Cấu hình Terminal Services Gateway của Windows Server 2008 Phần 2 Nguồn : quantrimang.com Thomas Shinder Trong phần đầu của loạt bài này, chúng ta đã thực hiện cài đặt cơ bản cho Termin
Trang 1Cấu hình Terminal Services Gateway của Windows Server 2008 (Phần 2)
Nguồn : quantrimang.com
Thomas Shinder
Trong phần đầu của loạt bài này, chúng ta đã thực hiện cài đặt cơ bản cho Terminal Services cũng như việc đăng ký Terminal Services và cấu hình chế độ đăng ký của Terminal Services Trong phần này, chúng tôi sẽ giới thiệu tiếp phần cài đặt và cấu hình TS Gateway và RDP client Sau đó sẽ tạo một kết nối và kiểm tra nó làm việc như thế nào
Cài đặt Terminal Services Gateway Service trên Terminal Services Gateway
Bây giờ chúng ta chuyển sự quan tâm sang máy Terminal Services Gateway Đây là máy tính mà các máy khách bên ngoài sẽ kết nối vào lúc ban đầu khi tạo các kết nối máy khách Terminal Services của chúng
Thực hiện theo các bước dưới đây để cài đặt Terminal Services Gateway trên máy Terminal Services Gateway
1 Mở Server Manager trên máy tính Terminal Services Gateway Kích vào nút Roles trong phần panel bên trái của giao diện điều khiển, sau đó kích vào liên kết Add Role trong phần panel bên phải
2 Kích Next trong trang Before You Begin
3 Trong trang Select Server Roles hãy tích vào hộp kiểm Terminal
Services
4 Trong trang Terminal Services, kích Next
5 Trong trang Select Role Services, tích vào hộp kiểm TS Gateway Sau
đó bạn sẽ thấy một hộp thoại Add Roles Wizard hỏi có muốn Add role services and features required for TS Gateway Kích nút Add
Required Role Services
Trang 2Hình 1
6 Kích Next trong trang Select Role Services
7 Trong trang Choose a Server Authentication Certificate for SSL
Encryption, chọn tùy chọn Choose a certificate for SSL encryption later Chọn tùy chọn này là vì chúng ta vẫn chưa tạo một chứng chỉ cho
TS Gateway để sử dụng kết nối SSL giữa bản thân nó và các máy khách RDP Chúng ta sẽ yêu cầu một chứng chỉ sau này và sau đó cấu hình TS
Gateway để sử dụng chứng chỉ Kích Next
Trang 4Hình 3
9 Kích Next trong trang Network Policy and Access Services
10 Trong trang Select Role Services, bạn hãy tích vào hộp kiểm
Network Policy Server, sau đó kích Next
Hình 4
11 Trong trang Web Server (IIS), kích Next
12 Trong trang Select Role Services, chấp nhận các dịch vụ role mặc
định đã được chọn bởi tiện ích Ở đây có một số dịch vụ cần thiết cho việc
chạy dịch vụ TS Gateway Kích Next
Trang 5Hình 5
13 Xem lại toàn bộ các thông tin trong trang Confirm Installation Selections và kích Install
Trang 6Hình 6
14 Kích Close trong trang Installation Results để hiển thị cài đặt đã
thành công
Yêu cầu một chứng chỉ cho Terminal Services Gateway
Lúc này chúng ta có thể yêu cầu một chứng chỉ mà Web site trên TS Gateway có thể sử dụng để thiết lập kết nối SSL với máy khách RDP
Thực hiện các bước dưới đây để yêu cầu một chứng chỉ cho máy TS Gateway:
1 Từ menu Administrative Tools, kích Internet Information Services (IIS) Manager
2 Trong giao diện điều khiển Internet Information Services (IIS) Manager,
kích vào tên máy chủ trong phần panel bên trái của giao diện điều khiển
Kích đúp vào biểu tượng Server Certificates ở phần giữa của giao diện
Trang 7này
Hình 7
3 Trong phần bên trái của giao diện điều khiển, bạn hãy kích vào liên kết
Create Domain Certificate
Trang 8Hình 8
4 Trong trang Distinguished Name Properties, hãy nhập vào các thông tin
đã được chỉ định trong trang này Mục quan trọng nhất đó là Common name Tên mà bạn nhập vào ở đây phải cùng với tên mà máy khách
Terminal Services đã được cấu hình để sử dụng nhằm liên lạc với máy tính TS Gateway Đây cũng là tên mà các máy chủ DNS dùng chung sẽ được cấu hình để cung cấp địa chỉ chung nhằm cho phép truy cập vào TS Gateway Trong hầu hết các trường hợp, bộ phận này sẽ là một bộ địng tuyến hoặc một giao diện bên ngoài của thiết bị NAT, hoặc có lẽ là giao diện bên ngoài của tường lửa tiên tiến như Microsoft ISA Firewall chẳng
hạn Kích Next
Hình 9
Trang 95 Trong trang Online Certification Authority, kích nút Select Trong hộp thoại Select Certification Authority, hãy chọn tên Enterprise CA mà bạn
muốn thu chứng chỉ Hãy nhớ rằng chúng ta có thể thu được chứng chỉ miền này và tự động cài đặt nó vì đang sử dụng một Enterprise CA Nếu bạn đang sử dụng một CA đơn (standalone) thì sẽ phải sử dụng trang Web enrollment và điều đó chỉ được sau khi đã tạo một yêu cầu offline, sau đó bạn phải tự cài đặt chứng chỉ của máy tính Kích OK sau khi chọn Enterprise CA
Hình 10
6 Nhập vào một tên Friendly name trong trang Online Certification
Authority Trong ví dụ này chúng tôi sẽ đặt tên cho một chứng chỉ là TSG
Trang 10private key that corresponds to this certificate Điều này rất quan trọng
vì chứng chỉ sẽ không làm việc nếu bạn không có một khóa riêng Kích
OK để đóng hộp thoại Certificate
Trang 11Hình 12
Cấu hình Terminal Services Gateway để sử dụng Certificate
Với chứng chỉ đã được cài đặt trong kho chứa chứng chỉ của máy tính rồi, bạn hoàn toàn có thể gán TS Gateway để sử dụng chứng chỉ này
Thực hiện các bước dưới đây để cấu hình TS Gateway sử dụng chứng chỉ đó:
1 Trong giao diện điều khiển Administrative Tools, kích vào mục Terminal Services, sau đó kích TS Gateway
2 Trong TS Gateway Manager, kích vào tên của máy tính TS Gateway
trong panel bên trái của giao diện điều khiển Phần panel ở giữa cung cấp rất nhiều thông tin hữu ích về các bước cấu hình cần được hoàn tất để kết
thúc cài đặt Kích vào liên kết View or modify certificate properties
Trang 12Hình 13
3 Trong hộp thoại Properties cho TS Gateway, trên tab SSL Certificate, tính năng Select an existing certificate for SSL encryption phải được kích hoạt và sau đó kích nút Browse Certificates Khi đó sẽ xuất hiện hộp thoại Install Certificate Kích vào chứng chỉ, trong trường hợp này là tsg.msfirewall.org, sau đó kích nút Install
Trang 13Hình 14
4 Tab SSL Certificate sẽ hiển thị các thông tin về chứng chỉ mà TS Gateway sẽ sử dụng để thiết lập kết nối SSL Kích OK
Trang 14Hình 15
5 Nội dung của phần panel ở giữa có một chút thay đổi, nó phản ánh rằng chứng chỉ hiện đã được cài đặt trên TS Gateway Mặc dù vậy, lúc này
chúng ta sẽ thấy phần Configuration Status cần tạo cả chính sách thẩm
định kết nối và chính sách thẩm định tài nguyên
Trang 15Hình 16
Tạo một Terminal Services Gateway CAP
CAP chính là viết tắt của từ Connection Authorization Policy (chính sách thẩm định kết nối), nó cho phép bạn có thể kiểm soát người nào có thể kết nối đến Terminal Server thông qua Terminal Services Gateway
Thực hiện các bước dưới đây để tạo một chính sách thẩm định kết nối:
1 Trong phần panel bên trái của giao diện điều khiển, kích vào nút
Connection Authorization Policies nằm trong Policies Trong phần
panel bên phải của giao diện, bạn hãy kích vào mũi tên bên phải của
Create New Policy và sau đó kích Wizard
Trang 17Hình 19
4 Trên trang Requirements, hãy tích vào hộp kiểm Password Nếu bạn có
kế hoạch sử dụng chứng thực thẻ thông minh thì nên chọn tùy chọn
Smartcard Lúc này bạn cần cấu hình những nhóm nào có thể truy nhập
vào Terminal Server thông qua TS Gateway Để thực hiện điều đó, bạn
hãy kích nút Add Group Trong hộp thoại Select Groups, nhập vào tên của nhóm muốn cho phép truy cập và kích Check Names Trong ví dụ này, chúng tôi nhập vào Domain Users sau đó kích OK
Trang 18Hình 20
5 Lưu ý trên trang Requirements bạn có thể chọn tùy chọn tạo các nhóm
máy tính và cho phép chỉ truy cập vào các máy tính cụ thể Chúng tôi sẽ
không cấu hình tùy chọn này trong ví dụ này Kích Next
Trang 19Hình 21
6 Trên trang Device Redirection, chọn tùy chọn Enable device redirection for all client devices Lưu ý rằng nếu bạn muốn có môi trường bảo mật tốt hơn thì hãy xem xét đến việc chọn tùy chọn Disable device
redirection for the following client device types sau đó chọn Drives và Clipboard Để có độ bảo mật tốt hơn nữa bạn cũng có thể chọn Disable device redirection for all client devices except for smart cards Kích Next
Trang 20Hình 22
7 Trên trang Summary of TS CAP Settings, đọc các kết quả của các phần chọn của bạn, sau đó kích Finish
Hình 23
8 Kích Close trên trang Confirm Policy Creation
Tạo Terminal Services Gateway RAP
RAP là viết tắt của Resource Authorization Policy (chính sách thẩm định tài nguyên), đây chính là chính sách mà chúng ta cần tạo tiếp RAP được sử dụng
để kiểm soát Terminal Server nào có thể được truy cập thông qua Terminal Services Gateway
Thực hiện các bước dưới đây để tạo một RAP:
1 Kích vào nút Resource Authorization Policies trong phần panel bên trái của giao diện điều khiển TS Gateway Manager Trong phần panel bên phải của giao diện, bạn hãy kích vào mũi tên bên phải của liên kết Create New Policy sau đó kích Wizard
Trang 224 Trong trang User Groups, bạn chọn các nhóm người dùng RAP sẽ áp
dụng Điều này sẽ cho phép bạn điều chỉnh tin hơn với về khả năng truy cập vào Terminal Servers nào của người dùng Một số nhóm có thể được cho phép truy cập vào Terminal Server A và một số có thể lại muốn truy cập vào Terminal Server B RAP cho phép bạn thực hiện kiểu điều khiển
này Trong ví dụ này, kích nút Add Group và bổ sung thêm nhóm Domain Users Kích Next
Hình 27
5 Trên trang Computer Group, bạn có một tùy chọn định nghĩa Terminal
Servers nào có thể được truy cập thông qua RAP này Bạn cũng có tùy chọn trong việc chọn một nhóm các máy tính đã được định nghĩa Active Directory, hoặc có thể tạo một nhóm quản lý TS Gateway Trong ví dụ này, do chỉ có một Terminal Server, nên chúng tôi chọn tùy chọn đơn giản
nhất là Allow users to connect to any network resource (computer)
Tùy chọn này sẽ cho phép người dùng kết nối tới tất cả Terminal Servers
trong mạng Kích Next
Hình 28
Trang 236 Trên trang TS Rap summary, bạn hãy xác nhận các thiết lập của mình và kích Finish
Hình 29
7 Kích Close trên trang Confirm Policy Creation
8 Kích vào tên máy chủ trong phần panel bên trái của giao diện điều khiển Khi đó bạn sẽ thấy không có một issue nào mà chúng ta cần quản lý ở phần panel giữa nữa Lúc này TS Gateway đã sẵn sàng cho việc quản lý các kết nối mới đang gửi đến đến Terminal Server trong mạng
Hình 30
Cấu hình RDP Client để sử dụng Terminal Services Gateway
Trang 24Nếu bạn đang ở nhà, Terminal Server và TS Gateway lúc này đã được cấu hình
và sẵn sàng cho thực hiện một số nhiệm vụ khác Bước cuối cùng cần thực hiện
ở đây là cấu hình máy khách RDP trên máy tính Vista Chúng ta cần cấu hình tên Terminal Server của máy khách sẽ được kết nối và tên của máy tính
Terminal Services Gateway sẽ được sử dụng đối với Terminal Server
Lưu ý:
Chúng tôi đã cấu hình máy khách Vista bằng một mục file HOSTS là
tsg.msfirewall.org để nó sẽ xác định tên Terminal Services Gateway đối với địa
chỉ IP của giao diện ngoài của thiết bị NAT ở mặt trước mạng
Thực hiện các bước dưới đây để cấu hình máy khách RDP trên Windows Vista:
1 Trên máy tính Vista, bạn kích nút Start, sau dó kích Accessories Kích đúp Remote Desktop Connection
2 Trong hộp thoại Remote Desktop Connection, tab General, bạn hãy nhập vào tên máy tính của Terminal Server trong hộp văn bản Computer Nhập vào tên người dùng trong hộp văn bản User name Nếu bạn muốn
máy khách lưu các thông tin quan trọng này thì hãy tích vào hộp kiểm
Allow me to save credentials
Trang 25Hình 31
3 Kích tab Advanced Trong phần Server authentication, mục Warn me phải được chọn Kích nút Settings trong phần Connect from anywhere Connect from anywhere
Trang 27Hình 33
5 Kích vào tab General, sau đó kích Connect
Trang 28Hình 34
6 Một hộp thoại Windows Security sẽ xuất hiện Nhập vào mật khẩu của bạn sau đó kích OK
Trang 29Hình 35
7 Phiên Terminal Services sẽ mở và bạn có thể thấy desktop và các ứng dụng đang chạy cho tài khoản của bạn trong phiên Terminal Services
Trang 30Hình 36
8 Bạn hãy vào TS Gateway và kích vào nút Monitoring trong phần panel
bên trái của giao diện điều khiển the Terminal Services Gateway Ở đây
có thể thấy thông tin về các phiên Terminal Services đang đi qua TS Gateway
Trang 31Hình 37
Kết luận
Trong phần hai của loạt bài giới thiệu về TS Gateway này chúng ta đã cài đặt và cấu hình TS Gateway cũng như các máy khách RDP Sau đó là kết nối đến TS Gateway và Terminal Server thông qua TS Gateway Chúng ta cũng đã thấy rằng việc kiểm tra nút TS Gateway đã cung cấp rất nhiều thông tin hữu dụng về người nào đang kết nối với Terminal Server thông qua TS Gateway
