TS Gateway.doc

Windows Server 2008终端服务之TS Gateway1. 简介 终端服务网关（TS 网关）是一个终端服务子角色，允许经授权的远程用户通过 Internet 连接到企业网络中的终端服务器和工作站，RDP连接程序基于HTTPS实现客户端与终端服务器之间的通讯。这样，组织可轻松又安全地使远程用户或外出工作 的人员无需使用 VPN 连接就能访问所选的服务器和工作站。 TS 网关的一些主要好处如下： A、使远程用户能通过 Internet 安全连接到企业网络资源，而无需复杂的虚拟专用网络 (VPN) 连接。 B、利用 HTTPS 协议的安全性和可用性提供终端服务，无需进行客户端配置。 C、提供了一个全面的安全配置模型，管理员可使用此模型控制对网络中特定资源的访问。 D、使用户可穿过防火墙和网络地址转换器 (NAT) 远程连接到终端服务器和远程工作站。 E、提供了一个更加安全的模型，此模型允许用户仅访问所选的服务器和工作站，而不是通过 VPN 访问整个企业网络。 终端服务网关为组织提供了一种安全、轻松的方法，使远程用户无需安装和配置 VPN 连接即可访问网络中的服务器和工作站。使用全面的安全功能，管理员还可以控制对特定资源的访问。 说明： 1. 若要部署终端服务网关，必须要有一个用于终端服务网关与客户端进行通讯时用于数据加密的证书，该证书存储在TS网关服务器上，同时也将分发给所有客户端。 2. 客户端要想通过RDP连接程序连接到终端服务网关后由终端服务网关转接连接到终端服务器，客户端必须使用6.0或以后版本的RDP客户端连接程序。 1. 网络拓扑及TS Gateway组件须求 1. 网络拓扑 1. 组件需求 要想远程客户端通过TS网关接入企业内部网，在TS网关上必须安装如下几个角色，当我们在服务器管理中选择安装TS网关时，这些角色将会被自动安装，这些角色分别是： 1. Remote Procedure Call (RPC) over HTTP Proxy 2. WEB服务器（IIS7.0） 3. Network Policy and Access Services 当然您也可以配置使用其它NPS服务器，而不必在TS网关安装该服务。 1. 客户端需求 客户端若想连接到TS网关，必须满足以下条件，目前暂时还没有满足要求的Windows CE.net版本。 1. Windows Vista发行版本。 2. 带SP2的Windows XP且RDP客户端连接程序版本必须在6.0或以上。 3. Windows Server 2008 Beta 3以上版本。 4. 带SP1的Windows Server 2003且RDP客户端连接程序版本必须在6.0或以上。 2. 组件安装与设置 1. TS Gateway role service安装 1. 全新安装 如果该服务器未安装任何的终端服务角色，请按照如下步骤安装。 首先打开服务器管理控制台。 接下来将看到如下图所示的Windows Server 2008中集各项管理功能于一身的服务器管理控制台。 选中上图中左边树型结构中的Roles(角色)，并在右边窗口中选择Add Roles(添加角色)，接下来将弹出如下界面。 点击下一下后进主角色的选择界面。 如上图所示，选择其中的终端服务Terminal Services，并点击下一步将弹出如下界面： 接下来继续后志的子角色选择，如下图所示，选择下图中的TS网关（TS Gateway）。 接下来的步骤同下文将讨论的追加角色安装 1. 追加角色安装 在我们安装TS网关之前，若已经安装了终端服务的其它角色，则在服务器管理控制台中将可以看到终端服务（Terminal Services），在该界面可以追加安装TS网关角色。 首先打开服务器管理控制台，如下图所示。 从上图中可以看出，TS网关（TS Gateway）为未安装状态，可通过点击上图中的添加服务角色（Add Role Services）来添加。 当我们点击TS网关（TS Gateway）时，将弹出如下窗口，要求我们在该服务器安装需要的角色（在上文中已说明）。 点击上图中的添加需要的服务角色（Add Required Role Services）即可。 接下来继续后续的安装过程。在安装过程中安装程序会提示如何选择用于TS网关（TS Gateway）与客户端之间安全通讯的证书，在如下三种选择： 1. 选择一个已有的证书，当我们网络环境中已经有证书服务器或是我们从公共的证书机构申请到一个证书时，请选择此选项。 2. 由TS网关自已创建一个证书，当TS网关服务器不能从其它证书机构申请到证书，可选择此选择，由TS网关所创建的证书并不由客户端所信任，因此必须将该证书分发给所有的客户端，由在客户端上设置信任该证书。 3. 以后再选择证书。也可以在安装完TS网关后再选择相关的证书。 接下来，安装程序将提示是否创建授权策略？ 1. 创建客户端连接授权策略 连接授权策略可用于设置有哪些用户可以访问TS网关。 当我们选择现在创建并点击下一步后将弹出授权策略的界面，如下图所示： 在这里我们可以添加允许访问TS网关的远程用户，如下图所示，我们添加了域用户 接下来输入策略名称，如下图所示： 1. 创建客户端访问内网资源授权策略 资源访问授权策略可用于设置远程用户通过TS网关可以访问到内网的哪些资源。 点击下一步后将弹出如下创建资源访问策略的向导，如下图所示，我们选择只允许用户通过TS网关连接到某个计算机组。 1. 设置安装网络接入策略 为了增强安全性，可以设置TS网关和远程客户端使用NAP（Network Access Protection），NAP是一种系统安全策略，通过该策略，可以设置只有满足某种安全等级需求的客户端才能连接到TS网关，否则拒绝连接，如可以指 定要求客户端满足以下要求： 1. 打开防火墙； 2. 设置开启系统补丁自动升级功能； 3. 以及其它的一些计算机安全设置。 有关NAP的详细说明及安装配置请参考相关说明文档。 在这里，我们假设TS网关同时是网络接入策略服务的宿主（即在TS网关上安装网络接入策略服务），当完成前面的步骤后，安装程序将提示进行NAS安装。 1. 设置安装配置IIS 由于客户端的RDP连接程序将通过443端口安全连接到TS网关上，因此在TS网关上必须安装IIS相关服务。 接下来安装程序将自动安装IIS，根据向导进地配置即可。 1. 实施所设置的角色安装 通过前面步骤的配置后，接下来安装程序将进行实际的安装操作，如下图所示，这个过程将花几分钟时间。 安装结束后，将出现如下图所示的安装结果提示，下图显示各个角色均成功安装。 1. 校验安装 当我们安装完TS网关角色后，可以在服务器管理终端服务中验证安装是否成功，TS网关角色是否正常运地。如下较所示，可以看到TS网关服务已运行，且设为自动启动状态。 同时，我们进一步验证WEB服务器中的设置是否正确，如下图所示，打开IIS管理器，并选择网站默认网站，并选择其中的管理网站中的高级设置。 此时，查看自动启动项是否设为是，如不是请将其改为是，如下图所示： 1. 证书导入 上文已经提到，客户端与TS网关间通讯时需要一个证书，这里将在TS网关服务器上导入用于客户端与TS网关之间通讯的证书。 说明：若在此之间未获得或创建一个证书，请先依据下一步申请或创建一个证书。 如下图所示，打开MMC管理控制台。 如下图所示，选择添加/删除管理单元。 接下来，选择证书，并点击添加，如下图所示： 选择为计算机帐号管理证书，如下图所示： 选择管理本计算机，如下图所示： 选择结束后，出现如下图示： 点击OK即可。接下来选择证书管理单元中的证书个人，并右击选择所有会务中的导入。 接下来将出现证书导入向导，根据向导进行导入即可。 导入成功后，在证书管理单元中的个人证书将可以看到所导入的证书，如下图所示： 1. 创建证书 若在导入证书之前未获得证书，可通过证书申请工具向CA申请一个证书，若没有可用CA，可由TS网关生成一个证书。过程如下 打开管理工具终端服务TS网关管理，如下图所示。 点击上较中的添加TS网关服务器场成员或点击该TS服务器的属性，将弹出如下图示： 切换到SSL证书。 点击上图中的创建一个用于SSL加密的证书。 如上图所示，输入TS网关服务器的全称，并选择证书保存位置后即可。成功创建证书后将弹出如下提示： 1. 映射证书 当创建了证书并将证书导入到TS网关服务器后，可以将该证书映射到TS网关服务中，以供通讯数据加密使用。 如下图所示，选择TS网关服务器中的属性。 切换到SSL证书，并选择其中的选择一个证书用于SSL加密，如下图所示： 点击上图中的浏览证书后将出现选择证书的界面，如下图所示， 选择证书并点击安装即可。 1. 安装配置后的校验 成功安装与配置后，可以在服务器管理控制台中校验安装配置结果，如下图所示： 在我们未正确导入证书之前，系统中有一条错误提示信息，提示未正确安装导入证书，如下图所示： 当我们成功安装导入证书后，系统有一个提示信息，提示TS网关服务已成功启动。 1. 添加允许客户端连接TS网关的策略及资源访问策略（TS-CAP与TS-RAP） 当成功配置TS网关后，管理员还可以增加客户端访问策略，包括客户端连接TS网关的策略及客户端通过TS网关访问内部终端服务器的策略，如下图所示： 根据向导进地设置即可。 1. 设置限制最大连接数 接下来可以设置TS网关允许的最大连接数，如下图所示，打开TS网关的属性。 选择常规选项卡后即可在其中设置允计的最大连接数，如下图所示： 1. 客户端设置与连接 1. 获得并设置信任TS Gateway上的证书 客户端连接到TS网关时需要有一个证书用于数据加密，且该证书必须与TS网关上的证书一样，因此将前文中在TS Gateway上生成的证书（如本例的Win2008EnTSVR.）分发到需要连接到TS Gateway的客户端上，如下图所示： 1. 在客户端上导入信任该证书 打开证书管理工具如下图所示： 1. 客户端RDP连接设置 接下来打开客户端上的RDP连接程序，如下图所示，并点击其中的选项。 点击选项后将弹出如下窗口，选择其中的高级，如下图所示： 点击上图中的设置将弹出如下设置界面： 说明：在设置中可以设置本地地址绕过TS网关，但在我们这个测试环境中，为了验证TS网关功能，在这里不勾选该选项。 注意：此处的Server name一定要和证书中的名字（全名，如）完全一致，否则将提示找不到证书。 1. 客户端连接 接下来客户端即可连接到TS网