Poradnik krok po kroku instalacji i wykorzystania Windows Server 2008 TS Gateway Server, cz. II

Opublikowano: 30 czerwca 2008

Zawartość strony

	Konfigurowanie TS Gateway: wariant NAP
	Konfigurowanie TS Gateway: wariant z użyciem ISA Server
	Monitorowanie aktywnych połączeń przez TS Gateway
	Przykładowy skrypt weryfikujący konfigurację certyfikatów

Konfigurowanie TS Gateway: wariant NAP

W celu podniesienia poziomu zabezpieczeń można skonfigurować serwery TS Gateway oraz klienty, aby używały mechanizmu Network Access Protection (NAP). NAP jest technologią tworzenia, wymuszania i usprawniania zasad bezpieczeństwa dołączoną do systemów Windows Vista oraz Windows Server 2008. Przy użyciu NAP można wymusić zasady „zdrowej” konfiguracji na komputerach klienckich, które łączą się z serwerem TS Gateway. Zasady te mogą obejmować takie cechy, jak włączenie zapory ogniowej, instalowanie poprawek zabezpieczeń i inne elementy konfiguracji komputera.

Używając NAP, można zagwarantować, że klienci spełniają wymagania zabezpieczeń organizacji, zanim będą mogli połączyć się z zasobami sieci wewnętrznej za pośrednictwem serwerów TS Gateway.

Udana instalacja i zademonstrowanie funkcjonalności TS Gateway NAP zgodnie ze scenariuszem opisanym w tym poradniku jako przykład wymaga zrealizowania następujących zadań.

1. Zalecamy skonfigurowanie trzech komputerów w celu przetestowania tego scenariusza. Będą to następujące maszyny:

   • Serwer TS Gateway/Network Policy Server (serwer NPS) (w tym przykładzie noszący nazwę "TSGSERVER")
   • Klient Terminal Services (w tym przykładzie "TSCLIENT")
   • Zasób sieci wewnętrznej (w tym przykładzie "CORPORATERESOURCE")

   Komputery muszą spełniać wymagania systemowe opisane w części "Wymagania systemowe dla wariantu TS Gateway – NAP".

2. Wykonania podstawowej konfiguracji serwera TS Gateway zgodnie z instrukcjami zawartymi w podrozdziale "Konfigurowanie serwera TS Gateway w wariancie podstawowym" (Konfigurowanie TS Gateway: wariant podstawowy).

3. Skonfigurowanie sprawdzania zasad zdrowia NAP przez serwer TS Gateway, zgodnie z instrukcjami zawartymi w podrozdziale Konfigurowanie TS Gateway dla wariantu NAP.

4. Wykonanie podstawowej konfiguracji klienta Terminal Services do współdziałania z TS Gateway, zgodnie z instrukcjami zawartymi w podrozdziale "Konfigurowanie klienta Terminal Services w wariancie podstawowym" (Konfigurowanie TS Gateway: wariant podstawowy).

5. Skonfigurowanie klienta jako klienta wymuszającego NAP, zgodnie z instrukcjami zawartymi w podrozdziale "Konfigurowanie klienta Terminal Services jako klienta wymuszającego NAP".

6. Skonfigurowanie zasobu sieci wewnętrznej. Jak wspomnieliśmy, zasobem tym może być dowolny serwer terminali lub komputer z włączoną funkcją Remote Desktop.

7. Sprawdzenie, że zasady zdrowia NAP utworzone na serwerze TS Gateway są skutecznie stosowane na kliencie Terminal Services. Wymaga to wykonania dwóch zadań:

   • Przetestowania blokowania połączenia. Jeśli zasady zdrowia zostaną prawidłowo zastosowane na kliencie Terminal Services, próba połączenia zostanie zablokowana przez serwer NPS, gdy na komputerze klienckim zostaną wyłączone aktualizacje automatyczne.
   • Przetestowania udanego połączenia. Połączenie klienckie zostanie dopuszczone przez serwer NPS, gdy aktualizacje automatyczne zostaną ponownie włączone na komputerze klienckim.

   Instrukcje dla tych testów zawiera podrozdział "Testowanie udanego zaaplikowania zasad zdrowia NAP na kliencie Terminal Services".

Wymagania systemowe dla wariantu TS Gateway – NAP

Trzy komputery użyte w scenariuszu TS Gateway – NAP muszą spełniać następujące wymagania:

Komputer	Wymagana konfiguracja
Serwer TS Gateway (TSGSERVER)	· W tym scenariuszu TSGSERVER używany jest jako serwer TS Gateway i jako serwer NPS, zatem musi pracować pod kontrolą systemu Windows Server 2008 RC0. Może być to uaktualnienie z systemu Windows Server 2003 SP1 lub Windows Server 2008 Beta 3. Więcej informacji zawiera temat "Supported upgrade paths" w witrynie Installing the Release Candidate of Windows Server 2008 (https://go.microsoft.com/fwlink/?LinkId=104824).
Klient Terminal Services (TSCLIENT)	W tym scenariuszu TSCLIENT zostanie użyty jako klient Terminal Services i klient NAP. Może być to komputer używający jednego z poniższych systemów: · Wersja beta systemu Windows Vista SP1 albo Windows XP SP3. Uwaga Członkowie odpowiedniego programu Microsoft Connect Beta mogą pobrać wersję beta dodatku SP1 dla Windows Vista lub dodatku SP3 dla Windows XP z witryny MS Connect ( https://go.microsoft.com/fwlink/?LinkID=102024 ). · Windows Vista RTM. Instalacja może być aktualizacją z systemu Windows XP z dodatkiem Service Pack 2 (SP2). · Windows Server 2008 RC0. Instalacja może być uaktualnieniem.
Zasób sieci wewnętrznej (CORPORATERESOURCE)	· Wersja beta Windows Vista SP1 lub Windows XP SP3. Uwaga Członkowie odpowiedniego programu Microsoft Connect Beta mogą pobrać wersję beta dodatku SP1 dla Windows Vista lub dodatku SP3 dla Windows XP z witryny MS Connect ( https://go.microsoft.com/fwlink/?LinkID=102024 ). · Windows Vista RTM. Instalacja może być uaktualnieniem z wersji Windows XP SP2. · Windows XP SP2. · Windows XP SP3 Beta. · Windows Server 2008 RC0. Instalacja może być uaktualnieniem. · Windows Server 2003 SP1 lub SP2.

 

Budowanie scenariusza TS Gateway – NAP

Poniższy diagram ilustruje sposób użycia TS Gateway w połączeniu z NAP.

Scenariusz TS Gateway NAP

Uwaga

Działania przedstawione w tym poradniku opisują konfigurowanie TS Gateway oraz klienta Terminal Services ze sprawdzaniem zasad zdrowia (do tego celu używany jest serwer NPS). Poradnik ten nie zawiera opisu zapór ogniowych widocznych na diagramie, serwerów terminali z programami RemoteApp ani infrastruktury Active Directory. Diagram ten został zamieszczony jako przykład jednej z wielu możliwych metod implementacji dostępu zdalnego za pośrednictwem TS Gateway.

Konfigurowanie TS Gateway dla wariantu NAP

W celu skonfigurowania scenariusza TS Gateway – NAP należy wykonać następujące zadania:

Zadanie	Odnośnik/Instrukcje krok po kroku
1. Włączanie sprawdzanie zasad zdrowia NAP na serwerze TS Gateway.	Włączanie sprawdzanie zasad zdrowia NAP na serwerze TS Gateway
2. Usunięcie istniejących zasad TS CAP i utworzenie trzech nowych TS CAP na serwer TS Gateway.	Usunięcie istniejących zasad TS CAP i utworzenie trzech nowych TS CAP na serwer TS Gateway
3. Skonfigurowanie zasady Windows Security Health Validator na serwerze TS Gateway.	Skonfigurowanie zasady Windows Security Health Validator na serwerze TS Gateway
4. Utworzenie zasad NAP na serwerze TS Gateway za pomocą kreatora Configure NAP Wizard.	Utworzenie zasad NAP na serwerze TS Gateway za pomocą kreatora Configure NAP Wizard

 

1. Włączanie sprawdzania zasad zdrowia NAP na serwerze TS Gateway

Aby włączyć sprawdzanie zasad zdrowia NAP na serwerze TS Gateway, należy uaktywnić ustawienie serwera, które żąda wysyłania SoH przez klienta Terminal Services.

Aby włączyć sprawdzanie zasad zdrowia na serwerze TS Gateway:

1. Uruchom konsolę TS Gateway Manager. W tym celu kliknij Start, wskaż Administrative Tools, potem Terminal Services , po czym kliknij TS Gateway Manager.
2. W drzewie konsoli TS Gateway Manager prawym klawiszem myszy kliknij lokalny serwer TS Gateway, a następnie Properties.
3. Na zakładce TS CAP Store zaznacz pole wyboru Request clients to send a statement of health.
4. Pojawi się komunikat informujący, że należy również skonfigurować zasady TS CAP zgodnie z NAP, aby zapewnić wymuszanie zasad. Kliknij OK, by zamknąć ten komunikat.
5. Kliknij OK, aby zamknąć okno dialogowe Properties.

2. Usunięcie istniejących zasad TS CAP i utworzenie trzech nowych TS CAP na serwer TS Gateway

Jeśli została już utworzona jakaś zasada lub zasady TS CAP na serwerze TS Gateway, zgodnie z procedurą "Tworzenie TS CAP dla serwera TS Gateway" w rozdziale Konfigurowanie TS Gateway: wariant podstawowy, zaleca się usunięcie tych zasad przed dalszą konfiguracją serwera.

Ostrzeżenie

Nie usunięcie istniejących zasad TS CAP może prowadzić do zagrożenia sieci wewnętrznej, gdyż zasady te mogą pozwolić na ominięcie autoryzacji NAP wymaganej w tym scenariuszu. W takim wypadku klienci Terminal Services niespełniający wymogów zasad NAP będą mogli uzyskać dostęp do serwera TS Gateway.

Aby usunąć istniejące zasady TS CAP z serwera TS Gateway:

1. Otwórz TS Gateway Manager.
2. W drzewie konsoli kliknij węzeł reprezentujący serwer TS Gateway.
3. Rozwiń węzeł Policies, po czym kliknij Connection Authorization Policies.
4. W panelu szczegółów kliknij prawym klawiszem myszy istniejące zasady TS CAP, a później Delete.

Po usunięciu wcześniej utworzonych zasad TS CAP z konsoli TS Gateway Manager utworzymy trzy nowe, identyczne zasady (TSCAP1, TSCAP2 i TSCAP3), wykonując procedurę "Tworzenie TS CAP dla serwera TS Gateway" z rozdziału "Konfigurowanie TS Gateway: wariant podstawowy".

Jeśli nie zostało to jeszcze wykonane, należy utworzyć zasadę TS RAP w konsoli TS Gateway Manager. Jeśli zasada TS RAP spełniająca wymagania bezpieczeństwa już istnieje, nie ma potrzeby usuwania jej i tworzenia nowej. Instrukcje krok po kroku tworzenia TS RAP zawiera procedura "Tworzenie TS RAP for the TS Gateway server" w rozdziale Konfigurowanie TS Gateway: wariant podstawowy.

3. Skonfigurowanie zasady Windows Security Health Validator na serwerze TS Gateway

Konfigurowanie zasady Windows Security Health Validator (WSHV) tworzy zasadę zdrowia klienta ustanawiającą wymagania, które muszą spełniać komputery klienckie mające się łączyć z siecią. Gdy komputer kliencki próbujący się połączyć z siecią ma konfigurację niezgodną z WSHV, połączenie zostanie zablokowane, dopóki nie spełni warunków zawartych w WSHV.

W tym przykładzie WSHV będzie zawierać tylko wymóg włączenia aktualizacji automatycznych.

Aby skonfigurować komponent Windows Security Health Validator na serwerze TS Gateway:

1. Otwórz konsolę Network Policy Server. W tym celu kliknij Start, wskaż Administrative Tools, po czym kliknij Network Policy Server.
2. W drzewie konsoli kliknij Network Access Protection.
3. W panelu szczegółów poniżej tytułu System Health Validators kliknij Configure System Health Validators.
4. W panelu szczegółów poniżej tytułu Name kliknij prawym klawiszem myszy Windows Security Health Validator, a potem Properties.
5. W oknie dialogowym Windows Security Health Validator Properties kliknij Configure na zakładce Settings.
6. Zależnie od systemu operacyjnego używanego przez klienta, otwórz zakładkę Windows Vista albo Windows XP i wyczyść wszystkie dostępne tam pola wyboru z wyjątkiem: Automatic updating is enabled , Restrict access for clients that do not have all available security updates installed oraz Windows Update .
7. Kliknij OK, aby zamknąć okno dialogowe Windows Security Health Validator Properties, po czym ponownie kliknij OK, aby zamknąć okno dialogowe Windows Security Health Validator Properties (z zakładką Settings).

4. Utworzenie zasad NAP na serwerze TS Gateway za pomocą kreatora Configure NAP Wizard

Kreator Configure NAP pozwala łatwo utworzyć zasady konieczne do tego, aby skonfigurować serwer TS Gateway jako klienta wymuszającego NAP. Podrozdział ten opisuje, jak utworzyć następujące zasady dla TS Gateway:

• Zasady zdrowia: Pozwalają one zdefiniować wymagania dotyczące konfiguracji klienta dla komputerów obsługujących NAP, które próbują się łączyć z zasobami sieci wewnętrznej za pośrednictwem serwera TS Gateway.
• Zasady żądania połączenia: Są to uporządkowane zbiory reguł, które pozwalają usłudze NPS określić, czy konkretne żądanie połączenia lub komunikat rozliczeniowy otrzymany z klienta RADIUS powinny być przetwarzane lokalnie, czy też przesłane do innego serwera RADIUS. Przy konfigurowaniu serwera NPS do wykonywania sprawdzania i wymuszania zasad NAP, serwer ten odgrywa rolę serwera RADIUS. Serwer TS Gateway natomiast jest klientem RADIUS.
• Zasady sieciowe: Pozwalają określić, kto jest upoważniony do łączenia się z sieci oraz okoliczności, w których może się łączyć. W trakcie procesu autoryzacji NAP wykonuje sprawdzenie stanu zdrowia klienta.

Aby utworzyć zasady NAP na serwerze TS Gateway za pomocą kreatora Configure NAP Wizard:

1. Otwórz konsolę Network Policy Server. W tym celu kliknij Start, wskaż Administrative Tools, po czym kliknij Network Policy Server.

2. W drzewie konsoli kliknij NPS (Local).

3. Poniżej tytułu Standard Configuration w panelu szczegółów kliknij Configure NAP.

4. Po uruchomieniu kreatora Configure NAP wykonaj następujące czynności na stronie Select Network Connection Method for Use with NAP:

   a. Zaznacz opcję Terminal Services Gateway (TS Gateway) poniżej Network connection method.

   b. Zaakceptuj domyślną nazwę w części Policy Name (NAP TS Gateway) albo wpisz nową nazwę, po czym kliknij Next.

5. Na stronie Specify NAP Enforcement Servers Running TS Gateway poniżej tytułu TS Gateway servers upewnij się, że TS Gateway server jest zaznaczony, po czym kliknij Next.

6. Wykonaj poniższe czynności na stronie Configure Client Device Redirection and Authentication Methods:

   a. W części Device redirection zaznacz opcje odpowiednie dla danego środowiska.

   b. W części Authentication Method wybierz metodę lub metody uwierzytelniania wymagane w danym środowisku. Jeśli zaznaczone zostaną obie metody, łączyć będzie się można, używając dowolnej z nich.

7. Wykonaj poniższe czynności na stronie Configure User Groups and Machine Groups :

   a. Kliknij Add User poniżej User Groups: (Required) , po czym określ grupę użytkowników, której członkowie mogą łączyć się z serwerem TS Gateway. Trzeba wskazać co najmniej jedną grupę użytkowników.

   b. W oknie dialogowym Select Groups określ lokalizację i nazwę grupy użytkownika, po czym kliknij OK, aby sprawdzić nazwę i zamknąć okno dialogowe. Aby określić więcej niż jedną grupę, wpisz kolejno nazwy grup, rozdzielając je średnikami, albo powtórz ten punkt dla kolejnych grup z innych domen.

   c. Poniżej tytułu Machine Groups: (Optional) można określić kryteria przynależności do domeny, które muszą spełniać komputery klienckie (opcjonalne). W tym celu kliknij Add Machine, po czym określ grupę lub grupy komputerów. W konfiguracji opisywanej w tym przykładzie nie są określane żadne grupy komputerów.

8. Kliknij Next.

9. Na stronie Define NAP Health Policy upewnij się, że pole wyboru Windows Security Health Validator jest zaznaczone wraz z opcją Deny client access to terminal servers or computers running Remote Desktop , po czym kliknij Next.

10. Na stronie Completing New Network Access Protection Policies and RADIUS clients upewnij się, że wyświetlane są następujące zasady:

    · W części Health Policies : NAP TS Gateway Compliant, NAP TS Gateway Noncompliant

    · W części Connection Request Policy : NAP TS Gateway

    · W części Network Policies : NAP TS Gateway Compliant, NAP TS Gateway Noncompliant oraz NAP TS Gateway Non NAP-Capable

11. Kliknij Finish.

Konfigurowanie klienta Terminal Services jako klienta wymuszającego NAP

Aby skonfigurować komputer kliencki Terminal Services jako klienta wymuszającego stosowanie Network Access Protection (NAP), należy wykonać poniższe zadania:

Zadanie	Odnośnik/Instrukcje krok po kroku
1. Pobranie i uruchomienie polecenia konfigurującego klienta Terminal Services NAP.	Pobieranie i uruchomienie polecenia konfigurującego klienta Terminal Services NAP
2. Przetestowanie poprawnego stosowania zasad zdrowia NAP na kliencie Terminal Services.	Testowanie poprawnego stosowania zasad zdrowia NAP na kliencie Terminal Services

 

1. Pobieranie i uruchomienie polecenia konfigurującego klienta Terminal Services NAP

Polecenie konfigurujące klienta Terminal Services NAP (Tsgqecclientconfig.cmd) wykonuje następujące zadania, aby skonfigurować klienta Terminal Services jako klienta wymuszającego stosowanie NAP:

• Dodaje nazwę serwera TS Gateway do listy Trusted Server.

• Uruchamia usługę Network Access Protection Agent, ustawiając jej typ uruchomienia na Automatic.

  Agent NAP gromadzi i zarządza informacjami o stanie komputera. Przetwarza on oświadczenia o stanie zdrowia (SoH) pochodzące od różnych agentów systemowych (SHA) i przekazuje raport o stanie klienta do serwera administrującego NAP. Aby mechanizm NAP mógł funkcjonować poprawnie, usługa Network Access Protection Agent musi być uruchomiona na komputerze klienckim, przy czym jej typ uruchomienia musi być ustawiony jako Automatic. Domyślnie usługa ta nie jest uruchamiana automatycznie.

• Włącza klienta TS Gateway Quarantine Enforcement.

  Aby uruchomić skrypt przykładowy, należy wykonać poniższą procedurę. Zwróćmy uwagę, że skrypt musi być uruchomiony przez użytkownika należącego do lokalnej grupy Administrators na serwerze TS Gateway.

Aby pobrać i uruchomić polecenie konfigurującego klienta Terminal Services NAP:

1. W celu pobrania skryptu konfigurującego klienta Terminal Services NAP należy przejść do strony Terminal Services NAP Client Configuration Command w witrynie Download Center (https://go.microsoft.com/fwlink/?LinkId=103093). Po pobraniu skryptu otwórz okno wiersza polecenia, prawym klawiszem myszy kliknij znak zachęty, po czym kliknij Run as Administrator. Skrypt ten musi zostać uruchomiony z podwyższonymi uprawnieniami. Informacje na temat uruchamiania poleceń z podwyższonymi uprawnieniami w systemie Windows XP zawiera artykuł 294676 w Microsoft Knowledge Base (https://go.microsoft.com/fwlink/?LinkId=87531). Informacje na temat realizacji tego zadania w systemie Windows Server 2003 zawiera dokument Run a program with administrative credentials (https://go.microsoft.com/fwlink/?LinkId=87533).

2. W wierszu polecenia wpisz:

   tsgqecclientconfig TS_GATEWAY_SERVER_NAME,

   zastępując TS_GATEWAY_SERVER_NAME w pełni kwalifikowaną nazwą domenową serwera TS Gateway, który ma być dodany do listy zaufanych serwerów na komputerze klienckim.

   Wpisana nazwa serwera musi być zgodna z nazwą podaną w polu Issued to certyfikatu używanego przez serwer TS Gateway. Jeśli używany jest samopodpisany certyfikat, utworzony podczas instalacji usługi roli TS Gateway przez kreator Add Roles Wizard lub po instalacji przy użyciu konsoli TS Gateway Manager, należy wpisać w pełni kwalifikowaną nazwę domenową (FQDN) serwera TS Gateway.

   Aby określić więcej niż jeden serwer TS Gateway, należy ich nazwy rozdzielić sekwencją \0 (na przykład SERVER_NAME1 \0SERVER_NAME2\0SERVER_NAME3).

3. Ponownie uruchom komputer kliencki, aby wprowadzić zmiany konfiguracyjne, po czym ponownie zaloguj się przy użyciu tego samego konta, które zostały użyte do uruchomienia skryptu konfiguracyjnego.

4. Uruchom narzędzie Registry Editor. W tym celu w polu wyszukiwania Start wpisz regedit i naciśnij ENTER.

5. Przejdź do następującego podklucza rejestru: HKEY_LOCAL_MACHINE\Software\Microsoft\Terminal Server Client\TrustedGateways

6. Upewnij się, że następująca wartości istnieje dla klucza TrustedGateways:

   <TS_Gateway_Server_NAME>

   gdzie TS_GATEWAY_SERVER_NAME jest w pełni kwalifikowaną nazwą serwera TS Gateway podaną w punkcie 2.

2. Testowanie udanego zaaplikowania zasad zdrowia NAP na kliencie Terminal Services

Poniższe procedury pozwalają sprawdzić, że zasady zdrowia skonfigurowane na serwerze TS Gateway są stosowane na klientach Terminal Services.

Przypomnijmy tu, że zasada Windows Security Health Validator (WSHV), którą utworzyliśmy na serwerze TS Gateway, wymaga, aby na kliencie był włączony mechanizm aktualizacji automatycznych.

Aby przetestować poprawność stosowania zasad zdrowia wobec klientów Terminal Services, wykonamy następujące zadania:

• Testowanie udanego blokowania połączenia dla klienta obsługującego NAP. Jeśli zasady zdrowia zostaną poprawnie zastosowane wobec klienta Terminal Services obsługującego NAP, próba połączenia zostanie zablokowana, jeśli aktualizacje automatyczne na kliencie będą wyłączone.
• Testowanie udanego dozwolonego połączenia dla klienta obsługującego NAP. Jeśli zasady zdrowia zostaną poprawnie zastosowane wobec klienta Terminal Services obsługującego NAP, próba połączenia zostanie zaakceptowana przez serwer, gdy aktualizacje automatyczne na kliencie będą włączone.
• Testowanie udanego blokowania połączenia dla klienta nieobsługującego NAP. Jeśli zasady zdrowia zostaną poprawnie zastosowane wobec klienta Terminal Services nieobsługującego NAP, próba połączenia zostanie zablokowana przez serwer, gdyż klient ten nie będzie w stanie przesłać oświadczenia o stanie zdrowia (SoH).

Testowanie udanego blokowania połączenia dla klienta obsługującego NAP

Poniższa procedura pozwala sprawdzić blokowanie połączenia w przypadku nie spełnienia warunków w zasadzie NAP przez klienta (w tym wypadku – wyłączenia aktualizacji automatycznych).

Aby dokonać próby połączenia za pośrednictwem serwera TS Gateway przy wyłączonych aktualizacjach automatycznych na kliencie:

1. Otwórz Control Panel. W tym celu kliknij Start, a następnie Control Panel.

2. W narzędziu Control Panel podwójnie kliknij Security Center.

3. Poniżej tytułu Security Essentials sprawdź, czy Automatic Updating jest ustawione na On. Jeśli tak, przejdź do następnego punktu. Jeśli opcja Automatic Updating ma już status Off, przejdź do punktu 7.

4. W panelu nawigacyjnym kliknij Windows Update.

5. W oknie Windows Update w panelu nawigacyjnym kliknij Change Settings.

6. W oknie dialogowym Choose how Windows can install updateskliknij Never check for updates (not recommended), a później OK.

7. Uruchom klienta Remote Desktop Connection. W tym celu kliknij Start, wskaż All Programs, następnie Accessories, po czym kliknij Remote Desktop Connection .

8. W oknie dialogowym Remote Desktop Connection kliknij Options, aby rozwinąć okno i wyświetlić ustawienia.

9. Na zakładce General wpisz nazwę komputera (serwera terminali lub komputera z uruchomioną usługą Remote Desktop), z którym chcesz się połączyć zdalnie za pośrednictwem TS Gateway.

10. Kliknij Connect.

11. W oknie dialogowym Enter your credentials wybierz lub wpisz nazwę konta użytkownika, którego chcesz użyć do zdalnego logowania, wpisz wymagane poświadczenia, po czym kliknij OK.

12. W oknie dialogowym Gateway server credentials wybierz nazwę użytkownika, który ma zostać użyty do logowania na serwerze TS Gateway, wprowadź wymagane poświadczenia, po czym kliknij OK.

13. Po chwili powinien pojawić się następujący komunikat o błędzie:

    „This computer can't connect to the remote computer because your computer or device did not pass the Network Access Policies validation set by your network administrator. Please contact your network administrator for assistance.”

    [Komputer nie może się połączyć z komputerem zdalnym, gdyż twój komputer lub urządzenie nie przeszło weryfikacji NAP ustawionej przez administratora sieci. Skontaktuj się z administratorem.]

14. Kliknij OK, aby zamknąć komunikat, po czym anuluj połączenie.

Sprawdzenie, że to zasada NAP zablokowała połączenie

Na serwerze TS Gateway w narzędziu Event Log pojawią się następujące trzy zdarzenia, potwierdzające, że próba dostępu klienta do serwera TS Gateway została odrzucona z powodu udanego zastosowania zasad zdrowia:

• Event ID 6272, Keyword: Audit Success: Zdarzenie to, występujące w dzienniku Windows Logs\Security, oznacza, że serwer NPS uzyskał dostęp do klienta.
• Event ID 6276, Keyword: Audit Success: Zdarzenie to, występujące w dzienniku Windows Logs\Security, informuje, że klientowi odmówiono dostępu do serwera TS Gateway i przeniesiono go do kwarantanny, ponieważ zasad zdrowia została zastosowana.
• Event ID 204, Keyword: Audit Failure: Zdarzenie to, występujące w dzienniku Applications and Services Logs\Microsoft\Windows\TerminalServices-Gateway\Operational, informuje, że klient nie spełnił wymagań zasad NAP na serwerze NPS i tym samym nie otrzymał autoryzacji na dostęp do serwera TS Gateway.

Aby sprawdzić, że zasada NAP zablokowała połączenie:

1. Otwórz narzędzie Event Viewer na serwerze TS Gateway. W tym celu kliknij Start, wskaż Administrative Tools, po czym kliknij Event Viewer.
2. W narzędziu Event Viewer rozwiń gałąź Windows Logs, po czym kliknij Security.
3. Przy otwartym dzienniku Security wyszukaj zdarzenia o identyfikatorach 6272 oraz 6276.
4. W drzewie konsoli rozwiń gałąź Applications and Services Logs\Microsoft\Windows\TerminalServices-Gateway, po czym kliknij Operational.
5. Przy zaznaczonym dzienniku Operational wyszukaj zdarzenie o identyfikatorze 204.
6. Zamknij Event Viewer.

Testowanie udanego dozwolonego połączenia dla klienta obsługującego NAP

Poniższa procedura pozwala sprawdzić, że klient spełniający warunki przynajmniej jednej zasady NAP może się połączyć z serwerem TS Gateway (w tym przykładzie będzie to włączenie aktualizacji automatycznych).

Aby podjąć próbę połączenia za pośrednictwem serwera TS Gateway przy włączonych aktualizacjach automatycznych na kliencie:

1. Otwórz Control Panel. W tym celu kliknij Start, a potem Control Panel.
2. W narzędziu Control Panel podwójnie kliknij Security Center.
3. Poniżej tytułu Security Essentials w części Automatic updatingkliknij Change settings.
4. W oknie dialogowym Choose an automatic updating optionkliknij opcję Install updates automatically (recommended).
5. Uruchom klienta Remote Desktop Connection. W tym celu kliknij Start, wskaż All Programs, następnie Accessories, po czym kliknij Remote Desktop Connection .
6. W oknie dialogowym Remote Desktop Connection kliknij Options, aby rozwinąć okno i wyświetlić ustawienia.
7. Na zakładce General wpisz nazwę komputera (serwera terminali lub komputera z uruchomioną usługą Remote Desktop), z którym chcesz się połączyć zdalnie za pośrednictwem TS Gateway.
8. Kliknij Connect.
9. W oknie dialogowym Enter your credentials wybierz lub wpisz nazwę konta użytkownika, którego chcesz użyć do zdalnego logowania, wpisz wymagane poświadczenia, po czym kliknij OK.
10. W oknie dialogowym Gateway server credentials wybierz nazwę użytkownika, który ma zostać użyty do logowania na serwerze TS Gateway, wprowadź wymagane poświadczenia, po czym kliknij OK.
11. Po chwili połączenie z komputerem zdalnym powinno zostać ustanowione.

Sprawdzenie, że zasada zdrowia NAP zezwoliła na połączenie

Na serwerze TS Gateway w narzędziu Event Log pojawią się następujące trzy zdarzenia, potwierdzające, że próba dostępu klienta do serwera TS Gateway została zaakceptowana z powodu udanego zastosowania zasad zdrowia:

• Event ID 6272, Keyword: Audit Success: Zdarzenie to, występujące w dzienniku Windows Logs\Security, oznacza, że serwer NPS uzyskał dostęp do klienta.
• Event ID 6278, Keyword: Audit Success: Zdarzenie to, występujące w dzienniku Windows Logs\Security, informuje, że klientowi przyznano dostęp do serwera TS Gateway, gdyż zasada zdrowia została zaaplikowana z powodzeniem.
• Event ID 200: Zdarzenie to, występujące w dzienniku Applications and Services Logs\Microsoft\Windows\TerminalServices-Gateway\Operational, informuje, że klient jest zdrowy i może uzyskać dostęp do serwera TS Gateway.

Aby sprawdzić, że zasada NAP zezwoliła na połączenie:

1. Otwórz narzędzie Event Viewer na serwerze TS Gateway. W tym celu kliknij Start, wskaż Administrative Tools, po czym kliknij Event Viewer.
2. W narzędziu Event Viewer rozwiń gałąź Windows Logs, po czym kliknij Security.
3. Przy otwartym dzienniku Security wyszukaj zdarzenia o identyfikatorach 6272 oraz 6278.
4. W drzewie konsoli rozwiń gałąź Applications and Services Logs\Microsoft\Windows\TerminalServices-Gateway, po czym kliknij Operational.
5. Przy zaznaczonym dzienniku Operational wyszukaj zdarzenie o identyfikatorze 200.
6. Zamknij Event Viewer.

Testowanie udanego blokowania połączenia dla klienta nieobsługującego NAP

Poniższa procedura pozwala sprawdzić, że poprawnie skonfigurowane zasady NAP zablokują połączenia klientów Terminal Services, którzy nie są w stanie przesłać SoH do serwera TS Gateway.

Aby podjąć próbę połączenia za pośrednictwem serwera TS Gateway przy użyciu klienta, który nie może wysłać SoH:

1. Otwórz Control Panel. W tym celu kliknij Start, a następnie Control Panel.

2. W narzędziu Control Panel podwójnie kliknij Security Center.

3. Poniżej tytułu Security Essentials sprawdź, czy Automatic Updating jest ustawione na On.

4. Otwórz okno wiersza polecenia, prawym klawiszem myszy kliknij znak zachęty, po czym kliknij Run as Administrator.

5. Po znaku zachęty wpisz:

   net stop napagent

6. Uruchom klienta Remote Desktop Connection. W tym celu kliknij Start, wskaż All Programs, następnie Accessories, po czym kliknij Remote Desktop Connection .

7. W oknie dialogowym Remote Desktop Connection kliknij Options, aby rozwinąć okno i wyświetlić ustawienia.

8. Na zakładce General wpisz nazwę komputera (serwera terminali lub komputera z uruchomioną usługą Remote Desktop), z którym chcesz się połączyć zdalnie za pośrednictwem TS Gateway.

9. Kliknij Connect.

10. W oknie dialogowym Enter your credentials wybierz lub wpisz nazwę konta użytkownika, którego chcesz użyć do zdalnego logowania, wpisz wymagane poświadczenia, po czym kliknij OK.

11. W oknie dialogowym Gateway server credentials wybierz nazwę użytkownika, który ma zostać użyty do logowania na serwerze TS Gateway, wprowadź wymagane poświadczenia, po czym kliknij OK.

12. Po chwili powinien pojawić się następujący komunikat o błędzie:

    "This computer can't connect to the remote computer because your computer or device did not pass the Network Access Policies validation set by your network administrator. Please contact your network administrator for assistance."

    [Komputer nie może się połączyć z komputerem zdalnym, gdyż twój komputer lub urządzenie nie przeszło weryfikacji NAP ustawionej przez administratora sieci. Skontaktuj się z administratorem.]

13. Kliknij OK, aby zamknąć komunikat, po czym anuluj połączenie.

Na serwerze TS Gateway możesz wykonać procedurę "Sprawdzenie, że to zasada NAP zablokowała połączenie", aby potwierdzić, że dostęp klienta do serwera TS Gateway został odmówiony z powodu zastosowania zasad zdrowia.

Dodatkowe źródła

• Strona Terminal Services w witrynie Windows Server 2008 TechCenter (https://go.microsoft.com/fwlink/?LinkID=48555)

 Do początku strony

Konfigurowanie TS Gateway: wariant z użyciem ISA Server

Bezpieczeństwo serwera TS Gateway można zwiększyć, stosując Internet Security and Acceleration (ISA) Server 2004 lub ISA Server 2006, skonfigurowane jako mostek SSL. Przy korzystaniu z połączeń mostkowych SSL ISA Server może zamykać sesje SSL, analizować pakiety, po czym ponownie ustanawiać sesje SSL. ISA Server pomaga w zwiększeniu poziomu bezpieczeństwa, rozszyfrowując przychodzący ruch SSL, analizując otrzymane pakiety w poszukiwaniu złośliwego kodu i blokując połączenia zawierające podejrzane pakiety lub pakiety wykorzystujące znane exploity. ISA Server wykonuje także dogłębne filtrowanie HTTP, co zapewnia szczegółową inspekcję zawartości dostarczanych przez aplikacje HTTP.

Poniższe przykłady ukazują trzy scenariusze łącznego wykorzystania ISA Server i TS Gateway do podniesienia bezpieczeństwa połączeń zdalnych do zasobów sieci wewnętrznej:

• ISA Server jako urządzenie mostka SSL (proxy Web). W tym scenariuszu ISA Server zlokalizowany jest w sieci brzegowej i zapewnia mostkowanie ruchu SSL pomiędzy klientem Terminal a serwerem TS Gateway umieszczonym w prywatnej sieci korporacyjnej.

  Scenariusz ten przedstawia Diagram 3 w następnym podrozdziale.

• ISA Server jako zapora i mostek SSL. W tym wariancie ISA Server funkcjonuje jako zapora wykonująca filtrowanie portów, filtrowanie pakietów i mostkowanie SSL. Serwer TS Gateway może być zlokalizowany w sieci prywatnej lub sieci brzegowej, zależnie od tego, czy ISA Server odgrywa rolę zapory zewnętrznej, czy wewnętrznej.

• ISA Server jako zapora wykonując filtrowanie portów (publikowanie serwera). W tym scenariuszu ISA Server funkcjonuje jako zewnętrzna zapora filtrująca pakiety i przepuszczająca ruch tylko przez port 443. Serwer TS Gateway w tym wariancie musi być zlokalizowany w sieci brzegowej.

Uwaga

Procedury opisane w tym poradniku zawierają szczegółowe informacje konfiguracyjne tylko dla pierwszego scenariusza (ISA Server jako proxy Web). Pozostałe dwa zostały wspomniane w celu ukazania alternatywnych metod wykorzystania ISA Server łącznie z TS Gateway do podniesienia bezpieczeństwa połączeń zdalnych do sieci wewnętrznej.

Konfiguracje systemowe przetestowane dla scenariusza TS Gateway – ISA Server

Firma Microsoft przetestowała wariant TS Gateway – ISA Server, używając następujących konfiguracji systemowych:

Komputer	Wymagana konfiguracja
Serwer TS Gateway (TSGSERVER)	Windows Server 2008 RC0. Instalacja może być aktualizacją z systemu Windows Server 2003 SP1 lub Windows Server 2008 Beta 3. Więcej informacji zawiera rozdział "Supported upgrade paths" w dokumencie Installing the Release Candidate of Windows Server 2008 (https://go.microsoft.com/fwlink/?LinkId=104824).
ISA Server (ISASERVER)	Windows Server 2003 oraz ISA Server 2004 z dodatkiem Service Pack 3 (SP3). lub Windows Server 2003 i ISA Server 2006.
Klient Terminal Services (TSCLIENT)	Wersja beta Windows Vista SP1 lub Windows XP SP3. Uwaga Członkowie odpowiedniego programu Microsoft Connect Beta mogą pobrać wersję beta dodatku SP1 dla Windows Vista lub dodatku SP3 dla Windows XP z witryny MS Connect (https://go.microsoft.com/fwlink/?LinkID=102024). Windows Vista RTM. Instalacja może być uaktualnieniem z wersji Windows XP SP2. Windows XP z dodatkiem SP2 oraz klient Terminal Services, Remote Desktop Connection (RDC) 6.0. Aby pobrać RDC 6.0, należy posłużyć się wskazówkami zawartymi w artykule 925876 w Microsoft Knowledge Base (https://go.microsoft.com/fwlink/?LinkId=79373). Windows Server 2008 RC0. Instalacja może być uaktualnieniem. Windows Server 2003 SP1 lub SP2 z RDC 6.0.
Zasób sieci wewnętrznej (CORPORATERESOURCE)	Wersja beta Windows Vista SP1 lub Windows XP SP3. Windows Vista RTM. Instalacja może być uaktualnieniem z wersji Windows XP SP2. Windows XP SP2. Windows Server 2008 RC0. Instalacja może być uaktualnieniem. Windows Server 2003 SP1 lub SP2.

 

Konfigurowanie połączenia pomiędzy ISA Server a TS Gateway

Komunikację pomiędzy ISA Server a serwerem TS Gateway można skonfigurować jedną z następujących metod:

• Mostek HTTPS-HTTPS: W tej konfiguracji klient TS Gateway inicjuje żądanie SSL (HTTPS) do urządzenia mostkującego SSL. Urządzenie to tworzy nowe żądanie HTTPS do serwera TS Gateway w celu zmaksymalizowania zabezpieczeń.
• Mostek HTTPS-HTTP: W tej konfiguracji klient TS Gateway inicjuje żądanie SSL (HTTPS) do urządzenia mostkującego SSL, które tworzy żądanie HTTP przekazywane do serwera TS Gateway.

Konfigurowanie scenariusza TS Gateway – ISA Server

Poniższy diagram ilustruje scenariusz łącznego wykorzystania ISA Server i TS Gateway, w którym ISA Server jest użyty jako urządzenie mostkujące SSL.

Scenariusz TS Gateway - ISA Server

Uwaga

Procedury przedstawione w tym poradniku opisują konfigurowanie dostępu zdalnego z klienta Terminal Services za pośrednictwem serwera TS Gateway, gdzie ruch SSL od klienta jest najpierw kierowany do serwera ISA Server, który służy jako mostek SSL. Poradnik ten nie zawiera instrukcji instalacji ISA Server 2004 lub ISA Server 2006 ani też nie opisuje konfigurowania zapór przedstawionych na diagramie, serwerów terminali z programami RemoteApp (utrzymujących aplikacje LOB) czy sieci brzegowej i infrastruktury Active Directory. Diagram ten został zamieszczony jako przykład jednej z wielu możliwych metod implementacji dostępu zdalnego za pośrednictwem TS Gateway.

Konfigurowanie TS Gateway na potrzeby scenariusza wykorzystującego ISA Server

Aby skonfigurować scenariusz TS Gateway – ISA Server, należy wykonać następujące zadania:

Zadanie	Odnośnik/Instrukcje krok po kroku
1. Wyeksportowanie certyfikatu SSL dla serwera TS Gateway i skopiowanie go do ISA Server.	Eksportowanie certyfikatu SSL dla serwera TS Gateway i skopiowanie go do ISA Server
2. Instalowanie certyfikatu SSL serwera TS Gateway w ISA Server.	Instalowanie certyfikatu SSL serwera TS Gateway w ISA Server
3. Skopiowanie i instalacja źródłowego certyfikatu serwera TS Gateway na ISA Server. Uwaga Krok ten jest wymagany tylko wówczas, gdy używany jest samopodpisany certyfikat lub inny certyfikat, który nie jest zaufany.	Skopiowanie i instalacja źródłowego certyfikatu serwera TS Gateway na ISA Server
4. Tworzenie nowej reguły publikowania w sieci Web na serwerze ISA Server.	Tworzenie nowej reguły publikowania w sieci Web na serwerze ISA Server
5. Włączanie lub wyłączanie mostkowania HTTPS-HTTP na serwerze TS Gateway.	Włączanie lub wyłączanie mostkowania HTTPS-HTTP na serwerze TS Gateway
6. Weryfikacja konfiguracji klienta i testowanie łączności.	Weryfikacja konfiguracji klienta i testowanie łączności

 

1. Eksportowanie certyfikatu SSL dla serwera TS Gateway i skopiowanie go do ISA Server

Podczas eksportowania certyfikatu należy upewnić się, że eksportowany jest klucz prywatny. Jeśli opcja ta nie jest dostępna dla wybranego certyfikatu, konieczne będzie uzyskanie nowego certyfikatu dla ISA Server. Informacje na temat wymagań certyfikatów ISA Server zawierają dokumenty Digital Certificates for ISA Server 2004 (https://go.microsoft.com/fwlink/?LinkId=104827) oraz Troubleshooting SSL Certificates in ISA Server Publishing (https://go.microsoft.com/fwlink/?LinkId=104826).

Poniższa procedura pozwala wyeksportować certyfikat SSL serwera TS Gateway i skopiować go do ISA Server.

Aby wyeksportować certyfikat SSL serwera TS Gateway i skopiować go do ISA Server:

1. Na serwerze TS Gateway otwórz przystawkę Certificates. Jeśli jeszcze nie dodałeś przystawki Certificates do konsoli MMC, możesz to zrobić, wykonując następujące czynności:

   a. Kliknij Start, później Run, wpisz mmc, po czym kliknij OK.

   b. W menu File kliknij Add/Remove Snap-in.

   c. W oknie dialogowym Add or Remove Snap-ins na liście Available snap-ins kliknij Certificates, a potem Add.

   d. W oknie dialogowym Certificates snap-in kliknij Computer account, a następnie Next.

   e. W oknie dialogowym Select Computer kliknij Local computer: (the computer this console is running on), po czym kliknij Finish.

   f. W oknie dialogowym Add or Remove snap-ins kliknij OK.

2. W drzewie konsoli Certificates rozwiń kolejno węzły Certificates (Local Computer) i Personal, po czym kliknij Certificates.

3. Kliknij certyfikat serwera TS Gateway. Jeśli na liście znajduje się więcej niż jeden certyfikat i nie ma pewności, który należy wybrać, możesz przejrzeć właściwości każdego certyfikatu w celu zlokalizowania tego, który spełnia wymagania serwera TS Gateway.

4. Prawym klawiszem myszy kliknij certyfikat TS Gateway, wskaż All Tasks, po czym kliknij Export.

5. Na stronie Welcome to the Certificate Export Wizard kliknij Next.

6. Na stronie Export Private Key kliknij Yes, export the private key, po czym kliknij Next.

7. Na stronie Export File Format upewnij się, że wybrany format to Personal Information Exchange - PKCS #12 (.PFX) , zaznacz opcję Include all certificates in the certification path if possible, po czym kliknij Next.

8. Na stronie Password wpisz hasło chroniące klucz prywatny certyfikatu, potwierdź je w odpowiednim polu, po czym kliknij Next.

9. Na stronie File to Export obok pola File name kliknij Browse.

10. W oknie dialogowym Save As wpisz nazwę, pod jaką certyfikat ma zostać wyeksportowany, oraz wybierz lokalizację, w której ma być zapisany plik (upewniając się, że lokalizacja ta jest dostępna z komputera ISA Server), po czym kliknij Save.

11. Na stronie File to Export kliknij Next.

12. Na stronie Completing the Certificate Export Wizard upewnij się, że wybrano właściwy certyfikat i że opcje Export Keys oraz Include all certificates in the certification path są ustawione na Yes, po czym kliknij Finish.

13. Po wyeksportowaniu certyfikatu pojawi się komunikat potwierdzający powodzenie operacji. Kliknij OK.

14. Zamknij przystawkę Certificates.

15. Skopiuj certyfikat do komputera ISA Server.

2. Instalowanie certyfikatu SSL serwera TS Gateway w ISA Server

Poniższa procedura wykonana na serwerze ISA Server pozwoli zainstalować certyfikat SSL serwera TS Gateway.

Aby zainstalować certyfikat SSL serwera TS Gateway w ISA Server:

1. Na serwerze ISA Server otwórz konsolę Certificates. Jeśli jeszcze nie dodałeś przystawki Certificates do konsoli MMC, możesz to zrobić, wykonując następujące czynności:

   a. Kliknij Start, później Run, wpisz mmc, po czym kliknij OK.

   b. W menu File kliknij Add/Remove Snap-in.

   c. W oknie dialogowym Add or Remove Snap-ins na liście Available snap-ins kliknij Certificates, a następnie Add.

   d. W oknie dialogowym Certificates snap-in kliknij Computer account, a potem Next.

   e. W oknie dialogowym Select Computer kliknij Local computer: (the computer this console is running on), a później Finish.

   f. W oknie dialogowym Add or Remove snap-ins kliknij OK.

2. W drzewie konsoli Certificates rozwiń węzeł Certificates (Local Computer) , po czym kliknij Personal.

3. Prawym klawiszem myszy kliknij folder Personal, wskaż All Tasks, po czym kliknij Import.

4. Na stronie Welcome to the Certificate Import Wizard kliknij Next.

5. W polu File name na stronie File to Import kliknij Browse, po czym przejdź do lokalizacji, do której skopiowałeś certyfikat SSL serwera TS Gateway. Zaznacz certyfikat (Certificate_Name.pfx), kliknij Open, a potem Next.

6. Na stronie Password wykonaj następujące czynności:

   • Wpisz zdefiniowane wcześniej hasło do ochrony klucza prywatnego powiązanego z certyfikatem.
   • Jeśli chcesz oznaczyć klucz prywatny jako możliwy do wyeksportowania, zaznacz pole wyboru Mark this key as exportable .
   • Upewnij się, że pole wyboru Include all extended properties jest zaznaczone.

7. Kliknij Next.

8. Na stronie Certificate Store kliknij Automatically select the certificate store based on the type of certificate, po czym kliknij Next.

9. Przejrzyj informacje wyświetlane na stronie Completing the Certificate Import Wizard , aby upewnić się, że wybrałeś właściwy certyfikat i że wyświetlane są następujące ustawienia:

   • Certificate Store Selected: Automatically determined by the wizard.
   • Content: PFX
   • File Name: FilePath\<Certificate_Name.pfx>, gdzie <Certificate_Name> jest nazwą certyfikatu SSL serwera TS Gateway.

10. Kliknij Finish.

11. Po zaimportowaniu certyfikatu pojawi się komunikat potwierdzający powodzenie operacji. Kliknij OK.

12. Przy zaznaczonym folderze Certificates w drzewie konsoli sprawdź, że certyfikat pojawił się na liście certyfikatów zainstalowanych w ISA Server. Certyfikat ten musi znajdować się w magazynie Personal komputera.

3. Skopiowanie i instalacja źródłowego certyfikatu serwera TS Gateway na ISA Server

Procedura ta jest wymagana tylko w następujących okolicznościach:

• Jeśli używany jest certyfikat samopodpisany lub inny typ certyfikatu SSL, który nie jest zaufany.
• Jeśli nie wybrano opcji pobrania łańcucha certyfikacji albo nie zaznaczono opcji Automatically select the certificate store based on the type of certificate podczas instalowania certyfikatu na komputerze ISA Server.

Aby skopiować i zainstalować źródłowy certyfikat serwera TS Gateway na ISA Server:

1. Otwórz przystawkę Certificates na komputerze ISA Server.

2. W drzewie konsoli rozwiń kolejno węzły Certificates (Local Computer) i Trusted Root Certification Authorities, kliknij prawym klawiszem myszy Certificates, wskaż All Tasks, po czym kliknij Import.

3. Na stronie Welcome to the Certificate Import Wizard kliknij Next.

4. Na stronie File to Import obok pola File name kliknij Browse, po czym przejdź do lokalizacji zawierającej źródłowy certyfikat serwera TS Gateway. Zaznacz certyfikat (<Root_Certificate_Name.cer, albo <Root_Certificate_Name.pfx>, jeśli został wyeksportowany także klucz prywatny certyfikatu), kliknij Open, a następnie Next.

   Uwaga

   Jeśli utworzono samopodpisany certyfikat, używając procedury "Tworzenie samopodpisanego certyfikatu dla TS Gateway" z rozdziału "Konfigurowanie TS Gateway: wariant podstawowy"), należy pamiętać, że certyfikat taki jest jednocześnie certyfikatem źródłowym.

5. Wpisz hasło na stronie Password, o ile zostało wcześniej określone w celu ochrony klucza prywatnego powiązanego z certyfikatem.

6. Na stronie Certificate Store zaakceptuj opcję domyślną ( Place all certificates in the following store - Trusted Root Certification Authorities ), po czym kliknij Next.

7. Upewnij się, że na stronie Completing the Certificate Import Wizard wyświetlane są następujące ustawienia:

   • Certificate Store Selected by User: Trusted Root Certification Authorities
   • Content: Certificate (or PFX)
   • File Name: FilePath\<Root_Certificate_Name.cer> (albo <Root_Certificate_Name.pfx>), gdzie <Root_Certificate_Name> jest nazwą certyfikatu źródłowego serwera TS Gateway.

8. Kliknij Finish.

9. Po zaimportowaniu certyfikatu pojawi się komunikat potwierdzający powodzenie operacji. Kliknij OK.

10. Przy zaznaczonym folderze Certificates w drzewie konsoli sprawdź, że certyfikat pojawił się na liście certyfikatów zainstalowanych w ISA Server. Certyfikat ten musi znajdować się w magazynie Trusted Root Certification Authorities komputera.

4. Tworzenie nowej reguły publikowania w sieci Web na serwerze ISA Server

Aby skonfigurować serwery TS Gateway i ISA Server na potrzeby mostka HTTPS-HTTP lub HTTPS-HTTPS, konieczne jest utworzenie odpowiedniej reguły publikowania w sieci Web w ISA Server.

Ważne

Czynności tworzenia reguły publikowania w ISA Server zmieniają się zależnie od tego, czy używana jest wersja ISA Server 2004, czy ISA Server 2006. Upewnij się, że postępujesz zgodnie ze wskazówkami dla odpowiedniej wersji ISA Server.

Tworzenie nowej reguły publikowania w sieci Web w ISA Server 2004

Poniższa procedura pozwala utworzyć nową regułę publikowania w sieci Web w ISA Server 2004.

Aby utworzyć nową regułę publikowania w sieci Web w ISA Server 2004:

1. Na komputerze ISA Server uruchom konsolę ISA Server Management. W tym celu kliknij Start, wskaż All Programs, wskaż Microsoft ISA Server, po czym kliknij ISA Server Management.

2. W drzewie konsoli przejdź do węzła <Local ISA Server>.

3. Prawym klawiszem myszy kliknij Firewall Policy, wskaż New, po czym kliknij Secure Web Server Publishing Rule .

4. Na stronie Welcome to the SSL Publishing Rule Wizard wpisz nazwę nowej reguły publikowania serwera w polu SSL Web Publishing Rule Name , po czym kliknij Next.

5. Na stronie Publishing Mode kliknij SSL Bridging , po czym kliknij Next.

6. Na stronie Select Rule Action kliknij Allow, po czym kliknij Next.

7. Na stronie Bridging Mode wykonaj jedno z poniższych:

   · Aby włączyć mostek HTTPS-HTTP, kliknij Secure connections to clients, po czym kliknij Next.

   · Aby włączyć mostek HTTPS-HTTPS, kliknij Secure connection to clients and Web server, po czym kliknij Next.

8. Na stronie Define Website to Publish wykonaj następujące czynności:

   a. Wpisz nazwę serwera TS Gateway w polu Computer name or IP address. Nazwa ta musi być zgodna z używaną przez użytkowników, a także musi pasować do nazwy certyfikatu (CN) zawartej w certyfikacie zainstalowanym na serwerze TS Gateway.

   b. Zaznacz pole wyboru Forward the original host header instead of the actual one (specified above).

   c. W polu Path wpisz /*.

9. Na stronie Public Name Details wykonaj następujące czynności:

   a. W części Accept requests for upewnij się, że wybrana jest opcja This domain name.

   b. W polu Public name wpisz nazwę serwera TS Gateway. Nazwa ta musi być zgodna z nazwą, którą stosują użytkownicy do łączenia się z serwerem.

   c. Upewnij się, że pole Path jest puste.

   d. Kliknij Next.

10. Jeśli jest to potrzebne, utwórz nowy odbiornik SSL Web. Jeśli istniał już wcześniejszy odbiornik używający certyfikatu pasującego do publicznej nazwy, nie trzeba tworzyć nowego. W takim wypadku kliknij Next i przejdź do punktu 11.

    Jeżeli zachodzi potrzeba utworzenia nowego odbiornika SSL Web, wykonaj następujące czynności:

    a. Na stronie Welcome to the New Web Listener wpisz nazwę dla nowego odbiornika w polu Web Listener Name, po czym kliknij Next. Jeśli na serwerze były już skonfigurowane jakieś odbiorniki sieci Web, kliknij New na stronie Select Web Listener, aby wyświetlić stronę Welcome to the New Web Listener i zacząć tworzyć nowy odbiornik Web.

    b. Na stronie IP Addresses poniżej tytułu Listen for requests from these networks zaznacz pole wyboru External, po czym kliknij Next.

    c. na stronie Port Specification wykonaj następujące czynności:

    d. W części SSL zaznacz pole wyboru Enable SSL i wyczyść pole Enable HTTP.

    e. Kliknij Select, po czym w oknie dialogowym Select Certificate kliknij certyfikat, którego chcesz użyć.

    f. Kliknij OK, aby zamknąć okno dialogowe Select Certificate, po czym kliknij Next.

    g. Kliknij Finish na stronie Completing the New Web Listener Wizard .

11. Upewnij się, że właściwe ustawienia odbiornika sieci Web są wyświetlane na stronie Select Web Listener, po czym kliknij Next.

12. Na stronie User Sets kliknij All Users, a następnie Next.

13. Na stronie Completing the New SSL Web Publishing Rule Wizard kliknij Finish.

14. Aby zapisać zmiany i uaktualnić zasady zapory ISA Server, kliknij Apply w panelu szczegółów konsoli ISA Server Management.

15. Kliknij OK w oknie dialogowym Apply New Configuration po zaaplikowaniu zmian (w trakcie stosowania zmian wyświetlany jest pasek postępu).

Tworzenie nowej reguły publikowania Web w ISA Server 2006

Poniższa procedura pozwala utworzyć nową regułę publikowania serwera Web w ISA Server 2006.

Aby utworzyć nową regułę publikowania serwera sieci Web w ISA Server 2006:

1. Na komputerze ISA Server uruchom konsolę ISA Server Management. W tym celu kliknij Start, wskaż All Programs, później Microsoft ISA Server, po czym kliknij ISA Server Management.

2. W drzewie konsoli kliknij węzeł reprezentujący serwer ISA Server. Nosi on nazwę komputera, na którym uruchomiony jest ISA Server.

3. Kliknij Firewall Policy.

4. Na zakładce Tasks kliknij Publish Web Sites .

5. Wpisz nazwę nowej reguły publikowania w polu Web publishing rule name na stronie Welcome to the New Web Publishing Rule Wizard, po czym kliknij Next.

6. Na stronie Select Rule Action kliknij Allow, po czym kliknij Next.

7. Na stronie Publishing Type upewnij się, że zaznaczona jest opcja Publish a single Web site or load balancer, po czym kliknij Next.

8. Na stronie Server Connection Securit y zaznacz opcję Use SSL to connect to the published Web server or server farm, po czym kliknij Next.

9. Na stronie Internal Publishing details w polu Internal site namewpisz nazwę serwera TS Gateway, po czym kliknij Next.

   Jeżeli ISA Server nie będzie mógł rozwiązać nazwy serwera TS Gateway, wpisz adres IP serwera TS Gateway. Informację tę można również umieścić w pliku Hosts.

10. Na drugiej wersji strony Internal Publishing Details wykonaj następujące czynności:

    a. Upewnij się, że pole Path jest puste.

    b. Upewnij się, że pole wyboru Forward the original host header instead of the actual one specified in the Internal site name field on the previous page nie jest zaznaczone.

    c. Kliknij Next.

11. Na stronie Public Name Details wykonaj następujące czynności:

    a. Upewnij się, że w polu Accept requests for wybrana jest opcja This domain name (type below).

    b. W polu Public name wpisz nazwę serwera TS Gateway. Nazwa ta musi być zgodna ze stosowaną przez użytkowników, a także musi pasować do nazwy certyfikatu (CN) albo atrybutu SAN w certyfikacie zainstalowanym na serwerze TS Gateway.

    Uwaga

    Przy korzystaniu z atrybutów SAN certyfikatów klienci łączący się z serwerem TS Gateway muszą używać komponentu Remote Desktop Connection (RDC) 6.1. (RDC 6.1 [6.0.6001] wspiera Remote Desktop Protocol 6.1.). RDC 6.1 jest dołączony do systemu Windows Server 2008 i wersji beta Windows Vista SP1 oraz Windows XP SP3.

    c. Upewnij się, że pole Path jest puste.

    d. Kliknij Next.

12. Jeśli jest to potrzebne, utwórz nowy odbiornik SSL Web. Jeśli istniał już wcześniejszy odbiornik używający certyfikatu pasującego do publicznej nazwy, nie trzeba tworzyć nowego. W takim wypadku kliknij Next i przejdź do punktu 13.

    Jeżeli zachodzi potrzeba utworzenia nowego odbiornika SSL Web, wykonaj następujące czynności:

    a. Na stronie Select Web Listener kliknij New.

    b. Na stronie Welcome to the New Web Listener Wizard wpisz nazwę tworzonego odbiornika w polu Web Listener Name, po czym kliknij Next.

    c. Na stronie Client Connection Security kliknij Require SSL secured connections with clients, a potem Next.

    d. Na stronie Web Listener IP Addresses wykonaj następujące czynności:

    e. Zaznacz pole wyboru External poniżej Listen for incoming Web requests from these networks.

    f. Upewnij się, że pole wyboru The ISA Server will compress content sent to clients through this Web Listener if the clients requesting the content support compression jest zaznaczone.

    g. Kliknij Select IP Addresses .

    h. Na stronie External Listener IP Selection wykonaj następujące czynności:

    i. Kliknij Specified IP addresses on the ISA Server in the selected Network . Wybierz odpowiedni adres IP z listy Available IP addresses, kliknij Add, a następniej OK.

    j. Kliknij Next.

    k. Na stronie Listener SSL Certificates kliknij Assign a certificate for each IP address, kliknij odpowiedni adres IP, a później Select Certificate.

    l. Na stronie Select Certificate kliknij certyfikat serwera TS Gateway na liście Select certificate, kliknij Select, a potem Next.

    m. Na stronie Authentication Settings kliknij No Authentication, a następnie Next.

    n. Na stronie Single Sign On Settings kliknij SSO is not relevant for this setup, po czym kliknij Next.

    o. Na stronie Completing the New Web Listener Wizard kliknij Finish.

    p. Na kolejnym wystąpieniu strony Completing the NewWeb Listener Wizard upewnij się, że wyświetlane są właściwe ustawienia odbiornika Web, po czym kliknij Finish.

13. Upewnij się, że właściwy odbiornik Web jest zaznaczony stronie Select Web Listener, po czym kliknij Next.

14. Na stronie Authentication Delegation kliknij No delegation, and client cannot authenticate directly, a następnie Next.

15. Upewnij się, że opcja All Users jest wybrana na stronie User Sets, po czym kliknij Next.

16. Na stronie Completing the New Web Site Publishing Rule Wizard kliknij Finish.

17. Aby zapisać zmiany i uaktualnić zasady zapory ISA Server, kliknij Apply w panelu szczegółów konsoli ISA Server Management.

18. W oknie dialogowym Apply New Configuration kliknij OK po zaaplikowaniu zmian (w trakcie wprowadzania zmian wyświetlany jest pasek postępu).

5. Włączanie lub wyłączanie mostkowania HTTPS-HTTP na serwerze TS Gateway

W celu włączenia mostkowania HTTPS-HTTP należy włączyć opcję Use HTTPS-HTTP bridging na zakładce SSL Bridging na serwerze TS Gateway. Wyczyszczenie tego pola wyboru włącza mostkowanie HTTPS-HTTPS (jeśli ustawienie to jest włączone i podejmie się próbę użycia mostka HTTPS-HTTPS, serwer TS Gateway nie będzie funkcjonował). Dodatkowo zaznaczenie lub wyczyszczenie tego pola wyboru tworzy lub modyfikuje wartość wpisu rejestru AllowAnonymous.

Ważne

Po włączeniu mostkowania HTTPS-HTTP serwer TS Gateway będzie mógł używać tylko zintegrowanego uwierzytelniania Windows. Jeżeli ISA Server nie będzie więcej używany jako mostek SSL, zalecane jest odwołanie zmian konfiguracyjnych opisanych w tej procedurze i wyłączenie mostkowania HTTPS-HTTP na serwerze TS Gateway. Jeżeli zmiany wprowadzane przez tę procedurę nie zostaną cofnięte, TS Gateway będzie pozwalał na dostęp każdego komputera i użytkownika.

6. Weryfikacja konfiguracji klienta i testowanie łączności

Klienci Terminal Services, którzy łączą się z serwerem TS Gateway za pośrednictwem ISA Server, mogą być zlokalizowani w strefie sieci zewnętrznej ISA Server. Publikowanie serwera sieci Web może zostać również skonfigurowane dla sieci wewnętrznej. Pozwala to na użycie pojedynczej przestrzeni nazw dla serwera TS Gateway i zagwarantowanie, że wszyscy klienci Terminal Services będą musieli łączyć się przez ISA Server, zanim będą mogli połączyć się z serwerem TS Gateway.

W typowym wdrożeniu adresy IP serwerów TS Gateway i ISA Server są publikowane w DNS. W rezultacie klienci będą otrzymywać jako adres serwera TS Gateway adres ISA Server. Bezpieczna reguła publikowania sieci Web utworzona na serwerze ISA Server gwarantuje, że wszystkie przychodzące żądania kierowane do serwera TS Gateway z sieci zewnętrznej zostaną przekazane do tego serwera, zlokalizowanego w sieci wewnętrznej.

Jeśli nie jest możliwe opublikowanie wpisów w DNS, dla celów testowych można dodać wpisy do pliku Hosts na komputerze klienckim, które mapują serwer TS Gateway na adres IP serwera ISA Server. Plik Hosts na komputerze klienckim znajduje się w folderze %windir%\system32\drivers\etc\hosts.

Następnie trzeba się upewnić, że klient jest właściwie skonfigurowany jako klient TS Gateway, zgodnie z procedurą "Konfigurowanie klienta Terminal Services w wariancie podstawowym" w rozdziale "Konfigurowanie TS Gateway: wariant podstawowy". Aby upewnić się, że łączność działa poprawnie, należy wykonać procedurę "Weryfikowanie łączności za pośrednictwem TS Gateway" z tego rozdziału.

Dodatkowe źródła

Poniższe źródła zapewniają informacje na temat testowania i rozwiązywania problemów dotyczących RPC over HTTP za pośrednictwem ISA Server:

· Testing RPC over HTTP through ISA Server 2006, Part 1: Protocols, Authentication and Processing (https://go.microsoft.com/fwlink/?LinkId=104828)

· Testing RPC over HTTP through ISA Server 2006, Part 2: Test Tools and Strategies (https://go.microsoft.com/fwlink/?LinkId=104830)

· Testing RPC over HTTP through ISA Server 2006, Part 3: Common Failures and Resolutions (https://go.microsoft.com/fwlink/?LinkId=104831)

· RPC over HTTP Logging Wildness (https://go.microsoft.com/fwlink/?LinkId=104832)

 Do początku strony

Monitorowanie aktywnych połączeń przez TS Gateway

Po skonfigurowaniu klientów Terminal Services, aby łączyli się z komputerami zdalnymi w sieci za pośrednictwem TS Gateway, można monitorować aktywne połączenia. W tym rozdziale przedstawione zostaną następujące informacje na temat monitorowania aktywnych połączeń przez serwer TS Gateway:

• Określanie zdarzeń TS Gateway, które mają być rejestrowane
• Przeglądanie szczegółów aktywnych połączeń wykorzystujących serwer TS Gateway

Określanie zdarzeń TS Gateway, które mają być rejestrowane

Przy użyciu konsoli TS Gateway Manager można określi typy zdarzeń, które mają być monitorowane, takich jak nieudane lub udane próby połączeń z komputerami w sieci wewnętrznej za pośrednictwem serwera TS Gateway.

Gdy zdarzenia te wystąpią, można je przeglądać przy użyciu narzędzia Windows Event Viewer. Zdarzenia serwera TS Gateway rejestrowane są w dzienniku umieszczonym w narzędziu Event Viewer w węźle Application and Services Logs\Microsoft\Windows\Terminal Services-Gateway\ .

Aby określić typy zdarzeń TS Gateway, które mają być rejestrowane:

1. Otwórz konsolę TS Gateway Manager.
2. W drzewie konsoli kliknij węzeł reprezentujący serwer TS Gateway (nazwę komputera, na którym uruchomiona jest usługa TS Gateway).
3. Przy zaznaczonej nazwie serwera TS Gateway w drzewie konsoli kliknij prawym klawiszem myszy nazwę serwera, a następnie Properties.
4. Na zakładce Auditing zaznacz lub wyczyść pola wyboru przy zdarzeniach, które mają być monitorowane.

Poniższa tabela zawiera typy zdarzeń TS Gateway, które można monitorować.

Tabela 1: Typy zdarzeń TS Gateway

Nazwa zdarzenia	Opis	Event ID
Successful User Disconnection from the Resource [Udane odłączenie klienta od zasobu]	Monitorując czas tego zdarzenia i odpowiadającego mu zdarzenia Successful User Connection to the Resource, można sprawdzić czas trwania sesji oraz wielkość danych (w kilobajtach) wysłanych i odebranych przez klienta zdalnego za pośrednictwem serwera TS Gateway.	303: Gdy klient sam odłącza się od zasobu 202: Gdy klient zostanie odłączony przez administratora
Failed User Connection to the Resource [Nieudane połączenie klienta z zasobem]	Klient zdalny spełnił warunki określone w TS CAP i TS RAP, ale nie mógł połączyć się z zasobem sieci wewnętrznej (komputerem) przez serwer TS Gateway, gdyż komputer ten był niedostępny. Śledząc to zdarzenie można ustalić, które problemy łącznościowe są powodowane przez raczej przez serwer terminali, niż przez serwer TS Gateway.	304
Failed Connection Authorization [Nieudana autoryzacja połączenia]	Klient zdalny nie mógł się połączyć z serwerem TS Gateway, gdyż nie spełniał warunków określonych w zasadach TS CAP.	201
Failed Resource Authorization [Nieudana autoryzacja zasobu]	Klient zdalny nie mógł się połączyć za pośrednictwem serwera TS Gateway ze wskazanym komputerem, gdyż nie istnieje żadna zasada TS RAP zezwalająca temu użytkownikowi na dostęp do wskazanego komputera. Zdarzenie to mogłoby na przykład wystąpić, gdyby klient próbował połączyć się z komputerem, używając jego nazwy NetBIOS, podczas gdy TS RAP skonfigurowana na serwerze TS Gateway używa dla tego komputera nazwy FQDN.	301
Successful User Connection to the Resource [Udane połączenie użytkownika do zasobu]	Klient zdalny z powodzeniem połączył się z komputerem za pośrednictwem serwera TS Gateway.	302
Successful Connection Authorization [Udana autoryzacja połączenia]	Klient zdalny połączył się z serwerem TS Gateway, gdyż spełnił warunki określone w przynajmniej jednej zasadzie TS CAP.	200
Successful Resource Authorization [Udana autoryzacja zasobu]	Klient zdalny z powodzeniem połączył się do wskazanego zasobu sieci wewnętrznej przez serwer TS Gateway, gdyż spełnił warunki określone w co najmniej jednej zasadzie TS RAP.	300

 

Przeglądanie szczegółów aktywnych połączeń wykorzystujących serwer TS Gateway

Konsola TS Gateway Manager pozwala przeglądać informacje o aktywnych połączenia klientów Terminal Services z zasobami sieci wewnętrznej, realizowanych przez serwer TS Gateway. Informacje te są wyświetlane w panelu szczegółów Monitoring i obejmują:

Nazwa	Opis
Connection ID	Identyfikator w formacie <a:b>, gdzie "a" stanowi ID tunelu, unikatowego dla konkretnego połączenia z serwerem TS Gateway, zaś "b" jest identyfikatorem kanału. ID tunelu reprezentuje liczbę połączeń, które serwer TS Gateway odebrał od momentu uruchomienia usługi Terminal Services Gateway. Przy każdym przychodzącym połączeniu do serwera TS Gateway ID tunelu jest zwiększane o 1.
User ID	Domena i identyfikator użytkownika zalogowanego na kliencie w formacie <domain\userID>.
User Name	Pełna nazwa użytkownika zalogowanego na kliencie. Uwaga Pełną nazwę użytkownika można zobaczyć jedynie pod warunkiem zalogowania się na serwerze TS Gateway jako użytkownik z domeny. Przy zalogowaniu jako członek lokalnej grupy administratorów można zobaczyć tylko nazwę użytkownika w kolumnie User ID.
Connected On	Data i godzina zainicjowania połączenia.
Connection Duration	Czas, przez który połączenie jest aktywne.
Idle Time	Czas, przez który połączenie jest nieaktywne, o ile ma zastosowanie.
Target Computer	Nazwa komputera w sieci wewnętrzne, z którym połączony jest klient.
Client IP Address	Adres IP klienta. Uwaga Jeżeli konfiguracja sieci obejmuje serwery proxy, adres IP wyświetlany w tej kolumnie wskazuje adres serwera proxy, nie zaś adres klienta Terminal Services.
Target Port	Port komputera w sieci wewnętrznej, z którym klient jest połączony.

 

Poniższa procedura pozwala na przeglądanie szczegółów aktywnych połączeń wykorzystujących serwer TS Gateway.

Aby przejrzeć szczegóły aktywnych połączeń wykorzystujących serwer TS Gateway:

1. Otwórz konsolę TS Gateway Manager.

2. W drzewie konsoli kliknij węzeł reprezentujący serwer TS Gateway (nazwę komputera, na którym uruchomiona jest usługa TS Gateway).

3. W drzewie konsoli kliknij Monitoring.

   Panel wyników konsoli TS Gateway Manager wyświetli podsumowanie liczby połączeń użytkowników zdalnych do komputerów w sieci wewnętrznej. Szczegóły połączeń, o ile jakieś istnieją, są wyświetlane poniżej podsumowania.

   Po kliknięciu połączenia jego szczegóły wyświetlane są w dolnym panelu. W razie potrzeby można odłączyć wybrane połączenie lub wszystkie połączenia z serwerem TS Gateway dla danego użytkownika.

4. Aby odświeżyć wyświetlanie połączeń, w panelu Actions kliknij Refresh.

 Do początku strony

Przykładowy skrypt weryfikujący konfigurację certyfikatów

Po zakończeniu konfiguracji certyfikatów dla serwera TS Gateway i klienta Terminal Service (zgodnie z opisem w części "Konfigurowanie TS Gateway: wariant podstawowy"), można posłużyć się narzędziem Rpcping.exe w celu sprawdzenia poprawności konfiguracji. Poniższy skrypt przedstawia przykład użycia narzędzia Rpcping.exe w tym celu. Program Rpcping.exe można pobrać z witryny Windows Server 2003 Resource Kit Tools (https://go.microsoft.com/fwlink/?LinkId=16544).

Dodatek ten opisuje, jak zapisać przykładowy skrypt jako plik tekstowy i uruchomić go przy użyciu Rpcping.exe, jak również zawiera przykład wyników oraz kod skryptu.

Uruchamianie przykładowego skryptu Rpcpingtest

W celu uruchomienia skryptu należy użyć poniższej procedury. Trzeba zwrócić uwagę, że skrypt musi być uruchamiany przez użytkownika będącego członkiem lokalnej grupy Administrators na serwerze TS Gateway.

Aby uruchomić przykładowy skrypt:

1. Skopiuj i wklej tekst skryptu do pliku tekstowego (na przykład przy użyciu programu Notepad).

2. Zapisz plik tekstowy jako Rpcpingtest.cmd w katalogu zawierającym program Rpcping.exe.

3. Otwórz okno wiersza polecenia, przejdź do katalogu, w którym umieszczony jest program Rpcping.exe, po czym wpisz Rpcpingtest.cmd.

4. Na przykład, jeśli plik Rpcping.exe został umieszczony w katalogu C:\Tools, należy wykonać następujące działania:

   W wierszu polecenia wpisz (zastępując TSGATEWAYSERVERNAME nazwą swojego serwera TS Gateway):

   C:\Tools\Rpcpingtest TSGATEWAYSERVERNAME <user name> <domain name>

5. Naciśnij ENTER.

6. Wpisz hasło dla proxy RPC/http (hasło do serwera TS Gateway).

Przykładowy wynik skryptu

Jeśli działanie skryptu zakończy się sukcesem i konfiguracja certyfikatu jest właściwa, powinien pojawić się wynik podobny do poniższego:

Results:  RPC/HTTP server preferred auth scheme is: 2

Results:  Pinging successfully completed in 78 sec.

------------------------------------------------------------

Prompting for second rpc ping command in the scripting file

Enter the password for server:  <password for="" TS="" Gateway="">

Enter the password for RCP/http Proxy:  <password for="" TS="" Gateway="">



Results:  Completed 1 calls in 141 ms

Results: 7 T/S or 141.000 ms/T.

Przykładowy skrypt Rpcping

@echo off

setlocal

set _TARGETGATEWAY=%1

set _USERNAME=%2

set _DOMAINNAME=%3



if "%_TARGETGATEWAY%"      == "" goto DO_USAGE

if "%_USERNAME%"         == "" goto DO_USAGE

if "%_DOMAINNAME%"       == "" goto DO_USAGE



Echo *******************************************************************

Echo * The first RPCPing will authenticate to the RPC over HTTP

Echo * Proxy service. If this ping fails, then the certificate

Echo * on the  client computer is not correctly  configured,

Echo * or you might have entered the wrong password.

Echo *******************************************************************



Rpcping -v 2 -e 3388 -t ncacn_http -s localhost -o RpcProxy=%_TARGETGATEWAY% -P

"%_USERNAME%,%_DOMAINNAME%,*" -H NTLM -u NTLM -a connect -F ssl -B msstd:%_TARGETGATEWAY% -E

-R None



Echo *******************************************************************

Echo * The second RPCPing will attempt to authenticate to the TS

Echo * Gateway service. If this ping fails, then the TS Gateway

Echo * service is probably not running.

Echo *******************************************************************



Rpcping -v 2 -e 3388 -t ncacn_http -s localhost -o RpcProxy=%_TARGETGATEWAY% -P

"%_USERNAME%,%_DOMAINNAME%,*" -I "%_USERNAME%,%_DOMAINNAME%,*" -H NTLM -u NTLM -a connect -F

ssl -B msstd:%_TARGETGATEWAY%



goto endall



:DO_USAGE

Echo ******************************************************************

Usage:                                                                *

Echo * testclient.cmd [gateway] [user] [domain/machine]               *

Echo *                                                                *

Echo ******************************************************************

goto endall

:ENDALL

Endlocal

Zastrzeżenie

Przykładowy skrypt nie jest wspierany przez żaden standardowy program wsparcia firmy Microsoft. Skrypt jest udostępniony tak jak jest, bez gwarancji żadnego rodzaju. Microsoft dodatkowo zastrzega wszelkie dorozumiane gwarancje obejmujące bez ograniczeń jakiekolwiek domyślne gwarancje niezawodności lub skuteczności w konkretnych zastosowaniach. Całkowite ryzyko wynikające z użycia lub sprawności skryptu i dokumentacji spoczywa na użytkowniku. W żadnej sytuacji firma Microsoft, autorzy ani nikt inny zaangażowany w tworzenie, produkcję lub dostarczenie skryptu nie może być odpowiedzialny za jakiekolwiek uszkodzenia (w tym, bez żadnych ograniczeń, szkody powodujące straty biznesowe, przerwy w działaniu, utratę informacji lub inne straty) wynikające z użycia lub niemożności użycia przykładowych skryptów lub dokumentacji, nawet jeśli firma Microsoft była powiadomiona o możliwości takich szkód.

Do początku strony

---