Exportovat (0) Tisk
Rozbalit vše

Konfigurace základního scénáře služby Brána TS

Aktualizováno: červen 2008

Rozsah platnosti: Windows Server 2008

K úspěšné konfiguraci a ověření funkčnosti základního scénáře služby Brána TS, který je v této příručce uveden jako příklad, je třeba provést následující kroky. Tento scénář umožňuje konfigurovat server služby Brána Terminálové služby tak, aby jeho prostřednictvím mohl vzdálený uživatel přistupovat přes Internet k internímu síťovému prostředku. V tomto scénáři může být interním síťovým prostředkem terminálový server, terminálový server se spuštěnými vzdálenými aplikacemi RemoteApp nebo počítač s povolenou funkcí Vzdálená plocha.

  1. Pro tento scénář doporučujeme nakonfigurovat tři počítače. Jsou to tyto počítače:

    • server služby Brána Terminálové služby (v tomto příkladu označovaný jako SERVER_BTS),

    • klient Terminálové služby (v tomto příkladu označovaný jako KLIENT_TS),

    • interní síťový prostředek (v tomto příkladu označovaný jako PODNIKOVÝ_PROSTŘEDEK).

    Počítače musí splňovat požadavky na systém popsané v části Požadavky na systém pro základní scénář služby Brána TS.

  2. Nakonfigurujte server služby Brána Terminálové služby podle pokynů uvedených v části Postup konfigurace serveru služby Brána Terminálové služby pro základní scénář služby Brána TS.

  3. Nakonfigurujte klienta Terminálové služby podle pokynů uvedených v části Postup konfigurace klienta Terminálové služby pro základní scénář služby Brána TS.

  4. Nakonfigurujte interní síťový prostředek.

  5. Ověřte, zda se klient Terminálové služby může přes server služby Brána Terminálové služby připojit k internímu síťovému prostředku. Postupujte podle pokynů uvedených v části 3. Ověření funkčnosti připojení prostřednictvím serveru služby Brána Terminálové služby.

Tři počítače použité v základním scénáři služby Brána TS musí splňovat následující požadavky na systém.

 

Počítač Požadovaná konfigurace

Server služby Brána Terminálové služby (SERVER_BTS)

  • Systém Windows Server 2008. Instalace může být upgradem ze systému Windows Server® 2003 Service Pack 1 (SP1) nebo novou instalací systému Windows Server 2008. Další informace naleznete v části Podporované cesty upgradu (Supported upgrade paths) v článku Instalace systému Windows Server 2008 (http://go.microsoft.com/fwlink/?LinkId=104824) (článek může být v angličtině).

Klient Terminálové služby (KLIENT_TS)

  • Systém Windows Vista SP1 nebo systém Windows XP Service Pack 3 (SP3) Beta či systém Windows XP SP3 Release Candidate (RC).

  • Systém Windows Vista. Instalace může být upgradem ze systému Windows XP s aktualizací Service Pack 2 (SP2).

  • Systém Windows XP SP2 a program Připojení ke vzdálené ploše verze 6.0. Pokud si chcete stáhnout program Připojení ke vzdálené ploše verze 6.0, podívejte se na článek číslo 925876 ve znalostní bázi Microsoft Knowledge Base (http://go.microsoft.com/fwlink/?LinkId=79373) (článek může být v angličtině).

  • Systém Windows Server 2008. Instalace může být upgradem.

  • Systém Windows Server 2003 s aktualizací SP1 nebo systém Windows Server 2003 s aktualizací SP2 a program Připojení ke vzdálené ploše verze 6.0.

Interní síťový prostředek (PODNIKOVÝ_PROSTŘEDEK)

U počítačů s povolenou funkcí Vzdálená plocha:

  • Systém Windows Vista SP1 nebo systém Windows XP SP3 Beta či systém Windows XP SP3 RC.

  • Systém Windows Vista. Instalace může být upgradem ze systému Windows XP s aktualizací SP2.

  • Systém Windows XP s aktualizací SP2.

  • Systém Windows Server 2003 s aktualizací SP1 nebo systém Windows Server 2003 s aktualizací SP2.

U terminálových serverů:

  • Systém Windows Server 2008. Instalace může být upgradem.

  • Systém Windows Server 2003 s aktualizací SP1 nebo systém Windows Server 2003 s aktualizací SP2.

Základní scénář služby Brána TS znázorňuje následující diagram.

Diagram scénáře hlavní výchozí brány TS
notePoznámka
Kroky v této příručce popisují, jak nakonfigurovat základní scénář služby Brána TS pro vzdálený přístup z klienta Terminálové služby k internímu síťovému prostředku prostřednictvím serveru služby Brána Terminálové služby. Příručka nepopisuje, jak konfigurovat brány firewall znázorněné v diagramu, terminálové servery se vzdálenými aplikacemi RemoteApp ani infrastrukturu služby Active Directory. Diagram ukazuje jednu z mnoha možností implementace scénáře vzdáleného přístupu prostřednictvím služby Brána TS v provozním prostředí.

Informace o způsobu konfigurace terminálového serveru naleznete v tématu nápovědy Terminálový server (http://go.microsoft.com/fwlink/?LinkId=72052) (stránky mohou být v angličtině).

Informace o instalaci vzdálených aplikací RemoteApp naleznete v článku Podrobná příručka k aplikacím RemoteApp Terminálové služby systému Windows Server 2008 (http://go.microsoft.com/fwlink/?linkId=84895) (článek může být v angličtině).

Informace o tom, jak povolit funkci Vzdálená plocha, naleznete v nápovědě systému Windows Server 2008 v tématu o použití vzdálené plochy.

Toto je zjednodušený popis posloupnosti kroků, které provádí KLIENT_TS při připojování k prostředku PODNIKOVÝ_PROSTŘEDEK prostřednictvím serveru SERVER_BTS:

  1. Uživatel pracující na klientském počítači Terminálové služby (KLIENT_TS) může inicializovat připojení provedením jednoho z následujících kroků:

    • klepnutím na soubor RDP, který nakonfiguroval správce, aby umožnil uživateli přístup k celé ploše;

    • klepnutím na ikonu aplikace RemoteApp (aplikace RemoteApp jsou reprezentovány v souboru RDP nakonfigurovaném správcem);

    • návštěvou webového serveru (z Internetu nebo intranetu), na kterém správce zpřístupnil pomocí programuTerminal Services Web Access (TS Web Access) seznam aplikací RemoteApp, a následným klepnutím na ikonu aplikace RemoteApp;

    • spuštěním klientského programu Připojení ke vzdálené ploše a ručním zadáním příslušného nastavení pro připojení.

  2. Mezi počítači KLIENT_TS a SERVER_BTS je pomocí certifikátu SSL serveru služby Brána Terminálového serveru vytvořeno tunelové propojení SSL. Než bude mezi počítači KLIENT_TS a SERVER_BTS vytvořeno připojení, musí SERVER_BTS ověřit a autorizovat uživatele podle zásad autorizace připojení k Terminálové službě (TS CAP), které správce nakonfiguroval v počítači SERVER_BTS.

  3. Po úspěšném ověření a autorizaci signalizuje počítač SERVER_BTS počítači KLIENT_TS, aby pokračoval v posloupnosti kroků připojení.

  4. Počítač KLIENT_TS požádá o připojení ze serveru SERVER_BTS k prostředku PODNIKOVÝ_PROSTŘEDEK. Dříve než SERVER_BTS požadavek autorizuje, ověří, zda jsou alespoň pro jednu zásadu Terminálové služby pro autorizaci prostředků (TS RAP), která je nakonfigurována na počítači SERVER_BTS, splněny současně obě následující podmínky:

    • PODNIKOVÝ_PROSTŘEDEK je členem skupiny počítačů zadané v zásadách TS RAP.

    • Uživatel je členem skupiny uživatelů zadané v zásadách TS RAP.

    Pokud jsou obě tyto podmínky splněny, počítač SERVER_BTS autorizuje požadavek.

  5. Mezi počítači KLIENT_TS a SERVER_BTS je vytvořeno připojení SSL a mezi počítači SERVER_BTS a PODNIKOVÝ_PROSTŘEDEK je vytvořeno připojení RDP.

    Od této chvíle jsou všechny pakety odesílané počítačem KLIENT_TS na SERVER_BTS předávány na PODNIKOVÝ_PROSTŘEDEK a všechny pakety odesílané počítačem PODNIKOVÝ_PROSTŘEDEK na SERVER_BTS jsou předávány na počítač KLIENT_TS.

  6. KLIENT_TS se pokusí vytvořit relaci uživatele v počítači PODNIKOVÝ_PROSTŘEDEK. PODNIKOVÝ_PROSTŘEDEK pomocí ověřování systému Windows ověří totožnost uživatele požadujícího připojení a oprávnění, která uživatel má v počítači PODNIKOVÝ_PROSTŘEDEK. (Stejné kroky by se prováděly, kdyby KLIENT_TS požadoval vzdálené připojení k počítači PODNIKOVÝ_PROSTŘEDEK bez použití serveru SERVER_BTS.)

  7. KLIENT_TS si přes port 443 vyměňuje šifrované pakety RDP zapouzdřené v protokolu SSL s počítačem SERVER_BTS. SERVER_BTS předává pakety RDP počítači PODNIKOVÝ_PROSTŘEDEK přes port 3389.

Chcete-li konfigurovat server služby Brána Terminálové služby, proveďte tyto úkoly:

 

Úkol Referenční informace / Podrobné pokyny

1. Instalace služby role Brána TS

1. Instalace služby role Brána TS

2. Získání certifikátu pro server služby Brána Terminálové služby

2. Získání certifikátu pro server služby Brána Terminálové služby

3. Konfigurace certifikátu pro server služby Brána Terminálové služby

3. Konfigurace certifikátu pro server služby Brána Terminálové služby

4. Vytvoření zásady autorizace připojení k Terminálové službě (TS CAP)

4. Vytvoření zásady TS CAP pro server služby Brána Terminálové služby

5. Vytvoření zásady Terminálové služby pro autorizaci prostředků (TS RAP)

5. Vytvoření zásady TS RAP a určení počítačů, k nimž se uživatelé budou moci připojit prostřednictvím serveru služby Brána Terminálové služby

6. Omezení maximálního počtu současných připojení prostřednictvím služby Brána TS (nepovinné)

6. Omezení maximálního počtu současných připojení prostřednictvím služby Brána TS (nepovinné)

Tento postup popisuje instalaci služby role Brána TS. Během procesu instalace služby role můžete vybrat existující certifikát (nebo vytvořit nový certifikát podepsaný svým držitelem) a vytvořit zásady TS CAP a TS RAP.

  1. Spusťte nástroj Správce serveru. Chcete-li spustit Správce serveru, klepněte na tlačítko Start, přejděte na položku Nástroje pro správu a pak klepněte na příkaz Správce serveru.

  2. Pokud ještě role Terminálová služba není nainstalována:

    1. V nástroji Správce serveru klepněte v části Souhrn rolí na možnost Přidat role.

    2. Pokud se v Průvodci přidáním rolí zobrazí stránka Než začnete, klepněte na tlačítko Další. Tato stránka se nezobrazí, pokud jsou již nainstalovány jiné role a je zaškrtnuto políčko Tuto stránku ve výchozím nastavení přeskočit.

    3. Na stránce Vybrat role serveru zaškrtněte v části Role políčko Terminálová služba a potom klepněte na tlačítko Další.

    4. Na stránce Terminálová služba klepněte na tlačítko Další.

    5. Na stránce Vybrat služby rolí zaškrtněte v seznamu Služby rolí políčko Brána TS.

    6. Pokud se zobrazí dotaz, zda chcete nainstalovat další služby rolí požadované pro službu Brána TS, klepněte na možnost Přidat požadované služby rolí.

    7. Na stránce Vybrat služby rolí zkontrolujte, zda je vybrána možnost Brána TS, a potom klepněte na tlačítko Další.

    Pokud je již nainstalována role Terminálová služba:

    1. V části Souhrn rolí klepněte na možnost Terminálová služba.

    2. V části Služby rolí klepněte na tlačítko Přidat služby rolí.

    3. Na stránce Vybrat služby rolí zaškrtněte políčko Brána TS a potom klepněte na tlačítko Další.

    4. Pokud se zobrazí dotaz, zda chcete nainstalovat další služby rolí požadované pro službu Brána TS, klepněte na možnost Přidat požadované služby rolí.

    5. Na stránce Vybrat služby rolí klepněte na tlačítko Další.

  3. Na stránce Zvolit certifikát ověření serveru pro šifrování SSL zadejte, zda chcete zvolit existující certifikát pro šifrování SSL (doporučeno), vytvořit pro šifrování SSL certifikát podepsaný svým držitelem nebo zvolit certifikát pro šifrování SSL později. Pokud provádíte instalaci nového serveru, který dosud certifikáty neobsahuje, naleznete v části 2. Získání certifikátu pro server služby Brána Terminálové služby informace o požadavcích na certifikáty a způsobu získání a instalace certifikátu.

    Při použití možnosti Zvolit existující certifikát pro šifrování SSL (doporučeno) se v seznamu certifikátů zobrazí pouze certifikáty s požadovaným účelem (ověřování serveru) a rozšířeným použitím klíče (EKU) [Ověření serveru (1.3.6.1.5.5.7.3.1)], které odpovídají službě role Brána TS. Pokud zvolíte tuto možnost, klepnete na tlačítko Importovat a potom importujete nový certifikát, který těmto požadavkům nevyhovuje, importovaný certifikát se v seznamu nezobrazí.

  4. Na stránce Vytvořit zásady autorizace pro bránu TS určete, zda chcete zásady autorizace (TS CAP a TS RAP) vytvořit v průběhu procesu instalace služby role Brána TS nebo později. Pokud vyberete možnost Později, vytvořte zásadu podle postupů uvedených v části 4. Vytvoření zásady TS CAP pro server služby Brána Terminálové služby. Vyberete-li možnost Nyní, proveďte následující akce:

    1. Na stránce Vybrat skupiny uživatelů, které se mohou připojit přes bránu Terminálové služby můžete po klepnutí na tlačítko Přidat určit další skupiny uživatelů. V dialogovém okně Vybrat skupiny zadejte umístění a název skupiny uživatelů a potom podle potřeby po klepnutí na tlačítko OK zkontrolujte název a zavřete dialogové okno Vybrat skupiny.

    2. Chcete-li zadat více skupin uživatelů, proveďte některou z následujících akcí: Zadejte názvy všech skupin uživatelů oddělené středníkem, nebo opakováním první části tohoto kroku pro každou skupinu přidejte další skupiny z jiných domén.

    3. Po dokončení zadávání dalších skupin uživatelů klepněte na stránce Vybrat skupiny uživatelů, které se mohou připojit přes bránu Terminálové služby na tlačítko Další.

    4. Na stránce Vytvořit zásady autorizace připojení Terminálové služby pro službu Brána TS přijměte výchozí název zásady autorizace připojení Terminálové služby (TS_CAP_01) nebo zadejte nový název, vyberte nejméně jednu metodu ověřování podporovanou systémem Windows a potom klepněte na tlačítko Další.

    5. Na stránce Vytvořit zásady autorizace prostředků Terminálové služby pro službu Brána TS přijměte výchozí název zásady autorizace prostředků Terminálové služby (TS_RAP_01) nebo zadejte nový název a potom proveďte jednu z následujících akcí: Určete, zda chcete uživatelům povolit pouze připojení k počítači v nejméně jedné skupině počítačů, a potom zadejte skupiny počítačů, nebo určete, že se uživatelé mohou připojit k libovolnému počítači v síti. Klepněte na tlačítko Další.

  5. Na stránce Služba Síťové zásady a přístup (která se zobrazí, pokud není tato služba role již nainstalována) zkontrolujte souhrnné informace a potom klepněte na tlačítko Další.

  6. Na stránce Vybrat služby rolí ověřte, zda je vybrána možnost Server NPS (Network Policy Server), a potom klepněte na tlačítko Další.

  7. Na stránce Webový server (IIS) (která se zobrazí, pokud není tato služba role již nainstalována) zkontrolujte souhrnné informace a potom klepněte na tlačítko Další.

  8. Na stránce Vybrat služby rolí přijměte výchozí vybrané možnosti u položky Webový server (IIS) a potom klepněte na tlačítko Další.

  9. Na stránce Potvrdit vybrané možnosti instalace ověřte, zda budou nainstalovány následující role, služby rolí a funkce:

    • Terminálová služba\Brána TS

    • Služba Síťové zásady a přístup\Server NPS (Network Policy Server)

    • Webový server (IIS)\Webový server\Nástroje pro správu

    • Služba Vzdálené volání procedur prostřednictvím serveru HTTP Proxy

    • Služba WAS (Windows Process Activation Service)\Model procesu\Rozhraní API konfigurace

  10. Klepněte na tlačítko Nainstalovat.

  11. Na stránce Průběh instalace se zobrazí průběh instalace.

    Jestliže některá z těchto rolí, služeb rolí nebo funkcí již byla nainstalována, budou se v průběhu instalace zobrazovat pouze nové role, služby rolí a funkce, jejichž instalace probíhá.

  12. Na stránce Výsledky instalace potvrďte, zda byla instalace těchto rolí, služeb rolí a funkcí úspěšná, a klepněte na tlačítko Zavřít.

Následujícím postupem ověříte, zda služba role Brána TS a závislé role, služby rolí a funkce jsou správně nainstalovány a fungují.

  1. Spusťte nástroj Správce serveru. Chcete-li spustit Správce serveru, klepněte na tlačítko Start, přejděte na položku Nástroje pro správu a pak klepněte na příkaz Správce serveru.

  2. Ve stromu konzoly rozbalte položku Role a pak poklepejte na položku Terminálová služba.

  3. Na souhrnné stránce Terminálová služba ověřte, zda v oblasti Systémové služby je stav služby Brána Terminálové služby Spuštěno a zda je typ spouštění nastaven na Automaticky.

  4. Ukončete nástroj Správce serveru.

  5. Spusťte nástroj Správce Internetové informační služby. Provedete to takto: Klepněte na tlačítko Start, přejděte na příkaz Nástroje pro správu a potom klepněte na možnost Správce Internetové informační služby (IIS).

  6. Ve stromu konzoly rozbalte uzel <Název_serveru_služby_Brána TS>\Weby\Výchozí webový server a klepněte na položku Výchozí webový server.

  7. Pravým tlačítkem myši klepněte na položku Výchozí webový server, přejděte na příkaz Spravovat webový server a pak klepněte na příkaz Upřesnit nastavení.

  8. V dialogovém okně Upřesnit nastavení v části (Obecné) ověřte, zda je možnost Spustit automaticky nastavena na hodnotu Pravda. Není-li nastavena na hodnotu Pravda, otevřete klepnutím na šipku rozevírací seznam a klepněte na položku Pravda.

  9. Klepněte na tlačítko OK.

  10. Ukončete Správce Internetové informační služby.

V této části se předpokládá znalost principů vytváření řetězů důvěryhodnosti certifikátů, podepisování certifikátů a obecných principů konfigurace certifikátů. Informace o konfiguraci infrastruktury veřejných klíčů v systému Windows Server 2008 naleznete v článku ITPROADD-204: Vylepšení infrastruktury veřejných klíčů v systémech Windows Vista a Windows Server 2008 (http://go.microsoft.com/fwlink/?LinkId=93995) (článek může být v angličtině). Informace o konfiguraci infrastruktury veřejných klíčů v systému Windows Server 2003 naleznete v článku Infrastruktura veřejných klíčů (http://go.microsoft.com/fwlink/?LinkID=54917) (článek může být v angličtině).

Jak jsme uvedli dříve v této příručce, k šifrování komunikace mezi klienty Terminálové služby a servery služby Brána Terminálové služby v Internetu slouží ve výchozím nastavení protokol TLS 1.0. Protokol TLS představuje standardní protokol sloužící k zabezpečení webové komunikace v Internetu nebo v intranetech. Protokol TLS je nejnovější a nejlépe zabezpečenou verzí protokolu SSL. Další informace o protokolu TLS naleznete v následujících zdrojích informací:

Protokol TLS bude fungovat správně pouze v případě, že na server služby Brána Terminálové služby nainstalujete certifikát X.509 kompatibilní s protokolem SSL.

Certifikáty pro službu Brána TS musí splňovat následující požadavky:

  • Pokud nepoužíváte certifikáty se zástupnými znaky nebo atributy SAN certifikátů, musí název certifikátu serveru v řádku předmětu (název certifikátu neboli název CN) odpovídat názvu DNS používanému klientem k připojení k serveru služby Brána Terminálové služby. Jestliže jsou certifikáty v organizaci vystavovány certifikační autoritou rozlehlé sítě, je nutné nakonfigurovat šablonu certifikátu tak, aby byl v žádosti o certifikát uveden příslušný název. V případě, že jsou certifikáty v organizaci vystavovány samostatnou certifikační autoritou, není třeba tento krok provádět.

    notePoznámka
    Pokud používáte atributy SAN certifikátů, musí být na klientech, kteří se připojují k serveru služby Brána Terminálové služby, spuštěn program Připojení ke vzdálené ploše 6.1. (Program Připojení ke vzdálené ploše verze 6.1 [6.0.6001] podporuje protokol RDP (Remote Desktop Protocol) verze 6.1.) Program Připojení ke vzdálené ploše verze 6.1 je součástí systémů Windows Server 2008, Windows Vista SP1, Windows XP SP3 Beta a Windows XP SP3 RC.

  • Je třeba, aby byl certifikát certifikátem počítače.

  • Účelem certifikátu musí být ověřování serveru. Rozšířeným použitím klíče musí být ověřování serveru (1.3.6.1.5.5.7.3.1).

  • Certifikátu musí být přiřazen odpovídající privátní klíč.

  • Platnost certifikátu nesmí být ukončena. Doporučujeme, aby byl certifikát platný jeden rok od data instalace.

  • Není nutné, aby měl identifikátor objektu certifikátu (označovaný také jako OID) hodnotu 2.5.29.15. Obsahuje-li však certifikát, který chcete použít, identifikátor objektu s hodnotou 2.5.29.15, můžete jej použít pouze v případě, že je také nastavena alespoň jedna z následujících hodnot použití klíče: CERT_KEY_ENCIPHERMENT_KEY_USAGE, CERT_KEY_AGREEMENT_KEY_USAGE a CERT_DATA_ENCIPHERMENT_KEY_USAGE.

    Další informace o těchto hodnotách naleznete v článku věnovaném rozšířené správě a zápisu certifikátů (http://go.microsoft.com/fwlink/?LinkID=74577) (článek může být v angličtině).

  • Certifikát musí být pro klienty důvěryhodný. To znamená, že v úložišti důvěryhodných kořenových certifikačních autorit v klientském počítači musí být umístěn veřejný certifikát certifikační autority, která certifikát serveru služby Brána Terminálové služby podepsala.

Jestliže již certifikát vlastníte, můžete jej pro server služby Brána Terminálové služby použít znovu, pokud splňuje následující podmínky:

Není-li certifikát důvěryhodný pro program Microsoft Root Certificate Program Members (například v případě, že vytvoříte a nainstalujete na server služby Brána Terminálové služby certifikát podepsaný svým držitelem a nenakonfigurujete certifikát ručně tak, aby považoval klientský počítač Terminálové služby za důvěryhodný), zobrazí se při pokusu klienta o připojení prostřednictvím serveru služby Brána Terminálové služby upozornění, že nevlastníte důvěryhodný certifikát, a připojení se nezdaří. Jestliže chcete této chybě zabránit, nainstalujte před pokusem klienta o připojení prostřednictvím serveru služby Brána Terminálové služby certifikát do úložiště certifikátů počítačů v klientském počítači.

Proces získání, instalace a konfigurace certifikátu pro server služby Brána Terminálové služby spočívá v následujících krocích:

  • Pokud vaše společnost spravuje samostatnou certifikační autoritu nebo certifikační autoritu rozlehlé sítě nakonfigurovanou tak, aby vystavovala certifikáty X.509 kompatibilní s protokolem SSL, které splňují požadavky služby Brána TS, můžete v závislosti na zásadách a konfiguraci certifikační autority vaší organizace generovat a odeslat žádost o certifikát několika způsoby. Certifikát lze získat pomocí následujících metod:

    • spuštění automatického zápisu z modulu snap-in Certifikáty,

    • vyžádání certifikátu pomocí Průvodce podáním žádosti o certifikát,

    • vyžádání certifikátu prostřednictvím webu,

      notePoznámka
      Používáte-li certifikační autoritu systému Windows Server 2003, je třeba si uvědomit, že se funkce webového zápisu Certifikační služby systému Windows Server 2003 opírá o ovládací prvek ActiveX označovaný jako Xenroll. Tento ovládací prvek ActiveX je k dispozici v systémech Microsoft Windows 2000, Windows Server 2003 a Windows XP. V systémech Windows Server 2008 a Windows Vista však bylo od prvku Xenroll upuštěno. Ukázkové webové stránky pro zápis certifikátů, které jsou součástí původních verzí systémů Windows Server 2003, Windows Server 2003 Service Pack 1 (SP1) a Windows Server 2003 Service Pack 2 (SP2), nezahrnují změnu ve způsobu provádění operací webového zápisu certifikátů v systémech Windows Server 2008 a Windows Vista. Informace o krocích, pomocí nichž lze tento problém vyřešit, naleznete v článku číslo 922706 znalostní báze Microsoft Knowledge Base (http://go.microsoft.com/fwlink/?LinkId=94472) (článek může být v angličtině).

    • použití nástroje příkazového řádku Certreq.

    Další informace o získávání certifikátů pro systém Windows Server 2008 pomocí těchto metod naleznete v tématu Získání certifikátu v nápovědě k modulu snap-in Certifikáty a v tématu Certreq v přehledu příkazů systému Windows Server 2008. Témata nápovědy k modulu snap-in Certifikáty můžete zobrazit tak, že klepnete na tlačítko Start, klepnete na příkaz Spustit, zadáte příkaz hh certmgr.chm a potom klepnete na tlačítko OK. Informace o tom, jak lze žádat o certifikáty pro systém Windows Server 2003, naleznete v článku věnovaném podávání žádostí o certifikáty (http://go.microsoft.com/fwlink/?LinkID=19638) (článek může být v angličtině).

    Certifikát vystavený samostatnou certifikační autoritou nebo certifikační autoritou rozlehlé sítě musí být podepsán také důvěryhodnou veřejnou certifikační autoritou, která je členem programu Microsoft Root Certification Program Members (http://go.microsoft.com/fwlink/?LinkID=59547) (stránka může být v angličtině). Jinak se může stát, že se uživatelé, kteří se připojují z domácích počítačů nebo veřejných terminálů, nebudou moci k serverům služby Brána Terminálové služby připojit. Taková připojení se pravděpodobně nezdaří, protože počítače, které nejsou členy domén, jako jsou například domácí počítače nebo veřejné terminály, nebudou kořenový certifikát vystavený certifikační autoritou rozlehlé sítě považovat za důvěryhodný.

  • Pokud vaše společnost nespravuje samostatnou certifikační autoritu nebo certifikační autoritu rozlehlé sítě nakonfigurovanou tak, aby vystavovala certifikáty X.509 kompatibilní s protokolem SSL, můžete si certifikát zakoupit u důvěryhodné veřejné certifikační autority, která je členem programu Microsoft Root Certificate Program Members (http://go.microsoft.com/fwlink/?LinkID=59547) (stránka může být v angličtině). Někteří z těchto dodavatelů mohou nabízet certifikáty bezplatně nebo na zkoušku.

  • Pokud vaše společnost nespravuje samostatnou certifikační autoritu nebo certifikační autoritu rozlehlé sítě a nevlastníte kompatibilní certifikát důvěryhodné veřejné certifikační autority, můžete také za účelem testování a technického vyhodnocení vytvořit a importovat pro server služby Brána Terminálové služby certifikát podepsaný svým držitelem. Podrobné pokyny naleznete v části Vytvoření certifikátu podepsaného svým držitelem pro službu Brána TS.

    V ukázkových konfiguracích popsaných v této příručce se používá certifikát podepsaný svým držitelem.

ImportantDůležité
Použijete-li k získání certifikátu některou z prvních dvou metod (to znamená, že jej získáte od samostatné certifikační autority či certifikační autority rozlehlé sítě nebo od důvěryhodné veřejné certifikační autority), je nutné také nainstalovat certifikát na server služby Brána Terminálové služby a certifikát mapovat. Pokud však vytvoříte certifikát podepsaný svým držitelem pomocí Průvodce přidáním rolí během instalace služby role Brána TS nebo pomocí nástroje Správce brány TS po instalaci (podle popisu uvedeného v části Vytvoření certifikátu podepsaného svým držitelem pro službu Brána TS), nebude nutné certifikát na server služby Brána Terminálové služby instalovat ani jej na něj mapovat. V tomto případě bude certifikát automaticky vytvořen, nainstalován do správného umístění na serveru služby Brána Terminálové služby a mapován na server služby Brána Terminálové služby.

notePoznámka
Certifikát certifikační autority, který vydal příslušný certifikát serveru, musí být v klientech uložen v úložišti důvěryhodných kořenových certifikačních autorit. Pokud tedy vytvoříte certifikát podepsaný svým držitelem způsobem popsaným v této příručce, musíte tento certifikát zkopírovat do klientského počítače (nebo do sdílené síťové složky, která je přístupná z klientského počítače) a potom ho nainstalovat do úložiště důvěryhodných kořenových certifikačních autorit v klientském počítači. Podrobné pokyny naleznete v části 1. Instalace kořenového certifikátu serveru služby Brána Terminálové služby do úložiště důvěryhodných kořenových certifikačních autorit v klientovi Terminálové služby (nepovinné).

Pokud k získání certifikátu použijete jednu z prvních dvou metod a klientský počítač Terminálové služby považuje vystavující certifikační autoritu za důvěryhodnou, není nutné do úložiště certifikátů v klientském počítači instalovat certifikát certifikační autority, která příslušný certifikát serveru vystavila. Certifikát vystavující certifikační autority není nutné instalovat do úložiště certifikátů v klientském počítači například v případě, že je na serveru služby Brána TS nainstalován certifikát společnosti VeriSign nebo certifikát jiné veřejné důvěryhodné certifikační autority.

Jestliže k získání certifikátu použijete třetí metodu (to znamená, že vytvoříte certifikát podepsaný svým držitelem), je nutné zkopírovat do klientského počítače certifikát certifikační autority, která příslušný certifikát serveru vystavila. Potom je nezbytné certifikát nainstalovat do úložiště důvěryhodných kořenových certifikačních autorit v klientském počítači. Další informace naleznete v části 1. Instalace kořenového certifikátu serveru služby Brána Terminálové služby do úložiště důvěryhodných kořenových certifikačních autorit v klientovi Terminálové služby (nepovinné).

Podle postupu popsaného dále v této příručce v části Instalace certifikátu na server služby Brána Terminálové služby nainstalujte certifikát na server služby Brána Terminálové služby.

Postupem popsaným dále v této příručce v části Mapování certifikátu serveru služby Brána Terminálové služby můžete určit, že server služby Brána Terminálové služby má používat existující certifikát.

Tento postup popisuje, jak použít nástroj Správce brány TS k vytvoření certifikátu podepsaného svým držitelem pro technické vyhodnocení a testovací účely, pokud jste ho dosud nevytvořili pomocí Průvodce přidáním rolí při instalaci služby role Brána TS.

ImportantDůležité
Doporučujeme používat certifikáty podepsané svým držitelem jen pro účely testování a vyhodnocení. Vytvořený certifikát podepsaný svým držitelem je nutné zkopírovat do klientského počítače (nebo do sdílené síťové složky, která je přístupná z klientského počítače) a potom ho nainstalovat do úložiště důvěryhodných kořenových certifikátů v klientském počítači.

Pokud vytvoříte certifikát podepsaný svým držitelem pomocí Průvodce přidáním rolí během instalace služby role Brána TS nebo pomocí nástroje Správce brány TS po instalaci (jak je popsáno v tomto postupu), nebude nutné certifikát instalovat ani mapovat na server služby Brána Terminálové služby.

  1. Spusťte nástroj Správce brány TS. Při spuštění nástroje Správce brány TS postupujte takto: Klepněte na tlačítko Start, přejděte na příkaz Nástroje pro správu, přejděte na položku Terminálová služba a potom klepněte na položku Správce brány TS.

  2. Ve stromu konzoly vyberte klepnutím uzel představující server služby Brána TS, jehož název je určen názvem počítače, ve kterém je spuštěn server služby Brána TS.

  3. V podokně výsledků klepněte v části Stav konfigurace na možnost Zobrazit nebo změnit vlastnosti certifikátu.

  4. Na kartě Certifikát SSL klepněte na přepínač Vytvořit certifikát podepsaný svým držitelem pro šifrování SSL a potom klepněte na možnost Vytvořit certifikát.

  5. V dialogovém okně Vytvořit certifikát podepsaný svým držitelem proveďte následující kroky:

    1. V části Název certifikátu zkontrolujte, zda je pro certifikát podepsaný svým držitelem zadán správný běžný název (CN), nebo zadejte nový název. Běžný název (CN) se musí shodovat s názvem DNS, který používá klient k připojení k serveru služby Brána TS, pokud nepoužíváte certifikáty se zástupnými znaky nebo atributy SAN certifikátů.

    2. Chcete-li uložit kořenový certifikát do zadaného umístění, abyste mohli ručně distribuovat kořenové certifikáty klientům, ověřte v části Umístění certifikátu, zda je zaškrtnuto políčko Uložit kořenový certifikát, a potom zadejte umístění pro uložení certifikátu. Toto políčko je ve výchozím nastavení zaškrtnuto a certifikát je uložen ve složce %Windir%\Users\<Jméno_uživatele>\Dokumenty.

    3. Klepněte na tlačítko OK.

  6. Pokud jste zaškrtli políčko Uložit kořenový certifikát a zadali umístění certifikátu, zobrazí se zpráva s informacemi o tom, že služba Brána TS úspěšně vytvořila certifikát podepsaný svým držitelem, a s potvrzením umístění uloženého certifikátu. Klepnutím na tlačítko OK zavřete zprávu.

  7. Dalším klepnutím na tlačítko OK zavřete dialogové okno Vlastnosti serveru služby Brána TS.

Proces konfigurace certifikátu pro server služby Brána Terminálové služby spočívá v následujících krocích:

Instalace certifikátu na server služby Brána Terminálové služby

Mapování certifikátu serveru služby Brána Terminálové služby

Po získání certifikátu nainstalujte pomocí tohoto postupu certifikát do správného umístění na server služby Brána TS, pokud již není nainstalován. Po dokončení tohoto postupu je nutné certifikát namapovat.

notePoznámka
Tento postup není nutný, pokud jste certifikát podepsaný svým držitelem vytvořili pomocí Průvodce přidáním rolí během instalace služby role Brána TS nebo pomocí nástroje Správce brány TS po instalaci, jak je popsáno v části Vytvoření certifikátu podepsaného svým držitelem pro službu Brána TS. V obou případech bude certifikát automaticky vytvořen, nainstalován do správného umístění na serveru služby Brána TS a namapován na server služby Brána TS.

  1. Spusťte konzolu modulu snap-in Certifikáty. Pokud jste konzolu modulu snap-in Certifikáty dosud nepřidali, můžete to provést následujícím způsobem:

    1. Klepněte na tlačítko Start, klepněte na příkaz Spustit, zadejte příkaz mmc a klepněte na tlačítko OK.

    2. V nabídce Soubor klepněte na možnost Přidat nebo odebrat modul snap-in.

    3. V dialogovém okně Přidat nebo odebrat moduly snap-in klepněte v seznamu Moduly snap-in k dispozici na položku Certifikáty a potom klepněte na tlačítko Přidat.

    4. V dialogovém okně Modul snap-in Certifikáty klepněte na položku Účet počítače a pak klepněte na tlačítko Další.

    5. V dialogovém okně Vybrat počítač klepněte na tlačítko Místní počítač (počítač, ve kterém je spuštěna tato konzola) a potom klepněte na tlačítko Dokončit.

    6. V dialogovém okně Přidat nebo odebrat moduly snap-in klepněte na tlačítko OK.

  2. V konzole modulu snap-in Certifikáty rozbalte ve stromu konzoly položku Certifikáty (místní) a pak klepněte na položku Osobní.

  3. Pravým tlačítkem myši klepněte na složku Osobní, přejděte na příkaz Všechny úkoly a pak klepněte na položku Importovat.

  4. Na stránce Vítá vás Průvodce importem certifikátu klepněte na tlačítko Další.

  5. Na stránce Importovat soubor zadejte do pole Název souboru název certifikátu, který chcete importovat, a pak klepněte na tlačítko Další.

  6. Na stránce Heslo proveďte tyto akce:

    1. Pokud jste dříve zadali heslo pro soukromý klíč spojený s certifikátem, zadejte toto heslo.

    2. Chcete-li označit soukromý klíč pro certifikát jako exportovatelný, zaškrtněte políčko Označit tento klíč jako exportovatelný.

    3. Chcete-li zahrnout všechny rozšířené vlastnosti certifikátu, zaškrtněte políčko Zahrnout všechny rozšířené vlastnosti.

    4. Klepněte na tlačítko Další.

  7. Na stránce Úložiště certifikátů přijměte výchozí možnost a pak klepněte na tlačítko Další.

  8. Na stránce Dokončení Průvodce importem certifikátu potvrďte, že byl vybrán správný certifikát.

  9. Klepněte na tlačítko Dokončit.

  10. Po úspěšném dokončení importu certifikátu se zobrazí zpráva s potvrzením, že import proběhl úspěšně. Klepněte na tlačítko OK.

  11. Při vybrané položce Certifikáty ve stromu konzoly zkontrolujte v podokně podrobností, zda je v seznamu certifikátů pro server služby Brána TS zobrazen správný certifikát. Certifikát musí být v úložišti Osobní místního počítače.

K mapování certifikátu serveru Brána Terminálové služby je nutné použít nástroj Správce brány TS. Použijete-li k mapování certifikátu serveru služby Brána Terminálové služby jinou metodu, nebude služba Brána TS fungovat správně.

notePoznámka
Tento postup není nutný, pokud jste certifikát podepsaný svým držitelem vytvořili pomocí Průvodce přidáním rolí během instalace služby role Brána TS nebo pomocí nástroje Správce brány TS po instalaci, jak je popsáno v části Vytvoření certifikátu podepsaného svým držitelem pro službu Brána TS.

  1. Spusťte nástroj Správce brány TS. Při spuštění nástroje Správce brány TS postupujte takto: Klepněte na tlačítko Start, přejděte na příkaz Nástroje pro správu, přejděte na položku Terminálová služba a potom klepněte na položku Správce brány TS.

  2. Ve stromu konzoly nástroje Správce brány TS klepněte pravým tlačítkem myši na místní server služby Brána Terminálové služby a potom klepněte na příkaz Vlastnosti.

  3. Na kartě Certifikát SSL klepněte na přepínač Vybrat existující certifikát pro šifrování SSL (doporučeno) a potom klepněte na tlačítko Procházet certifikáty.

  4. V dialogovém okně Nainstalovat certifikát klepněte na certifikát, který chcete použít, a potom klepněte na tlačítko Nainstalovat.

  5. Klepnutím na tlačítko OK zavřete dialogové okno Vlastnosti pro server služby Brána TS.

  6. Pokud jste mapování certifikátu služby Brána TS prováděli poprvé, můžete po dokončení mapování ověřit jeho úspěšnost tak, že v nástroji Správce brány TS zobrazíte oblast Stav serveru brány TS. V částech Stav konfigurace a Úkoly konfigurace již nebude zobrazeno upozornění, že ještě není nainstalován nebo vybrán certifikát serveru, ani hypertextový odkaz Zobrazit nebo změnit vlastnosti certifikátu.

Po instalaci služby role Brána TS a konfiguraci certifikátu pro server služby Brána Terminálové služby musíte vytvořit zásady autorizace připojení k Terminálové službě (TS CAP), skupiny počítačů a zásady Terminálové služby pro autorizaci prostředků (TS RAP).

Zásady TS CAP umožňují určit, kdo se může připojit k serveru služby Brána Terminálové služby. Můžete určit skupinu uživatelů, kteří existují na místním serveru služby Brána Terminálové služby nebo ve službě AD DS. Také můžete zadat další podmínky, které musí splňovat uživatelé, aby mohli získat přístup k serveru služby Brána Terminálové služby. Můžete například zadat podmínku, že všichni uživatelé, kteří se připojují prostřednictvím serveru služby Brána Terminálové služby k určitému terminálovému serveru – hostiteli databáze pro správu lidských zdrojů (HR – human resources), musí být členy skupiny zabezpečení HR Users. Můžete také požadovat, aby klientský počítač, který inicializuje připojení prostřednictvím serveru služby Brána Terminálové služby, byl členem skupiny zabezpečení služby Active Directory v interní síti. Tímto požadavkem můžete vyloučit uživatele, kteří se budou pokoušet připojit k interní síti z veřejných terminálů, počítačů na letišti nebo domácích počítačů, které nejsou považovány za důvěryhodné.

Chcete-li zvýšit úroveň zabezpečení klientů, kteří se prostřednictvím služby Brána TS připojují k interní síti, můžete rovněž zadat, zda má být zakázáno přesměrování všech zařízení podporovaných klientem Terminálové služby nebo pouze určitý typ zařízení, například disková jednotka nebo podporovaná zařízení Plug and Play. Pokud zakážete přesměrování všech zařízení podporovaných klientem, bude se zákaz týkat všech zařízení kromě zvukových zařízení a čipových karet.

Pokud se rozhodnete zakázat přesměrování zařízení pro určité typy zařízení nebo zakázat všechny typy zařízení kromě čipových karet, server služby Brána TS odešle požadavek zpět klientovi se seznamem typů zařízení, které mají být zakázány. Tento seznam představuje pouze návrh. Klient může nastavení přesměrování zařízení v seznamu změnit.

WarningUpozornění
Protože server služby Brána TS spoléhá na to, že klient vynutí nastavení přesměrování zařízení navržené serverem, neměla by být tato funkce použita k zajištění zabezpečení. Navržené nastavení přesměrování zařízení mohou vynutit pouze klienti programu Připojení ke vzdálení ploše (RDC); klienti, kteří tento program nepoužívají, nastavení vynutit nemohou. Může se také stát, že uživatel se zlými úmysly změní klienta RDC tak, že tento klient bude ignorovat navržené nastavení. V takových případech tato funkce nemůže poskytovat zaručené zabezpečení ani u klientů RDC.

Dále můžete určit, zda vzdálení klienti musí k přístupu k interním síťovým prostředkům prostřednictvím serveru služby Brána Terminálové služby používat autentizaci pomocí čipové karty nebo pomocí hesla. Vyberete-li obě tyto možnosti, budou mít připojení povoleno klienti, kteří používají kteroukoli z těchto metod ověření.

Pokud vaše organizace nasadila architekturu NAP (Network Access Protection), můžete požadovat, aby klient odesílal prohlášení o stavu (SoH). Informace o tom, jak konfigurovat službu Brána TS pro architekturu NAP, naleznete v tématu Konfigurace scénáře služby Brána TS s architekturou NAP.

ImportantDůležité
Uživatelé mají povolen přístup k serveru služby Brána Terminálové služby tehdy, pokud splňují podmínky zadané v zásadě TS CAP. Rovněž je nutné vytvořit zásadu TS RAP. Zásada TS RAP umožňuje určit interní síťové prostředky (počítače), ke kterým se mohou uživatelé připojit pomocí služby Brána TS. Dokud nevytvoříte zásadu autorizace připojení k Terminálové službě (TS CAP) a zásadu Terminálové služby pro autorizaci prostředků (TS RAP), nebudou se moci uživatelé pomocí tohoto serveru služby Brána TS připojit k interním síťovým prostředkům.

Zásady TS RAP umožňují určit interní síťové prostředky, ke kterým se mohou vzdálení uživatelé připojit prostřednictví serveru služby Brána TS. Když vytvoříte zásadu TS RAP, můžete vytvořit skupinu počítačů (seznam počítačů v interní síti, ke kterým chcete, aby se připojovali vzdálení uživatelé) a spojit ji se zásadou TS RAP. Můžete například určit, aby se uživatelé, kteří jsou členy skupiny uživatelů HR Users, směli připojit pouze k počítačům, které jsou členy skupiny počítačů HR Computers a aby se uživatelé patřící do skupiny uživatelů Finance Users směli připojit pouze k počítačům ze skupiny počítačů Finance Computers.

Vzdálení uživatelé, kteří se připojují k interní síti prostřednictvím serveru služby Brána TS, mají umožněn přístup k počítačům v síti tehdy, pokud splňují podmínky uvedené alespoň v jedné zásadě TS CAP a jedné zásadě TS RAP.

notePoznámka
Když spojíte skupinu počítačů spravovaných službou Brána TS se zásadou TS RAP, můžete podporovat plně kvalifikované názvy domény (FQDN) i názvy systému NetBIOS tak, že přidáte samostatně oba názvy do skupiny počítačů spravovaných službou Brána TS. Když spojíte skupinu zabezpečení služby Active Directory se zásadou TS RAP, budou automaticky podporovány plně kvalifikované názvy domény (FQDN) i názvy systému NetBIOS tehdy, pokud počítač v interní síti, ke kterému se klient připojuje, patří do stejné domény jako server služby Brána TS. Pokud počítač v interní síti patří do jiné domény než server služby Brána TS, musí uživatelé zadat plně kvalifikovaný název domény (FQDN) počítače v interní síti.

Společně představují zásady TS CAP a TS RAP dvě různé úrovně autorizace, které vám mají poskytnout možnost konfigurovat specifičtější úroveň řízení přístupu k počítačům v interní síti.

Prostřednictvím služby Brána TS se vzdálení uživatelé mohou připojovat k interním síťovým prostředkům ve skupině počítačů. Členy skupiny počítačů mohou být:

  • Členové existující skupiny zabezpečení: Skupina zabezpečení může existovat v nástroji Místní uživatelé a skupiny na serveru služby Brána TS nebo ve službě Active Directory Domain Services.

  • Členové existující skupiny počítačů spravovaných službou Brána TS nebo nové skupiny počítačů spravovaných službou Brána TS: Skupinu počítačů spravovaných službou Brána TS můžete konfigurovat po instalaci pomocí nástroje Správce brány TS.

    Skupina spravovaná službou Brána TS se nezobrazí v modulu Místní uživatelé a skupiny na serveru služby Brána TS ani ji nelze pomocí tohoto modulu konfigurovat.

  • Jakýkoli síťový prostředek: V tomto případě se mohou uživatelé připojit k libovolnému počítači v interní síti, ke kterému by se mohli připojit pomocí programu Připojení ke vzdálené ploše.

V tomto postupu je uvedeno, jak lze pomocí nástroje Správce brány TS vytvořit vlastní zásadu TS CAP. Chcete-li rychle vytvořit zásady TS CAP a TS RAP pro službu Brána TS, můžete také použít Průvodce zásadami autorizace.

ImportantDůležité
Pokud nakonfigurujete více než jednu zásadu TS CAP, pamatujte na to, že služba Brána TS se při vyhledávání zásad chová následovně: Zásady jsou uplatňovány v číselném pořadí, které se zobrazuje v podokně výsledků nástroje Správce brány TS, a přístup k serveru služby Brána Terminálové služby je udělen podle první vyhovující zásady. To znamená, že pokud klient nesplňuje požadavky první zásady TS CAP v seznamu, služba Brána TS vyhodnotí druhou zásadu v seznamu a tak postupuje dál, dokud nenajde zásadu TS CAP, jejíž požadavky jsou splněny. Jestliže klient nevyhovuje požadavkům žádné zásady TS CAP v seznamu, služba Brána TS odepře klientovi přístup.

  1. Spusťte nástroj Správce brány TS.

  2. Ve stromu konzoly vyberte klepnutím uzel představující server služby Brána Terminálové služby, jehož název je určen názvem počítače, ve kterém je spuštěn server služby Brána Terminálové služby.

  3. Ve stromu konzoly rozbalte položku Zásady a potom klepněte na položku Zásady autorizace připojení.

  4. Pravým tlačítkem myši klepněte na složku Zásady autorizace připojení, klepněte na příkaz Vytvořit novou zásadu a potom klepněte na příkaz Vlastní.

  5. Na kartě Obecné zadejte název zásady a potom ověřte, zda je zaškrtnuto políčko Povolit tuto zásadu.

  6. Na kartě Požadavky zaškrtněte v části Metody ověřování podporované systémem Windows jedno nebo obě zaškrtávací políčka:

    • Heslo

    • Čipová karta

    Zaškrtnete-li obě políčka, budou mít připojení povoleno klienti, kteří používají kteroukoli z těchto metod ověření.

  7. V části Členství ve skupině uživatelů (požadováno) klepněte na možnost Přidat skupinu a zadejte skupinu uživatelů, jejíž členové se mohou připojit k serveru služby Brána Terminálové služby. Musíte zadat alespoň jednu skupinu uživatelů.

  8. V dialogovém okně Vybrat skupiny zadejte umístění a název skupiny uživatelů a potom podle potřeby po klepnutí na tlačítko OK zkontrolujte název a zavřete dialogové okno Vybrat skupiny.

    • Zadejte názvy všech skupin uživatelů oddělené středníkem.

    • Opakováním tohoto kroku pro každou skupinu přidejte další skupiny z jiných domén.

  9. Chcete-li zadat kritéria členství v doméně počítače, která by měly splňovat klientské počítače (volitelně), klepněte na kartě Požadavky v části Členství ve skupinách klientských počítačů (volitelné) na možnost Přidat skupinu a zadejte skupiny počítačů. V ukázkové konfiguraci není zadána žádná skupina počítačů.

    Chcete-li zadat skupiny počítačů, můžete použít stejné kroky, jaké jste použili k zadání skupin uživatelů.

  10. Na kartě Přesměrování zařízení klepněte na jeden z následujících přepínačů, čímž povolíte nebo zakážete přesměrování vzdálených klientských zařízení:

    • Chcete-li povolit přesměrování všech klientských zařízení při připojení prostřednictvím serveru služby Brána Terminálové služby, klepněte na přepínač Povolit přesměrování zařízení pro všechna klientská zařízení. Tento přepínač je ve výchozím nastavení vybrán.

    • Chcete-li zakázat přesměrování všech klientských zařízení při připojení prostřednictvím serveru služby Brána Terminálové služby kromě čipových karet, klepněte na přepínač Zakázat přesměrování zařízení pro všechna klientská zařízení s výjimkou čipových karet.

    • Chcete-li zakázat přesměrování zařízení při připojení prostřednictvím serveru služby Brána Terminálové služby pouze pro určité typy zařízení, klepněte na přepínač Zakázat přesměrování zařízení pro následující typy klientských zařízení a potom zaškrtněte políčka odpovídající typům klientských zařízení, pro které by mělo být přesměrování zařízení zakázáno.

      ImportantDůležité
      Nastavení přesměrování zařízení lze vynutit pouze u klientů Připojení ke vzdálené ploše.

  11. Klepněte na tlačítko OK.

  12. Nově vytvořená zásada TS CAP se zobrazí v podokně výsledků nástroje Správce brány TS. Po klepnutí na název zásady TS CAP se v dolním podokně zobrazí její podrobnosti.

Tento postup popisuje, jak lze pomocí nástroje Správce brány TS vytvořit vlastní zásadu TS RAP a určit počítače, k nimž se uživatelé budou moci připojit prostřednictvím serveru služby Brána Terminálové služby. Tyto úkoly lze také provést pomocí Průvodce zásadami autorizace.

ImportantDůležité
Pokud se uživatelé připojují ke členům terminálové serverové farmy, je nutné nakonfigurovat zásadu TS RAP, která explicitně určuje název terminálové serverové farmy. Provedete to tak, že při vytváření zásady TS RAP vyberete na kartě Skupina počítačů možnost Vybrat existující skupinu počítačů spravovanou službou Brána TS nebo vytvořit novou a pak explicitně zadáte název terminálové serverové farmy. Pokud není název terminálové serverové farmy explicitně zadán, nebudou se uživatelé moci připojit k členům farmy. Chcete-li zajistit optimální zabezpečení a snadnou správu, vytvořte pro účely zadání terminálových serverů, které jsou členy farmy, druhou zásadu TS RAP. Na kartě Skupina počítačů vyberte možnost Vybrat existující skupinu zabezpečení služby Active Directory a potom zadejte skupinu zabezpečení, která obsahuje terminálové servery ve farmě. Zajistíte tím optimální zabezpečení, neboť členové farmy budou důvěryhodnými členy skupiny zabezpečení služby Active Directory.

  1. Spusťte nástroj Správce brány TS.

  2. Ve stromu konzoly vyberte klepnutím uzel představující server služby Brána Terminálové služby, jehož název je určen názvem počítače, ve kterém je spuštěn server služby Brána Terminálové služby.

  3. Ve stromu konzoly rozbalte položku Zásady a potom klepněte na položku Zásady autorizace prostředků.

  4. Klepněte pravým tlačítkem myši na složku Zásady autorizace prostředků, klepněte na příkaz Vytvořit novou zásadu a pak klepněte na položku Vlastní.

  5. Na kartě Obecné zadejte do pole Název zásady název obsahující maximálně 64 znaků.

  6. Do pole Popis zadejte popis nové zásady TS RAP.

  7. Na kartě Skupiny uživatelů přidejte klepnutím na tlačítko Přidat skupiny uživatelů, pro které má tato zásada TS RAP platit.

  8. V dialogovém okně Vybrat skupiny zadejte umístění a název skupiny uživatelů a pak klepněte na tlačítko OK. Chcete-li zadat více skupin uživatelů, proveďte některou z následujících akcí:

    • Zadejte názvy všech skupin uživatelů oddělené středníkem.

    • Opakováním kroku 7 pro každou skupinu přidejte další skupiny z jiných domén.

  9. Na kartě Skupina počítačů zadejte provedením jedné z následujících akcí skupinu počítačů, ke které se mohou připojit uživatelé prostřednictvím služby Brána TS:

    • Chcete-li zadat existující skupinu zabezpečení, klepněte na možnost Vybrat existující skupinu zabezpečení služby Active Directory a klepněte na tlačítko Procházet. V dialogovém okně Vybrat skupinu zadejte název a umístění skupiny uživatelů a potom klepněte na tlačítko OK. Místo abyste skupinu zabezpečení vybrali ve službě Active Directory Domain Services, můžete ji vybrat v nástroji Místní uživatelé a skupiny.

    • Chcete-li zadat skupinu počítačů spravovaných službou Brána TS, klepněte na možnost Vybrat existující skupinu počítačů spravovanou službou Brána TS nebo vytvořit novou a klepněte na tlačítko Procházet. V dialogovém okně Vybrat skupinu počítačů spravovanou bránou Terminálové služby proveďte jednu z následujících akcí:

      Vyberte existující skupinu počítačů spravovaných službou Brána TS klepnutím na název požadované skupiny počítačů a potom zavřete dialogové okno klepnutím na tlačítko OK.

      Vytvořte novou skupinu počítačů spravovaných službou Brána TS klepnutím na možnost Vytvořit novou skupinu. Na kartě Obecné zadejte název a popis nové skupiny. Na kartě Síťové prostředky zadejte název nebo IP adresu počítače či farmy Terminálové služby, kterou chcete přidat, a klepněte na tlačítko Přidat. Podle potřeby tento krok zopakujte k zadání dalších počítačů a potom klepnutím na tlačítko OK zavřete dialogové okno Nová skupina počítačů spravovaných službou Brána TS. V dialogovém okně Vybrat skupinu počítačů spravovanou bránou Terminálové služby klepněte na název nové skupiny počítačů a klepnutím na tlačítko OK dialogové okno zavřete.

      ImportantDůležité
      Když přidáte do seznamu počítačů spravovaných službou Brána TS počítač interní sítě, mějte na paměti, že pokud chcete povolit vzdáleným uživatelům připojení k tomuto počítači na základě zadání názvu počítače nebo IP adresy, musíte tento počítač přidat do skupiny počítačů dvakrát (zadáním názvu počítače a jeho přidáním do skupiny počítačů a následným zadáním IP adresy počítače a opětovným přidáním do skupiny počítačů). Pokud zadáte pro počítač při jeho přidání do skupiny počítačů pouze IP adresu, musí uživatelé, když se připojují k tomuto počítači prostřednictvím služby Brána TS, zadat také IP adresu příslušného počítače. Abyste měli jistotu, že se vzdálení uživatelé připojují k zamýšleným počítačům v interní síti, doporučujeme, abyste pro počítače nezadávali IP adresy, pokud u nich není konfigurováno použití statických IP adres. IP adresy byste neměli zadávat například tehdy, když vaše organizace používá server DHCP k dynamickému překonfigurování IP adres počítačů.

    • Chcete-li zadat nějaký síťový prostředek, klepněte na možnost Umožnit uživatelům připojení k libovolnému síťovému prostředku a klepněte na tlačítko OK.

  10. Po zadání skupiny počítačů se nově vytvořená zásada TS RAP zobrazí v podokně výsledků nástroje Správce brány TS. Po klepnutí na název zásady TS RAP se podrobnosti o této zásadě zobrazí v dolním podokně.

S výjimkou serverů služby Brána TS spuštěných v systému Windows Server® 2008 Standard nejsou ve výchozím nastavení zadány žádné limity pro počet současných připojení, která mohou klienti vytvořit s interními síťovými prostředky prostřednictvím serveru služby Brána Terminálové služby. Chcete-li optimalizovat výkon serveru služby Brána Terminálové služby nebo zajistit soulad se zásadami zabezpečení připojení vaší organizace, můžete nastavit maximální počet současných připojení, která mohou klienti vytvořit k síťovým prostředkům prostřednictvím serveru služby Brána Terminálové služby.

notePoznámka
U serverů služby Brána TS se systémem Windows Server 2008 Standard je podporováno maximálně 250 současných připojení.

  1. Spusťte nástroj Správce brány TS.

  2. Ve stromu konzoly vyberte klepnutím uzel představující server služby Brána Terminálové služby, jehož název je určen názvem počítače, ve kterém je spuštěn server služby Brána Terminálové služby.

  3. Ve stromu konzoly rozbalte položku Sledování.

  4. Při vybrané složce Sledování klepněte pravým tlačítkem myši na složku Sledování a klepněte na příkaz Upravit limit připojení.

  5. Na kartě Obecné proveďte ve skupinovém rámečku Maximální počet připojení některou z následujících akcí:

    • Chcete-li nastavit maximální počet současných připojení, která mohou vytvořit klienti Terminálové služby s interními síťovými prostředky prostřednictvím služby Brána TS, klepněte na možnost Omezit maximální počet povolených současných připojení na a zadejte počet povolených připojení.

    • Chcete-li, aby počet povolených připojení mezi klienty a interními síťovými prostředky prostřednictvím služby Brána TS nebyl omezen, klepněte na možnost Povolit maximální počet podporovaných současných připojení. Tato možnost je výchozí. Je třeba mít na paměti, že u serverů služby Brána TS se systémem Windows Server 2008 Standard je podporováno maximálně 250 současných připojení.

    • Chcete-li zabránit vytváření nových připojení mezi klienty a interními síťovými prostředky prostřednictvím služby Brána TS, klepněte na možnost Zakázat nová připojení. Pokud vyberete tuto možnost, budou odmítnuty pouze pokusy o nová připojení. Aktuální připojení služba Brána TS neukončí.

  6. Klepněte na tlačítko OK.

Chcete-li konfigurovat klienta Terminálové služby pro základní scénář služby Brána TS, proveďte tyto úkoly:

 

Úkol Referenční informace / Podrobné pokyny

1. Instalace kořenového certifikátu serveru služby Brána Terminálové služby do úložiště důvěryhodných kořenových certifikačních autorit v klientovi Terminálové služby (nepovinné)

notePoznámka
Pokud je na serveru služby Brána Terminálové služby nainstalován certifikát vystavený jednou z důvěryhodných certifikačních autorit, které se účastní v programu Microsoft Root Certificate Program Members, a klientský počítač Terminálové služby považuje tento certifikát za důvěryhodný, není tato procedura vyžadována.

1. Instalace kořenového certifikátu serveru služby Brána Terminálové služby do úložiště důvěryhodných kořenových certifikačních autorit v klientovi Terminálové služby (nepovinné)

2. Konfigurace nastavení připojení ke vzdálené ploše

2. Konfigurace nastavení připojení ke vzdálené ploše

3. Ověření funkčnosti připojení prostřednictvím serveru služby Brána Terminálové služby

3. Ověření funkčnosti připojení prostřednictvím serveru služby Brána Terminálové služby

Dříve než může klient zabezpečeně odeslat přihlašovací pověření a heslo a dokončit tak proces ověření, musí klientský počítač Terminálové služby ověřit identitu serveru služby Brána Terminálové služby a považovat ji za důvěryhodnou. Tento vztah důvěryhodnosti nastane v případě, že klienti považují kořenový certifikát serveru za důvěryhodný. To znamená, že klienti musí mít certifikát certifikační autority, která příslušný certifikát serveru vystavila, uložen ve svém úložišti důvěryhodných kořenových certifikačních autorit. Obsah tohoto úložiště je možné zobrazit pomocí modulu snap-in Certifikáty.

Jak již bylo uvedeno, není tento postup vyžadován v případě, že platí následující podmínky:

  • Na serveru služby Brána Terminálové služby je nainstalován certifikát vystavený jednou z důvěryhodných veřejných certifikačních autorit, které se účastní programu Microsoft Root Certificate Program Members (jak je uvedeno v článku číslo 931125 znalostní báze Microsoft Knowledge Base (http://go.microsoft.com/fwlink/?LinkID=59547)) (článek může být v angličtině).

  • Klientský počítač Terminálové služby již považuje vystavující certifikační autoritu za důvěryhodnou.

Pokud server služby Brána Terminálové služby používá certifikát vystavený jednou z důvěryhodných veřejných certifikačních autorit, který klientský počítač rozpozná a důvěřuje mu, pokračujte podle kroků uvedených v části 2. Konfigurace nastavení připojení ke vzdálené ploše.

ImportantDůležité
Neinstalujte certifikáty z nedůvěryhodných zdrojů.

notePoznámka
Provádíte-li konfiguraci klienta Terminálové služby pro použití s architekturou NAP (Network Access Protection), je nutné nainstalovat kořenový certifikát serveru služby Brána TS pomocí účtu počítače. V opačném případě můžete kořenový certifikát serveru služby Brána TS nainstalovat pomocí uživatelského účtu.

Dříve než budete provádět kroky následujícího postupu, musí být certifikát zkopírován do klientského počítače. Pokud jste například pro server služby Brána Terminálové služby vytvořili pomocí nástroje Správce Brány TS certifikát podepsaný svým držitelem, musí být tento certifikát již zkopírován ze serveru služby Brána Terminálové služby do klientského počítače.

  1. Spusťte konzolu modulu snap-in Certifikáty. Pokud jste konzolu modulu snap-in Certifikáty dosud nepřidali, můžete to provést následujícím způsobem:

    1. Klepněte na tlačítko Start, klepněte na příkaz Spustit, zadejte příkaz mmc a klepněte na tlačítko OK.

    2. V nabídce Soubor klepněte na možnost Přidat nebo odebrat modul snap-in.

    3. V dialogovém okně Přidat nebo odebrat moduly snap-in klepněte v seznamu Moduly snap-in k dispozici na položku Certifikáty a potom klepněte na tlačítko Přidat.

    4. Chcete-li spustit modul snap-in pro účet počítače, klepněte v dialogovém okně Modul snap-in Certifikáty na přepínač Účet počítače a potom na tlačítko Další. Chcete-li spustit modul snap-in pro uživatelský účet, klepněte na přepínač Můj uživatelský účet a potom na tlačítko Dokončit.

    5. Spouštíte-li modul snap-in Certifikáty pro účet počítače, klepněte v dialogovém okně Vybrat počítač na přepínač Místní počítač (počítač, ve kterém je spuštěna tato konzola) a potom klepněte na tlačítko Dokončit.

    6. V dialogovém okně Přidat nebo odebrat moduly snap-in klepněte na tlačítko OK.

  2. Ve stromu konzoly modulu snap-in Certifikáty rozbalte položku Certifikáty (místní) a položku Důvěryhodné kořenové certifikační autority, pravým tlačítkem myši klepněte na položku Certifikáty, přejděte na příkaz Všechny úkoly a potom klepněte na příkaz Importovat.

  3. Na stránce Vítá vás Průvodce importem certifikátu klepněte na tlačítko Další.

  4. Na stránce Importovat soubor vyhledejte pro pole Název souboru kořenový certifikát serveru služby Brána Terminálové služby, klepněte na tlačítko Otevřít a potom klepněte na tlačítko Další.

  5. Na stránce Úložiště certifikátů použijte výchozí možnost (Všechny certifikáty umístit v následujícím úložišti – Důvěryhodné kořenové certifikační autority) a potom klepněte na tlačítko Další.

  6. Na stránce Dokončení Průvodce importem certifikátu zkontrolujte, zda je zobrazeno následující nastavení certifikátu:

    • Úložiště certifikátů vybrané uživatelem: Důvěryhodné kořenové certifikační autority

    • Obsah: Certifikát

    • Název souboru: Cesta_k_souboru\<Název_kořenového_certifikátu.cer>, kde proměnná <Název_kořenového_certifikátu> představuje název kořenového certifikátu serveru služby Brána Terminálové služby.

  7. Klepněte na tlačítko Dokončit.

  8. Po úspěšném dokončení importu certifikátu se zobrazí zpráva s potvrzením, že import proběhl úspěšně. Klepněte na tlačítko OK.

  9. Vyberte ve stromu konzoly položku Certifikáty a v podokně podrobností ověřte, zda je v seznamu certifikátů u klienta zobrazen kořenový certifikát serveru služby Brána Terminálové služby. Přesvědčte se, zda je certifikát zobrazen v úložišti Důvěryhodné kořenové certifikační autority.

  1. Spusťte klienta Připojení ke vzdálené ploše. Klienta Připojení ke vzdálené ploše spustíte takto: Klepněte na tlačítko Start, přejděte na příkaz Všechny programy, přejděte na položku Příslušenství a potom klepněte na položku Připojení ke vzdálené ploše.

  2. V dialogovém okně Připojení ke vzdálené ploše klepnutím na tlačítko Možnosti rozbalte dialogové okno a zobrazte nastavení.

  3. Na kartě Upřesnit klepněte v oblasti Připojení z libovolného místa na možnost Nastavení.

  4. V dialogovém okně Nastavení serveru brány Terminálové služby vyberte odpovídající možnosti:

    • Automaticky rozpoznat nastavení serveru brány Terminálové služby (výchozí). Jestliže vyberete tuto možnost, pokusí se klienti Terminálové služby použít nastavení zásad skupiny, které určuje chování připojení klientů k serverům služby Brána Terminálové služby nebo k serverovým farmám služby Brána Terminálové služby, pokud bylo toto nastavení konfigurováno a povoleno. Další informace naleznete v nápovědě ke službě Brána TS v tématu Správa připojení klientů prostřednictvím služby Brána TS pomocí zásad skupiny.

    • Použít toto nastavení serveru brány Terminálové služby. Není-li dosud povolen a zásadami skupiny vynucen název serveru služby Brána Terminálové služby nebo serverové farmy služby Brána Terminálové služby a metoda přihlášení, můžete vybrat tuto možnost a zadat název serveru služby Brána Terminálové služby nebo serverové farmy služby Brána Terminálové služby, k níž se chcete připojit, a metodu přihlášení, kterou chcete u připojení použít. Zadaný název serveru se musí shodovat s názvem v poli Vystaveno certifikátu serveru služby Brána Terminálové služby. Pokud vytvoříte certifikát podepsaný svým držitelem pomocí Průvodce přidáním rolí během instalace služby role Brána TS nebo pomocí nástroje Správce brány TS po instalaci, zadejte plně kvalifikovaný název domény (FQDN) serveru služby Brána Terminálové služby.

    • Nepoužívat server brány Terminálové služby pro místní adresy. Tato možnost je vybrána jako výchozí nastavení.

      Toto políčko zaškrtněte, pokud chcete, aby klient Terminálové služby automaticky rozpoznal, zda je požadována služba Brána TS. Pokud používáte přenosný počítač, umožní výběr této možnosti optimalizaci výkonu připojení klienta k síti a minimalizaci latence, protože služba Brána TS bude použita pouze v případě, že je vyžadována. Služba Brána TS nebude použita, je-li počítač již připojen k místní síti LAN nebo je-li umístěn uvnitř brány firewall vnitřní sítě. V případě, že se nacházíte mimo vnitřní síť a připojujete se k vnitřní síti přes Internet, bude služba Brána TS použita.

      Jestliže se nacházíte v místní síti LAN, ale chcete testovat možnost připojení prostřednictvím serveru služby Brána TS nebo serverové farmy služby Brána TS, zrušte zaškrtnutí tohoto políčka. Pokud tak neučiníte, klient se nepřipojí prostřednictvím serveru služby Brána TS či serverové farmy služby Brána TS.

    • Nepoužívat server brány Terminálové služby. Tuto možnost vyberte, pokud je počítač již připojen k místní síti LAN nebo pokud je umístěn uvnitř brány firewall vnitřní sítě. Tato možnost je vhodná, pokud víte, že k průchodu branou firewall nepotřebujete službu Brána TS.

  5. Proveďte jednu z následujících akcí:

    • Chcete-li uložit nastavení a zavřít dialogové okno Připojení ke vzdálené ploše, klepněte na tlačítko Uložit a potom klepněte na tlačítko Storno. Nastavení bude uloženo jako soubor RDP do výchozího umístění (ve výchozím nastavení je soubor uložen do složky Jednotka:\<Uživatelské_jméno>\Dokumenty).

    • Chcete-li soubor RDP uložit do zadaného umístění (podle potřeby můžete soubor později upravit a distribuovat více klientům), klepněte na tlačítko Uložit jako. V dialogovém okně Uložit jako zadejte název a umístění souboru do pole Název souboru a potom klepněte na tlačítko Uložit.

    • Pokud chcete pokračovat v připojení k vnitřnímu síťovému prostředku, klepněte na tlačítko Uložit, klepněte na tlačítko Připojit a pokračujte krokem 5 následujícího postupu (Ověření funkčnosti připojení prostřednictvím serveru služby Brána Terminálové služby).

  1. Spusťte klienta Připojení ke vzdálené ploše. Klienta Připojení ke vzdálené ploše spustíte takto: Klepněte na tlačítko Start, přejděte na příkaz Všechny programy, přejděte na položku Příslušenství a potom klepněte na položku Připojení ke vzdálené ploše.

  2. V dialogovém okně Připojení ke vzdálené ploše klepnutím na tlačítko Možnosti rozbalte dialogové okno a zobrazte nastavení.

  3. Na kartě Obecné zadejte název počítače (terminálového serveru nebo počítače se spuštěnou Vzdálenou plochou), ke kterému se chcete vzdáleně připojit prostřednictvím služby Brána TS.

  4. Klepněte na možnost Připojit.

  5. V dialogovém okně Zadejte svá pověření vyberte uživatelský účet, který chcete použít ke vzdálenému přihlášení k počítači, zadejte požadovaná pověření a klepněte na tlačítko OK.

  6. V dialogovém okně Pověření pro server brány vyberte uživatelské jméno, které chcete použít k přihlášení k serveru služby Brána Terminálové služby, zadejte požadovaná pověření a klepněte na tlačítko OK.

  7. Po chvíli bude připojení dokončeno a bude vytvořeno připojení prostřednictvím serveru služby Brána Terminálové služby k počítači.

Byl tento obsah pro vás užitečný?
(Zbývající počet znaků: 1500)
Děkujeme za váš názor.

Obsah vytvořený komunitou

Přidat
Zobrazit:
© 2014 Microsoft