Пошаговое руководство по установке программного обеспечения сервера шлюза служб терминалов операционной системы Windows Server 2008
В настоящем руководстве описывается набор функций шлюза служб терминалов (Terminal Services Gateway, TS Gateway), реализованный в версии RC0 ОС Windows Server® 2008.
В частности, рассматриваются следующие темы:
Обзор функций шлюза служб терминалов
Необходимые условия работоспособности шлюза служб терминалов
Особые замечания о шлюзе служб терминалов
Настройка шлюза служб терминалов: базовый сценарий
Настройка шлюза служб терминалов: сценарий с участием технологии защиты доступа к сети (NAP)
Настройка шлюза служб терминалов: сценарий с участием сервера ISA Server
Контроль активных подключений через сервер шлюза служб терминалов
Пример сценария для проверки правильности настройки сертификатов
Обзор функций шлюза служб терминалов
Шлюз служб терминалов ОС Windows Server® 2008 – это служба роли, которая позволяет удаленным пользователям, имеющим необходимые полномочия, подключаться к ресурсам внутренней корпоративной или частной сети с любого устройства, подключенного к интернету и поддерживающего клиентское подключение к удаленному рабочему столу (Remote Desktop Connection, RDC). В качестве сетевых ресурсов могут выступать серверы терминалов, в том числе, исполняющие удаленные приложения RemoteApp™, или компьютеры с разрешенным протоколом удаленного рабочего стола.
Шлюз служб терминалов инкапсулирует протокол удаленного рабочего стола (Remote Desktop Protocol, RDP) в рамках протокола RPC, причем результирующие пакеты передаются средствами HTTP по безопасному каналу SSL (Secure Sockets Layer). Таким образом, шлюз служб терминалов позволяет организовать защищенное соединение между удаленными пользователями сети интернет, с одной стороны, и ресурсами внутренней сети, в которых исполняются их рабочие приложения, с другой.
Процедуры, представленные в настоящем руководстве, помогут установить программное обеспечение (ПО) сервера шлюза служб терминалов. После такой настройки удаленные пользователи смогут обращаться к серверам терминалов, в том числе исполняющим удаленные приложения RemoteApp, а также к компьютерам с разрешенным протоколом удаленного рабочего стола во внутренней корпоративной или частной сети.
 Примечание
После выполнения процедур установки ПО сервера шлюза служб терминалов, описанных в настоящем руководстве, необходимо, во-первых, настроить клиентские приложения так, чтобы они могли подключаться к серверу, а, во-вторых, убедиться в том, что возможность установления сквозных соединений через шлюз служб терминалов существует. Инструкции по настройке клиентских приложений и проверке сквозных соединений см. в документе «Пошаговое руководство по установке клиентского приложения служб теминалов» (“Terminal Services Client Step-by-Step Setup Guide for TS Gateway”).
Группы пользователей, для которых предназначен шлюз служб терминалов
Настоящее руководство предназначено для следующих групп пользователей:
администраторов, планировщиков и аналитиков, стремящихся оценить различные инструменты удаленного доступа и мобильной работы;
архитекторов и проектировщиков корпоративных информационных инфраструктур;
ранних последователей продукта;
архитекторов систем безопасности, в задачи которых входит реализация надежных вычислительных инструментов;
специалистов по информационным технологиям, ответственных за сопровождение серверов терминалов и организацию удаленного доступа к рабочим столам.
Преимущества использования шлюза служб терминалов
Использование шлюза служб терминалов обеспечивает пользователей рядом преимуществ, некоторые из которых перечислены ниже.
Шлюз служб терминалов предоставляет пользователям возможность устанавливать зашифрованное удаленное соединение с ресурсами внутренней сети через интернет без настройки виртуальной частной сети (virtual private network, VPN).
Шлюз служб терминалов предусматривает комплексную модель безопасности, благодаря которой администраторы могут контролировать доступ к определенным ресурсам внутренней сети. Шлюз служб терминалов ограничивает набор ресурсов внутренней сети, к которым пользователи получают доступ, за счет организации двухточечных соединений по протоколу RDP.
Шлюз служб терминалов позволяет большинству удаленных пользователей подключаться к внутрисетевым ресурсам, защищенным брандмауэрами частных сетей, в том числе через трансляторы сетевых IP-адресов (network address translators, NAT). При наличии шлюза служб терминалов дополнительная настройка сервера и клиентов служб терминалов не требуется.
В предыдущих версиях ОС Windows Server удаленные пользователи по соображениям безопасности не могли подключаться к ресурсам внутренних сетей, если они были защищены брандмауэрами или оснащены трансляторами сетевых IP-адресов. Это связано с тем, что порт 3389, применявшийся для обслуживания соединений по протоколу RDP, как правило, блокируется в целях защиты сети. Теперь шлюз служб терминалов пропускает трафик по протоколу RDP через порт 443 с применением туннельного соединения по протоколам HTTP Secure Sockets Layer и Transport Layer Security (SSL/TLS). Связь с интернет-ресурсами во многих компаниях осуществляется именно через порт 443, что позволяет шлюзу служб терминалов устанавливать удаленные соединения, несмотря на наличие многочисленных брандмауэров.
Консоль оснастки, предусмотренная для диспетчера шлюза служб терминалов, помогает администраторам в настройке политик авторизации, которые определяют условия подключения удаленных пользователей к ресурсам внутренней сети. В частности, политики авторизации отвечают на следующие вопросы:
кто вправе подключаться к сетевым ресурсам (иначе говоря, какие группы пользователей имеют на это право);
к каким сетевым ресурсам (группам компьютеров) пользователи могут подключаться;
должны ли клиентские компьютеры быть участниками групп безопасности Active Directory®;
разрешено ли перенаправление устройств и дисков;
по какому методу – с помощью смарт-карты или пароля – пользователи должны проходить проверку подлинности, и могут ли они выбирать один из этих методов по своему усмотрению.
Для повышения уровня безопасности серверы шлюзов и клиенты служб терминалов можно настроить в расчете на применение технологии защиты доступа к сети (Network Access Protection, NAP). NAP – это технология создания, введения в действие и исправления политик работоспособности, реализованная в окончательных начальных версиях (RTM) ОС Windows Vista®, Windows Server 2008, а также в бета-версиях пакета обновления 1 (SP1) для ОС Windows Vista и пакета обновления 3 (SP3) для ОС Windows XP. Бета-версии пакета обновления 1 (SP1) для ОС Windows Vista и пакета обновления 3 (SP3) для ОС Windows XP доступны участникам соответствующих программ Microsoft® Connect Beta на веб-ресурсе MS Connect http://go.microsoft.com/fwlink/?LinkID=102024.
При помощи технологии защиты NAP системные администраторы могут устанавливать требования к работоспособности, регламентирующие, в частности, требования к ПО, обновлению систем безопасности, конфигурации компьютеров и т.п..
Примечание
Когда в шлюзе служб терминалов используется технология защиты NAP, в качестве клиентов не могут выступать компьютеры, работающие под управлением ОС Windows Server 2008. В таких условиях исполнять роль клиентов могут только компьютеры с RTM-версиями ОС Windows Vista, бета-версиями пакета обновления 1 (SP1) ОС Windows Vista и пакета обновления 3 (SP3) ОС Windows XP.
Для повышения уровня безопасности сервер шлюза служб терминалов можно совместить с сервером безопасности и ускорения Microsoft Internet Security and Acceleration Server (ISA). В таком случае серверы шлюзов служб терминалов можно разместить в частной сети, а ISA Server – в демилитаризованной зоне (demilitarized zone, DMZ; альтернативное наименование – «промежуточная подсеть»). Кроме того, сервер ISA Server может исполнять роль изолятора на одной или на обеих границах демилитаризованной зоны. SSL-соединение между клиентом служб терминалов и сервером ISA Server, находящимся на границе с Интернетом, может завершаться со стороны последнего.
Инструментарий диспетчера шлюза служб терминалов помогает контролировать состояние подключения, работоспособность и события шлюза. В диспетчере шлюза служб терминалов можно явно указать события, подлежащие аудиторскому контролю (например, неудачные попытки подключения к серверу шлюза служб терминалов).
Справочные материалы
Сведения о поддержке продукта см. на странице «Службы терминалов» (на английском языке) на веб-сайте Windows Server 2008 TechCenter (http://go.microsoft.com/fwlink/?LinkId=48555).
Ссылки на группы новостей, посвященные службам терминалов, имеются на странице «Сообщество пользователей служб терминалов» (на английском языке) на веб-сайте Microsoft TechNet (http://go.microsoft.com/fwlink/?LinkId=85730).
Бета-тестировщики и участники специальной программы внедрения технологий (Technology Adoption Program, TAP) могут обращаться за помощью напрямую к специально назначенным участникам группы разработчиков корпорации Майкрософт.
|
