Налаштування шлюзу служб терміналу (terminal services gateway) в windows server 2018 (частина 2)

У першій частині цієї серії статей ми виконали базову установку служб терміналу і ліцензування служб терміналу, а також налаштували режим ліцензування служб терміналу. У цій частині ми закінчимо установку і настройку шлюзу TS і клієнта RDP. Потім створимо з'єднання і подивимося, як воно працює.

Установка служби шлюзу TS на шлюзі служб терміналу

Тепер ми перенесемо нашу увагу на комп'ютер шлюзу TS. Це та машина, до якої зовнішні клієнти спочатку будуть підключатися при створенні з'єднань клієнта служб терміналу.

Виконайте наступні кроки для установки шлюзу TS на комп'ютері шлюзу служб терміналу:

1. Відкрийте менеджера Server Manager на комп'ютері шлюзу TS. Перейдіть по вкладці Ролі в лівій панелі консолі і натисніть по посиланню Додати роль в правій панелі.
2. Натисніть Далі на сторінці Перш ніж почати.
3. На сторінці Вибір ролі сервера поставте галочку навпроти рядка Служби терміналу.
4. На сторінці Служби терміналу натисніть Далі.
5. На сторінці Вибір служб ролі поставте галочку навпроти рядка TS шлюз. У вас з'явиться діалогове вікно Майстра додавання ролей з питанням, чи дійсно ви хочете Додати служби та параметри ролі, що вимагаються для шлюзу TS. Натисніть кнопку Додати вимагаються служби ролі.

1. Натисніть Далі на сторінці Вибір служб ролі.
2. На сторінці Виберіть сертифікат аутентифікації сервера для шифрування SSL виберіть опцію Вибрати сертифікат для SSL шифрування пізніше. Ми вибираємо цю опцію, оскільки у нас ще не створено сертифікат шлюзу TS для використання його в SSL-з'єднанні шлюзу і RDP клієнта. Ми зробимо запит на цей сертифікат пізніше, а потім налаштуємо шлюз TS на використання даного сертифіката. Натисніть Далі.

1. Натисніть Далі на сторінці Політика мережі і служби доступу.
2. На сторінці Вибір служб ролі переконайтеся, що рядок Сервер мережевої політики відзначена галочкою. Натисніть Далі.

1. На сторінці Веб сервер (IIS) натисніть Далі.
2. На сторінці Вибір служб ролі прийміть служби за замовчуванням, вибрані майстром. Це служби, необхідні для запуску служби шлюзу TS. Натисніть Далі.

1. Подивіться інформацію на сторінці Підтвердження обраних параметрів установки і натисніть Встановити.

1. Натисніть Закрити на сторінці Результати установки. яка показує, що процес установки успішно завершено.

Запит сертифіката для шлюзу TS

Тепер ми можемо зробити запит сертифіката, який веб сайт шлюзу TS зможе використовувати для створення SSL з'єднань з RDP клієнтом.

Для запиту сертифікату комп'ютера шлюзу потрібно виконати наступні кроки:

1. В меню Інструменти адміністрування вибираємо менеджера Internet Information Services (IIS) Manager.
2. В консолі менеджера Internet Information Services (IIS) Manager тиснемо на імені сервера в лівій панелі. Двічі тиснемо на іконці Сертифікати сервера в середній панелі консолі.

1. У правій панелі консолі тиснемо по посиланню Створити сертифікат домену.

1. На сторінці Інтерактивний центр сертифікації тиснемо кнопку Вибрати. У діалоговому вікні Вибір центру сертифікації вибираємо ім'я Enterprise CA, з якого хочемо отримати сертифікат. Слід пам'ятати, що ми можемо отримати сертифікат домену та автоматично встановити його, оскільки використовуємо Enterprise CA. Якби ми використовували окремий CA, нам довелося б випробувати незручності сайту веб реєстрації, і це було б тільки після того, як ми створили автономний запит, а також нам довелося б встановлювати сертифікат комп'ютера вручну. Тиснемо OK після вибору Enterprise CA.

1. Вводимо Мережеве ім'я на сторінці Інтерактивний цент сертифікації. У цьому прикладі ми дали сертифікату мережеве ім'я TSG Cert. Тиснемо Закінчити.

1. Після отримання сертифіката, у нас з'явиться інформація про нього в середній панелі консолі. Якщо ми двічі натиснемо на сертифікаті, то побачимо діалогове вікно Сертифікат. що показує нам загальне ім'я в поле Призначено для і той факт, що Ви маєте особистий ключ, відповідний цьому сертифікату. Це вирішальний момент, оскільки сертифікат не працюватиме, якщо у вас немає особистого ключа. Тиснемо OK. щоб закрити діалогове вікно Сертифікат.

Налаштування шлюзу TS на використання сертифіката

Коли сертифікат встановлений в сховище сертифікатів комп'ютера, ви можете призначити шлюз TS на використання цього сертифікату.

Для настройки шлюзу на використання сертифіката виконуємо наступні кроки:

1. В консолі Інструменти адміністрування тиснемо по елементу Служби терміналу і потім вибираємо Шлюз TS.
2. У менеджері TS Gateway Manager тиснемо на ім'я комп'ютера шлюзу TS в лівій панелі консолі. У середній панелі з'являється корисна інформація про кроки налаштування, які необхідно закінчити для завершення процесу установки. Переходимо по посиланню Показати або змінити властивості сертифіката.

1. Тепер у вкладці SSL сертифікат буде показана інформація про сертифікат, який шлюз TS буде використовувати для створення SSL з'єднань. Тиснемо OK.

1. На сторінці Вимоги ставимо галочку навпроти рядка Пароль. Якщо ви збираєтеся використовувати аутентифікацію Smartcard, тоді вам потрібно вибрати опцію Smartcard. Тепер нам потрібно налаштувати групи, які матимуть доступ до сервера терміналу через шлюз TS. Для цього натискаємо кнопку Додати групу. У діалоговому вікні Виберіть групи вводимо ім'я групи, якій ми хочемо дозволити доступ і тиснемо Перевірити імена (Check Names). В даному прикладі ми ввели Domain Users і натиснули OK.

1. Зверніть увагу на сторінці Вимоги. що у вас також є можливість створювати групи комп'ютерів і дозволяти доступ тільки зазначеним комп'ютерів. Тепер ми налаштуємо цю опцію в даному прикладі. Тиснемо Далі.

1. На сторінці Результати параметрів TS CAP читаємо дані про результати нашого вибору і тиснемо Закінчити.

Виконайте наступні кроки для створення RAP:

1. На сторінці Групи користувачів виберіть групи, до яких буде застосовано політика RAP. Це дасть вам можливість чітко контролювати, які користувачі зможуть отримувати доступ до сервера терміналу A, і деяким іншим групам, можливо, теж знадобиться доступ до сервера терміналу B. Політика RAP дає вам такий контроль. У цьому прикладі ми переходимо по посиланню Додати групу і додаємо групу Domain Users. Натискаємо Далі.

1. На сторінці Група комп'ютерів у вас є можливість визначення того, до яких серверів терміналу можна отримати доступ за допомогою політики RAP. У вас є можливість вибору певної групи комп'ютерів Active Directory, або ви можете створювати керовану групу шлюзу TS. У цьому прикладі, оскільки у нас є тільки один сервер терміналу, ми виберемо найпростішу опцію, якій є опція Дозволити користувачам підключатися до будь-якого ресурсу (комп'ютера) мережі. Це дозволить користувачам підключатися до всіх серверів терміналу мережі. Тиснемо Далі.

1. На сторінці Загальна інформація TS Rap перевірте параметри і натисніть Закінчити.

1. Натисніть Закрити на сторінці Підтвердіть створення політики.
2. У лівій панелі консолі натисніть на імені сервера. Ви побачите, що більше немає проблемних моментів, які необхідно вирішити. Тепер шлюз TS готовий до роботи з новими вхідними з'єднаннями з будь-яким сервером терміналу в мережі.

Налаштування RDP клієнта на використання шлюзу TS

Ми зробили практично все! Сервер терміналу і шлюз TS налаштовані і готові до роботи. Останнім кроком буде настройка RDP клієнта на комп'ютері Vista. Нам потрібно налаштувати клієнта з ім'ям сервера терміналу, до якого він буде підключатися, і ім'ям комп'ютера шлюзу TS, який він буде використовувати для підключення до сервера терміналу.

Для настройки RDP клієнта на комп'ютері Windows Vista потрібно виконати наступні кроки:

1. На комп'ютері Vista натискаємо кнопку Пуск. а потім тиснемо Аксесуари. Двічі тиснемо Підключення до віддаленого комп'ютера.
2. У діалоговому вікні Підключення до віддаленого комп'ютера у вкладці Загальні. вводимо ім'я комп'ютера для сервера терміналу в текстовому вікні Комп'ютер. Вводимо ім'я користувача в текстовому вікні Ім'я користувача. Якщо ви хочете, щоб клієнт зберіг ваші мандати, ви можете поставити галочку навпроти рядка Дозволити мені зберігати мандати.

1. Тиснемо по вкладці Додатково. У розділі Автентифікація сервера переконуємося, що опція Попереджати мене вибрана. Тиснемо кнопку Параметри в розділі Подключаться з будь-якого місця.

1. У діалоговому вікні Параметри сервера шлюзу TS вибираємо опцію Використовувати ці параметри сервера шлюзу TS. Вводимо ім'я шлюзу TS в текстове вікно Имя сервера. Для Способу реєстрації вибираємо опцію Запитувати пароль (NTLM). Зверніть увагу, що опція Автоматично визначати параметри сервера шлюзу TS дозволяє вам налаштувати RDP клієнта так, що він буде отримувати свої параметри за допомогою групової політики. Тиснемо OK.

1. У нас з'явиться діалогове вікно Безпека Windows. Вводимо пароль і тиснемо OK.

1. Відкривається сеанс служб терміналу, і ви бачите робочий стіл і додатки запущені для вашого профілю в сеансі служб терміналу.

1. Переходимо на комп'ютер шлюзу TS і тиснемо на вкладці Моніторинг в лівій панелі консолі шлюзу TS. Тут у нас є інформація про сеанси служб терміналу, запущених через шлюз TS.

висновок

У цій частині серії статей про шлюзі TS, ми розглянули процес установки і настройки шлюзу TS і клієнта RDP. Потім ми підключилися до шлюзу TS і сервера терміналу через цей шлюз TS. Ми також побачили, що вкладка моніторингу на шлюзі TS надає нам корисну інформацію про те, хто підключається до сервера терміналу через шлюз TS.

Схожі статті

• Секрети служб sql server reporting services, windows it pro

• З чого почати все способи запустити термінал - windows terminal ware