Microsoft Forefront TMG – Publish RD Web Access bằng RD Gateway pptx

Microsoft Forefront TMG – Publish RD Web Access bằng RD Gateway Trong bài này chúng tôi sẽ giới thiệu cho các bạn cách publish Remote Desktop Web Access với Remote Desktop Gateway trên M

Microsoft Forefront TMG – Publish RD Web Access

bằng RD Gateway

Trong bài này chúng tôi sẽ giới thiệu cho các bạn cách publish Remote Desktop Web Access với Remote Desktop Gateway trên Microsoft Forefront TMG

Trong loạt bài ngắn này chúng tôi sẽ giới thiệu cho các bạn cách

publish Remote Desktop Web Access với Remote Desktop Gateway trên Microsoft Forefront TMG Một phần của loạt bài này sẽ giới

thiệu cho các bạn cấu hình của dịch vụ RD Web Access và RD

Desktop Gateway Trong phần hai chúng tôi sẽ giới thiệu cách

publish RD Web Access bằng Forefront TMG

Desktop Session Host Một trong những tính năng mới có trong

Windows Server 2008 là Remote Desktop Gateway, đây là tính năng cho phép các máy khách Remote Desktop có thể thiết lập một kết nối RDP qua giao thức HTTPS bằng Remote Desktop Gateway, và làm việc như một RPC trên HTTPS proxy Remote Desktop Gateway sẽ kết nối máy khách RDP bằng giao thức RDP với Remote Desktop Session Host bên trong Đây là một tính năng tuyệt vời vì giao thức HTTPS (Universal Firewall Bypass Protocol) được cho phép rộng rãi

và không bị khóa bởi tường lửa hoặc các thiết bị khác Kết hợp với tính năng Remote Desktop Web Access, người dùng có thể kết nối

với một website để truy cập đến các ứng dụng đã được publish Để tăng độ bảo mật cho việc truy cập Remote Desktop, chúng ta có thể

sử dụng Forefront TMG để publish Remote Desktop Web Access với Remote Desktop Gateway

Bài viết này thừa nhận rằng tính năng Remote Desktop Session Host được cài đặt và cấu hình đúng, vì vậy chúng ta chỉ cần cài đặt và cấu hình các thành phần Remote Desktop Web Access và Remote

Desktop Web Access

Một Windows Server 2008 R2 đã cài đặt các dịch vụ Remote Desktop Session Host

Hình 1: Cài đặt dịch vụ Remote Desktop role Sau khi cài đặt tính năng Remote Desktop Web Access, bạn phải đăng nhập vào cấu hình Remote Desktop Web Access để thay đổi một số thiết lập

Simpo PDF Merge and Split Unregistered Version - http://www.simpopdf.com

Hình 2: Đăng nhập vào website cấu hình Remote Desktop Web

Access Bạn phải cấu hình RD Web Access để cho phép người dùng truy cập đến các kết nối RemoteApp và Remote Desktop Chọn một RD

Connection Broker Server hoặc một Remote App Server làm nguồn như những gì bạn thấy trong hình bên dưới Chúng ta chọn

RemoteApp để nhận các ứng dụng RD đã được publish từ Remote Desktop Session Host

Hình 3: Chỉ định nguồn cho RD Web Access Sau khi các thiết lập này được lưu, bạn sẽ thấy các chương trình RemoteApp trong RD Web access

Hình 4: Các chương trình RemoteApp trong RD Web Access

Simpo PDF Merge and Split Unregistered Version - http://www.simpopdf.com

Vì Forefront TMG làm việc như một SSL Bridging

Gateway trong Secure Webserver publishing sắp tới, nên vấn đề quan trọng ở đây là cần thực thi một cơ sở hạ tầng chứng chỉ đúng Bạn cần phải bảo đảm đúng các chứng chỉ được phát hành và tất cả các máy chủ có liên quan trong quá trình publish (Forefront TMG, RD Session Host Server

và Windows 7 client) tin tưởng CA đang phát hành Cho ví

dụ trong loạt bài này, chúng ta sử dụng tên DNS

webmail.trainer.de để truy cập dịch vụ RD Web Access và

RD Gateway, vì vậy chúng ta cần phải phát hành một

chứng chỉ ở nơi Common Name (CN) của chứng chỉ khớp với public URL sẽ được sử dụng để truy cập RD Web

Access hoặc phải được nhập vào trong kết nối Remote

Desktop client từ máy tính Windows 7 trên Internet Hình dưới đây hiển thị chứng chỉ đúng được sử dụng bởi các dịch vụ RD Web Access và RD Gateway Chứng chỉ này cũng phải được import khóa riêng trên Forefront TMG

Server hành động như một thiết bị SSL Bridging Chúng tôi

sẽ giới thiệu cho các bạn cách thực hiện điều này trong

phần hai

Hình 5: Chứng chỉ SSL đúng cho RD WebAccess Sau khi cài đặt thành phần dịch vụ RD Gateway, bạn phải chọn đúng chứng chỉ SSL cho dịch vụ RD Gateway như thể hiện trong hình bên dưới

Simpo PDF Merge and Split Unregistered Version - http://www.simpopdf.com

Hình 6: Chứng chỉ SSL đúng cho dịch vụ RD Gateway Một phần cấu hình quan trọng khác là chỉ định các thiết lập SSL Bridging cho dịch vụ RD Gateway Với môi trường lab, chúng ta sẽ sử dụng SSL Bridging dưới hình thức

“HTTPS to HTTPS Bridging”

Hình 7: Chọn các tùy chọn SSL Bridging Cấu hình của RD Web Access và các thành phần dịch vụ

RD Gateway đã kết thúc Trong phần hai của loạt bài này, chúng tôi sẽ giới thiệu cách cấu hình Webserver Publishing

an toàn bằng Forefront TMG để publish RD Web Access lên Internet và giới thiệu cách kết nối trực tiếp đến dịch vụ

RD Gateway với Remote Desktop client của máy tính

Windows 7 trong lab

Kết luận

Simpo PDF Merge and Split Unregistered Version - http://www.simpopdf.com

Trong phần đầu tiên của loạt bài này, chúng tôi đã cung cấp cho các bạn tổng quan về việc cấu hình Remote Desktop Web Access và Remote Desktop Gateway Manager Trong bài chúng tôi cũng giới thiệu được các bước cần thiết để chuẩn bị các tính năng này cho việc publish bằng Forefront TMG

Trong phần một, chúng tôi đã giới thiệu cho các bạn cấu hình của dịch vụ the RD Web Access và RD Desktop

Gateway còn trong phần này chúng tôi sẽ giới thiệu cách publish RD Web Access với Forefront TMG và cách truy cập RD Web Access qua một máy khách Windows 7

Bài viết giả định rằng tính năng Remote desktop Session Host đã được cài đặt và cấu hình đúng, vì vậy chúng ta chỉ cần cài đặt và cấu hình các thành phần Remote Desktop Web Access và Remote Desktop Gateway

Đầu tiên, chúng ta cần phải phát hành chứng chỉ có tên

webmail.trainer.de Tên này sẽ được sử dụng bởi các máy khách trong Internet nhằm truy cập dịch vụ RD Web

Access hoặc RD Gateway

Hình 1: Import chứng chỉ Webserver cho việc TMG

publish Bước tiếp theo, chúng ta phải tạo một Webserver hoặc Exchange Web client publishing rule Bạn có thể sử dụng

cả hai rule publishing

Simpo PDF Merge and Split Unregistered Version - http://www.simpopdf.com

Hình 2: Tạo Web publishing rule mới

Chọn Allow làm hành động của rule

Chọn Publish a single Website or Load Balancer

Sử dụng SSL để kết nối đến máy chủ Published Web server

và nhập vào Hostname bên trong của máy chủ mà bạn

muốn publish

Hình 3: Nhập vào tên site bên trong Bạn hoàn toàn có thể hạn chế sự truy cập từ các máy khách đối với các đường dẫn nào đó, với RD Gateway access bạn cần cho phép đường dẫn /RPC/*, đường dẫn được sử dụng bởi RPC qua dịch vụ HTTPS proxy Sau khi wizard kết thúc, chúng ta phải thay đổi publishing rule để cũng cho phép truy cập đến đường dẫn /RDWEB/*, đường dẫn sẽ được sử dụng bởi tính năng RD Web Access

Simpo PDF Merge and Split Unregistered Version - http://www.simpopdf.com

Hình 4: Chọn đường dẫn /RPC để publish Giờ đây chúng ta phải nhập vào public Hostname được sử dụng để truy cập máy chủ đã publish từ Internet

Hình 5: Nhập vào public Hostname Tiếp đến chúng ta cần phải tạo một Web listener mới cho

RD access Do chúng ta muốn sử dụng SSL Bridging, hãy

chọn Require SSL Secured Connections With Clients Nếu

chỉ có một địa chỉ IP được ràng buộc cho giao diện bên ngoài trên Forefront TMG, bạn không cần phải thay đổi địa chỉ Listener IP Nếu có nhiều địa chỉ IP cho giao diện NIC bên ngoài của Forefront TMG, bạn hoàn toàn có thể chọn địa chỉ IP muốn sử dụng để publish máy chủ RD

Simpo PDF Merge and Split Unregistered Version - http://www.simpopdf.com

Hình 6: Chọn Web listener Giờ đây là lúc chọn chứng chỉ sẽ được ràng buộc với Web listener Chọn chứng chỉ webmail.trainer.de

Hình 7: Sử dụng chứng chỉ Webmail.trainer.de Phương pháp nhận thực là HTTP Integrated Authentication với Active Directory

Simpo PDF Merge and Split Unregistered Version - http://www.simpopdf.com

Hình 8: Chọn HTTP làm phương pháp nhận thực Phương pháp ủy quyền nhận thực là Kerberos constrained delegation (KCD) Chúng ta cũng phải nhập vào đúng Service Principal Name (SPN) SPN cho môi trường lab này là HOST/trainer-dc.trainer.intern

Hình 9: Chọn KCD và nhập SPN Rule áp dụng cho mọi người dùng được nhận thực

Kích Finish Bạn sẽ thấy một thông báo phụ cho biết rằng

bạn phải cấu hình TMG Server để cho phép sự ủy quyền đối với RD server

Hình 10: Thông báo cho cấu hình KCD bổ sung

Kích Apply

Simpo PDF Merge and Split Unregistered Version - http://www.simpopdf.com

Sau khi các thay đổi cấu hình có hiệu lực, chúng ta phải thay đổi publishing rule để cho phép truy cập đến đường dẫn phụ /RDWEB/*, đường dẫn được sử dụng bởi tính năng RD Web Access

Hình 11: Add đường dẫn /RDWEB làm một đường dẫn bổ

sung Bước cuối cùng, chúng ta phải cấu hình các thiết lập Trust for Delegation Mở Active Directory Computer và Users Snap In trên một Domain Controller và điều hướng đến tài khoản Computer của Forefront TMG Server, chọn tab

delegation, chọn Advanced và chọn Server với các dịch vụ

RD và chọn Host làm kiểu dịch vụ

Hình 12: Tin tưởng RD Gateway cho Kerberos Delegation Cấu hình Forefront TMG đã kết thúc, lúc này chúng ta có thể cấu hình Windows 7 client trong Internet để nhận RD Gateway và RD Web Access

Khởi chạy tiện ích kết nối Remote Desktop (MSTSC.EXE)

và nhập vào tên miền đã được public làm tên của máy tính bạn muốn kết nối đến

Simpo PDF Merge and Split Unregistered Version - http://www.simpopdf.com

Hình 13: Kết nối đến public hostname

Kích Advanced và settings trong phần Connect from

anywhere

Hình 14: Connect from anywhere Chỉ định các thiết lập RD Gateway và tương tự như RD Gateway Server, nhập vào tên của Server bên trong với RD Gateway role đã được cài đặt Cần bảo đảm rằng hộp thoại

Bypass RD Gateway Server for local access được kiểm

Simpo PDF Merge and Split Unregistered Version - http://www.simpopdf.com

Hình 15: Nhập tên RD Gateway INTERNAL Server Lúc này hãy tạo một kết nối đến RD Gateway Server Nếu kết nối thành công, bạn sẽ thấy một biểu tượng nữa trong Remote Desktop console, chỉ thị rằng bạn kết nối qua dịch

vụ RD Gateway

Hình 16: Kết nối thông qua HTTPS với dịch vụ RD

Gateway Nếu là quản trị viên của RD Gateway server, bạn cũng có thể kiểm tra các kết nối từ máy khách đến RD Gateway bằng RD Gateway Manager console bên dưới nút

Monitoring như những gì bạn thấy trong hình bên dưới

Hình 17: Kiểm tra kết nối với RD Gateway manager Lúc này hãy mở website này từ máy khách Windows 7 và bạn sẽ truy cập đến RD Web Access sau khi nhận thực thành công Phụ thuộc vào các thiết lập của RD Web

Access và RD RemoteApp mà bạn có thể truy cập ứng dụng qua giao diện web, truy cập sẽ được tạo đường hầm qua dịch vụ RD Gateway

Simpo PDF Merge and Split Unregistered Version - http://www.simpopdf.com

Hình 18: RD Web Access qua Internet

Kết luận

Trong bài này, chúng tôi đã giới thiệu cho các bạn về cách publish dịch vụ RD Gateway và tính năng RD Web Access với sự trợ giúp của Microsoft Forefront TMG, chúng tôi cũng đã giới thiệu được cho các bạn cách truy cập dịch vụ

RD Gateway với kết nối khách Remote Desktop và cách truy cập RD Web Access với trình duyệt web trên máy khách