Poradnik krok po kroku instalacji i wykorzystania Windows Server 2008 TS Gateway Server, cz. I

Opublikowano: 30 czerwca 2008

Zawartość strony

	Przegląd funkcjonalności TS Gateway
	Wymagania wstępne dla TS Gateway
	Szczególne uwarunkowania TS Gateway
	Konfigurowanie TS Gateway: wariant podstawowy

Poradnik ten opisuje nową funkcjonalność Terminal Services Gateway (TS Gateway) dostępną w systemie operacyjnym Windows Server® 2008 RC0.

Poradnik obejmuje następujące zagadnienia:

• Przegląd funkcjonalności TS Gateway
• Wymagania wstępne dla TS Gateway
• Szczególne uwarunkowania TS Gateway
• Konfigurowanie TS Gateway: wariant podstawowy
• Konfigurowanie TS Gateway: wariant NAP
• Konfigurowanie TS Gateway: wariant z użyciem ISA Server
• Monitorowanie aktywnych połaczeń przez TS Gateway
• Przykładowy skrypt weryfikujący konfigurację certyfikatów

Przegląd funkcjonalności TS Gateway

Terminal Services Gateway (TS Gateway) jest nową usługą roli dostępną dla użytkowników systemu operacyjnego Microsoft Windows Server® 2008. TS Gateway pozwala autoryzowanym użytkownikom na dostęp do zasobów w wewnętrznej sieci korporacyjnej lub prywatnej z dowolnego urządzenia połączonego z Internetem, na którym można uruchomić klienta Remote Desktop Connection (RDC). Zasobami sieci wewnętrznej mogą być serwery terminali, serwery terminali udostępniające programy RemoteApp™ albo komputery z włączoną funkcją Remote Desktop.

TS Gateway opakowuje Remote Desktop Protocol (RDP) wywołujący RPC w połączenie HTTP przez Secure Sockets Layer (SSL). W ten sposób TS Gateway pozwala podnieść poziom bezpieczeństwa dzięki ustanowieniu szyfrowanego połączenia pomiędzy użytkownikami zdalnymi w sieci Internet i wewnętrznymi zasobami sieciowymi, na których są uruchomione aplikacje tych użytkowników.

Procedury opisane w tym poradniku pozwalają skonfigurować serwer TS Gateway, umożliwiając dostęp użytkowników zdalnych do serwerów terminali, serwerów z uruchomionymi programami RemoteApp lub komputerów, na których włączona jest funkcja Remote Desktop, umieszczonych w sieci wewnętrznej.

Uwaga

Po zainstalowaniu i skonfigurowaniu serwera TS Gateway za pomocą procedur zawartych w tym poradniku konieczne jest skonfigurowanie klientów, aby używali serwera TS Gateway i upewnienie się, że można utworzyć połączenie przechodzące przez TS Gateway. Instrukcje dotyczące konfiguracji klienta i testowania połączeń zawiera Poradnik krok po kroku instalacji Terminal Services Client dla TS Gateway.

Kto powinien używać TS Gateway?

Poradnik ten jest przeznaczony dla następujących grup odbiorców:

• Administratorów IT, planistów i analityków, którzy oceniają produkty zapewniające dostęp zdalny i rozwiązania mobilne.
• Projektantów IT na poziomie przedsiębiorstwa.
• Testerów.
• Projektantów zabezpieczeń, którzy odpowiadają za implementację bezpiecznego przetwarzania danych.
• Specjalistów IT, odpowiedzialnych za serwery terminali lub dostęp zdalny do komputerów biurkowych.

Korzyści wynikające ze stosowania TS Gateway

TS Gateway zapewnia wiele korzyści, w tym:

• Pozwala użytkownikom zdalnym na dostęp do zasobów sieci wewnętrznej z Internetu za pośrednictwem szyfrowanego połączenia bez konieczności konfigurowania połączenia wirtualnej sieci prywatnej (VPN).

• Zapewnia wszechstronną konfigurację zabezpieczeń, pozwalając na kontrolowany dostęp do wybranych zasobów sieci wewnętrznej. TS Gateway udostępnia połączenia RDP typu „punkt do punktu”, zamiast pozwalać użytkownikom na dostęp do całej sieci wewnętrznej.

• Pozwala większości użytkowników zdalnych na dostęp do zasobów wewnętrznych utrzymywanych w sieci prywatnej za zaporami ogniowymi, w tym za routerami dokonującymi translacji adresów sieciowych (NAT). Dzięki TS Gateway nie ma potrzeby wykonywania dodatkowych działań konfiguracyjnych w takim wypadku ani na serwerze TS Gateway, ani po stronie klientów.

• We wcześniejszych wersjach Windows Server środki zabezpieczeń uniemożliwiały użytkownikom zdalnym dostęp do zasobów sieci wewnętrznej poprzez zapory ogniowe i NAT. Wynikało to z faktu, że port 3389, używany przez połączenia RDP, jest zazwyczaj blokowany ze względu na wymagania bezpieczeństwa sieci. TS Gateway przesyła ruch RDP do portu 443, używając tunelu HTTP Secure Sockets Layer/Transport Layer Security (SSL/TLS). Ponieważ w większości korporacji port 443 jest otwarty w celu umożliwienia łączności Internetowej, TS Gateway korzysta z tej cechy projektów sieci, by zapewnić dostęp zdalny poprzez wiele zapór ogniowych.

• Konsola MMC TS Gateway Manager pozwala administratorowi na konfigurowanie zasad autoryzacyjnych, definiujących warunki, które muszą być spełnione, aby użytkownicy zdalni mogli się połączyć z zasobami sieci wewnętrznej. Na przykład można określić:

  • Kto może się łączyć z zasobami sieci (innymi słowy, grupy użytkowników, którzy mogą się łączyć).
  • Z jakimi zasobami sieciowymi (grupami komputerów) użytkownicy mogą się łączyć.
  • Czy komputery klienckie muszą być członkami grup zabezpieczeń Active Directory®.
  • Czy dozwolone jest przekierowanie urządzeń i dysków.
  • Czy klienci do uwierzytelniania powinni używać kart inteligentnych, haseł, czy też każdej z tych metod.

• Serwery TS Gateway oraz klientów Terminal Services można skonfigurować, aby korzystały z rozwiązania Network Access Protection (NAP) w celu dalszego podniesienia zabezpieczeń. NAP jest rozwiązaniem tworzenia zasad bezpieczeństwa, ich wymuszania i naprawy, które zostało włączone do systemów operacyjnych Windows Vista® RTM, Windows Server 2008 oraz wersji beta Windows Vista Service Pack 1 (SP1) i Windows XP Service Pack 3 (SP3). Członkowie odpowiedniego programu Microsoft® Connect Beta mogą pobrać wersje beta systemu Windows Vista SP1 lub Windows XP SP3 z witryny MS Connect (https://go.microsoft.com/fwlink/?LinkID=102024).

• Dzięki NAP administratorzy systemów mogą wymusić stosowanie wymagań dotyczących bezpieczeństwa, które obejmują wymagania dotyczące oprogramowania, aktualizacji zabezpieczeń, konfiguracji komputera i innych.

  Uwaga

  Komputery pracujące pod kontrolą systemu Windows Server 2008 nie mogą zostać użyte jako klienci NAP, jeśli TS Gateway wymusza stosowanie tego rozwiązania. Tylko komputery systemu Windows Vista RTM lub wersji beta Windows Vista SP1 oraz Windows XP SP3 mogą zostać użyte jako klienci NAP w takiej sytuacji.

• Można zastosować TS Gateway w połączeniu z rozwiązaniem Microsoft Internet Security and Acceleration (ISA) Server w celu podniesienia zabezpieczeń. W takim wariancie serwery TS Gateway mogą być hostowane w sieci prywatnej, a nie w sieci brzegowej (zwanej także DMZ, czyli strefą zdemilitaryzowaną, albo podsiecią przesłaniającą), a w sieci brzegowej umieścić tylko ISA Server. Alternatywnie ISA Server może pełnić funkcję punktu izolacji dla jednego lub obu końców sieci brzegowej. Połączenia SSL pomiędzy klientem Terminal Services i ISA Server mogą kończyć się na tym serwerze, który jest dostępny z sieci Internet.

• Konsola TS Gateway Manager udostępnia narzędzia ułatwiające monitorowanie stanu połączeń TS Gateway, sprawności i zdarzeń. Przy użyciu TS Gateway Manager można określić zdarzenia (takie jak nieudane próby połączenia z serwerem TS Gateway), które zamierza się monitorować w celu prowadzenia inspekcji.

Dodatkowe źródła

• Wsparcie dla produktu dostępne jest na stronie Terminal Services witryny Windows Server 2008 TechCenter (https://go.microsoft.com/fwlink/?LinkId=48555).
• Dostęp do grup dyskusyjnych na temat Terminal Services zawiera strona Terminal Services Community w witrynie Microsoft TechNet (https://go.microsoft.com/fwlink/?LinkId=85730).
• Betatesterzy i członkowie specjalnego programu Technology Adoption Program (TAP) mogą również zwrócić się do odpowiedniego zespołu projektowego w firmie Microsoft o pomoc.

 Do początku strony

Wymagania wstępne dla TS Gateway

Aby rozwiązanie TS Gateway mogło funkcjonować poprawnie, muszą być spełnione następujące warunki wstępne:

• Potrzebny jest serwer z zainstalowanym systemem Windows Server 2008.

• Należy uzyskać certyfikat SSL dla serwera TS Gateway, o ile jeszcze się nim nie dysponuje. Domyślnie usługi RPC/HTTP Load Balancing oraz IIS na serwerze TS Gateway używają techniki Transport Layer Security (TLS) 1.0 do szyfrowania komunikacji z klientami w sieci Internet. Aby mechanizm TLS mógł działać poprawnie, należy zainstalować na serwerze certyfikat SSL.

  Uwaga

  Nie trzeba koniecznie tworzyć infrastruktury urzędów certyfikacji (CA) wewnątrz organizacji, jeśli można użyć innej metody uzyskania zewnętrznie weryfikowalnego certyfikatu spełniającego wymagania for TS Gateway. Jeżeli firma nie utrzymuje własnego urzędu certyfikacji (autonomicznego ani przedsiębiorstwa) i nie dysponuje kompatybilnym certyfikatem wystawionym przez zaufany publiczny CA, można utworzyć certyfikat samopodpisany dla serwera TS Gateway na potrzeby testów i ocen technicznych.

  Informacje na temat wymagań dotyczących certyfikatów oraz metody uzyskiwania i instalowania certyfikatu zawiera podrozdział „Uzyskiwanie certyfikatu dla serwera TS Gateway” in Konfigurowanie TS Gateway: wariant podstawowy.

• Serwery TS Gateway muszą należeć do domeny Active Directory w następujących przypadkach:

  • Jeśli zostanie skonfigurowana zasada autoryzacji TS Gateway, wymagająca, by użytkownicy łączący się z serwerem byli członkami domeny.
  • Jeśli zostanie skonfigurowana zasada autoryzacji TS Gateway, która wymaga, aby komputery klienckie były członkami domeny.
  • Jeżeli wdraża się farmę serwerów TS Gateway z równoważeniem obciążenia.

Zależność od ról, usług roli i funkcji

Aby móc funkcjonować poprawnie, rozwiązanie TS Gateway wymaga zainstalowania i uruchomienia kilku usług roli oraz funkcji. Przy korzystaniu z konsoli Server Manager do zainstalowania usługi roli TS Gateway automatycznie zainstalowane i uruchomione zostaną następujące dodatkowe role, usługi i funkcje, o ile nie były jeszcze zainstalowane:

• Remote Procedure Call (RPC) over HTTP Proxy

• Web Server (IIS) [Internet Information Services 7.0]

• Składnik IIS 7.0 musi zostać zainstalowany i musi na nim być uruchomiona funkcja RPC over HTTP Proxy.

• Network Policy and Access Services

  Można również skonfigurować TS Gateway, aby używał zasad autoryzacyjnych połączeń Terminal Services (TS CAP), przechowywanych na innym serwerze, na którym uruchomiona jest usługa Network Policy Server (NPS). W ten sposób można wykorzystać serwer NPS – we wcześniejszych wersjach określany terminem serwera Remote Authentication Dial-In User Service (RADIUS) – do scentralizowania magazynowania, zarządzania i weryfikowania TS CAP. Jeśli serwer NPS został już wdrożony na potrzeby innych mechanizmów zdalnego dostępu, takich jak VPN lub dostęp telefoniczny, użycie istniejącego serwera NPS na użytek TS Gateway może znacznie usprawnić proces wdrażania.

Poświadczenia administracyjne

Wykonanie konfiguracji serwera TS Gateway wymaga członkostwa w lokalnej grupie Administrators na tym komputerze.

 Do początku strony

Szczególne uwarunkowania TS Gateway

Poniższe zestawienie przedstawia szczególne uwarunkowania rozwiązania TS Gateway w wersji Windows Server 2008 RC0.

Ograniczenia serwera TS Gateway

Serwer TS Gateway musi spełnić poniższe wymagania.

Problemy dotyczące rozwiązywania nazw

Gdy użytkownicy zdalni próbują uzyskać dostęp do komputera w sieci wewnętrznej za pośrednictwem serwera TS Gateway, mogą określić nazwę NetBIOS lub w pełni kwalifikowaną nazwę domenową (FQDN) komputera docelowego. Gdy użytkownicy użyją nazwy FQDN komputera, a odpowiadająca temu komputerowi zasada autoryzacji zasobów (TS RAP) skonfigurowana na serwerze TS Gateway używa nazwy NetBIOS komputera docelowego, połączenie klienckie zostanie ustanowione.

Jeśli jednak użytkownik spróbuje połączyć się z komputerem docelowym, używając jego nazwy NetBIOS, podczas gdy w TS RAP użyta została nazwa FQDN, rozwiązywanie nazw się nie uda i użytkownik nie będzie mógł połączyć się z żądanym komputerem.

W celu uniknięcia takich błędów i zapewnienia wsparcia zarówno dla nazw NetBIOS, jak i FQDN, należy włączyć każdą możliwą nazwę komputera do grupy tworzonej podczas konfigurowania TS RAP. Jeśli na przykład komputer nazywa się MySAPReportingServer (NetBIOS) i MySAPReportingServer.seattle.corp.microsoft.com (FQDN), obie nazwy powinny zostać umieszczone w grupie komputerów, choć wskazują one ten sam komputer.

Ustawienia przekierowania urządzeń nie są zachowywane po wykonaniu uaktualnienia do wersji RC0

Jeśli serwer TS Gateway zostanie zaktualizowany z wersji Windows Server 2008 Beta 3 do Windows Server 2008 RC0, istniejące ustawienia przekierowania urządzeń skonfigurowane w TS CAP nie zachowają się. Aby rozwiązać ten problem, po wykonaniu aktualizacji systemu operacyjnego należy ponownie skonfigurować przekierowanie urządzeń. To samo zjawisko wystąpi także po wyeksportowaniu TS CAP z serwera TS Gateway systemu Windows Server 2008 Beta 3 i zaimportowaniu go na serwerze pracującym pod kontrolą systemu Windows Server 2008 RC0.

Problemy dotyczące klientów Terminal Services

Kolejna część przedstawia znane problemy dotyczące klientów Terminal Services łączących się za pośrednictwem serwera TS Gateway w wersji Windows Server 2008 RC0.

Automatyczne ponowne połączenie z serwerem TS Gateway może się nie powieść, jeśli klient jest przywracany ze stanu hibernacji

Po utworzeniu połączenia zdalnego za pośrednictwem serwera TS Gateway, jeśli klient, który zainicjował połączenie przejdzie w stan hibernacji, po czym zostanie ponownie przywrócony do normalnego działania, połączenie z komputerem zdalnym nie zostanie odtworzone automatycznie. W celu rozwiązania problemu należy otworzyć Task Manager, zatrzymać proces mstsc (Remote Desktop Connection), po czym ponownie spróbować połączenia. Samo zamknięcie okna mstsc nie rozwiązuje problemu.

Żądania połączenia do serwera TS Gateway przesyłane z komputerów klienckich systemu Windows XP z dodatkiem SP2 mogą się nie powieść, jeśli klient używa uwierzytelniania karty inteligentnej

Przy korzystaniu z komputera klienckiego systemu Windows® XP z dodatkiem SP2 do łączenia się z komputerem zdalnym za pośrednictwem serwera TS Gateway pojawić się może komunikat o błędzie, informującym o niewłaściwej konfiguracji komputera zdalnego, jeśli spróbuje się wykonać następujące czynności:

1. Połączyć się z komputerem zdalnym i pozostawić kartę inteligentną w czytniku podczas trwania sesji.
2. Zakończyć sesję, pozostawiając kartę w czytniku.
3. Uruchomić kolejne połączenie, stale trzymając kartę w czytniku.

W celu rozwiązania problemu należy wyjąć kartę z czytnika, włożyć ją ponownie, po czym spróbować połączenia z komputerem zdalnym.

 Do początku strony

Konfigurowanie TS Gateway: wariant podstawowy

Poniższe kroki stanowią niezbędne elementy udanej instalacji i zademonstrowania podstawowej funkcjonalności TS Gateway opisanej jako przykład. Scenariusz ten pozwala skonfigurować serwer TS Gateway, aby użytkownicy zdalni mogli uzyskiwać dostęp do zasobów sieci zewnętrznej z Internetu. Owymi zasobami sieci wewnętrznej mogą być serwery terminali, serwer z zainstalowanymi programami RemoteApp lub komputer z włączoną funkcją Remote Desktop.

1. Realizacja tego scenariusza wymaga użycia trzech komputerów. Są to:

   • Serwer TS Gateway (używający nazwy "TSGSERVER" w tym przykładzie)
   • Klient Terminal Services ("TSCLIENT")
   • Wewnętrzny zasób sieciowy ("CORPORATERESOURCE")

   Komputery te muszą spełniać wymagania systemowe przedstawione w części "Wymagania systemowe dla podstawowego scenariusza TS Gateway".

2. Wykonanie konfiguracji serwera TS Gateway zgodnie ze wskazówkami zawartymi w podrozdziale "Konfigurowanie serwera TS Gateway w wariancie podstawowym".

3. Wykonanie konfiguracji klienta Terminal Services zgodnie ze wskazówkami zawartymi w podrozdziale "Konfigurowanie klienta Terminal Services w wariancie podstawowym".

4. Skonfigurowanie wewnętrznego zasobu sieciowego.

5. Zademonstrowanie możliwości połączenia klienta z wewnętrznym zasobem sieciowym zgodnie ze wskazówkami zawartymi w podrozdziale Weryfikowanie łączności za pośrednictwem TS Gateway.

Wymagania systemowe dla podstawowego scenariusza TS Gateway

Komputery użyte w podstawowym scenariuszu TS Gateway muszą spełniać następujące wymagania systemowe.

Komputer	Wymagana konfiguracja
Serwer TS Gateway (TSGSERVER)	System Windows Server 2008 RC0. Instalacja może być aktualizacją z wersji Windows Server® 2003 Service Pack 1 (SP1) albo Windows Server 2008 Beta 3. Więcej informacji zawiera dokument "Supported upgrade paths" dostępny w witrynie Installing the Release Candidate of Windows Server 2008 (https://go.microsoft.com/fwlink/?LinkId=104824).
Klient Terminal Services (TSCLIENT)	Wersja beta systemu Windows Vista SP1 albo Windows XP SP3. Uwaga Członkowie odpowiedniego programu Microsoft Connect Beta mogą pobrać wersję beta dodatku SP1 dla Windows Vista lub dodatku SP3 dla Windows XP z witryny MS Connect (https://go.microsoft.com/fwlink/?LinkID=102024). Windows Vista RTM. Instalacja może być aktualizacją z systemu Windows XP z dodatkiem Service Pack 2 (SP2). Windows XP SP2 z zainstalowanym komponentem Remote Desktop Connection (RDC) 6.0. Aby pobrać RDC 6.0, należy skorzystać ze wskazówek zawartych w artykule 925876 w Microsoft Knowledge Base (https://go.microsoft.com/fwlink/?LinkId=79373). Windows Server 2008 RC0. Instalacja może być uaktualnieniem. Windows Server 2003 z dodatkiem Service Pack 1 (SP1) lub SP2 oraz komponentem RDC 6.0.
Wewnętrzny zasób sieciowy (CORPORATERESOURCE)	W przypadku komputerów z włączoną funkcją Remote Desktop: Wersja beta Windows Vista SP1 lub Windows XP SP3. Windows Vista RTM. Instalacja może być uaktualnieniem z wersji Windows XP SP2. Windows XP SP2. Windows Server 2003 SP1 lub SP2. W przypadku serwerów terminali: Windows Server 2008 RC0. Instalacja może być uaktualnieniem. Windows Server 2003 z dodatkiem SP1 lub SP2.

Budowanie podstawowego scenariusza TS Gateway

Podstawowy wariant TS Gateway został przedstawiony na poniższej ilustracji.

Podstawowy scenariusz: pracownik łączy się z siecią firmową przez TS Gateway.

Uwaga

Działania przedstawione w tym poradniku opisują konfigurowanie podstawowej wersji TS Gateway oraz klienta Terminal Services. Poradnik ten nie zawiera opisu zapór ogniowych widocznych na diagramie, serwerów terminali z programami RemoteApp ani infrastruktury Active Directory. Diagram ten został zamieszczony jako przykład jednej z wielu możliwych metod implementacji podstawowego dostępu zdalnego za pośrednictwem TS Gateway.

Informacje na temat konfigurowania serwera terminali zawiera temat pomocy systemu operacyjnego "Terminal Server" (https://go.microsoft.com/fwlink/?LinkId=72052).

Informacje na temat konfigurowania programów RemoteApp zawiera Poradnik krok po kroku instalacji Windows Server 2008 Terminal Services RemoteApp (https://go.microsoft.com/fwlink/?linkId=84895).

Informacje na temat włączania funkcji Remote Desktop zawiera temat "Using Remote Desktop" w pomocy systemu Windows Server 2008.

Kolejność połączeń w podstawowym scenariuszu TS Gateway

Poniższa lista stanowi uproszczony opis sekwencji wykonywanej przez TSCLIENT podczas łączenia się z CORPORATERESOURCE za pośrednictwem TSGSERVER:

1. Użytkownik na komputerze klienckim Terminal Services, TSCLIENT, może zainicjować połączenie, wykonując jedno z poniższych:

   • Klikając plik RDP skonfigurowany przez administratora pozwalający na dostęp do pełnego pulpitu na serwerze zdalnym.
   • Klikając ikonę programu RemoteApp. Programy takie są reprezentowane przez pliki RDP, skonfigurowane przez administratora.
   • Odwiedzając witrynę sieci Web (w sieci Internet lub w intranecie) w celu uzyskania listy programów RemoteApp, które administrator udostępnił za pośrednictwem mechanizmu Terminal Services Web Access (TS Web Access) i klikając ikonę programu RemoteApp.
   • Uruchamiając klienta Remote Desktop Connection i ręcznie wprowadzając odpowiednie ustawienia połączenia.

2. Pomiędzy komputerami TSCLIENT i TSGSERVER tworzony jest tunel SSL, używający certyfikatu serwera TS Gateway. Przed ustanowieniem połączenia pomiędzy TSCLIENT i TSGSERVER serwer musi uwierzytelnić i autoryzować użytkownika zgodnie z zasadami autoryzacji połączenia (TS CAP), które skonfigurował administrator.

3. Po udanym uwierzytelnieniu i autoryzacji TSGSERVER sygnalizuje TSCLIENT, że może kontynuować sekwencję połączenia.

4. TSCLIENT żąda od TSGSERVER połączenia z komputerem CORPORATERESOURCE. Przed autoryzowaniem żądania TSGSERVER sprawdza, że obydwa poniższe warunki są spełnione równocześnie dla przynajmniej jednej zasady autoryzacji zasobów Terminal Services (TS RAP) skonfigurowanej na tym serwerze:

   • CORPORATERESOURCE jest członkiem grupy komputerów wymienionej w TS RAP
   • Użytkownik jest członkiem grupy wymienionej w TS RAP.

   Gdy oba warunki są spełnione, TSGSERVER autoryzuje żądanie.

5. Pomiędzy komputerami TSCLIENT i TSGSERVER tworzone jest połączenie SSL, zaś pomiędzy TSGSERVER i CORPORATERESOURCE – połączenie RDP.

   Od tego momentu pakiety wysyłane przez TSCLIENT do TSGSERVER są przekierowywane do CORPORATERESOURCE, zaś pakiety wysyłane przez CORPORATERESOURCE do TSGSERVER kierowane są do TSCLIENT.

6. TSCLIENT próbuje utworzyć sesję użytkownika na komputerze CORPORATERESOURCE. CORPORATERESOURCE wykonuje uwierzytelnianie Windows w celu zweryfikowania tożsamości użytkownika i jego uprawnień na tym komputerze (te same działania nastąpiłyby, gdyby TSCLIENT łączył się bezpośrednio z CORPORATERESOURCE, bez korzystania z TSGSERVER).

7. TSCLIENT wymienia szyfrowane pakiety RDP opakowane w SSL z serwerem TSGSERVER przez port 443. TSGSERVER przesyła pakiety RDP do CORPORATERESOURCE przez port 3389.

Konfigurowanie serwera TS Gateway w wariancie podstawowym

Aby skonfigurować serwer TS Gateway, należy wykonać następujące zadania:

Zadanie	Instrukcje krok po kroku
1. Instalowanie usługi roli TS Gateway.	Instalowanie usługi roli TS Gateway.
2. Uzyskiwanie certyfikatu dla serwera TS Gateway.	Uzyskiwanie certyfikatu dla serwera TS Gateway
3. Konfigurowanie certyfikatu dla serwera TS Gateway.	Konfigurowanie certyfikatu dla serwera TS Gateway.
4. Tworzenie zasady autoryzacji połączenia Terminal Services (TS CAP).	Tworzenie TS CAP
5. Tworzenie zasady autoryzacji zasobu Terminal Services (TS RAP).	Tworzenie TS RAP
6. Ograniczenie maksymalnej liczby równoczesnych połączeń przez TS Gateway (opcjonalne).	Ograniczenie maksymalnej liczby równoczesnych połączeń przez TS Gateway

 

1. Instalowanie usługi roli TS Gateway.

Poniższa procedura pozwala zainstalować usługę roli TS Gateway. Podczas procesu instalacji można opcjonalnie wybrać istniejący certyfikat (lub utworzyć nowy samopodpisany certyfikat) i następnie utworzyć TS CAP oraz TS RAP.

Aby zainstalować usługę roli TS Gateway:

1. Otwórz konsolę Server Manager. W tym celu kliknij Start, wskaż Administrative Tools, po czym kliknij Server Manager.

2. Jeśli rola Terminal Services nie jest jeszcze zainstalowana:

   a. W konsoli Server Manager kliknij Add roles poniżej Roles Summary.

   b. W kreatorze Add Roles Wizard, jeśli pojawi się strona Before You Begin , kliknij Next. Strona ta nie pojawi się, jeśli już instalowano inne role i zaznaczono pole wyboru Skip this page by default .

   c. Na stronie Select Server Roles zaznacz pole wyboru Terminal Services poniżej Roles, po czym kliknij Next.

   d. Na stronie Terminal Services kliknij Next.

   e. Na stronie Select Role Services zaznacz pole wyboru TS Gateway na liście Role services.

   f. Jeśli pojawi się monit o zainstalowanie dodatkowych usług wymaganych przez TS Gateway, kliknij Add Required Role Services.

   g. Na stronie Select Role Services upewnij się, że zaznaczona jest usługa TS Gateway, po czym kliknij Next.

   Jeśli rola Terminal Services została już zainstalowana:

   a. Kliknij Terminal Services poniżej Roles Summary.

   b. W części Role Services kliknij Add Role Services .

   c. Na stronie Select Role Services zaznacz pole wyboru TS Gateway, po czym kliknij Next.

   d. Jeśli pojawi się monit o zainstalowanie dodatkowych usług wymaganych przez TS Gateway, kliknij Add Required Role Services.

   e. Na stronie Select Role Services kliknij Next.

3. Na stronie Choose a Server Authentication Certificate for SSL Encryption określ, czy chcesz wybrać istniejący certyfikat na potrzeby szyfrowania SSL (zalecane), utworzyć samopodpisany certyfikat SSL lub odłożyć wybór certyfikatu na później. Jeżeli wykonujesz instalację na nowym serwerze, który jeszcze nie ma certyfikatu, przeczytaj rozdział Uzyskiwanie certyfikatu dla serwera TS Gateway, zawierający informacje o wymaganiach dotyczących certyfikatu oraz o metodach uzyskiwania i instalowania certyfikatów.

   Poniżej opcji Choose an existing certificate for SSL encryption (recommended) wyświetlane są zainstalowane certyfikaty, które mają zamierzone przeznaczenie (uwierzytelnienie serwera) oraz Enhanced Key Usage (EKU) [Server Authentication (1.3.6.1.5.5.7.3.1)] odpowiednie dla usługi roli TS Gateway. Jeśli po wybraniu tej opcji klikniesz Import i zaimportujesz nowy certyfikat, który nie spełnia tych wymagań, certyfikat ten nie pojawi się na liście.

4. Na stronie Create Authorization Policies for TS Gateway określ, czy zamierzasz utworzyć zasady autoryzacji (TS CAP oraz TS RAP) w trakcie procesu instalacji usługi TS Gateway, czy też później. Jeśli wybierzesz Later, będziesz musiał następnie wykonać procedurę opisaną w podrozdziale "Tworzenie TS CAP". Jeśli wybierzesz Now, wykonaj następujące czynności:

   a. Na stronie Select User Groups That Can Connect Through TS Gateway kliknij Add, aby wskazać dodatkowe grupy użytkowników. W oknie dialogowym Select Groups podaj lokalizację i nazwę grupy użytkowników, po czym kliknij OK, aby zweryfikować nazwę i zamknąć okno dialogowe Select Groups.

   b. Aby wskazać więcej niż jedną grupę użytkowników, możesz wykonać jedną następujących czynności: wpisać nazwy poszczególnych grup, rozdzielając je średnikami, lub kolejno dla każdej z nich powtórzyć poprzedni punkt.

   c. Po zakończeniu dodawania grup kliknij Next na stronie Select User Groups that Can Connect Through TS Gateway.

   d. Na stronie Create TS CAP for TS Gateway zaakceptuj domyślną nazwę zasady (TS_CAP_01) lub podaj nową nazwę, wybierz jedną lub więcej spośród wspieranych metod uwierzytelniania, po czym kliknij Next.

   e. Na stronie Create TS RAP for TS Gateway zaakceptuj domyślną nazwę zasady (TS_RAP_01) albo podaj nazwę, po czym wykonaj jedno z następujących: określ, czy użytkownicy mają się łączyć tylko z komputerami zawartymi w konkretnej grupie lub grupach, po czym wskazać te grupy, albo określ, że użytkownicy mogą się łączyć z dowolnym komputerem w sieci. Kliknij Next.

5. Na stronie Network Policy and Access Services (która pojawia się tylko wtedy, gdy ta usługa roli nie jest jeszcze zainstalowana) przejrzyj informacje podsumowujące, po czym kliknij Next.

6. Na stronie Select Role Services upewnij się, że opcja Network Policy Server jest zaznaczona, po czym kliknij Next.

7. Na stronie Web Server (IIS) (która pojawia się tylko wtedy, gdy ta usługa roli nie jest jeszcze zainstalowana) przejrzyj informacje podsumowujące, po czym kliknij Next.

8. Na stronie Select Role Services zaakceptuj domyślne ustawienia dla usługi Web Server (IIS), po czym kliknij Next.

9. Na stronie Confirm Installation Options upewnij się, że zainstalowane zostaną następujące role, usługi roli oraz funkcje:

   • Terminal Services\TS Gateway
   • Network Policy and Access Services\Network Policy Server
   • Web Server (IIS)\Web Server\Management Tools
   • RPC over HTTP Proxy
   • Windows Process Activation Service\Process Model\Configuration APIs

10. Kliknij Install.

11. Na stronie Installation Progress pojawią się informacje po postępie instalacji.

    Jeśli któraś z tych ról, usług lub funkcji była już zainstalowana wcześniej, postęp instalacji będzie ukazywał tylko instalowanie tych składników, które są nowe.

12. Na stronie Installation Results upewnij się, że instalacja przebiegła z powodzeniem, po czym kliknij Close.

Weryfikowanie poprawności instalacji usługi roli i sprawdzanie statusu TS Gateway

Poniższa procedura pozwala sprawdzić, że usługa roli TS Gateway oraz wymagane przez nią inne usługi i funkcje zostały zainstalowane poprawnie i są uruchomione.

Aby zweryfikować poprawność instalacji:

1. Otwórz konsolę Server Manager. W tym celu kliknij Start, wskaż Administrative Tools, po czym kliknij Server Manager.
2. W drzewie konsoli rozwiń węzeł Roles, po czym podwójnie kliknij Terminal Services.
3. Na stronie Terminal Services w części System Services upewnij się, że status usługi Terminal Services Gateway to Running, zaś jej tryb uruchamiania jest ustawiony na Auto.
4. Zamknij konsolę Server Manager.
5. Otwórz konsolę Internet Information Services (IIS) Manager. W tym celu kliknij Start, wskaż Administrative Tools, po czym kliknij Internet Information Services (IIS) Manager.
6. W drzewie konsoli rozwiń węzeł <Nazwa_serwera_TS Gateway>\Sites\Default Web Site, po czym kliknij Default Web Site .
7. Prawym klawiszem myszy kliknij Default Web Site, wskaż Manage Web Site, po czym kliknij Advanced Settings .
8. W oknie dialogowym Advanced Settings poniżej tytułu (General) upewnij się, że opcja Start Automatically ma wartość True. W przeciwnym wypadku kliknij strzałkę w dół, aby wyświetlić listę wartości, po czym kliknij True.
9. Kliknij OK.
10. Zamknij konsolę IIS Manager.

2. Uzyskiwanie certyfikatu dla serwera TS Gateway

W tej części zakładamy znajomość takich zagadnień, jak łańcuch zaufania certyfikatu, podpisywanie certyfikatów oraz ogólne reguły konfigurowania certyfikatów. Więcej informacji na temat konfigurowania PKI w systemie Windows Server 2008 zawiera dokument ITPROADD-204: PKI Enhancement in Windows Vista and Windows Server 2008. (https://go.microsoft.com/fwlink/?LinkId=93995). Informacje na temat konfigurowania PKI w systemie Windows Server 2003 zawiera dokument Public Key Infrastructure (https://go.microsoft.com/fwlink/?LinkID=54917).

Jak wspomniano wcześniej w tym poradniku, domyślnie do szyfrowania komunikacji internetowej pomiędzy klientami Terminal Services i serwerami TS Gateway wykorzystywany jest mechanizm TLS 1.0. TLS jest standardowym protokołem umożliwiającym zabezpieczenie komunikacji sieci Web w Internecie lub intranetach. TLS jest najnowszą i najbezpieczniejszą wersją protokołu SSL. Więcej informacji na temat TLS można znaleźć w następujących dokumentach:

1. SSL/TLS in Windows Server 2003 (https://go.microsoft.com/fwlink/?LinkID=19646)
2. RFC 2246: The TLS Protocol Version 1.0 (https://go.microsoft.com/fwlink/?LinkID=40979)

Aby TLS mógł funkcjonować poprawnie, na serwerze TS Gateway musi zostać zainstalowany zgodny z SSL certyfikat X.509.

Wymagania dotyczące certyfikatów TS Gateway

Certyfikaty używane przez TS Gateway muszą spełniać poniższe wymagania:

1. Nazwa w wierszu Subject certyfikatu serwera (nazwa certyfikatu, inaczej CN) musi być zgodna z nazwą DNS, której używa klient do połączenia z serwerem TS Gateway, o ile nie używa się certyfikatów wieloznacznych lub atrybutu SAN dla certyfikatu. Jeśli organizacja wystawia certyfikaty przy użyciu urzędu certyfikacji przedsiębiorstwa (CA), musi zostać na nim szablon certyfikatu umożliwiający wstawienie odpowiedniej nazwy w żądaniu wydania certyfikatu. Jeżeli organizacja wystawia certyfikaty za pomocą autonomicznego CA, nie jest to wymagane.

   Uwaga

   Przy korzystaniu z atrybutów SAN certyfikatów klienci łączący się z serwerem TS Gateway muszą używać składnika Remote Desktop Connection (RDC) 6.1 (RDC 6.1 [6.0.6001] obsługuje Remote Desktop Protocol 6.1.). RDC 6.1 jest dołączony do systemu Windows Server 2008 oraz do wersji beta systemów Windows Vista SP1 oraz Windows XP SP3. Jeśli organizacja bierze udział w odpowiednim programie Microsoft Connect Beta, może pobrać wersję beta systemu Windows Vista SP1 lub Windows XP SP3 z witryny MS Connect (https://go.microsoft.com/fwlink/?LinkID=102024).

2. Certyfikat musi być certyfikatem komputera.

3. Zamierzonym przeznaczeniem certyfikatu musi być uwierzytelnienie serwera. Oznacza to, że atrybut Extended Key Usage (EKU) musi mieć wartość Server Authentication (1.3.6.1.5.5.7.3.1).

4. Certyfikat musi mieć odpowiadający mu klucz prywatny.

5. Certyfikat musi być ważny. Zaleca się stosowanie certyfikatu, którego ważność wynosi co najmniej jeden rok od daty instalacji.

6. Identyfikator obiektu certyfikatu (znany jako OID) o wartości 2.5.29.15 nie istnieje. Jeśli jednak certyfikat, który ma zostać użyty, zawiera identyfikator obiektu 2.5.29.15, można będzie użyć tego certyfikatu jedynie wówczas, gdy przynajmniej jedna z poniższych wartości podstawowego użycia jest ustawiona: CERT_KEY_ENCIPHERMENT_KEY_USAGE, CERT_KEY_AGREEMENT_KEY_USAGE lub CERT_DATA_ENCIPHERMENT_KEY_USAGE.

   Więcej informacji na temat tych wartości zawiera dokument Advanced Certificate Enrollment and Management (https://go.microsoft.com/fwlink/?LinkID=74577).

7. Certyfikat musi być zaufany dla klientów. Oznacza to, że publiczny certyfikat CA, który wystawił certyfikat serwer TS Gateway, musi znajdować się w magazynie Trusted Root Certification Authorities na komputerze klienckim.

Korzystanie z istniejących certyfikatów

Jeśli organizacja ma już certyfikat, może użyć go ponownie dla serwera TS Gateway, o ile spełnia on następujące warunki:

1. Został wystawiony przez publiczny zaufany CA, który bierze udział w programie Microsoft Root Certificate Program Members [zgodnie z zawartością artykułu 931125 w Microsoft Knowledge Base (https://go.microsoft.com/fwlink/?LinkID=59547)]; oraz
2. Spełnia wymagania dotyczące certyfikatów TS Gateway.

Jeśli certyfikat nie jest zaufany w programie Microsoft Root Certificate Program Members (na przykład, jeśli zostanie utworzony i zainstalowany certyfikat samopodpisany, a na komputerze klienckim nie zostanie ręcznie skonfigurowane zaufanie dla tego certyfikatu), przy próbach połączenia z serwerem TS Gateway na komputerach klienckich będzie pojawiało się ostrzeżenie stwierdzające, że serwer nie ma zaufanego certyfikatu i połączenie nie będzie mogło zostać nawiązane. Aby uniknąć tego błędu, należy zainstalować certyfikat serwera w magazynie certyfikatów komputerów na komputerze klienckim przed podjęciem próby połączenia za pośrednictwem serwera TS Gateway.

Proces instalowania i konfiguracji certyfikatów

Proces uzyskiwania, instalowania i konfigurowania certyfikatu dla serwera TS Gateway obejmuje następujące kroki:

1. Uzyskanie certyfikatu dla serwera TS Gateway poprzez wykonanie jednego z poniższych:

1. Jeśli firma utrzymuje autonomiczny CA lub CA przedsiębiorstwa, który został skonfigurowany do wystawiania certyfikatów X.509 zgodnych z SSL, spełniających wymagania TS Gateway, można wygenerować i wysłać żądanie wydania certyfikatu na kilka sposobów, zależnie od zasad i konfiguracji CA w danej firmie. Metody uzyskiwania certyfikatu obejmują:

   1. Zainicjowanie automatycznej rejestracji z przystawki Certificates.

   2. Zażądanie wydania certyfikatu przy użyciu kreatora Certificate Request Wizard.

   3. Zażądanie wydania certyfikatu za pośrednictwem strony sieci Web.

      Uwaga

      Przy korzystaniu z CA opartego na systemie Windows Server 2003 należy pamiętać, że funkcjonalność rejestracji żądań certyfikatów poprzez sieć Web w Windows Server 2003 Certificate Services opiera się na kontrolce ActiveX o nazwie Xenroll. Kontrolka ta jest dostępna w systemach Microsoft Windows 2000, Windows Server 2003 i Windows XP. Jednak w systemach Windows Server 2008 i Windows Vista kontrolka Xenroll została pominięta. Przykładowa strona rejestracji żądań certyfikatów dołączona do oryginalnych wydań systemów Windows Server 2003, Windows Server 2003 Service Pack 1 (SP1) oraz Windows Server 2003 Service Pack 2 (SP2) nie jest zaprojektowana do obsługi zmian w sposobie realizacji tych operacji przez systemy Windows Server 2008 i Windows Vista. Informacje na temat czynności, które można wykonać w celu rozwiązania tego problemu, zawiera artykuł 922706 w Microsoft Knowledge Base (https://go.microsoft.com/fwlink/?LinkId=94472).

   4. Wykorzystanie narzędzia wiersza polecenia Certreq.

   Więcej informacji na temat poszczególnych metod uzyskiwania certyfikatów dla systemu Windows Server 2008 zawiera temat "Obtain a Certificate" w systemie pomocy przystawki Certificates oraz temat "Certreq" w dokumencie Windows Server 2008 Command Reference. Aby przejrzeć tematy pomocy przystawki Certificates, kliknij Start, później Run, wpisz hh certmgr.chm, po czym kliknij OK. Informacje na temat żądania certyfikatu dla systemu Windows Server 2003 zawiera dokument Requesting Certificates (https://go.microsoft.com/fwlink/?LinkID=19638).

   Certyfikat wystawiony przez autonomiczny urząd certyfikacji lub CA przedsiębiorstwa musi być podpisany przez zaufany publiczny CA, który bierze udział w programie Microsoft Root Certification Program Members (https://go.microsoft.com/fwlink/?LinkID=59547). W przeciwnym razie użytkownicy łączący się z komputerów domowych lub publicznie dostępnych nie będą mogli się połączyć z serwerami TS Gateway. Połączenia się nie powiodą, gdyż główny CA przedsiębiorstwa nie jest (na ogół) zaufany dla komputerów niebędących członkami domeny, takich jak komputery domowe lub publiczne.

2. Jeśli firma nie utrzymuje własnego urzędu certyfikacji zdolnego do wystawienia certyfikatu X.509 zgodnego z SSL, można zakupić certyfikat w publicznym zaufanym CA biorącym udział w programie Microsoft Root Certificate Program Members (https://go.microsoft.com/fwlink/?LinkID=59547). Niektórzy z tych dostawców mogą oferować certyfikaty na okres próbny bez żadnych opłat.

3. Alternatywnie, jeśli firma nie utrzymuje własnego urzędu certyfikacji i nie jest dostępny zgodny certyfikat wystawiony przez zaufany publiczny CA, można utworzyć i zaimportować do serwera TS Gateway certyfikat samopodpisany, co może być wystarczające na potrzeby testów. Instrukcje krok po kroku zawiera podrozdział "Tworzenie samopodpisanego certyfikatu dla TS Gateway".

   Certyfikat taki jest używany w przykładowych konfiguracjach opisanych w tym poradniku.

   Ważne

   Jeśli użyta zostanie jedna z dwóch pierwszych metod uzyskiwania certyfikatu (czyli certyfikat zostanie wystawiony przez własny urząd certyfikacji firmy lub zaufany publiczny CA), certyfikat ten musi zostać zainstalowany i zamapowany na serwer TS Gateway. Jeśli jednak utworzony zostanie certyfikat samopodpisany w trakcie instalacji usługi roli TS Gateway lub przy użyciu konsoli TS Gateway Manager po instalacji (zgodnie z opisem w części Tworzenie samopodpisanego certyfikatu dla TS Gateway), nie ma potrzeby jego instalowania ani mapowania na serwerze TS Gateway. W tym wypadku certyfikat jest automatycznie tworzony, instalowany w odpowiedniej lokalizacji i mapowany na serwer TS Gateway.

   Uwaga

   Certyfikat urzędu certyfikacji, który wystawił certyfikat serwera, musi być zainstalowany w magazynie Trusted Root Certification Authorities na komputerach klienckich. Oznacza to, że jeśli zostanie utworzony certyfikat samopodpisany zgodnie z procedurą opisaną w tym poradniku, musi on zostać skopiowany na komputer kliencki (lub do udziału sieciowego dostępnego dla tego komputera) i następnie zainstalowany w magazynie Trusted Root Certification Authorities. Instrukcje krok po kroku zawiera podrozdział "Instalowanie certyfikatu serwera TS Gateway w magazynie Trusted Root Certification Authorities na komputerze klienckim Terminal Services".

Jeśli użyta zostanie jedna z dwóch pierwszych metod uzyskania certyfikatu i komputer kliencki Terminal Services ufa wystawiającemu CA, nie ma potrzeby instalowania certyfikatu wystawiającego urzędu certyfikacji w magazynie certyfikatów komputera klienckiego. Na przykład nie trzeba instalować certyfikatu urzędu certyfikacji, jeśli na serwerze TS Gateway zainstalowano certyfikat wydany przez VeriSign lub inny publiczny, zaufany CA.

Przy korzystaniu z trzeciej metody uzyskania certyfikatu (gdy zostanie utworzony certyfikat samopodpisany), należy skopiować certyfikat urzędu wydającego certyfikat serwera do komputera klienckiego. Następnie należy zainstalować ten certyfikat w magazynie Trusted Root Certification Authorities na komputerze klienckim. Więcej informacji zawiera podrozdział "Instalowanie certyfikatu serwera TS Gateway w magazynie Trusted Root Certification Authorities na komputerze klienckim Terminal Services".

2. Instalowanie certyfikatu.

Procedura Instalowania certyfikatu na serwerze TS Gateway opisana w dalszej części poradnika przedstawia sposób instalowania certyfikatu na serwerze TS Gateway.

3. Mapowanie certyfikatu.

Procedura Map the TS Gateway certificate opisana w dalszej części poradnika pozwala określić, że dany certyfikat ma być używany przez serwer TS Gateway.

Tworzenie samopodpisanego certyfikatu dla TS Gateway

Procedura ta opisuje tworzenie certyfikatu samopodpisanego przy użyciu konsoli TS Gateway Manager. Certyfikat taki może posłużyć do celów badań technicznych i testów, jeśli nie został wcześniej utworzony przy użyciu kreatora Add Roles Wizard podczas instalowania usługi roli TS Gateway.

Ważne

Certyfikaty samopodpisane powinny być używane tylko w celach testowych. Po utworzeniu certyfikat musi zostać skopiowany do komputera klienckiego (lub do udziału sieciowego, który jest dostępny dla tego komputera), a następnie zainstalowany w magazynie Trusted Root Certification Authorities na komputerze klienckim.

Po utworzeniu certyfikatu samopodpisanego przy użyciu kreatora Add Roles Wizard podczas instalacji usługi roli TS Gateway lub po instalacji za pomocą konsoli TS Gateway Manager (co jest opisane w tej procedurze) nie trzeba go instalować ani mapować na serwer TS Gateway.

Aby utworzyć samopodpisany certyfikat dla serwera TS Gateway:

1. Uruchom konsolę TS Gateway Manager. W tym celu kliknij Start, wskaż Administrative Tools, wskaż Terminal Services , po czym kliknij TS Gateway Manager.

2. W drzewie konsoli kliknij węzeł reprezentujący serwer TS Gateway, aby go zaznaczyć. Węzeł ten nosi nazwę komputera, na którym uruchomiono usługę TS Gateway.

3. W panelu wyników, poniżej tytułu Configuration Status, kliknij View or modify certificate properties.

4. Na zakładce SSL Certificatekliknij Create a self-signed certificate for SSL encryption , a nstępnie Create Certificate.

5. W oknie dialogowym Create Self-Signed Certificate wykonaj następujące czynności:

   a. Upewnij się, że poprawna nazwa (CN) dla certyfikatu jest wyświetlana w polu Certificate name albo wpisz nową nazwę. CN musi być zgodna z nazwą DNS, której klienci używają do połączeń z serwerem TS Gateway, o ile nie zamierza się użyć certyfikatów wieloznacznych lub atrybutów SAN.

   b. Upewnij się, że pole wyboru Store the root certificate poniżej tytułu Certificate location jest zaznaczone, aby przechować certyfikat główny we wskazanej lokalizacji, dzięki czemu możliwa będzie ręczna dystrybucja tego certyfikatu na komputerach klienckich. Następnie określ miejsce składowania certyfikatu. Domyślnie opcja ta jest włączona, a certyfikat umieszczany jest w folderze %Windir%\Users\<Username>\Documents.

   c. Kliknij OK.

6. Jeśli zaznaczyłeś pole wyboru Store the root certificate i określiłeś lokalizację dla certyfikatu, pojawi się komunikat, że usługa TS Gateway utworzyła samopodpisany certyfikat, potwierdzając lokalizację. Kliknij OK, aby zamknąć okno komunikatu.

7. Ponownie kliknij OK, abyzamknąć okno dialogowe Properties serwera TS Gateway.

3. Konfigurowanie certyfkatu dla serwera TS Gateway

Proces konfigurowania certyfikatu dla serwera TS Gateway obejmuje następujące działania:

• Instalowanie certyfikatu na serwerze TS Gateway
• Mapowanie certyfikatu serwera TS Gateway

Instalowanie certyfikatu na serwerze TS Gateway

Po uzyskaniu certyfikatu należy wykonać poniższą procedurę, aby zainstalować go we właściwej lokalizacji na serwerze TS Gateway, o ile jeszcze nie jest on zainstalowany. Po wykonaniu tej procedury należy zamapować certyfikat.

Uwaga

Procedura ta nie jest wymagana, jeśli utworzono samopodpisany certyfikat przy użyciu kreatora Add Remove Roles Wizard podczas instalacji usługi roli TS Gateway lub za pomocą konsoli TS Gateway Manager po instalacji, zgodnie z opisem zawartym w części "Tworzenie samopodpisanego certyfikatu dla TS Gateway". W obu wypadkach certyfikat jest automatycznie tworzony, instalowany w poprawnej lokalizacji na serwerze i mapowany na serwer TS Gateway.

Aby zainstalować certyfikat na serwerze TS Gateway:

1. Otwórz konsolę Certificates. Jeśli jeszcze nie dodałeś przystawki Certificates do konsoli MMC, możesz to zrobić, wykonując następujące czynności:

   a. Kliknij Start, później Run, wpisz mmc, po czym kliknij OK.

   b. W menu File kliknij Add/Remove Snap-in.

   c. W oknie dialogowym Add or Remove Snap-ins na liście Available snap-ins kliknij Certificates, a potem Add.

   d. W oknie dialogowym Certificates snap-in kliknij Computer account, a później Next.

   e. W oknie dialogowym Select Computer kliknij Local computer: (the computer this console is running on), a następnie Finish.

   f. W oknie dialogowym Add or Remove snap-ins kliknij OK.

2. W przystawce konsoli Certificates w drzewie konsoli rozwiń węzeł Certificates (Local Computer), po czym kliknij Personal.

3. Prawym klawiszem myszy kliknij folder Personal, wskaż All Tasks, po czym kliknij Import.

4. Na stronie Welcome to the Certificate Import Wizard kliknij Next.

5. Na stronie File to Import wpisz nazwę certyfikatu, który chcesz zaimportować w polu File name, po czym kliknij Next.

6. Na stronie Password wykonaj następujące czynności:

   a. Jeśli wcześniej określiłeś hasło do klucza prywatnego powiązanego z certyfikatem, wpisz je tutaj.

   b. Jeśli klucz prywatny dla certyfikatu ma nadawać się do eksportowania, upewnij się, że opcja Mark this key as exportable jest zaznaczona.

   c. Jeśli mają być włączone wszystkie rozszerzone właściwości certyfikatu, upewnij się, że opcja Include all extended properties jest zaznaczona.

   d. Kliknij Next.

7. Na stronie Certificate Store zaakceptuj opcje domyślne, po czym kliknij Next.

8. Na stronie Completing the Certificate Import Wizard upewnij się, że wybrałeś właściwy certyfikat.

9. Kliknij Finish.

10. Po zaimportowaniu certyfikatu pojawi się komunikat informujący, że import zakończył się powodzeniem. Kliknij OK.

11. Przy zaznaczonym węźle Certificates w drzewie konsoli upewnij się, że w panelu szczegółów na liście certyfikatów występuje zaimportowany certyfikat. Musi się on znajdować w magazynie Personal komputera lokalnego.

Mapowanie certyfikatu serwera TS Gateway

Do mapowania certyfikatu serwera TS Gateway należy użyć konsoli TS Gateway Manager. Zamapowanie certyfikatu serwera inną metodą spowoduje, że usługa TS Gateway nie będzie funkcjonowała poprawnie.

Uwaga

Procedura ta nie jest wymagana, jeśli utworzono samopodpisany certyfikat przy użyciu kreatora Add Remove Roles Wizard podczas instalacji usługi roli TS Gateway lub za pomocą konsoli TS Gateway Manager po instalacji, zgodnie z opisem zawartym w części "Tworzenie samopodpisanego certyfikatu dla TS Gateway".

Aby zamapować certyfikat na lokalny serwer TS Gateway:

1. Uruchom konsolę TS Gateway Manager. W tym celu kliknij Start, wskaż Administrative Tools, wskaż Terminal Services , po czym kliknij TS Gateway Manager.
2. W drzewie konsoli TS Gateway Manager kliknij prawym klawiszem myszy lokalny serwer TS Gateway, a potem Properties.
3. Na zakładce SSL Certificatekliknij Select an existing certificate for SSL encryption (recommended) , później Browse Certificates.
4. W oknie dialogowym Install Certificate kliknij certyfikat, którego chcesz użyć, po czym kliknij Install.
5. Kliknij OK, aby zamknąć okno dialogowe Properties dla serwera TS Gateway.
6. Jeśli jest to pierwsze mapowanie certyfikatu TS Gateway, po zakończeniu można sprawdzić, że procedura zakończyła się powodzeniem, przeglądając obszar TS Gateway Server Status w konsoli TS Gateway Manager. Ostrzeżenie informujące, że certyfikat serwera nie został jeszcze zainstalowany nie jest już wyświetlane poniżej tytułu Configuration Status and Configuration Tasks . Nie jest również wyświetlane hiperłącze View or modify certificate properties.

Zasady autoryzacyjne TS Gateway – omówienie

Po zainstalowaniu usługi roli TS Gateway i skonfigurowaniu certyfikatu dla serwera TS Gateway należy utworzyć zasady autoryzacji połączeń Terminal Services (TS CAP), grupy komputerów oraz zasady autoryzacji zasobów Terminal Services (TS RAP).

TS CAP

TS CAP pozwalają na określenie, kto może łączyć się z serwerem TS Gateway. Można określić grupę użytkowników istniejącą na lokalnym serwerze TS Gateway albo w Active Directory Domain Services. Można także określić inne warunki, które użytkownicy muszą spełnić, aby móc połączyć się z serwerem TS Gateway. Na przykład można określić, że wszyscy użytkownicy, którzy łączą się z konkretnym serwerem terminali przechowującym bazę danych osobowych (HR) za pośrednictwem serwera TS Gateway muszą być członkami grupy zabezpieczeń "HR Users". Można także określić, że komputer kliencki inicjujący połączenie musi być członkiem określonej grupy zabezpieczeń Active Directory w sieci wewnętrznej. Poprzez wymóg przynależności komputera do określonej grupy zabezpieczeń Active Directory w sieci zewnętrznej można wykluczyć użytkowników, którzy próbują łączyć się z siecią wewnętrzną z komputerów publicznych lub domowych, które nie są zaufane.

W celu podwyższenia zabezpieczeń przy łączeniu się klientów z siecią wewnętrzną za pośrednictwem TS Gateway można także określić, kiedy należy wyłączyć przekierowanie urządzeń klienckich dla wszystkich urządzeń wspieranych przez klienta Terminal Services lub tylko dla wybranych urządzeń, takich jak napęd dyskowy lub urządzenia Plug and Play. Wyłączenie przekierowania dla wszystkich urządzeń dotyczy wszystkich przekierowań z wyjątkiem czytników kart inteligentnych.

Przy wybraniu opcji wyłączenia przekierowania urządzeń dla określonych typów lub wszystkich urządzeń z wyjątkiem kart inteligentnych, serwer TS Gateway prześle zwrotny komunikat do klienta, zawierający listę typów urządzeń, które mają być zablokowane. Lista ta jest tylko sugestią; klient nadal może zmienić ustawienia przekierowania urządzeń.

Ostrzeżenie

Ponieważ serwer TS Gateway polega na kliencie w kwestii wymuszenia ustawień przekierowania urządzeń sugerowanych przez serwer, funkcja ta nie powinna być uważana za zapewniającą gwarantowane bezpieczeństwo. Sugerowane ustawienia przekierowania mogą być wymuszone tylko dla klientów używających komponentu Remote Desktop Connection (RDC); ustawienia te nie mogą być wymuszone na klientach, którzy nie używają RDC. Dodatkowo możliwe jest zmodyfikowanie klienta RDC przez złośliwego użytkownika, aby ignorował on sugerowane ustawienia. W takiej sytuacji funkcja ta nie może zapewnić gwarantowanego bezpieczeństwa nawet w przypadku klientów RDC.

Dodatkowo można określić, czy klienci zdalni muszą użyć uwierzytelniania karty inteligentnej, czy też hasła, aby uzyskać dostęp do zasobów sieci wewnętrznej za pośrednictwem serwera TS Gateway. Jeśli wybrane zostaną obie opcje, dopuszczeni zostaną klienci, którzy użyją którejkolwiek metody.

Na koniec, jeśli w organizacji wdrożono rozwiązanie Network Access Protection (NAP), można określić, że klient musi przesłać poświadczenie zdrowia (Statement of Health – SoH). Informacje na temat konfigurowania TS Gateway do współdziałania z NAP zawiera podrozdział "Konfigurowanie TS Gateway: wariant NAP".

Ważne

Użytkownicy uzyskują dostęp do serwera TS Gateway, o ile spełnią warunki określone w TS CAP. Oprócz tego należy utworzyć TS RAP. Pozwalają one na określenie wewnętrznych zasobów sieciowych (komputerów), z którymi użytkownicy mogą się łączyć za pośrednictwem TS Gateway. Dopóki nie zostaną utworzone zarówno TS CAP jak i TS RAP, użytkownicy nie będą mogli łączyć się z zasobami sieci wewnętrznej za pośrednictwem serwera TS Gateway.

TS RAP

TS RAP pozwala określić zasoby sieci wewnętrznej, które mają być dostępne dla użytkowników łączących się za pośrednictwem serwera TS Gateway. Podczas tworzenia TS RAP można utworzyć grupę komputerów (listę komputerów w sieci wewnętrznej, które mają być dostępne dla użytkowników zdalnych) i powiązać ją z TS RAP. Na przykład można określić, że użytkownicy, którzy są członkami grupy “HR Users”, mogą łączyć się tylko z komputerami należącymi do grupy komputerów “HR Computers”, a użytkownicy z grupy “Finance Users” z komputerami należącymi do grupy "Finance Computers".

Użytkownicy zdalni łączący się z siecią wewnętrzną przez serwer TS Gateway otrzymają dostęp do komputerów w sieci, o ile spełnią warunki wymienione w przynajmniej jednym TS CAP i jednym TS RAP.

Uwaga

Podczas przypisywania grupy komputerów zarządzanych przez TS Gateway w TS RAP można zapewnić obsługę zarówno w pełni kwalifikowanych nazw domenowych (FQDN) jak i nazw NetBIOS tych komputerów, dodając obie nazwy do grupy komputerów. Przy powiązaniu grupy zabezpieczeń Active Directory z TS RAP obie nazwy (FQDN i NetBIOS) są obsługiwane automatycznie, o ile komputer sieci wewnętrznej należy do tej samej domeny, co serwer TS Gateway. Jeśli komputer sieci wewnętrznej należy do innej domeny niż serwer TS Gateway, użytkownicy muszą posługiwać się nazwą FQDN tego komputera.

Łącznie TS CAP i TS RAP zapewniają dwa różne poziomy autoryzacji, co zapewnia możliwość skonfigurowania bardziej szczegółowego poziomu kontroli dostępu do komputerów w sieci wewnętrznej.

Kojarzenie grup zabezpieczeń i grup komputerów zarządzanych przez TS Gateway z zasadami TS RAP

Użytkownicy zdalni mogą się łączyć za pośrednictwem serwera TS Gateway z zasobami sieci wewnętrznej należącymi do określonej grupy komputerów. Członkami tej grupy mogą być:

• Członkowie istniejącej grupy zabezpieczeń. Grupa zabezpieczeń może istnieć na serwerze TS Gateway (w narzędziu Local Users and Groups) albo w Active Directory Domain Services.

• Członkowie istniejącej grupy komputerów zarządzanej przez TS Gateway lub nowej grupy zarządzanej przez TS Gateway . Grupę komputerów zarządzaną przez TS Gateway można utworzyć po instalacji przy użyciu konsoli TS Gateway Manager.

  Grupa zarządzana przez TS Gateway nie pojawi się w narzędziu Local Users and Groups na serwerze TS Gateway ani nie może być konfigurowana przy użyciu tego narzędzia.

• Dowolny zasób sieciowy. W takim wypadku użytkownicy mogą łączyć się z każdym komputerem w sieci wewnętrznej, z którym mogliby się połączyć przy użyciu mechanizmu Remote Desktop Connection.

4. Tworzenie TS CAP dla serwera TS Gateway

Procedura poniższa przedstawia wykorzystanie konsoli TS Gateway Manager do utworzenia niestandardowej zasady TS CAP. Alternatywnie można użyć kreatora Authorization Policies Wizard, aby szybko utworzyć zasady TS CAP i TS RAP dla TS Gateway.

Ważne

Przy konfigurowaniu więcej niż jednej zasady TS CAP należy pamiętać, że TS Gateway wykorzystuje mechanizm przeglądania zasad: zasady stosowane są w kolejności numerycznej, ukazywanej w panelu szczegółów konsoli TS Gateway Manager, przy czym dostęp do serwera jest przyznawany na podstawie pierwszej pasującej zasady. Innymi słowy, jeśli klient nie spełnia wymagań zawartych w pierwszej zasadzie TS CAP na liście, TS Gateway przetworzy drugą zasadę i tak dalej, dopóki nie znajdzie takiej zasady, dla której warunki zostaną spełnione. Jeśli klient nie spełni wymagań żadnej zasady TS CAP, TS Gateway odmówi mu dostępu.

Aby utworzyć TS CAP dla serwera TS Gateway:

1. Uruchom konsolę TS Gateway Manager.

2. W drzewie konsoli kliknij węzeł reprezentujący serwer TS Gateway, aby go zaznaczyć.

3. Rozwiń węzeł Policies, po czym kliknij Connection Authorization Policies.

4. Prawym klawiszem myszy kliknij folder Connection Authorization Policies , później Create New Policy, a następnie Custom.

5. Na zakładce General wpisz nazwę zasady i upewnij się, że pole wyboru Enable this policy jest zaznaczone.

6. Na zakładce Requirements poniżej tytułu Supported Windows authentication methods zaznacz jedno lub obydwa pola wyboru:

   · Password [hasło]

   · Smart card [karta inteligentna]

   Jeśli wybrane zostaną obie opcje, łączyć będą mogli się klienci używający dowolnej metody uwierzytelniania.

7. Poniżej tytułu User group membership (required) kliknij Add Group, po czym określ grupę użytkowników, której członkowie mogą łączyć się z serwerem TS Gateway. Musisz wskazać co najmniej jedną grupę użytkowników.

8. W oknie dialogowym Select Groups wybierz lokalizację i nazwę grupy użytkowników, po czym kliknij OK, aby sprawdzić nazwę i zamknąć okno dialogowe Select Groups. Aby określić więcej niż jedną grupę użytkowników, należy:

   · Wpisać nazwę każdej grupy, rozdzielając je średnikami; albo

   · Dodać kolejne grupy z innych domeny, powtarzając ten krok dla każdej z nich.

9. Aby określić kryteria członkostwa w domenie dla komputera klienckiego (opcjonalne), kliknij Add Group poniżej Client computer group membership (optional) na zakładce Requirements, po czym wybierz grupy komputerów. W konfiguracji przykładowej nie jest określana żadna grupa komputerów.

   Wybór grupy komputerów umożliwia ta sama technika, która posłużyła do wybrania grupy użytkowników.

10. Na zakładce Device Redirection wybierz jedną z poniższych opcji, aby włączyć lub zablokować przekierowanie urządzeń po stronie klienta:

    · Aby pozwolić na przekierowanie dowolnych urządzeń klienckich przy połączeniu za pośrednictwem serwera TS Gateway, kliknij Enable device redirection for all client devices. Opcja ta jest zaznaczona domyślnie.

    · Aby zablokować przekierowanie wszystkich urządzeń po stronie klienta z wyjątkiem czytników kart inteligentnych, zaznacz opcję Disable device redirection for all client devices except for smart card .

    · Aby zablokować przekierowanie tylko wybranych typów urządzeń, kliknij opcję Disable device redirection for the following client device types , po czym zaznacz pola wyboru odpowiadające typom urządzeń po stronie klienta, których przekierowanie powinno zostać zablokowane.

    Ważne

    Ustawienia przekierowania urządzeń można wymusić tylko przy korzystaniu z klientów Microsoft Remote Desktop Connection (RDC).

11. Kliknij OK.

12. Nowo utworzona TS CAP pojawi się w panelu szczegółów konsoli TS Gateway Manager. Po kliknięciu nazwy TS CAP w dolnym panelu pojawią się szczegóły zasady.

5. Tworzenie TS RAP i określanie komputerów, z którymi użytkownicy mogą się łączyć za pośrednictwem serwera TS Gateway

Procedura ta opisuje tworzenie niestandardowej zasady TS RAP przy użyciu konsoli TS Gateway Manager i określanie komputerów, z którymi użytkownicy mogą się łączyć za pośrednictwem serwera TS Gateway. Zadanie to można alternatywnie zrealizować przy użyciu kreatora Authorization Policies Wizard.

Ważne

Jeśli użytkownicy mają się łączyć z serwerami stanowiącymi część farmy serwerów terminali, zasada TS RAP musi jawnie odwoływać się do nazwy tej farmy. W tym celu należy podczas tworzenia TS RAP zaznaczyć opcję Select existing TS Gateway-managed computer group or create a new one na zakładce Computer Group, po czym jawnie wskazać nazwę farmy serwerów. Jeśli nazwa farmy serwerów terminali nie zostanie podana wprost, użytkownicy nie będą mogli się połączyć z członkami tej farmy. W celu zoptymalizowania zabezpieczeń i uproszczenia administracji w celu określenia serwerów terminali, które są członkami farmy, należy utworzyć drugą zasadę TS RAP. Na zakładce Computer Group należy wybrać Select an Active Directory security group, po czym wskazać grupę zabezpieczeń zawierającą serwery tworzące farmę. W ten sposób można zoptymalizować zabezpieczenia, gwarantując, że członkowie farmy są zaufanymi członkami grupy zabezpieczeń Active Directory.

Aby utworzyć TS RAP i określić komputery, z którymi użytkownicy mogą się łączyć za pośrednictwem serwera TS Gateway:

1. Uruchom konsolę TS Gateway Manager.

2. W drzewie konsoli kliknij węzeł reprezentujący serwer TS Gateway, aby go zaznaczyć.

3. Rozwiń węzeł Policies, po czym kliknij Resource Authorization Policies.

4. Prawym klawiszem myszy kliknij folder Resource Authorization Policies, następnie Create New Policy, a później Custom.

5. Na zakładce General wpisz nazwę zasady (nie dłuższą niż 64 znaki) w polu Policy name.

6. W polu Description wprowadź opis nowej zasady TS RAP.

7. Na zakładce User Groups kliknij Add, aby wybrać grupy użytkowników, których ma dotyczyć ta zasada TS RAP.

8. W oknie dialogowym Select Groups wybierz lokalizację i nazwę grupy użytkowników, po czym kliknij OK, aby sprawdzić nazwę i zamknąć okno dialogowe Select Groups. Aby określić więcej niż jedną grupę użytkowników, należy:

   • Wpisać nazwę każdej grupy, rozdzielając je średnikami; albo
   • Dodać kolejne grupy z innych domeny, powtarzając ten krok dla każdej z nich.

9. Na zakładce Computer Group wskaż grupę lub grupy komputerów, z którymi użytkownicy będą mogli się łączyć za pośrednictwem TS Gateway:

   • Aby wybrać istniejącą grupę zabezpieczeń, kliknij Select an existing Active Directory security group, a następnie Browse. W oknie dialogowym Select Group wskaż lokalizację i nazwę grupy, po czym kliknij OK. Zwróć uwagę, że należy wybrać raczej grupy zabezpieczeń lokalnego komputera, a nie Active Directory Domain Services.

   • Aby wskazać grupę komputerów zarządzaną przez TS Gateway, kliknij Select an existing TS Gateway-managed computer group or create a new one , a potem Browse. W oknie dialogowym Select a TS Gateway-managed Computer Group wykonaj jedno z poniższych:

     Wskaż istniejącą grupę komputerów zarządzaną przez TS Gateway, klikając jej nazwę, po czym kliknij OK, aby zamknąć okno dialogowe.

     Utwórz nową grupę komputerów zarządzaną przez TS Gateway, klikając Create New Group. Na zakładce General wpisz nazwę i opis grupy. Na zakładce Network Resources wpisz nazwę lub adres IP komputera lub farmy serwerów Terminal Services, którą chcesz dodać, po czym kliknij Add. Powtórz ten krok dla kolejnych komputerów, po czym kliknij OK, by zamknąć okno dialogowe New TS Gateway-Managed Computer Group. W oknie dialogowym Select a TS Gateway-managed Computer Group kliknij nazwę nowej grupy komputerów, po czym kliknij OK.

     Ważne

     Przy dodawaniu komputerów z sieci wewnętrznej do listy komputerów zarządzanych przez TS Gateway należy pamiętać, że jeśli użytkownicy zdalni mają łączyć się z danym komputerem, podając jego nazwę lub adres IP, komputer ten musi zostać dwa razy dodany do grupy (poprzez nazwę i poprzez adres IP). Jeśli podany zostanie tylko adres IP komputera, użytkownicy również będą musieli określić jego adres IP, aby móc połączyć się z nim za pośrednictwem TS Gateway. W celu zapewnienia, że użytkownicy będą łączyć się z tymi komputerami wewnętrznymi, o które chodziło, zaleca się nie wskazywania komputerów poprzez adresy IP. Na przykład nie należy określać adresów IP, jeśli organizacja używa DHCP do dynamicznego konfigurowania adresów IP swoich komputerów.

   • Aby zezwolić na dostęp do dowolnych zasobów sieciowych, kliknij Allow users to connect to any network resource, a później OK.

10. Po określeniu grupy komputerów nowo utworzona zasada TS RAP pojawi się w panelu rezultatów TS Gateway Manager. Po kliknięciu nazwy TS RAP szczegóły zasady pojawią się w dolnym panelu.

6. Ograniczenie maksymalnej liczby równoczesnych połączeń przez TS Gateway (opcjonalne)

Z wyjątkiem serwerów TS Gateway zainstalowanych w systemie Windows Server® 2008 Standard domyślnie nie jest ustawiany żaden limit liczby równoległych połączeń, jakie użytkownicy mogą tworzyć do zasobów sieci wewnętrznej za pośrednictwem serwera TS Gateway. W celu optymalizacji wydajności serwera lub zapewnienia zgodności z zasadami zabezpieczeń organizacji można określić limit liczby równoczesnych połączeń, które klienci mogą tworzyć do zasobów sieci.

Uwaga

W przypadku serwerów TS Gateway zainstalowanych w systemie Windows Server 2008 Standard maksymalna liczba równoczesnych połączeń wynosi 250.

Aby ograniczyć maksymalną liczbę dozwolonych połączeń do TS Gateway:

1. Uruchom konsolę TS Gateway Manager.

2. W drzewie konsoli kliknij węzeł reprezentujący serwer TS Gateway, aby go zaznaczyć.

3. W drzewie konsoli rozwiń węzeł Monitoring.

4. Prawym klawiszem myszy kliknij folder Monitoring, a następnie Edit Connection Limit.

5. Na zakładce General poniżej tytułu Maximum Connections wykonaj jedno z poniższych:

   • Aby określić maksymalną liczbę równoczesnych połączeń dla klientów Terminal Services, kliknij Limit maximum allowed simultaneous connections to , po czym wpisz liczbę dozwolonych połączeń.
   • Aby usunąć ograniczenie liczby dozwolonych połączeń pomiędzy klientami a zasobami sieci wewnętrznej kliknij Allow the maximum supported simultaneous connections. Jest to opcja domyślna. Należy jednak pamiętać, że dla serwerów TS Gateway zainstalowanych w systemie Windows Server 2008 Standard maksymalna obsługiwana liczba połączeń wynosi 250.
   • Aby powstrzymać tworzenie nowych połączeń pomiędzy klientami a zasobami sieci wewnętrznej, kliknij Disable new connections . Wybranie tej opcji powoduje tylko odrzucanie nowych prób połączenia. Istniejące połączenia będą nadal utrzymywane przez TS Gateway.

6. Kliknij OK.

Konfigurowanie klienta Terminal Services w wariancie podstawowym

Aby skonfigurować klienta Terminal Services dla podstawowej konfiguracji TS Gateway, należy wykonać następujące zadania:

Zadanie	Odnośnik/Instrukcje krok po kroku
1. Instalowanie certyfikatu serwera TS Gateway w magazynie Trusted Root Certification Authorities na komputerze klienckim Terminal Services (opcjonalne). Uwaga Procedura ta nie jest wymagana, jeśli zainstalowany na serwerze TS Gateway certyfikat został wystawiony przez jeden z zaufanych publicznych urzędów certyfikacji, który uczestniczy w programie Microsoft Root Certificate Program Members.	Instalowanie certyfikatu serwera TS Gateway w magazynie Trusted Root Certification Authorities na komputerze klienckim Terminal Services
2. Konfigurowanie ustawień Remote Desktop Connection.	Konfigurowanie ustawień Remote Desktop Connection
3. Weryfikowanie łączności za pośrednictwem serwera TS Gateway.	Weryfikowanie łączności za pośrednictwem serwera TS Gateway

 

1. Instalowanie certyfikatu serwera TS Gateway w magazynie Trusted Root Certification Authorities na komputerze klienckim Terminal Services (opcjonalne)

Komputer kliencki musi zweryfikować tożsamość serwera TS Gateway i sprawdzić, że należy on do zaufanych, zanim prześle poświadczenia użytkownika i hasło, by zakończyć proces uwierzytelniania. Aby móc ustanowić taką relację zaufania, klient musi mieć zaufanie do źródła certyfikatu serwera. Oznacza to, że certyfikat urzędu certyfikacji (CA), który wystawił certyfikat serwera, musi znajdować się w magazynie Trusted Root Certification Authorities na komputerach klienckich. Zawartość tego magazynu można przejrzeć, używając przystawki Certificates.

Jak już wspominaliśmy, procedura ta nie jest wymagana, jeśli:

• Używany certyfikat serwera został wystawiony przez jeden z publicznych zaufanych CA, które biorą udział w programie Microsoft Root Certificate Program Members [listę takich CA zawiera artykuł 931125 w Microsoft Knowledge Base (https://go.microsoft.com/fwlink/?LinkID=59547)]; oraz
• Komputer kliencki Terminal Services już zalicza wystawiający CA do zaufanych.

Jeśli serwer TS Gateway używa certyfikatu wydanego przez zaufany publiczny CA i certyfikat ten jest uznawany za zaufany przez komputer kliencki, należy przejść do procedury zawartej w podrozdziale "Konfigurowanie ustawień połączenia pulpitu zdalnego".

Ważne

Nie należy instalować certyfikatów pochodzących od dowolnych niezaufanych źródeł ani osób.

Uwaga

Jeśli klient Terminal Services ma pracować w środowisku używającym Network Access Protection (NAP), konieczne jest zainstalowanie źródłowego certyfikatu ścieżki certyfikacji serwera TS Gateway przy użyciu konta komputera. W innym wypadku można zainstalować certyfikat źródłowy serwer TS Gateway za pomocą konta użytkownika.

Przed wykonaniem poniższej procedury należy skopiować certyfikat do komputera klienckiego. Jeśli na przykład utworzono samopodpisany certyfikat dla serwera TS Gateway, używając konsoli TS Gateway Manager, należy go zawczasu skopiować z serwera TS Gateway do komputera klienckiego.

Aby zainstalować źródłowy certyfikat serwera TS Gateway w magazynie Trusted Root Certification Authorities na kliencie Terminal Services:

1. Otwórz konsolę Certificates. Jeśli jeszcze nie dodałeś przystawki Certificates do konsoli MMC, możesz to zrobić, wykonując następujące czynności:

   a. Kliknij Start, potem Run, wpisz mmc, po czym kliknij OK.

   b. W menu File kliknij Add/Remove Snap-in.

   c. W oknie dialogowym Add or Remove Snap-ins na liście Available snap-ins kliknij Certificates, a następnie Add.

   d. W oknie dialogowym Certificates snap-in kliknij Computer account, a później Next.

   e. W oknie dialogowym Select Computer kliknij Local computer: (the computer this console is running on), po czym kliknij Finish.

   f. W oknie dialogowym Add or Remove snap-ins kliknij OK.

2. W drzewie konsoli Certificatesrozwiń węzeł Certificates (Local Computer), expandTrusted Root Certification Authorities, prawym klawiszem myszy kliknij Certificates, wskaż All Tasks, po czym kliknij Import.

3. Na stronie Welcome to the Certificate Import Wizard kliknij Next.

4. W polu File name na stronie File to Import wyszukaj źródłowy certyfikat serwera TS Gateway, kliknij Open, po czym kliknij Next.

5. Zaakceptuj domyślną opcję ( Place all certificates in the following store - Trusted Root Certification Authorities ) na stronie Certificate Store, po czym kliknij Next.

6. Na stronie Completing the Certificate Import Wizard upewnij się, że wyświetlane są następujące ustawienia certyfikatu:

   • Certificate Store Selected by User: Trusted Root Certification Authorities
   • Content: Certificate
   • File Name: FilePath\<Root_Certificate_Name.cer>, gdzie <Root_Certificate_Name> jest nazwą źródłowego certyfikatu serwera TS Gateway.

7. Kliknij Finish.

8. Po zakończeniu importowania pojawi się komunikat potwierdzający powodzenie operacji. Kliknij OK.

9. Przy zaznaczonym węźle Certificates w drzewie konsoli sprawdź w panelu szczegółów, że źródłowy certyfikat dla serwera TS Gateway pojawił się na liście certyfikatów zainstalowanych na komputerze klienckich w części oznaczonej jako Trusted Root Certification Authorities.

2. Konfigurowanie ustawień Remote Desktop Connection

Aby skonfigurować ustawienia połączenia pulpitu zdalnego:

1. Uruchom klienta Remote Desktop Connection. W tym celu kliknij Start, wskaż All Programs, następnie Accessories, po czym kliknij Remote Desktop Connection .

2. W oknie dialogowym Remote Desktop Connection kliknij Options, aby poszerzyć okno dialogowe i wyświetlić ustawienia.

3. W części Connect from anywhere na zakładce Advanced kliknij Settings.

4. W oknie dialogowym TS Gateway Server Settings zaznacz odpowiednie opcje:

   • Automatically detect TS Gateway server settings (domyślne). Wybranie tej opcji spowoduje, że klient Terminal Services będzie próbował użyć ustawień Zasad grupy, które determinują działanie połączeń klienckich z serwerami TS Gateway lub farmami serwerów TS Gateway, o ile ustawienia te zostały skonfigurowane i włączone. Więcej informacji na ten temat zawiera temat "Using Group Policy to Manage Client Connections Through TS Gateway" w systemie pomocy usługi TS Gateway.

   • Use these TS Gateway server settings. Jeśli nazwa serwera TS Gateway lub farmy serwerów TS Gateway oraz metoda logowania nie zostały dotąd wymuszone przez ustawienia Zasad grupy, można użyć tej opcji, by wskazać nazwę serwera i wybrać metodę logowania. Wpisana nazwa serwera musi być zgodna z nazwą podaną w polu Issued to certyfikatu używanego przez serwer TS Gateway. Jeśli używany jest samopodpisany certyfikat, utworzony podczas instalacji usługi roli TS Gateway przez kreator Add Roles Wizard lub po instalacji przy użyciu konsoli TS Gateway Manager, należy wpisać w pełni kwalifikowaną nazwę domenową (FQDN) serwera TS Gateway.

   • Bypass TS Gateway server for local addresses . Opcja ta jest włączona domyślnie. Powoduje ona pomijanie serwera TS Gateway przy łączeniu się z adresami lokalnymi.

     Pole należy zaznaczyć, jeżeli chce się, by klient Terminal Services samoczynnie wykrywał, kiedy TS Gateway jest wymagany. Przy korzystaniu z komputerów przenośnych zaznaczenie tej opcji pozwoli usprawnić wydajność i zminimalizować opóźnienia, gdyż serwer TS Gateway będzie używany jedynie wtedy, gdy jest konieczny. Jeśli komputer jest połączony z siecią lokalną (LAN) albo jest umieszczony za zaporą ogniową sieci wewnętrznej, TS Gateway nie będzie używany. Gdy komputer znajdzie się poza siecią wewnętrzną i będzie łączył się poprzez Internet, serwer TS Gateway zostanie użyty.

     Jeżeli komputer znajduje się w sieci LAN, ale zamierza się przetestować łączność za pośrednictwem serwera TS Gateway, należy wyczyścić to pole wyboru. W przeciwnym wypadku klient nie będzie próbował użyć serwera TS Gateway do połączenia z siecią wewnętrzną.

   • Do not use a TS Gateway server. Wybranie tej opcji powoduje, że serwer TS Gateway nie będzie nigdy używany. Opcję tę należy zaznaczyć, jeśli komputer jest zawsze podłączony do sieci wewnętrznej i nie zachodzi potrzeba przechodzenia przez zaporę ogniową w celu połączenia się z zasobami tej sieci.

5. Wykonaj jedno z poniższych:

   • Aby zapisać ustawienia i zamknąć okno dialogowe Remote Desktop Connection, kliknij Save, a potem Cancel. Ustawienia zostaną zapisane jako plik RDP w lokalizacji domyślnej (standardowo plik jest zapisywany w folderze Napęd:\<Username>\Documents).
   • Aby zapisać ustawienia we wskazanej lokalizacji w pliku RDP (plik taki można później dostosować i rozesłać do większej liczby komputerów klienckich), kliknij Save As. W oknie dialogowym Save as w polu File name określ nazwę i lokalizację pliku, po czym kliknij Save.
   • Aby rozpocząć połączenie z zasobem sieci wewnętrznej, kliknij Save, później Connect, po czym przejdź do punktu 5 następnej procedury ("Weryfikowanie łączności za pośrednictwem TS Gateway").

3. Weryfikowanie łączności za pośrednictwem TS Gateway

Aby zweryfikować poprawność funkcjonowania połączeń realizowanych za pośrednictwem TS Gateway:

1. Uruchom klienta Remote Desktop Connection. W tym celu kliknij Start, wskaż All Programs, wskaż Accessories, po czym kliknij Remote Desktop Connection .
2. W oknie dialogowym Remote Desktop Connection kliknij Options, aby rozszerzyć okno i wyświetlić ustawienia.
3. Na zakładce General wpisz nazwę komputera (serwera terminali lub komputera z uruchomioną usługą Remote Desktop), z którym chcesz się połączyć zdalnie za pośrednictwem TS Gateway.
4. Kliknij Connect.
5. W oknie dialogowym Enter your credentials wybierz lub wpisz nazwę konta użytkownika, którego chcesz użyć do zdalnego logowania, wpisz wymagane poświadczenia, po czym kliknij OK.
6. W oknie dialogowym Gateway server credentials wybierz nazwę użytkownika, który ma zostać użyty do logowania na serwerze TS Gateway, wprowadź wymagane poświadczenia, po czym kliknij OK.
7. Po chwili połączenie z komputerem zdalnym za pośrednictwem serwera TS Gateway powinno zostać ustanowione.

Do początku strony

---