Cấu hình Terminal Services Gateway của Windows Server 2008 (Phần 1)

[nod32]

Các quản trị viên bảo mật của Microsoft luôn có một chút cảnh giác trong việc đưa ra Terminal Servers trên Internet. Lý do là vì chưa có một khả năng để có thể thẩm định từ trước các kết nối hoặc chính sách người dùng để xác định xem những người dùng nào có thể truy cập vào Terminal Server nào. Việc thiếu vấn đề tiền thẩm định là một vấn đề thực sự khó khăn. Không có cơ chế tiền thẩm định thì người dùng nặc danh có thể nâng cao các kết nối nặc danh thỏa hiệp với Terminal Server đã được ban bố. Một Terminal Server bị thỏa hiệp sẽ trở thành một lỗ hổng nghiêm trọng đối với mạng của bạn, vì khi đó kẻ tấn công có thể truy cập vào toàn bộ hệ điều hành và thực hiện các tấn công.

Trước những khó khăn đó, Windows Server 2008 cung cấp cho các bạn một giải pháp cho vấn đề bảo mật này: Terminal Services Gateway. Sử dụng Terminal Services Gateway bạn có thể thẩm định trước những người dùng và kiểm soát những Terminal Servers nào mà người dùng có thể truy cập dựa trên các thông tin cá nhân và chính sách. Tính năng này còn cho phép bạn có thể kiểm soát một cách tinh tế hơn những gì cần để bảo đảm rằng bạn có một giải pháp RDP truy cập từ xa một cách an toàn.

Trong loạt bài gồm hai phần này, chúng ta sẽ cùng tìm hiểu cách làm việc với giải pháp Terminal Servers, sử dụng mạng lab như hình bên dưới. Các mũi tên thể hiện hướng truyền thông từ máy khách RDP bên ngoài tới Terminal Server.

Hình 1

Mỗi một máy chủ trong kịch bản này đều đang sử dụng Windows Server 2008 Enterprise Edition. Trong mạng ví dụ này, chúng tôi đang sử dụng máy chủ Windows Server 2008 NAT với tư cách là Internet gateway. Bạn có thể sử dụng bất cứ một thiết bị NAT đơn giản nào khác hoặc có thể là bộ định tuyến lọc gói dữ liệu giống như PIX, hoặc thậm chí là một tường lửa tiên tiến như Microsoft ISA Firewall. Tùy chọn cấu hình chính ở đây là hướng các kết nối của cổng TCP 443 đến máy tính Terminal Service Gateway.

Domain Controller có DNS, DHCP, Certificate Services trong chế độ Enterprise CA và WINS đã được cài đặt từ trước.

Terminal Server chỉ có một hệ điều hành cơ bản đã được cài đặt. Chúng tôi sẽ cài đặt các dịch vụ khác trong suốt loạt bài này.

TS Gateway chỉ có một hệ điều hành cơ bản được cài đặt. Chúng tôi cũng sẽ cài đặt các dịch vụ khác.

Loạt bài này sẽ mô tả các quá trình và thủ tục cần đến để thực hiện chạy một giải pháp cơ bản:

• Cài đặt Terminal Services và Terminal Services Licensing trên Terminal Server
• Cấu hình Terminal Services Licensing
• Cài đặt Desktop Experience trên Terminal Server (không bắt buộc)
• Cấu hình chế độ Terminal Services Licensing
• Cài đặt Terminal Services Gateway Service trên Terminal Services Gateway
• Yêu cầu chứng chỉ cho Terminal Services Gateway
• Cấu hình Terminal Services Gateway để sử dụng chứng chỉ
• Tạo Terminal Services Gateway RAP
• Tạo Terminal Services Gateway CAP
• Cấu hình RDP Client để có thể sử dụng Terminal Services Gateway

Cài đặt Terminal Services và Terminal Services Licensing trên Terminal Server

Bước đầu tiên là cài đặt Terminal Services trên máy tính Terminal Services.

Thực hiện các bước dưới đây để cài đặt Terminal Services và Terminal Services Licensing:

1. Trên máy tính Terminal Server, bạn hãy mở Server Manager. Trong Server Manager, kích nút Roles trong panel bên trái của giao diện điều khiển.

2. Kích vào liên kết Add Roles trong phần panel phải của giao diện điều khiển

Hình 2

3. Kích Next trong trang Before You Begin

4. Trong trang Before You Begin, bạn hãy tích dấu kiểm vào hộp kiểm Terminal Services, sau đó kích Next.

Hình 3

5. Kích Next trong trang Terminal Services

6. Trong cửa sổ Select Role Services, bạn hãy tích vào hộp kiểm Terminal Server và TS Licensing. Kích Next.

Hình 4

7. Kích Next trong cửa sổ Uninstall and Reinstall Application for Compatibility

8. Trong cửa sổ Specify Authentication Method for Terminal Server, bạn hãy chọn Require Network Level Authentication. Bạn có thể chọn theo từng kịch bản của mình vì chúng tôi đang chỉ sử dụng các máy khách Vista SP1 để kết nối đến Terminal Server thông qua TS Gateway. Chúng ta sẽ không thể sử dụng tùy chọn này nếu cần hỗ trợ các máy khách Windows XP SP2. Tuy vậy, bạn có thể hỗ trợ Network Level Authentication với Windows XP SP3. Nhưng chúng tôi vẫn chưa xác nhận điều này, chính vì vậy bạn hãy kiểm tra các lưu ý phát hành của Windows XP SP3. Kích Next.

Hình 5

9. Trong trang Specify Licensing Mode, bạn hãy chọn tùy chọn Configure later. Có thể chọn một tùy chọn khác tuy nhiên theo ví dụ này chúng tôi chọn Configure later để có thể giới thiệu cho các bạn nơi cấu hình chế độ đăng ký trong giao diện điều khiển Terminal Services. Kích Next.

Hình 6

10. Trong trang Select Use Groups Allowed Access To This Terminal Server, sử dụng các tùy chọn mặc định. Bạn có thể bổ sung thêm hoặc xóa các nhóm nếu muốn chỉnh tinh hơn điều khiển truy cập trên Terminal Server. Mặc dù vậy, nếu tất cả người dùng phải đi qua Terminal Services Gateway, thì bạn có thể kiểm soát ai kết nối với Terminal Server bằng các thiết lập chính sách TS Gateway. Để lại các thiết lập mặc định và kích Next.

Hình 7

11. Trong trang Configure Discovery Scope for TS Licensing, chọn tùy chọn This domain. Chọn tùy chọn này trong kịch bản là vì chúng ta chỉ có một miền. Nếu bạn có một forest đa miền thì hoàn toàn có thể xem xét đến việc chọn tùy chọn The forest. Kích Next.

Hình 8

12. Trong Confirm Installation Selections, tích vào chỉ thị thông tin cảnh báo có thể phải cài đặt lại các ứng dụng đã được cài đặt trên máy tính này rồi nếu bạn muốn chúng làm việc đúng cách trong môi trường session của Terminal Services. Bạn cũng nên lưu ý rằng IE Enhanced Security Configuration sẽ bị tắt. Kích Install.

Hình 9

13. Trong cửa sổ Installation Results bạn sẽ thấy một cảnh báo yêu cầu cần khởi động lại máy chủ để hoàn tất cài đặt. Kích Close.

Hình 10

14. Kích Yes trong hộp thoại Add Roles Wizard, hộp thoại hỏi bạn xem có muốn khởi động lại máy chủ hay không.

15. Đăng nhập với tư cách quản trị viên. Cài đặt sẽ tiếp tục sau một vài phút vì trang Installation Progress xuất hiện sau khi Server Manager xuất hiện.

16. Kích Close vào trang Installation Results sau khi thấy thông báo cài đặt thành công Installation succeeded.

Hình 11

17. Bạn có thể thấy thông báo cho biết rằng Terminal Services licensing mode is not configured – nghĩa là chế độ đăng ký của Terminal Services chưa được cấu hình. Bạn có thể gạt bỏ thông báo này vì chúng tôi sẽ chuyển sang cấu hình Terminal Services Licensing, sau đó cấu hình chế độ đăng ký trên Terminal Server.

Hình 12

Cấu hình việc đăng ký trên Terminal Services

Lúc này chúng ta đã hoàn toàn sẵn sàng để cấu hình Terminal Services Licensing. Ví dụ sử dụng một số dữ liệu giả, không đúng với những yêu cầu thực cho việc đăng ký các kết nối máy khách Terminal Services, tuy nhiên nó sẽ cung cấp một ví dụ về quá trình này sẽ làm việc như thế nào. Không nên thực hiện một thủ tục tương tự mà chúng tôi đã giới thiệu ở đây để đăng ký các máy khách Terminal Services vì bạn phải thực hiện với các yêu cầu đăng ký thực.

Thực hiện các bước dưới đây để kích hoạt Terminal Services Licensing Server của bạn:

1. Từ menu Administrative Tools, kích Terminal Services, sau đó kích TS Licensing Manager.

2. Trong giao diện điều khiển TS Licensing Manager, bạn hãy kích chuột phải vào tên máy chủ trong panel bên trái của giao diện. Kích Activate Server.

Hình 13

3. Kích Next trong trang Welcome to the Activate Server Wizard.

4. Trong trang Connection Method, bạn hãy chọn Connection (recommended) sau đó kích Next.

Hình 14

5. Trong trang Company Information, bạn hãy nhập vào các thông tin công ty và kích Next.

Hình 15

6. Nhập vào các thông tin tùy chọn nếu bạn thích trên trang Company Information, sau đó kích Next.

Hình 16

7. Trong trang Completing the Activate Server Wizard, bạn bảo đảm tùy chọn Start Install Licenses Wizard phải được chọn, sau đó cũng kích Next.

Hình 17

8. Kích Next trong trang Welcome to the Install Licenses Wizard.

9. Trong trang License Program, kích mũi tên xuống trên danh sách License program và chọn ra chương trình đăng ký mà bạn thực hiện. Trong ví dụ này chúng tôi sẽ chọn Other agreement vì lab này không thực hiện trong bất kỳ chương trình đăng ký nào. Kích Next.

Hình 18

10. Trong trang License Program, bạn hãy nhập vào Agreement number. Trong ví dụ này chúng tôi nhập vào số đơn giản 1234567. Kích Next.

Hình 19

11. Trong trang Product Version and License Type, bạn hãy chọn Product version, License type và Quantity tương ứng với những nhu cầu cho môi trường của bạn. Trong cài đặt lab này, chúng tôi đang sử dụng Windows Server 2008 Terminal Servers, chính vì vậy sẽ chọn Windows Server 2008. Do sử dụng các CAL người dùng trong mạng ví dụ này nên chúng tôi chọn Windows Server 2008 TS Per User CAL. Nhập vào 50 trong hộp văn bản Quantity và kích Next.

Hình 20

12. Kích Finish trong trang Completing the Install Licenses Wizard

Cài đặt Desktop Experience trên Terminal Server (tùy chọn)

Khi Windows Vista clients kết nối với Windows Server 2008 Terminal Server, chúng có thể có những cảm nhận desktop giống như Vista trong session của Terminal Services nếu bạn cài đặt tùy chọn Desktop Experience trên Terminal Server.

Thực hiện các bước dưới đây để cài đặt Desktop Experience Feature cho Terminal Server:

1. Trong trang Select Features, bạn hãy tích vào hộp kiểm Desktop Experience, sau đó kích Next.

Hình 21

2. Kích Install trong trang Confirm Installation Selections

3. Trong trang Installation Results, bạn hãy đọc các thông tin cảnh báo cần khởi động lại máy để kết thúc cài đặt.

4. Kích Yes trong hộp thoại hỏi bạn muốn khởi động lại máy lúc này không.

5. Đăng nhập với tư cách quản trị viên. Cài đặt sẽ tiếp tục lại và cần đến một vài phút, do vậy bạn hãy kiên nhẫn.

6. Kích Close trong trang Installation Results, đây là cách hiển thị rằng cài đặt đã thành công.

Cấu hình chế độ đăng ký Terminal Services

Chúng ta sẽ kết thúc việc cấu hình Terminal Services bằng cách thiết lập Terminal Services Licensing Mode. Thực hiện các bước dưới đây để cấu hình chế độ này:

1. Từ menu Administrative Tools, bạn hãy kích mục Terminal Services, sau đó kích Terminal Services Configuration.

2. Trong phần panel ở giữa của giao diện điều khiển Terminal Services Configuration, bạn hãy kích đúp vào Terminal Services Licensing mode.

Hình 22

3. Trong hộp thoại Properties, chọn tùy chọn Per User đối với Specify the Terminal Services licensing mode. Chọn Automatically discover license server đối với Specify the license server discovery mode. Kích OK.

Hình 23

4. Kích nút Licensing Diagnosis trong panel bên trái của giao diện điều khiển. Trong phần panel giữa bạn sẽ thấy các thông tin chi tiết về cấu hình đăng ký cho Terminal Server này.

Hình 24

5. Đóng giao diện điều khiển Terminal Service Configuration

Kết luận

Trong phần 1 của loạt bài gồm hai phần này, chúng tôi đã giới thiệu cách cài đặt các dịch vụ Terminal Server và việc đăng ký Terminal Server trên Terminal Server, tiếp đến chúng tôi đã cấu hình đăng ký Terminal Services, cài đặt Desktop Experience trên Terminal Server và cấu hình chế độ đăng ký cho máy chủ cuối. Phần tiếp theo chúng tôi sẽ giới thiệu cho các bạn cách cài đặt và cấu hình Terminal Services Gateway và RDP client. Sau đó sẽ kết thúc bằng cách tạo kết nối từ một địa điểm bên ngoài.


Văn Linh (Theo WindowSecurity)

[conan1412v]

2008 có khá nhiều cái mới và hay..nhưng chua có time nghiên cứu.....keke..!