Виртуализация презентаций с помощью служб терминалов Windows Server 2008 - Шлюз служб терминалов
ОГЛАВЛЕНИЕ
Шлюз служб терминалов
Теперь я намерен изучить то, как шлюз служб терминалов может помочь удаленным пользователям получить доступ к приложениям, данным или рабочим столам за пределами брандмауэра. Рис. 7 показывает типичную ситуацию развертывания шлюза служб терминалов для предоставления доступа пользователям через Интернет на очень высоком уровне.
Рис. 7. Работник, подключающийся к корпоративной сети с переносного компьютера у себя дома
По сути, этот шлюз служб терминалов находится в периметре сети и туннелирует трафик RDP через HTTPS. Как вариант, в периметр сети можно поместить прерыватель SSL (такой как Microsoft Internet Security and Acceleration Server – ISA) и перенаправлять входящий трафик RDP шлюзу служб терминалов на другой стороне.
Вот действия, проиллюстрированные на рис. 6:
- Пользователь на домашнем переносном компьютере может подключиться через Интернет, щелкнув на файл RDP, либо на значок программы RemoteApp расположенный на рабочем столе, на значок TS RemoteApp, опубликованный через веб-клиент служб терминалов, либо путем открытия клиента подключения к удаленному рабочему столу.
- Между переносным компьютером дома и серверами терминалов, использующими сертификат SSL сервера шлюз служб терминалов, устанавливается туннель SSL. Перед установкой подключения, подлинность пользователя должна быть проверена и он должен быть авторизован согласно политикам авторизации подключения служб терминалов (TS CAP) и политикам авторизации ресурсов служб терминалов (TS RAP). После того, как выполнение политик TS RAP и TS CAP (обсуждаемое ниже) обеспечено, пользователь может открыть сессию.
- Домашний переносной компьютер обменивается зашифрованными пакетами RDP, заключенными внутри SSL со шлюзом служб терминалов через порт TS 443. Шлюз служб терминалов перенаправляет пакеты RDP серверу терминалов через порт 3389.
Для более крупных установок можно создать ферму серверов шлюза служб терминалов, но для этого потребуется отдельное решение (такое как NLB или балансировщик нагрузок от стороннего производителя) чтобы сбалансировать нагрузку между системами фермы серверов. Посредник сеансов служб терминалов не занимается балансировкой нагрузок для сервера их шлюза.
Теперь давайте кратко рассмотрим, как развертывать эти функции. В двух словах, необходимо получить и настроить сертификат для сервера шлюза служб терминалов и создать два типа политик авторизации, упомянутых мною ранее: TS CAP и TS RAP.
Получение сертификата Можно использовать существующий сертификат, либо запросить новый. Действительный сертификат необходим для функционирования шлюза служб терминалов и в ходе установки можно выбрать импорт сертификата, либо создание самозаверяющего сертификата.
Самозаверяющий вариант хорош при выполнении внутреннего тестирования, но правильное развертывание требует сертификата, выпущенного корпоративным центром сертификации (таким как VeriSign). После установки сертификата, можно подумать над политиками авторизации развертывания.
Политики авторизации TS CAP определяют, кто может подключиться к шлюзу служб терминалов и указывают, при каких условиях пользователи могут подключаться. Например, можно указать, что группа пользователей, существующая на локальном сервере шлюза служб терминалов или в Active Directory может подключаться к шлюзу служб терминалов и что члены группы должны использовать смарт-карты.
TS RAP, с другой стороны, определяют к каким внутренним ресурсам пользователи могут получить доступ через шлюз служб терминалов. Например, можно создать группу компьютеров (такую как ферму серверов терминалов) и связать ее с TS RAP.
Чтобы дать удаленным пользователям доступ к внутренним ресурсам необходимо создать как TS CAP так и TS RAP, поскольку для получения доступа пользователь должен соответствовать условиям минимум одного TS CAP и одного TS RAP. Администраторы могут создавать оба типа через диспетчер шлюза служб терминалов, как показано на рис. 8 и рис. 9.
Рис 8. Создание политики авторизации подключения служб терминалов (TS CAP)
Рис 9. Создание политики авторизации ресурса служб терминалов (TS RAP)
Вместе, политики TS CAP и TS RAP предоставляют два различных типа авторизации, позволяющие более тонко настроить уровень управления доступом к компьютерам во внутренней сети. Более подробную информацию можно найти в "Terminal Services Gateway Step-by-Step Guide" («Пошаговое руководство для шлюза служб терминалов» go.microsoft.com/fwlink/?LinkID=85872.