В цій замітці я приділю увагу тому, що чекає нас на шляху впровадження основних термінальних служб Windows 2008.
Навіщо нам це треба? Переваг досить багато, і найголовніші з них – можливість публікації окремих програм та доступу з будь-якої точки мережі без використання VPN.
Що для цього треба? Як мінімум – Windows Server 2008та трохи часу.
Для початку визначаємось, які ролі має виконувати наш сервер. По-перше, це власне Terminal Server, TS Gateway для організації доступу з Інтернет, а також TS WebAccess – це забезпечить можливість отримати доступ до опублікованих програм через веб-інтерфейс.
Встановити ролі можна за допомогою утиліти servermanagercmd.exe:
servermanagercmd –install TS-Terminal-Server
servermanagercmd –install TS-Gateway
servermanagercmd –install TS-Web-access
Після встановлення цих ролей та їх залежностей (веб –сервер, інструменти керування та ін) сервер необхідно перезавантажити.
От тут то нас і чекають граблі номер раз – навіть якщо ми маємо нормальні, дійсні сервери ліцензування термінальних серверів в нашій організації, нас буде повідомлено про те, що для роботи сервера на основі Windows 2008 версія ОС сервера ліцензування має бути не нижчою.
Розібравшись з ліцензуванням, або відклавши це питання на кращих часів (120 днів випробного терміну), переходимо до конфігурації кожної з ролей.
Почнемо зі шлюзу. Детально процедуру описано в статті http://technet.microsoft.com/en-us/library/cc754252.aspx . Перш за все, нам необхідно встановити на нього валідний сертифікат. Його ім’я має співпадати з тим іменем, що використовуватимуть користувачі для з’єднання зі шлюзом. Для цього ми маємо імпортувати його в сховище personal на сервері, а потім за допомогою консолі TS Gateway Manager у властивостях відповідного сервера, на вкладці SSL Certificate обрати його. Переходимо до контейнеру policies. Він містить контейнери, що зберігають CAP (Connections Authorization Policies) та RAP (Resource Authorization Policies). Перші визначають хто може під’єднуватися до шлюзу, а останні – встановлюють групи ресурсів, доступні для певних груп користувачів.
Переходимо до конфігурації RemoteApps. Всі операції достпуні через консоль TS RemoteApp Manager. Відкривши Terminal Server Setting маємо можливість задати повне ім’я термінального сервера, на якому встановлено програми, що публікуються, а на закладці Gateway Settings визначаємо, який шлюз використовувати для підєднання до термінального серверу, метод автентифікаці та можливість оминати шлюз для локальних адрес. Щоб опублікувати певну програму, достатньо додати її в список RemoteApp Programs, розташований внизу консолі. Зробити ці програми доступними для користувачів ми можемо однім з кількох методів – створивши .rdp-файли і розповсюдивши їх на клієнтські машини, створивши пакети інсталяції .msi та встановивши їх користувачам за допомогою групових політик, або ж опублікувавши через WebAccess.
Конфігурація WebAccess полягає в тому, що ім’я цього сервера вноситься в локальну групу Web Access Computers на термінальному сервері, та обікового запису адміністратора в групу TS Web Access Administrators. Отримати доступ до сторінки з опублікованими програмами можна за адресою https://webacc/ts.
Якщо шлюз та сервер WebAccess розташовано всередині корпоративної мережі, то для зовнішніх користувачів їх можна опублікувати за допомогою MS ISA Server, розміщеного в периметрі. Створивши звичайне правило публікації веб-серверу згідно інструкції в статті http://technet.microsoft.com/en-us/library/cc731353.aspx. Специфічний момент полягає в тому, що якщо на одному зовнішньому інтерфейсі ISA вже опубліковано ssl сайт, то ми не можемо опублікувати інший на тому ж порту (досить логічно). Щоб вийти з цієї ситуації, ми просто назначаємо мережевому інтерфейсу альтернативну ip-адресу та направляємо дві різних web-listener на різні IP, і в цьому випадку для двох сайтів можна використовувати один і той же порт (в нашому випадку 443). Після того, як назначено додаткову адресу й написано правило, не полініться – перезавантажте ISA сервер. Свого часу недотримання цієї рекомендації коштувало мені кілько робочих днів та купи нервів. Це власне були граблі номер два.
Тепер шлюз термінальних серверів та WebAccess досяжні як з внутрішньої мережі, так і ззовні. В результаті користувачі мають можливість отримати з будь-якої точки мережі доступ до своїх робочих місць та необхідних інструментів, а адміністратори можуть бути спокійнішими за безпеку середовища, оскільки більше немає потреби виставляти в зовнішню мережу RDP-порти або давати доступ по VPN рядовим користувачам. Виграють всі =).
Немає коментарів:
Дописати коментар