Windows Server 2008 содержит немало нововведений, касающихся реализации служб сервера терминалов. Пожалуй, можно даже сказать, что изменился сам подход к идее использования доступа к удаленным приложениям через службы терминалов, размывающий грань между приложениями, запущенными локально, и исполняемыми на удалённом терминальном сервере.Использование мобильных устройств и рост пропускных скоростей общедоступных соединений делает всё более востребованной необходимость доступа конечных пользователей к ресурсам корпоративной сети из любого места с помощью обычного подключения к интернету. Но эта же необходимость порождает и большую проблему – как в случае входа пользователя с компьютера, не являющегося членом корпоративной сети, обеспечить безопасность самой сети и её ресурсов. Использование традиционных VPN-подключений является достаточно безопасным с точки зрения защиты канала передачи данных, но таит в себе потенциальную угрозу прямого подключения к корпоративной сети компьютера, на котором может быть запущено злонамеренное ПО. Появляется и обратная проблема – например, когда пользователи организации смогут получить доступ к документам или данным, созданным удалёнными сотрудниками или клиентами “в дороге”?
Функционал сервера терминалов Windows Server 2008 расширен появлением новых служб - RemoteApp и TS Web Access. RemoteApp (Удаленные приложения служб терминалов) предоставляют доступ к приложениям, размещённым на сервере терминалов. Причём, для пользователя они выглядят так, как если бы они исполнялись в его системе – то есть ему показывается не рабочий стол удалённой системы с запущенными на ней приложениями, а приложения интегрируются в рабочий стол системы пользователя (с масштабированием окна и собственным значком приложения в панели задач). TS Web Access (веб-доступ к службам терминалов) позволяет использовать RemoteApp с помощью интернет-подключения. Помимо того, что с точки зрения пользователя, удалённые приложения имеют более привычный для него вид, это выглядит и более безопасным в использовании. Когда пользователю доставляется не рабочий стол системы, а отдельное приложение, администраторам уже не приходится продумывать вопросы наподобие таких – “сможет ли пользователь с помощью клавиатурных комбинаций запустить менеджер задач?” или “как запретить исполнение команды Выполнить?”. Взглянем на эти новые службы поближе.
Простой пример TS Web Access
Для начала мы продемонстрируем работу служб TS Web Access в минимальном наборе и без излишней функциональности. В этом примере нам потребуется лишь Windows Server 2008 и клиент с версией RDC не ниже 6.1 (6.0.6001.x).
Для взаимодействия со службами удаленных приложений RemoteApp, развёрнутых на сервере терминалов Windows Server 2008, должен использоваться клиент RDC (Remote Desktop Connection, подключение к удаленному рабочему столу) версии 6.0 (6.0.6000.x) или более поздней. Клиент RDC с необходимой версией входит в состав ОС Windows Vista. Для Windows Server 2003 и Windows XP он доступен для скачивания и установки по адресу KB925876.
Однако для использования веб-доступа к службам терминалов TS Web Access потребуется версия клиента RDC не ниже 6.1 (6.0.6001.x), входящего в состав ОС Windows Server 2008, Windows Vista SP1 и Windows XP SP3. Причём, если для Windows Server 2008 и Vista SP1 этого вполне достаточно, то в случае использования Windows XP SP3 дополнительно потребуется разрешить использование элемента управления ActiveX при помощи правки реестра. Для этого в ключе
HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Ext\Settings
необходимо удалить (или, например, просто переименовать) следующие два подключа:
{4eb89ff4-7f78-4a0f-8b8d-2bf02e94e4b2} {7390f3d8-0439-4c05-91e3-cf5cb290c3d0}
Перезагрузки для вступления в силу изменений не потребуется. Использование веб-доступа к службам терминалов TS Web Access возможно лишь с использованием браузера Internet Explorer. При первом подключении в панели информации обозревателя Internet Explorer появится предупреждение, что активное содержимое веб-страницы было заблокировано. Необходимо щелкнуть панель информации, выбрать пункт Разрешить заблокированное содержимое и затем нажать кнопку Запустить элемент ActiveX.
Подготовка сервера включает в себя установку ролей сервера терминалов и веб-сервера IIS с последующей публикацией необходимых приложений. Отметим, что служба веб-доступа к серверу терминалов может быть размещена на отдельном физическом сервере, к которому будут подключаться интернет-пользователи (да и самих физических серверов терминалов может быть и несколько), но в данном примере мы объединим их “в одном флаконе”.
Запускаем диспетчер сервера, щелкаем в левой панели строку Роли, затем переходим в правую панель и щёлкаем ссылку Добавить роли
На первой странице нажимаем кнопку Далее, на странице Выбор ролей сервера устанавливаем флажок Службы терминалов
и нажимаем кнопку Далее. Читаем дополнительные сведения, нажимаем кнопку Далее ещё раз. Теперь необходимо указать службы роли. Устанавливаем флажки Сервер терминалов и Веб-доступ к службам терминалов:
Для функционирования веб-доступа необходимо, чтобы на сервере были установлены компоненты веб-сервера IIS и служб активации процессов Windows. Если ранее они не были установлены, появится предложение добавить их в список устанавливаемых ролей.
Соглашаемся, нажав кнопку Добавить требуемые службы роли - нам же меньше работы – и нажимаем кнопку Далее. Знакомимся с предупреждением, что сервер терминалов рекомендуется устанавливать в системудо установки приложений, которые будут на нём развёрнуты, и опять нажимаем кнопку Далее.
На странице Метод проверки подлинности необходимо указать, каким образом будет проверяться клиент перед установлением подключения. Если все клиенты будут использовать операционные системы, поддерживающие протокол CredSSP (например, Windows 7 или Windows Vista), желательно установить требование проверки на уровне сети. Если необходимо обеспечить подключение клиентов и с Windows XP, то необходимо выбрать параметр Не требовать проверку подлинности на уровне сети.
Нажимаем Далее для перехода к странице определения типа лицензирования. Можно указать тип лицензирования сразу, или сделать это позже. В приведённых примерах мы оставим в стороне вопросы лицензирования сервера терминалов, тем более что в “тестовом” режиме (без существующего сервера лицензий) службы терминалов работоспособны в течение 120 дней. Поэтому устанавливаем переключатель в положение Настроить позже.
Снова кнопка Далее, откроется страница, позволяющая определить группы пользователей, которым будет предоставлено право подключаться к серверу терминалов.
В списке уже находится встроенная группа “Администраторы”, вы можете добавить необходимые группы, воспользовавшись кнопкой Добавить. После завершения редактирования нажимаем Далее три раза, оставляя предложенные настройки ролей IIS как есть, и переходим к странице подтверждения со списком всего сформированного процесса установок. Если всё верно, нажимаем кнопку Установить, после чего начнётся сам процесс установки ролей сервера.
По завершении процесса появится предупреждение, что сервер необходимо перезагрузить. Соглашаемся, ждём, когда сервер будет перезагружен и окончательно настроен. Теперь необходимо установить и настроить приложения на сервер терминалов.
Как уже отмечалось, во избежание конфликтов, установку приложений следует производить после установки самого сервера терминалов. Если установка приложения осуществляется с помощью пакета установщика Windows msi, то никаких дополнительных действий не требуется. Для остальных случаев сервер терминалов должен быть переведён в режим установки приложений. Для этого необходимо устанавливать приложения с помощью средства Установка приложений на сервер терминалов, находящегося в панели управления, или вручную, переведя сервер в режим установки командойchange user /install . В ручном режиме по окончании установки приложений на сервер выполните команду change user /execute.
Добавление приложений достаточно просто. Откройте Диспетчер удалённых приложений (Пуск – Администрирование – Службы терминалов или Диспетчер сервера – Роли – Службы терминалов), в окне Диспетчера щёлкните правой кнопкой мыши над списком Удалённые приложения RemoteApp (или выберите команду Добавление удалённых приложений в панели Действия).
Запустится мастер удалённых приложений. Нажмите кнопку Далее и установите флажки у необходимых приложений.
После того, как выбор будет закончен, нажмите кнопку Далее, затем Готово. Выбранные приложения появятся в списке окна Диспетчера RemoteApp. По умолчанию, все приложения в этом списке будут отображены в панели веб-доступа к серверу терминалов. Если вы хотите изменить такое поведение, выберите приложение и щёлкните его правой кнопкой мыши. В появившемся меню можно указать, будет ли опубликовано приложение на веб-портале,
посмотреть его свойства, выбрать команды удаления приложения или создания для него файлов RDP или установщика (для его последующего распространения).
Немного изменим параметры сервера терминалов. В окне Действия выберем команду Параметры шлюза служб терминалов и в окне диалога установим переключатель в положение Не использовать сервер шлюза служб терминалов - поскольку никакого шлюза у нас пока нет. Собственно, всё готово для начала тестирования работы TS Web Access. Запускаем на клиенте Internet Explorer, в адресной строке вводим:http://имя_сервера/ts. Чтобы выяснить, как именно происходит соединение, запустим на клиенте утилиту TCPView. При подключении к веб-порталу сервера терминалов появляется запрос на авторизацию. Отмечаем, что пока установлено обычное http-соединение (80-й порт TCP).
Указываем данные, необходимые для входа, (если заходим в первый раз, не забываем установить и запустить ActiveX, щёлкнув по появившейся панели информации в браузере) и попадаем на саму страницу веб-доступа:
Выберем щелчком мыши какое-нибудь приложение. Появится предупреждение, что удалённый веб-узел инициирует подключение. Нажимаем Подключить. Учётные данные для входа необходимо будет указать повторно. Если всё идет как следует, запустится выбранное приложение.
Заметим, что выглядит оно практически так же, как и локально запущенное, а связь с ним теперь осуществляется при помощи 3389 порта TCP (Управление удаленным рабочим столом). Причём, независимо от числа открытых приложений, все данные будут пересылаться по этому каналу.
Ну что ж, вроде всё работает. Однако, если в пределах “своей” сети, возможно, такого решения будет достаточно, то “выставление наружу” сервера терминалов в такой конфигурации для предоставления веб-доступа из интернета будет представлять собой явную угрозу безопасности всем ресурсам сети. Поэтому перейдём к рассмотрению второго примера.
Продолжение следует…
Интересное
Отличный сервис для выбора самой выгодной страховки. Теперь автострахование стало проще чем когда либо.
One Comment