Настройка шлюза служб терминалов: базовый сценарий
Выполнение приведенных ниже процедур обеспечивает успешную настройку и демонстрацию работы шлюза служб терминалов по базовому сценарию, который в настоящем руководстве рассматривается в качестве примера. Этот сценарий позволяет настроить сервер шлюза служб терминалов так, чтобы с его помощью пользователи могли обращаться к ресурсам внутренней сети через интернет. Согласно данному сценарию в качестве ресурсов внутренней сети могут выступать серверы терминалов, в том числе исполняющие удаленные приложения RemoteApp, а также компьютеры с разрешенным протоколом удаленного рабочего стола.
1. Для изучения данного сценария рекомендуется произвести настройку трех компьютеров:
сервера шлюза служб терминалов (называемого в настоящем примере «TSGSERVER»);
клиента служб терминалов (называемого в настоящем примере «TSCLIENT»);
ресурса внутренней сети (называемого в настоящем примере «CORPORATERESOURCE»).
Компьютеры, выполняющие указанные роли, должны удовлетворять системным требованиям, описанным в разделе «Базовый сценарий реализации служб терминалов: системные требования».
2. Настройте сервер шлюза служб терминалов согласно инструкциям, представленным в разделе « Поэтапная настройка сервера шлюза служб терминалов согласно базовому сценарию».
3. Настройте клиент служб терминалов согласно инструкциям, представленным в разделе « Поэтапная настройка клиента служб терминалов согласно базовому сценарию реализации шлюза служб терминалов».
4. Настройте ресурс внутренней сети.
5. Проверьте возможность подключения клиента служб терминалов к ресурсу внутренней сети через сервер шлюза служб терминалов, следуя инструкциям из раздела « Проверка корректности установления сквозных соединений через шлюз служб терминалов».
Базовый сценарий реализации шлюза служб терминалов: системные требования
Все три компьютера, участвующие в реализации шлюза служб терминалов согласно базовому сценарию, должны удовлетворять следующим системным требованиям.
Компьютер
|
Необходимая конфигурация
|
Сервер шлюза служб терминалов (TSGSERVER)
|
Версия RC0 ОС Windows Server 2008. Допускается установка соответствующего обновления после установки ОС Windows Server® 2003 с пакетом обновления 1 (SP1) или бета-версии 3 ОС Windows Server 2008. Дополнительные сведения см. в разделе «Supported upgrade paths» (Варианты обновления) в документе «Установка начальной версии ОС Windows Server 2008» (на английском языке) веб-ресурса http://go.microsoft.com/fwlink/?LinkId=104824).
|
Клиент служб терминалов (TSCLIENT)
|
Бета-версия пакета обновления 1 (SP1) для ОС Windows Vista или пакет обновления 3 (SP3) для ОС Windows XP.
 Примечание
Бета-версии пакета обновления 1 (SP1) для ОС Windows Vista и пакета обновления 3 (SP3) для ОС Windows XP доступны участникам соответствующих программ Microsoft® Connect Beta на веб-ресурсе MS Connect http://go.microsoft.com/fwlink/?LinkID=102024.
Окончательная первоначальная версия (RTM) ОС Windows Vista. Допускается установка соответствующего обновления после установки ОС Windows XP с пакетом обновления 2 (SP2).
Пакет обновления 2 (SP2) для ОС Windows XP и клиент подключения к удаленному рабочему столу (RDC) 6.0. Инструкции по загрузке клиента RDC 6.0 см. в статье 925876 базы знаний Майкрософт (http://go.microsoft.com/fwlink/?LinkId=79373).
Версия RC0 ОС Windows Server 2008. Допускается установка новой версии путем обновления существующей.
ОС Windows Server 2003 с пакетом обновления 1 (SP1) или 2 (SP2) и клиентом RDC 6.0.
|
Ресурс внутренней сети (CORPORATERESOURCE)
|
Требования к компьютерам с разрешенным протоколом удаленного рабочего стола.
Бета-версия пакета обновления 1 (SP1) для ОС Windows Vista или пакет обновления 3 (SP3) для ОС Windows XP.
Окончательная первоначальная версия (RTM) ОС Windows Vista. Допускается установка соответствующего обновления после установки ОС Windows XP с пакетом обновления 2 (SP2).
ОС Windows XP с пакетом обновления 2 (SP2).
ОС Windows Server 2003 с пакетом обновления 1 (SP1) или 2 (SP2).
Требования к серверам терминалов.
Версия RC0 ОС Windows Server 2008. Допускается установка новой версии путем обновления существующей.
ОС Windows Server 2003 с пакетом обновления 1 (SP1) или 2 (SP2).
|
Схема реализации шлюза служб терминалов по базовому сценарию
Следующая схема наглядно иллюстрирует базовый сценарий реализации шлюза служб терминалов.
Внешний брандмауэр (открыт порт 443)
Внутренний брандмауэр – необязательный компонент (открыт порт 3389)
Домашний переносной компьютер
RDP через SSL
Интернет
Шлюз служб терминалов
или
Серверы терминалов
RDP через SSL
Корпоративная или частная сеть
Доменные службы Active Directory
Компьютеры с разрешенным протоколом удаленного рабочего стола
Базовый сценарий – подключение сотрудника, работающего на дому, к компьютерам корпоративной сети через шлюз служб терминалов
Примечание
В настоящем руководстве приводится процедура реализации шлюза служб терминалов по базовому сценарию, который предусматривает удаленное подключение клиента служб терминалов к ресурсу внутренней сети через сервер шлюза служб терминалов. Руководство не содержит инструкций по настройке брандмауэров, серверов терминалов, исполняющих удаленные приложения RemoteApp, и инфраструктуры Active Directory, несмотря на то, что все эти компоненты обозначены на схеме сценария. Данная схема изображает один из многочисленных способов реализации базового сценария удаленного доступа через шлюз служб терминалов в рабочей среде.
Инструкции по настройке сервера терминалов см. в разделе справки «Сервер терминалов» (http://go.microsoft.com/fwlink/?LinkId=72052).
Инструкции по настройке удаленных приложений RemoteApp см. в документе «Пошаговое руководство по настройке удаленных приложений RemoteApp служб терминалов ОС Windows Server 2008» (“Windows Server 2008 Terminal Services RemoteApp Step-by-Step Guide“) (на английском языке, http://go.microsoft.com/fwlink/?linkId=84895).
Инструкции по включению удаленного рабочего стола см. в разделе «Удаленный рабочий стол» справки по ОС Windows Server 2008.
Базовый сценарий реализации шлюза служб терминалов: порядок подключения
Ниже приводится упрощенное описание порядка подключения клиента TSCLIENT к компьютеру CORPORATERESOURCE через сервер TSGSERVER.
1. Пользователь клиента служб терминалов TSCLIENT может инициировать соединение одним из следующих способов.
Щелчком RDP-файла, который был предварительно настроен администратором, для доступа к своему полному рабочему столу.
Щелчком значка удаленного приложения RemoteApp. Удаленные приложения RemoteApp представлены в RDP-файле, который должен быть предварительно настроен администратором.
Путем обращения из интернета или интрасети к списку удаленных приложений RemoteApp, подготовленному администратором при помощи веб-доступа к службам терминалов (TS Web Access), на определенном веб-сайте, и последующего выбора мышью значка того или иного удаленного приложения RemoteApp.
Путем запуска программы клиента подключения к удаленному рабочему столу (RDC) и ручной настройки параметров соединения.
2. Между клиентом TSCLIENT и сервером TSGSERVER с помощью SSL-сертификата шлюза служб терминалов устанавливается туннель SSL. Перед тем как установить соединение с клиентом TSCLIENT, сервер TSGSERVER должен провести проверку подлинности и авторизацию пользователя в соответствии с политиками авторизации подключений служб терминалов (TS CAP), настроенными на сервере TSGSERVER администратором.
3. В случае успешного завершения проверки подлинности и авторизации сервер TSGSERVER отправляет клиенту TSCLIENT сигнал о продолжении последовательности подключения.
4. Клиент TSCLIENT отправляет запрос на подключение к компьютеру CORPORATERESOURCE через сервер TSGSERVER. Перед санкционированием запроса сервер TSGSERVER проверяет, удовлетворены ли оба приведенных ниже условия в отношении, по крайней мере, одной из настроенных на этом сервере политик авторизации ресурсов служб терминалов (TS RAP):
компьютер CORPORATERESOURCE входит в группу компьютеров, указанную в политике TS RAP;
пользователь входит в группу пользователей, указанную в политике TS RAP.
Если оба требования удовлетворены, сервер TSGSERVER санкционирует запрос.
5. Между клиентом TSCLIENT и сервером TSGSERVER устанавливается SSL-соединение, а между сервером TSGSERVER и компьютером CORPORATERESOURCE – RDP-соединение.
С этого момента все пакеты, которые клиент TSCLIENT отправляет серверу TSGSERVER, перенаправляются компьютеру CORPORATERESOURCE. Аналогичным образом, любые пакеты, которые компьютер CORPORATERESOURCE отправляет серверу TSGSERVER, пересылаются клиенту TSCLIENT.
6. Клиент TSCLIENT предпринимает попытку организовать сеанс пользователя на компьютере CORPORATERESOURCE. Компьютер CORPORATERESOURCE производит проверку подлинности ОС Windows, направленную на удостоверение личности пользователя, который запросил соединение, и выяснение привилегий, предоставленных этому пользователю на компьютере CORPORATERESOURCE (аналогичные меры были бы предприняты и в том случае, если бы клиент TSCLIENT отправил запрос на удаленное подключение к компьютеру CORPORATERESOURCE в обход сервера TSGSERVER).
7. Клиент TSCLIENT обменивается с сервером TSGSERVER зашифрованными пакетами по протоколу RDP, которые инкапсулируются внутри протокола SSL и передаются через порт 443. Сервер TSGSERVER пересылает эти пакеты компьютеру CORPORATERESOURCE через порт 3389.
|
