Добавление роли службы шлюза TS



Предыдущая | Следующая

Добавление роли службы шлюза TS

При добавлении роли шлюза служб терминалов с помощью Диспетчера сервера (Server Manager) запускается мастер Добавление служб ролей (Add Role Services Wizard), который выполняет две основные задачи. Во-первых, он автоматически устанавливает (при необходимости) предварительные роли для шлюза служб терминалов — веб-сервер IIS и сервер сетевых политик NPS (Network Policy Server). Во-вторых, он выполняет процесс настройки трех компонентов шлюза TS, которые требуются для функционирования роли, — сертификата сервера для шифрования SSL, сетевой политики авторизации подключений к службам терминалов (TS Connection Authorization Policy, TS CAP) и политик авторизации ресурсов служб терминалов (TS Resource Authorization Policy, TS RAP).

■ Сертификат сервера для SSL Подключения TS-клиентов к шлюзу служб терминалов шифруются с помощью протокола SSL (также известного как протокол Transport Layer Security (TLS)), который требует сертификат сервера. Этот сертификат может быть получен от доверенного стороннего центра сертификации (СА) или доверенного локального СА (например, Certificate Services). В качестве менее защищенного варианта, подходящего для тестовых сред, мастер Добавление служб ролей (Add Role Services Wizard) может также самостоятельно генерировать сертификат сервера для использования со шлюзом служб терминалов.

ВАЖНО! Клиент должен доверять корневому сертификату сервера

Каждый TS-клиент, который подключается к серверу шлюза служб терминалов, должен доверять центру СА, издавшему сертификат сервера шлюза TS. Если сертификат издан не доверенным сторонним СА и не центром СА, интегрированным в собственный домен Active Directory клиента, вы должны экспортировать и установить корневой сертификат сервера шлюза служб терминалов (TS Gateway Server Root Certificate) в хранилище доверенных корневых центров сертификации (Trusted Root Certification Authorities) клиента служб терминалов. Это хранилище можно просмотреть с помощью оснастки Сертификаты (Certificates). Укзанная процедура описана в практическом разделе в конце данного занятия.

На рис. 4-15 показана страница мастера, на которой можно указать или создать сертификат сервера для шифрования SSL.

■ TS САР Политика TS CAP определяет внешних пользователей и компьютеры, которые могут подключаться к шлюзу служб терминалов. Мастер До-баиление служб ролей (Add Role Services Wizard) позволяет создать лишь первую и исходную политику TS CAP, однако позже вы сможете с помощью административной консоли Диспетчер шлюза служб терминалов (TS Gateway Manager) создать другие политики.

ПРИМЕЧАНИЕ Диспетчер шлюза служб терминалов и политики TS CAP

Чтобы запустить Диспетчер шлюза служб терминалов, щелкните кнопку Пуск (Start), откройте Администрирование (Administrative Tools), откроите Службы терминалов (Terminal Services) и щелкните элемент Диспетчер шлюза служб терминалов (TS Gateway Manager).

Если вы хотите создать в диспетчере шлюза служб терминалов новую политику TS САР, а лереие консоли щелкните правой кнопкой мыши папку Политики авторизации подключений (Connection Authorization Policies), примените команду Создать новую политику (Create New Policy) и укажите тип Мастер (Wizard) ii.fiи Другое (Custom) tio своему усмотрению. Для модификации свойств существующей политики TS CAP в панели Политики авторизации подключений (Connection Authorization Policies) щелкните правой кнопкой мыши политику TS CAP и примените команду Свойства (Properties),

На странице Выберите группы пользователей, подключающихся через шлюз TS (Select User Group That Can Connect Through TS Gateway) мастера Добавление служб ролей (Add Role Services Wizard), процесс создания первой политики TS CAP упрощен и позволяет указать пользователей (как правило, группы безопасности Active Directory), которым разрешено подключаться (рис. 4-16). Эти же группы пользователей затем становятся доступными для основной политики TS RAP, создаваемой далее мастером.

Отметим, что политика TS CAP также позволяет выбрать метод аутентификации удаленных пользователей: Пароль (Password), Смарт-карта (Smart Card) или оба

При использовании консоли Диспетчер шлюза служб терминалов (TS Gateway Manager) для создания или модификации политики TS CAP вы можете указать компьютеры, для которых разрешен доступ к шлюзу TS, и ограничить перенаправление устройств (опция, доступная только в диспетчере шлюза служб терминалов). Другими словами, вы можете использовать TS CAP для предотвращения перенаправления таких клиентских устройств, как USB-диски, в сеанс пользователя TS через шлюз служб терминалов. Окно свойств TS CAP в диспетчере шлюза служб терминалов показано на рис. 4-17.

■ TS RAP Политика шлюза служб терминалов TS RAP определяет пользователей, которые могут подключаться к определенным ресурсам служб тер-

миналов в организации. Мастер Добавление служб ролей (Add Role Services Wizard) позволяет создать первую и исходную политику TS RAP, однако позже вы сможете создать другие политики с помощью диспетчера шлюза служб терминалов.

ПРИМЕЧАНИЕ Диспетчер шлюза служб терминалов и политики TS RAP Чтобы создать в диспетчере шлюза служб терминалов новую политику TS RAP, в дереве консоли щелкните правой кнопкой мыши папку Политики авторизации ресурсов (Resource Authorization Policies), примените команду Создать новую политику (Create New Policy) и укажите тип Мастер (Wizard) пли Другое (Custom) по своему усмотрению.

Для модификации свойств существующей политики TS RAP в панели Политики авторизации pecypcou (Resource Authorization Policies) щелкните правой кнопкой мыши политику TS RAP. а затем примените команду Свойства (Properties).

В упрошенной политике, которая создается мастером Добавление служб ролей (Add Role Services Wizard), группе пользователей, выбранной на странице Выберите группы пользователей, подключающихся через шлюз TS (Select User Group That Can Connect Through TS Gateway), можно разрешить доступ ко всем серверам терминалов в сети или ограничить доступ лишь подсетью, определенной группой безопасности Active Directory.

На рис. 4-18 показана страница Создайте TS RAP для шлюза служб терминалов (Create A TS RAP For TS Cateway) мастера Добавление служб ролей (Add Role Services Wizard),

Как и в случае с TS CAP, при использовании диспетчера шлюза служб терминалов для создания или модификации TS RAP можно применять дополнительные опции конфигурации. Например, при использовании диспетчера шлюза служб терминалов для создания TS RAP группой компьютеров, для которой разрешается доступ, может быть группа безопасности Active Directory или группа компьютеров, управляемая шлюзом TS (рис. 4-18), Последний тип группы используется только для шлюза служб терминалов и создается в консоли Диспетчер служб терминалов (TS Gateway Manager). Второй опцией конфигурации TS RAP, доступной лишь в консоли диспетчера шлюза TS, является возможность управления TCP-портами, через которые ют-enTTS может подключаться к ресурсу. Например, вы можете ограничить все RDP-подключенняТСР-портом 3389 (стандартный порт RDP-кодкл точений) либо указать нестандартный порт млн набор портов, на которых группа компьютеров будет прослушивать подключения.

содержание: Развертывание и настройка Windows Server 2008