внешние клиенты сначала будут подключаться при создании соединений клиента служб терминала.

Выполните следующие шаги для установки шлюза TS на компьютере шлюза служб терминала:

  1. Откройте менеджера Server Manager на компьютере шлюза TS. Перейдите по вкладке Роли в левой панели консоли и нажмите по ссылке Добавить роль в правой панели.
  2. Нажмите Далее на странице Прежде чем начать.
  3. На странице Выбор роли сервера поставьте галочку напротив строки Службы терминала.
  4. На странице Службы терминала нажмите Далее.
  5. На странице Выбор служб роли поставьте галочку напротив строки TS шлюз. У вас появится диалоговое окно Мастера добавления ролей с вопросом, действительно ли вы хотите Добавить службы и параметры роли, требующиеся для шлюза TS. Нажмите кнопку Добавить требующиеся службы роли.

1.jpg

Рисунок 1

  1. Нажмите Далее на странице Выбор служб роли.
  2. На странице Выберите сертификат аутентификации сервера для шифрования SSL выберите опцию Выбрать сертификат для SSL шифрования позже. Мы выбираем эту опцию, поскольку у нас еще не создан сертификат шлюза TS для использования его в SSL соединении шлюза и RDP клиента. Мы сделаем запрос на этот сертификат позже, а затем настроим шлюз TS на использование данного сертификата. Нажмите Далее.

25.jpg

Рисунок 2

  1. На странице Создание политик авторизации для TS шлюза выберите опцию Позже. Мы выбираем эту опцию, поскольку я хочу продемонстрировать вам консоль шлюза TS и показать, как с ее помощью настраивать политики авторизации. Нажмите Далее.

32.jpg

Рисунок 3

  1. Нажмите Далее на странице Политика сети и службы доступа.
  2. На странице Выбор служб роли убедитесь, что строка Сервер сетевой политики отмечена галочкой. Нажмите Далее.

42.jpg

Рисунок 4

  1. На странице Веб сервер (IIS) нажмите Далее.
  2. На странице Выбор служб роли примите службы по умолчанию, выбранные мастером. Это службы, требуемые для запуска службы шлюза TS. Нажмите Далее.

52.jpg

Рисунок 5

  1. Посмотрите информацию на странице Подтверждение выбранных параметров установки и нажмите Установить.

62.jpg

Рисунок 6

  1. Нажмите Закрыть на странице Результаты установки, которая показывает, что процесс установки успешно завершен.

Запрос сертификата для шлюза TS

Теперь мы можем сделать запрос сертификата, который веб сайт шлюза TS сможет использовать для создания SSL соединений с RDP клиентом.

Для запроса сертификата компьютера шлюза нужно выполнить следующие шаги:

  1. В меню Инструменты администрирования выбираем менеджера Internet Information Services (IIS) Manager.
  2. В консоли менеджера Internet Information Services (IIS) Manager жмем на имени сервера в левой панели. Дважды жмем на иконке Сертификаты сервера в средней панели консоли.

72.jpg

Рисунок 7

  1. В правой панели консоли жмем по ссылке Создать сертификат домена.

81.jpg

Рисунок 8

  1. На странице Определенные свойства имени вводим информацию, указанную на этой странице. Самым важным элементом здесь будет запись Общее имя. Имя, которое вы введете здесь, должно быть тем же именем, которое стоит в настройке клиента служб терминала для связи с компьютером шлюза TS. Это будет также и именем, которое в соответствии с настройками будут использовать ваши публичные DNS серверы, чтобы предоставлять публичный адрес для доступа к шлюзу TS. В большинстве случаев, это будет внешний интерфейс маршрутизатора или устройства NAT, или, возможно, внешний интерфейс расширенного брандмауэра, такого как Microsoft ISA Firewall. Жмем Далее.

91.jpg

Рисунок 9

  1. На странице Интерактивный центр сертификации жмем кнопку Выбрать. В диалоговом окне Выбор центра сертификации выбираем имя Enterprise CA, с которого хотим получить сертификат. Следует помнить, что мы можем получить сертификат домена и автоматически установить его, поскольку используем Enterprise CA. Если бы мы использовали отдельный CA, нам пришлось бы испытать неудобства сайта веб регистрации, и это было бы только после того, как мы создали автономный запрос, а также нам пришлось бы устанавливать сертификат компьютера вручную. Жмем OK после выбора Enterprise CA.

101.jpg

Рисунок 10

  1. Вводим Сетевое имя на странице Интерактивный цент сертификации. В этом примере мы дали сертификату сетевое имя TSG Cert. Жмем Закончить.

111.jpg

Рисунок 11

  1. После получения сертификата, у нас появится информация о нем в средней панели консоли. Если мы дважды нажмем на сертификате, то увидим диалоговое окно Сертификат, показывающее нам общее имя в поле Назначено для и тот факт, что У вас есть личный ключ, соответствующий данному сертификату. Это решающий момент, поскольку сертификат не будет работать, если у вас нет личного ключа. Жмем OK, чтобы закрыть диалоговое окно Сертификат.

121.jpg

Рисунок 12

Настройка шлюза TS на использование сертификата

Когда сертификат установлен в хранилище сертификатов компьютера, вы можете назначить шлюз TS на использование этого сертификата.

Для настройки шлюза на использование сертификата выполняем следующие шаги:

  1. В консоли Инструменты администрирования жмем по элементу Службы терминала и затем выбираем Шлюз TS.
  2. В менеджере TS Gateway Manager жмем по имени компьютера шлюза TS в левой панели консоли. В средней панели появляется полезная информация о шагах настройки, которые необходимо закончить для завершения процесса установки. Переходим по ссылке Показать или изменить свойства сертификата.

131.jpg

Рисунок 13

  1. В диалоговом окне Свойства для шлюза TS, во вкладке SSL Сертификат убеждаемся, что опция Выбрать существующий сертификат для SSL шифрования активна и жмем кнопку Просмотр сертификатов. Это вызовет диалоговое окно Установить сертификат. Жмем на сертификате, которым в нашем случае будет tsg.msfirewall.org, а затем жмем кнопку Установить.

141.jpg

Рисунок 14

  1. Теперь во вкладке SSL сертификат будет показана информация о сертификате, который шлюз TS будет использовать для создания SSL соединений. Жмем OK.

151.jpg

Рисунок 15

  1. Содержимое в средней панели измениться, указывая на то, что сертификат теперь установлен на шлюзе TS. Однако теперь мы видим в разделе Статус конфигурации, что нам нужно создать политику авторизации соединения и политику авторизации ресурсов.

161.jpg

Рисунок 16

Создание политики авторизации соединения шлюза TS

Политика авторизации соединения (connection authorization policy (CAP)) позволяет контролировать, кто сможет подключаться к серверу терминала через шлюз TS.

Для создания политики авторизации соединения выполняем следующие шаги:

  1. В левой панели консоли переходим по вкладке Политики авторизации соединения, которая расположена во вкладке Политики. В правой панели консоли жмем на стрелке справа от Создать новую политику, а затем нажимаем Мастер.

171.jpg

Рисунок 17

  1. На странице Политики авторизации выбираем опцию Создать только TS CAP. Жмем Далее.

181.jpg

Рисунок 18

  1. На странице Политика авторизации соединений вводим имя для CAP. В этом примере мы назовем CAP General CAP. Нажимаем Далее.

191.jpg

Рисунок 19

  1. На странице Требования ставим галочку напротив строки Пароль. Если вы собираетесь использовать аутентификацию Smartcard, тогда вам нужно выбрать опцию Smartcard. Теперь нам нужно настроить группы, которые будут иметь доступ к серверу терминала через шлюз TS. Для этого нажимаем кнопку Добавить группу. В диалоговом окне Выберите группы вводим имя группы, которой мы хотим разрешить доступ и жмем Проверить имена (Check Names). В данном примере мы ввели Domain Users и нажали OK.

201.jpg

Рисунок 20

  1. Обратите внимание на странице Требования, что у вас также есть возможность создавать группы компьютеров и позволять доступ только указанным компьютерам. Теперь мы настроим эту опцию в данном примере. Жмем Далее.

212.jpg

Рисунок 21

  1. На странице Перенаправление устройства выбираем опцию Разрешить перенаправление устройств для всех клиентских устройств. Обратите внимание на то, что если вы хотите более безопасное окружение, вы можете выбрать опцию Запретить перенаправление устройств для следующих типов клиентских устройств и затем выбрать опции Приводы и Буферная память. Для еще большей безопасности вы можете выбрать Отключить перенаправление устройств для всех типов клиентских устройств, кроме смарт-карт. Жмем Далее.

221.jpg

Рисунок 22

  1. На странице Результаты параметров TS CAP читаем данные о результатах нашего выбора и жмем Закончить.

231.jpg

Рисунок 23

  1. Жмем Закрыть на странице Подтвердите создание политики.

Создание политики авторизации ресурсов для шлюза TS

Следующая политика, которую нам нужно создать, это политика авторизации ресурсов (Resource Authorization Policy – RAP). RAP используется для контролирования того, к каким серверам терминала можно получить доступ через шлюз TS.

Выполните следующие шаги для создания RAP:

  1. Перейдите по узлу Политика авторизации ресурсов в левой панели консоли TS Gateway Manager. В правой панели консоли нажмите на стрелку справа от ссылки Создать новую политику и затем нажмите Мастер.

241.jpg

Рисунок 24

  1. На странице Политики авторизации выберите опцию Создать только TS RAP.

251.jpg

Рисунок 25

  1. На странице Политика авторизации ресурсов задайте имя для RAP в текстовом окне Введите имя для TS RAP. В этом примере мы назвали RAP General RAP. Нажмите Далее.

26.jpg

Рисунок 26

  1. На странице Группы пользователей выберите группы, к которым будет применена политика RAP. Это даст вам возможность четко контролировать, какие пользователи смогут получать доступ к серверу терминала A, и некоторым другим группам, возможно, тоже понадобится доступ к серверу терминала B. Политика RAP дает вам такой контроль. В этом примере мы переходим по ссылке Добавить группу и добавляем группу Domain Users. Нажимаем Далее.

27.jpg

Рисунок 27

  1. На странице Группа компьютеров у вас есть возможность определения того, к каким серверам терминала можно получить доступ с помощью политики RAP. У вас есть возможность выбора определенной группы компьютеров Active Directory, или вы можете создавать управляемую группу шлюза TS. В этом примере, поскольку у нас есть только один сервер терминала, мы выберем самую простую опцию, которой является опция Разрешить пользователям подключаться к любому ресурсу (компьютеру) сети. Это позволит пользователям подключаться ко всем серверам терминала сети. Жмем Далее.

28.jpg

Рисунок 28

  1. На странице Общая информация TS Rap проверьте параметры и нажмите Закончить.

29.jpg

Рисунок 29

  1. Нажмите Закрыть на странице Подтвердите создание политики.
  2. В левой панели консоли нажмите на имени сервера. Вы увидите, что больше нет проблемных моментов, которые необходимо решить. Теперь шлюз TS готов к работе с новыми входящими соединениями с любым сервером терминала в сети.

30.jpg

Рисунок 30

Настройка RDP клиента на использование шлюза TS

Мы сделали практически все! Сервер терминала и шлюз TS настроены и готовы к работе. Последним шагом будет настройка RDP клиента на компьютере Vista. Нам нужно настроить клиента с именем сервера терминала, к которому он будет подключаться, и именем компьютера шлюза TS, который он будет использовать для подключения к серверу терминала.

Заметка: Я настроил компьютер клиента Vista с записью HOSTS файла для tsg.msfirewall.org, чтобы он смог преобразовать имя шлюза TS в IP адрес внешнего интерфейса устройства NAT в передней части сети.

Для настройки RDP клиента на компьютере Windows Vista нужно выполнить следующие шаги:

  1. На компьютере Vista нажимаем кнопку Пуск, а затем жмем Аксессуары. Дважды жмем Подключение к удаленному компьютеру.
  2. В диалоговом окне Подключение к удаленному компьютеру во вкладке Общие, вводим имя компьютера для сервера терминала в текстовом окне Компьютер. Вводим имя пользователя в текстовом окне Имя пользователя. Если вы хотите, чтобы клиент сохранил ваши мандаты, вы можете поставить галочку напротив строки Разрешить мне сохранять мандаты.

311.jpg

Рисунок 31

  1. Жмем по вкладке Дополнительно. В разделе Аутентификация сервера убеждаемся, что опция Предупреждать меня выбрана. Жмем кнопку Параметры в разделе Подключаться из любого места.

321.jpg

Рисунок 32

  1. В диалоговом окне Параметры сервера шлюза TS выбираем опцию Использовать эти параметры сервера шлюза TS. Вводим имя шлюза TS в текстовое окно Имя сервера. Для Способа регистрации выбираем опцию Запрашивать пароль (NTLM). Обратите внимание, что опция Автоматически определять параметры сервера шлюза TS позволяет вам настроить RDP клиента так, что он будет получать свои параметры посредством групповой политики. Жмем OK.

33.jpg

Рисунок 33

  1. Переходим по вкладке Общие и затем жмем Подключить.

34.jpg

Рисунок 34

  1. У нас появится диалоговое окно Безопасность Windows. Вводим пароль и жмем OK.

35.jpg

Рисунок 35

  1. Открывается сеанс служб терминала, и вы видите рабочий стол и приложения запущенные для вашей учетной записи в сеансе служб терминала.

36.jpg

Рисунок 36

  1. Переходим на компьютер шлюза TS и жмем на вкладке Мониторинг в левой панели консоли шлюза TS. Здесь у нас есть информация о сеансах служб терминала, запущенных через шлюз TS.

37.jpg

Рисунок 37

Заключение

В этой части серии статей о шлюзе TS, мы рассмотрели процесс установки и настройки шлюза TS и клиента RDP. Затем мы подключились к шлюзу TS и серверу терминала через этот шлюз TS. Мы также увидели, что вкладка мониторинга на шлюзе TS предоставляет нам полезную информацию о том, кто подключается к серверу терминала через шлюз TS.

Автор: Томас Шиндер (Thomas Shinder)

Источник: winsecurity.ru

Похожие посты
  • Веб-трансляция: Особенности служб сертификации в Windows Server 2008
  • Решение ошибки аутентификации клиентов при подключении к Remote Desktop Gateway
  • WSUS станет опциональной ролью для Windows Server 2008 Server Manager
  • Веб-трансляция: Active Directory Rights Management Services в Windows Server 2008
  • Настройка шлюза служб терминала (Terminal Services Gateway) в Windows Server 2008 (часть 1)
  • Пошаговые руководства по Windows Server 2008 на русском
  • Настройка Windows Server 2008 R2 в качестве RADIUS сервера для Cisco ASA, часть 2
  • Активация служб терминалов
  • Веб-трансляция: Внешний доступ к службам RMS (Windows Server 2008)
  • Веб-трансляция: Новые приемы управления серверами в Windows Server 2008: Server Manager и PowerShell
  • 4 комментов оставлено (Add 1 more)

    1. Здраствуйте! после настройки шлюза терминалов, удаленный компьютер не печатает? Хотя, в локальных ресурсах стоит галочка, на разрешения подключение.. как можнос этим разобраться!! заранее спасибо!!

      1. fazli on January 15th, 2009 at 1:05 am
    2. “А ещё наверно потому что стоит ноиндекс нофоллов” – Это есть такое, самое интересное что у меня тоже стоит капча, ноиндекс, нофоллоу,но все равно какие-то извращенцы, видимо руками спамят :)
      Что интересно – яндексовый бот по нофоллоу ходит, в логах есть записи…

      2. parMaster on December 17th, 2008 at 8:42 pm
    3. Наверно потому что я такие коменты тру или целиком, или убираю сайто-сателлиты. А ещё наверно потому что стоит ноиндекс нофоллов.

      3. molse on June 10th, 2008 at 12:58 pm
    4. Блог классный, статьи тоже, а чего коментов то нет не пойму???

      4. mungi on June 9th, 2008 at 10:29 pm