Пошаговое руководство по установке программного

Пошаговое руководство по установке
программного обеспечения сервера
шлюза служб терминалов операционной
системы Windows Server 2008
Корпорация Майкрософт
Дата опубликования: декабрь 2007 г.
Дата последнего изменения: декабрь 2007 г.
Краткий обзор
Шлюз служб терминалов – это новая служба роли, доступная пользователям
операционной системы (ОС) Microsoft Windows Server® 2008. Шлюз служб терминалов
позволяет удаленным пользователям, имеющим необходимые полномочия, подключаться
к ресурсам внутренней корпоративной или частной сети с любого устройства,
подключенного к интернету и поддерживающего клиентское подключение к удаленному
рабочему столу (Remote Desktop Connection, RDC). В качестве ресурсов внутренней сети
могут выступать серверы терминалов, в том числе, исполняющие удаленные приложения
RemoteApp™, или компьютеры с разрешенным протоколом удаленного рабочего стола.
Шлюз служб терминалов инкапсулирует протокол удаленного рабочего стола (Remote
Desktop Protocol, RDP) в рамках протокола RPC, причем результирующие пакеты
передаются средствами HTTP по безопасному каналу SSL (Secure Sockets Layer). Таким
образом, шлюз служб терминалов позволяет организовать защищенное соединение между
удаленными пользователями сети интернет, с одной стороны, и ресурсами внутренней
сети, в которых исполняются их рабочие приложения, с другой.
Настоящий документ относится к предварительной версии программного продукта,
которая может в значительной степени измениться до выхода заключительной версии,
и содержит конфиденциальную информацию, являющуюся собственностью корпорации
Майкрософт. Данная информация предоставляется на основе соглашения о
неразглашении между стороной, которой она предоставляется, и корпорацией
Майкрософт. Документ предназначен исключительно для информационных целей, и
корпорация Майкрософт не предоставляет в настоящем документе каких-либо явных
или подразумеваемых гарантий. Сведения, приведенные в документе, включая URLадреса и иные ссылки на веб-узлы, могут быть изменены без предварительного
уведомления. Весь риск использования документа или содержащихся в нем результатов
возлагается на потребителя. За исключением специально оговоренных случаев все
приведенные в документе примеры компаний, организаций, продуктов, доменных имен,
адресов электронной почты, логотипов, людей, мест и событий являются
вымышленными и не предполагают какой-либо связи с реально существующими
компаниями, организациями, продуктами, доменными именами, адресами электронной
почты логотипами, людьми, местами или событиями. Соблюдение всех
соответствующих авторских прав является обязанностью пользователя.
Воспроизведение, сохранение или размещение любых частей документа в
информационно-поисковых системах, а также передача этих частей в любой форме и
любым способом— электронным, механическим, путем фотокопирования, записи или
иными методами, без официального письменного уведомления корпорации Майкрософт
запрещается.
На материалы, содержащиеся в документе, может распространяться действие
патентов, заявок на патенты, товарных знаков или других прав на интеллектуальную
собственность корпорации Майкрософт. Документ не дает никаких разрешений на
использование патентов, товарных знаков, авторских прав или иных форм
интеллектуальной собственности, за исключением случаев, когда эти права
предоставляются явным образом на основании письменного лицензионного соглашения
с корпорацией Майкрософт.
© 2007 Корпорация Майкрософт. Все права защищены.
Active Directory, Microsoft, MS-DOS, Visual Basic, Visual Studio, Windows, Windows NT и
Windows Server являются либо зарегистрированными товарными знаками, либо
товарными знаками корпорации Майкрософт в США и/или других странах.
Все другие товарные знаки являются собственностью их соответствующих
владельцев.
Содержание
Пошаговое руководство по установке программного обеспечения сервера шлюза служб
терминалов операционной системы Windows Server 2008 .................................................... 7
Обзор функций шлюза служб терминалов .................................................................................. 7
Группы пользователей, для которых предназначен шлюз служб терминалов ................. 8
Преимущества использования шлюза служб терминалов ................................................. 8
Справочные материалы .................................................................................................... 10
Необходимые условия работоспособности шлюза служб терминалов ................................. 10
Зависимость от ролей, служб ролей и компонентов ......................................................... 11
Административные полномочия .......................................................................................... 12
Особые замечания о шлюзе служб терминалов....................................................................... 12
Замечания о сервере шлюза служб терминалов .................................................................. 12
Разрешение имен.................................................................................................................. 12
Сброс настроек перенаправления устройств после перехода на версию RC0 .............. 13
Замечания о клиенте служб терминалов ............................................................................... 13
Возможная ошибка при автоматическом повторном подключении к серверу шлюза
служб терминалов после выхода клиента служб терминалов из «спящего» режима 13
При проверке подлинности с помощью смарт-карты возможны ошибки в ходе
обработки запросов на соединение через сервер шлюза служб терминалов,
поступающих от клиента под управлением ОС Windows XP с пакетом обновления 2
(SP2) ................................................................................................................................... 14
Настройка шлюза служб терминалов: базовый сценарий ....................................................... 14
Базовый сценарий реализации шлюза служб терминалов: системные требования ..... 15
Схема реализации шлюза служб терминалов по базовому сценарию ............................ 17
Базовый сценарий реализации шлюза служб терминалов: порядок подключения ....... 18
Поэтапная настройка сервера шлюза служб терминалов согласно базовому сценарию . 19
1. Установка службы роли шлюза служб терминалов ....................................................... 20
Проверка успешного завершения установки служб ролей и состояния службы шлюза
служб терминалов .......................................................................................................... 23
2. Получение сертификата для сервера шлюза служб терминалов ................................ 24
Требования к сертификатам шлюза служб терминалов ................................................ 24
Применение имеющихся сертификатов .......................................................................... 25
Обзор процесса установки и настройки сертификата .................................................... 26
Создание самозаверяющего сертификата для шлюза служб терминалов ................. 28
3. Настройка сертификата для сервера шлюза служб терминалов ................................. 30
Установка сертификата на сервере шлюза служб терминалов .................................... 30
Сопоставление сертификата сервера шлюза служб терминалов ................................ 32
Обзор политик авторизации шлюза служб терминалов .................................................... 32
Политики авторизации подключений служб терминалов (TS CAP) .............................. 33
Политики авторизации ресурсов служб терминалов (TS RAP) ..................................... 34
Группы безопасности и группы компьютеров, находящиеся под управлением шлюза
служб терминалов и связываемые с политиками TS RAP ......................................... 35
4. Создание политики TS CAP сервера шлюза служб терминалов ................................. 35
5. Создание политики TS RAP и выбор компьютеров, к которым пользователи смогут
подключаться через сервер шлюза служб терминалов ................................................. 37
6. Определение максимального числа одновременных соединений, устанавливаемых
через шлюз служб терминалов (факультативная задача) ............................................ 40
Поэтапная настройка клиента служб терминалов согласно базовому сценарию
реализации шлюза служб терминалов ............................................................................... 41
1. Установка корневого сертификата сервера шлюза служб терминалов в хранилище
доверенных корневых центров сертификации клиента служб терминалов
(факультативная задача) .................................................................................................. 42
1. Установка корневого сертификата сервера шлюза служб терминалов в хранилище
доверенных корневых центров сертификации клиента служб терминалов
(факультативная задача) .................................................................................................. 42
2. Настройка параметров подключения к удаленному рабочему столу .......................... 44
3. Проверка корректности установления сквозных соединений через шлюз служб
терминалов ........................................................................................................................ 46
Настройка шлюза служб терминалов: сценарий с участием технологии защиты доступа к
сети (NAP) ................................................................................................................................. 47
Сценарий реализации служб терминалов с участием технологии NAP: системные
требования ......................................................................................................................... 48
Схема реализации шлюза служб терминалов по сценарию с участием технологии NAP
............................................................................................................................................. 50
Поэтапная настройка сервера шлюза служб терминалов согласно сценарию с участием
технологии NAP ..................................................................................................................... 51
1. Включение проверки соблюдения политики работоспособности технологии NAP на
сервере шлюза служб терминалов .................................................................................. 52
2. Удаление существующих политик TS CAP и создание трех новых политик этого типа
на сервере шлюза служб терминалов ............................................................................. 53
3. Настройка на сервере шлюза служб терминалов средства проверки
работоспособности системы безопасности ОС Windows .............................................. 54
4. Создание на сервере шлюза служб терминалов политик технологии NAP средствами
мастера Configure NAP Wizard (настройки технологии NAP) ........................................ 55
Поэтапная настройка клиента служб терминалов в качестве клиента принудительной
защиты доступа к сети .......................................................................................................... 57
1. Загрузка и выполнение команды настройки клиента служб терминалов,
использующего технологии NAP ...................................................................................... 57
2. Проверка успешного применения политики работоспособности технологии NAP на
клиенте служб терминалов ............................................................................................... 59
Тест блокировки подключения клиента, поддерживающего технологию NAP ............ 60
Проверка блокирования подключения согласно политике работоспособности
технологии NAP .............................................................................................................. 61
Тест успешного подключения клиента, поддерживающего технологию NAP ............. 62
Проверка успешного подключения согласно политике работоспособности технологии
NAP .................................................................................................................................. 63
Тест блокировки подключения клиента, не поддерживающего технологию NAP ....... 64
Справочные материалы .................................................................................................... 65
Настройка шлюза служб терминалов: сценарий с участием сервера ISA Server ................. 65
Конфигурации, прошедшие тестирование в рамках сценария совместной реализации
шлюза служб терминалов и сервера ISA ........................................................................ 66
Настройка соединений между сервером ISA и сервером шлюза служб терминалов .... 68
Схема совместной реализации шлюза служб терминалов и сервера ISA ...................... 68
Поэтапная настройка сервера шлюза служб терминалов согласно сценарию его
совместной реализации с сервером ISA ............................................................................ 69
1. Экспорт SSL-сертификата сервера шлюза служб терминалов и его копирование на
сервер ISA .......................................................................................................................... 70
2. Установка SSL-сертификата сервера шлюза служб терминалов на сервере ISA ..... 72
3. Копирование корневого сертификата сервера шлюзов служб терминалов и его
установка на сервере ISA ................................................................................................. 73
4. Создание на сервере ISA нового правила веб-публикации .......................................... 75
Создание нового правила веб-публикации при использовании ОС ISA Server 2004 . 75
Создание нового правила веб-публикации на сервере с ОС ISA Server 2006 ............ 78
5. Разрешение или установка запрета на организацию моста HTTPS-HTTP на сервере
шлюза служб терминалов ................................................................................................. 81
7. Проверка настроек клиента и возможности установления сквозных соединений ..... 81
Справочные материалы .................................................................................................... 82
Контроль активных подключений через сервер шлюза служб терминалов ........................... 82
Выбор событий шлюза служб терминалов, подлежащих регистрации в журнале ......... 83
Просмотр подробных сведений об активных подключениях через сервер шлюза служб
терминалов ........................................................................................................................ 85
Пример сценария для проверки правильности настройки сертификатов .............................. 87
Исполнение сценария Rpcpingtest ...................................................................................... 88
Пример выходного потока после успешного исполнения команды ................................. 88
Пример сценария Rpcping .................................................................................................... 88
Заявление об отказе от гарантий ........................................................................................ 90
Пошаговое руководство по установке
программного обеспечения сервера
шлюза служб терминалов операционной
системы Windows Server 2008
В настоящем руководстве описывается набор функций шлюза служб терминалов (Terminal
Services Gateway, TS Gateway), реализованный в версии RC0 ОС Windows Server® 2008.
В частности, рассматриваются следующие темы:




Обзор функций шлюза служб терминалов
Необходимые условия работоспособности шлюза служб терминалов
Особые замечания о шлюзе служб терминалов
Настройка шлюза служб терминалов: базовый сценарий

Настройка шлюза служб терминалов: сценарий с участием технологии защиты доступа
к сети (NAP)

Настройка шлюза служб терминалов: сценарий с участием сервера ISA Server

Контроль активных подключений через сервер шлюза служб терминалов

Пример сценария для проверки правильности настройки сертификатов
Обзор функций шлюза служб терминалов
Шлюз служб терминалов ОС Windows Server® 2008 – это служба роли, которая позволяет
удаленным пользователям, имеющим необходимые полномочия, подключаться к ресурсам
внутренней корпоративной или частной сети с любого устройства, подключенного к
интернету и поддерживающего клиентское подключение к удаленному рабочему столу
(Remote Desktop Connection, RDC). В качестве сетевых ресурсов могут выступать серверы
терминалов, в том числе, исполняющие удаленные приложения RemoteApp™, или
компьютеры с разрешенным протоколом удаленного рабочего стола.
Шлюз служб терминалов инкапсулирует протокол удаленного рабочего стола (Remote
Desktop Protocol, RDP) в рамках протокола RPC, причем результирующие пакеты
передаются средствами HTTP по безопасному каналу SSL (Secure Sockets Layer). Таким
образом, шлюз служб терминалов позволяет организовать защищенное соединение между
удаленными пользователями сети интернет, с одной стороны, и ресурсами внутренней
сети, в которых исполняются их рабочие приложения, с другой.
Процедуры, представленные в настоящем руководстве, помогут установить программное
обеспечение (ПО) сервера шлюза служб терминалов. После такой настройки удаленные
пользователи смогут обращаться к серверам терминалов, в том числе исполняющим
7
удаленные приложения RemoteApp, а также к компьютерам с разрешенным протоколом
удаленного рабочего стола во внутренней корпоративной или частной сети.
Примечание
После выполнения процедур установки ПО сервера шлюза служб терминалов,
описанных в настоящем руководстве, необходимо, во-первых, настроить
клиентские приложения так, чтобы они могли подключаться к серверу, а, во-вторых,
убедиться в том, что возможность установления сквозных соединений через шлюз
служб терминалов существует. Инструкции по настройке клиентских приложений и
проверке сквозных соединений см. в документе «Пошаговое руководство по
установке клиентского приложения служб теминалов» (“Terminal Services Client
Step-by-Step Setup Guide for TS Gateway”).
Группы пользователей, для которых предназначен шлюз
служб терминалов
Настоящее руководство предназначено для следующих групп пользователей:

администраторов, планировщиков и аналитиков, стремящихся оценить различные
инструменты удаленного доступа и мобильной работы;

архитекторов и проектировщиков корпоративных информационных инфраструктур;

ранних последователей продукта;

архитекторов систем безопасности, в задачи которых входит реализация надежных
вычислительных инструментов;

специалистов по информационным технологиям, ответственных за сопровождение
серверов терминалов и организацию удаленного доступа к рабочим столам.
Преимущества использования шлюза служб терминалов
Использование шлюза служб терминалов обеспечивает пользователей рядом
преимуществ, некоторые из которых перечислены ниже.

Шлюз служб терминалов предоставляет пользователям возможность устанавливать
зашифрованное удаленное соединение с ресурсами внутренней сети через интернет
без настройки виртуальной частной сети (virtual private network, VPN).

Шлюз служб терминалов предусматривает комплексную модель безопасности,
благодаря которой администраторы могут контролировать доступ к определенным
ресурсам внутренней сети. Шлюз служб терминалов ограничивает набор ресурсов
внутренней сети, к которым пользователи получают доступ, за счет организации
двухточечных соединений по протоколу RDP.

Шлюз служб терминалов позволяет большинству удаленных пользователей
подключаться к внутрисетевым ресурсам, защищенным брандмауэрами частных сетей,
в том числе через трансляторы сетевых IP-адресов (network address translators, NAT).
8
При наличии шлюза служб терминалов дополнительная настройка сервера и клиентов
служб терминалов не требуется.
В предыдущих версиях ОС Windows Server удаленные пользователи по соображениям
безопасности не могли подключаться к ресурсам внутренних сетей, если они были
защищены брандмауэрами или оснащены трансляторами сетевых IP-адресов. Это
связано с тем, что порт 3389, применявшийся для обслуживания соединений по
протоколу RDP, как правило, блокируется в целях защиты сети. Теперь шлюз служб
терминалов пропускает трафик по протоколу RDP через порт 443 с применением
туннельного соединения по протоколам HTTP Secure Sockets Layer и Transport Layer
Security (SSL/TLS). Связь с интернет-ресурсами во многих компаниях осуществляется
именно через порт 443, что позволяет шлюзу служб терминалов устанавливать
удаленные соединения, несмотря на наличие многочисленных брандмауэров.


Консоль оснастки, предусмотренная для диспетчера шлюза служб терминалов,
помогает администраторам в настройке политик авторизации, которые определяют
условия подключения удаленных пользователей к ресурсам внутренней сети. В
частности, политики авторизации отвечают на следующие вопросы:

кто вправе подключаться к сетевым ресурсам (иначе говоря, какие группы
пользователей имеют на это право);

к каким сетевым ресурсам (группам компьютеров) пользователи могут
подключаться;

должны ли клиентские компьютеры быть участниками групп безопасности Active
Directory®;

разрешено ли перенаправление устройств и дисков;

по какому методу – с помощью смарт-карты или пароля – пользователи должны
проходить проверку подлинности, и могут ли они выбирать один из этих методов по
своему усмотрению.
Для повышения уровня безопасности серверы шлюзов и клиенты служб терминалов
можно настроить в расчете на применение технологии защиты доступа к сети (Network
Access Protection, NAP). NAP – это технология создания, введения в действие и
исправления политик работоспособности, реализованная в окончательных начальных
версиях (RTM) ОС Windows Vista®, Windows Server 2008, а также в бета-версиях пакета
обновления 1 (SP1) для ОС Windows Vista и пакета обновления 3 (SP3) для ОС
Windows XP. Бета-версии пакета обновления 1 (SP1) для ОС Windows Vista и пакета
обновления 3 (SP3) для ОС Windows XP доступны участникам соответствующих
программ Microsoft® Connect Beta на веб-ресурсе MS Connect
http://go.microsoft.com/fwlink/?LinkID=102024.
При помощи технологии защиты NAP системные администраторы могут устанавливать
требования к работоспособности, регламентирующие, в частности, требования к ПО,
обновлению систем безопасности, конфигурации компьютеров и т.п..
9
Примечание
Когда в шлюзе служб терминалов используется технология защиты NAP, в
качестве клиентов не могут выступать компьютеры, работающие под
управлением ОС Windows Server 2008. В таких условиях исполнять роль
клиентов могут только компьютеры с RTM-версиями ОС Windows Vista, бетаверсиями пакета обновления 1 (SP1) ОС Windows Vista и пакета обновления 3
(SP3) ОС Windows XP.

Для повышения уровня безопасности сервер шлюза служб терминалов можно
совместить с сервером безопасности и ускорения Microsoft Internet Security and
Acceleration Server (ISA). В таком случае серверы шлюзов служб терминалов можно
разместить в частной сети, а ISA Server – в демилитаризованной зоне (demilitarized
zone, DMZ; альтернативное наименование – «промежуточная подсеть»). Кроме того,
сервер ISA Server может исполнять роль изолятора на одной или на обеих границах
демилитаризованной зоны. SSL-соединение между клиентом служб терминалов и
сервером ISA Server, находящимся на границе с Интернетом, может завершаться со
стороны последнего.

Инструментарий диспетчера шлюза служб терминалов помогает контролировать
состояние подключения, работоспособность и события шлюза. В диспетчере шлюза
служб терминалов можно явно указать события, подлежащие аудиторскому контролю
(например, неудачные попытки подключения к серверу шлюза служб терминалов).
Справочные материалы

Сведения о поддержке продукта см. на странице «Службы терминалов» (на английском
языке) на веб-сайте Windows Server 2008 TechCenter
(http://go.microsoft.com/fwlink/?LinkId=48555).

Ссылки на группы новостей, посвященные службам терминалов, имеются на странице
«Сообщество пользователей служб терминалов» (на английском языке) на веб-сайте
Microsoft TechNet (http://go.microsoft.com/fwlink/?LinkId=85730).

Бета-тестировщики и участники специальной программы внедрения технологий
(Technology Adoption Program, TAP) могут обращаться за помощью напрямую к
специально назначенным участникам группы разработчиков корпорации Майкрософт.
Необходимые условия работоспособности
шлюза служб терминалов
Для корректного функционирования шлюза служб терминалов необходимо выполнение
следующих предварительных требований.

Наличие сервера с установленной ОС Windows Server 2008.
10

Наличие SSL-сертификата для сервера шлюза служб терминалов. По умолчанию
служба балансировки нагрузки по протоколам RPC и HTTP сервера шлюза служб
терминалов и информационного сервера интернет IIS зашифровывают пакеты,
которые передаются между серверами шлюзов служб терминалов в интернете,
средствами протокола TLS (Transport Layer Security) 1.0. Для обеспечения корректной
работы этого протокола на сервере шлюза служб терминалов необходимо установить
SSL-сертификат.
Примечание
В случае, если в организации применяется другой метод получения внешних
достоверных сертификатов, и этот метод удовлетворяет требованиям шлюза
служб терминалов, наличие инфраструктуры центра сертификации (certification
authority, CA) не является обязательным. Если в компании нет ни центра
сертификации предприятия, ни изолированного центра сертификации, ни
совместимого сертификата, полученного от доверенного общедоступного
центра сертификации, то в целях технической оценки и тестирования сервера
шлюза служб терминалов можно создать самозаверяющий сертификат.
Требования к сертификации шлюза служб терминалов, а также процедуры получения и
установки сертификата описаны в подразделе «Получение сертификата для сервера
шлюза служб терминалов» раздела «Настройка шлюза служб терминалов: базовый
сценарий».

Присоединение серверов шлюзов служб терминалов к домену Active Directory в
следующих случаях:

при настройке политики авторизации, предусматривающей членство
пользователей в домене как обязательное условие подключения к серверу шлюза
служб терминалов;

при настройке политики авторизации, предусматривающей членство клиентских
компьютеров в домене как обязательное условие подключения к серверу шлюза
служб терминалов;

при развертывании фермы серверов шлюзов служб терминалов с балансировкой
нагрузки.
Зависимость от ролей, служб ролей и компонентов
Для корректного функционирования шлюза служб терминалов необходимо установить и
запустить ряд служб ролей и компонентов. Если перечисленные далее дополнительные
роли, службы ролей и компоненты в системе не установлены, то они устанавливаются и
запускаются автоматически при установке службы роли шлюзf служб терминалов .

Роль удаленного вызова процедур (Remote Procedure Call, RPC) через прокси-сервер
протокола HTTP.

Роль информационного веб-сервера IIS (службы Microsoft IIS версии 7.0).
Для удаленного вызова процедур через прокси-сервер протокола HTTP должен быть
установлен и запущен информационный сервер интернет IIS 7.0.
11

Роль службы сетевых политик и доступа
Шлюз служб терминалов можно настроить в расчете на применение политик
авторизации подключений служб терминалов (Terminal Services connection authorization
policies, TS CAP), хранящихся на другом сервере с работающей службой сервера
политики сети (Network Policy Server, NPS). При этом на сервере NPS, ранее известном
как RADIUS-сервер, в централизованном порядке осуществляются функции хранения,
управления и проверки политик служб терминалов. Если сервер NPS был развернут
ранее – например, для соединений виртуальной частной сети и удаленного доступа –
то его рекомендуется использовать и для обслуживания шлюза служб терминалов.
Административные полномочия
На компьютере, который предполагается настроить в качестве сервера шлюза служб
терминалов, необходимо входить в группу «Администраторы».
Особые замечания о шлюзе служб
терминалов
Ниже приведены особые замечания о шлюзе служб терминалов в версии RC0 ОС Windows
Server 2008.
Замечания о сервере шлюза служб терминалов
В настоящем подразделе представлены особые замечания о сервере шлюза служб
терминалов.
Разрешение имен
Подключаясь к компьютеру, входящему в состав внутренней корпоративной сети, через
сервер шлюза служб терминалов, удаленный пользователь может указать либо имя
службы имен (, либо полное доменное имя (FQDN) компьютера назначения. При указании
полного доменного имени компьютера назначения в условиях, когда действующая
политика авторизации ресурсов служб терминалов (Terminal Services resource authorization
policy, TS RAP) на сервере шлюза служб терминалов содержит имя службы имен
компьютера, попытка соединения будет успешной.
В то же время, если пользователь попытается обратиться к компьютеру по имени NetBIOS,
а в политике TS RAP на сервере шлюза служб терминалов будет указано полное доменное
имя целевого компьютера, произойдет ошибка разрешения имен, и пользователь не
сможет подключиться к искомому компьютеру.
Во избежание ошибок разрешения и для поддержки обоих типов имен (NetBIOS и FQDN)
следует включать в группу компьютеров, которая создается в процессе настройки политики
12
TS RAP, все возможные имена компьютеров. К примеру, несмотря на то, что имена
MySAPReportingServer и MySAPReportingServer.seattle.corp.microsoft.com относятся к
одному и тому же компьютеру, они оба должны фигурировать в данной группе.
Сброс настроек перенаправления устройств после перехода
на версию RC0
При миграции сервера шлюза служб терминалов с бета-версии 3 ОС Windows Server 2008
на версию RC0 ОС Windows Server 2008 существующие настройки перенаправления
устройств, определенные в политике TS CAP, не сохраняются. Чтобы решить эту
проблему, после окончания процесса обновления операционной системы выполните
повторную настройку параметров перенаправления. Аналогичная проблема возникает при
экспорте политики TS CAP из сервера шлюза служб терминалов, работающего под
управлением бета-версии 3 ОС Windows Server 2008, с ее последующим экспортом на
сервер шлюза служб терминалов, управляемый версией RC0 ОС Windows Server 2008.
Ниже перечислены известные проблемы, возникающие при подключении клиентов служб
терминалов к серверу шлюза служб терминалов, работающему под управлением версии
RC0 ОС Windows Server 2008.
Замечания о клиенте служб терминалов
Ниже приведены особые замечания о применении клиента служб терминалов для
соединения с сервером шлюза служб терминалов.
Возможная ошибка при автоматическом повторном
подключении к серверу шлюза служб терминалов после
выхода клиента служб терминалов из «спящего» режима
Если после удаленного подключения к другому компьютеру через сервер шлюза служб
терминалов клиент служб терминалов, инициировавший соединение, войдет в «спящий»
режим, а затем выйдет из него, попытка автоматического повторного подключения к
удаленному компьютеру через сервер шлюза служб терминалов может завершиться
неудачно. Чтобы решить эту проблему, откройте диспетчер задач, завершите процесс
mstsc (подключение к удаленному рабочему столу) и попытайтесь вновь установить
соединение. Простое завершение процесса mstsc не снимает рассматриваемую проблему.
13
При проверке подлинности с помощью смарт-карты
возможны ошибки в ходе обработки запросов на соединение
через сервер шлюза служб терминалов, поступающих от
клиента под управлением ОС Windows XP с пакетом
обновления 2 (SP2)
При подключении клиента, работающего под управлением ОС Windows® XP с пакетом
обновления 2 (SP2), к удаленному компьютеру через сервер шлюза служб терминалов
может быть выведено сообщение об ошибке конфигурации удаленного компьютера. Такой
сценарий возможен при следующих обстоятельствах.
1. Во время сеанса подключения к удаленному компьютеру смарт-карта осталась в
обработчике смарт-карт.
2. Смарт-карта осталась в обработчике после завершения сеанса.
3. Смарт-карта осталась в обработчике при попытке установить новое подключение.
Чтобы решить эту проблему, извлеките смарт-карту из обработчика, вставьте её вновь и
повторите попытку соединения.
Настройка шлюза служб терминалов:
базовый сценарий
Выполнение приведенных ниже процедур обеспечивает успешную настройку и
демонстрацию работы шлюза служб терминалов по базовому сценарию, который в
настоящем руководстве рассматривается в качестве примера. Этот сценарий позволяет
настроить сервер шлюза служб терминалов так, чтобы с его помощью пользователи могли
обращаться к ресурсам внутренней сети через интернет. Согласно данному сценарию в
качестве ресурсов внутренней сети могут выступать серверы терминалов, в том числе
исполняющие удаленные приложения RemoteApp, а также компьютеры с разрешенным
протоколом удаленного рабочего стола.
1. Для изучения данного сценария рекомендуется произвести настройку трех
компьютеров:

сервера шлюза служб терминалов (называемого в настоящем примере
«TSGSERVER»);

клиента служб терминалов (называемого в настоящем примере «TSCLIENT»);

ресурса внутренней сети (называемого в настоящем примере
«CORPORATERESOURCE»).
Компьютеры, выполняющие указанные роли, должны удовлетворять системным
требованиям, описанным в разделе «Базовый сценарий реализации служб
терминалов: системные требования».
14
2. Настройте сервер шлюза служб терминалов согласно инструкциям, представленным в
разделе «Поэтапная настройка сервера шлюза служб терминалов согласно базовому
сценарию».
3. Настройте клиент служб терминалов согласно инструкциям, представленным в разделе
«Поэтапная настройка клиента служб терминалов согласно базовому сценарию
реализации шлюза служб терминалов».
4. Настройте ресурс внутренней сети.
5. Проверьте возможность подключения клиента служб терминалов к ресурсу внутренней
сети через сервер шлюза служб терминалов, следуя инструкциям из раздела
«Проверка корректности установления сквозных соединений через шлюз служб
терминалов».
Базовый сценарий реализации шлюза служб терминалов:
системные требования
Все три компьютера, участвующие в реализации шлюза служб терминалов согласно
базовому сценарию, должны удовлетворять следующим системным требованиям.
Компьютер
Необходимая конфигурация
Сервер шлюза служб терминалов
(TSGSERVER)

Версия RC0 ОС Windows Server 2008.
Допускается установка
соответствующего обновления после
установки ОС Windows Server® 2003 с
пакетом обновления 1 (SP1) или бетаверсии 3 ОС Windows Server 2008.
Дополнительные сведения см. в разделе
«Supported upgrade paths» (Варианты
обновления) в документе «Установка
начальной версии ОС Windows
Server 2008» (на английском языке) вебресурса
http://go.microsoft.com/fwlink/?LinkId=1048
24).
Клиент служб терминалов (TSCLIENT)

Бета-версия пакета обновления 1 (SP1)
для ОС Windows Vista или пакет
обновления 3 (SP3) для ОС Windows XP.
Примечание
Бета-версии пакета обновления 1
(SP1) для ОС Windows Vista и
пакета обновления 3 (SP3) для
ОС Windows XP доступны
15
Компьютер
Необходимая конфигурация
участникам соответствующих
программ Microsoft® Connect
Beta на веб-ресурсе MS Connect
http://go.microsoft.com/fwlink/?LinkI
D=102024.
Ресурс внутренней сети
(CORPORATERESOURCE)

Окончательная первоначальная версия
(RTM) ОС Windows Vista. Допускается
установка соответствующего обновления
после установки ОС Windows XP с
пакетом обновления 2 (SP2).

Пакет обновления 2 (SP2) для ОС
Windows XP и клиент подключения к
удаленному рабочему столу (RDC) 6.0.
Инструкции по загрузке клиента RDC 6.0
см. в статье 925876 базы знаний
Майкрософт
(http://go.microsoft.com/fwlink/?LinkId=793
73).

Версия RC0 ОС Windows Server 2008.
Допускается установка новой версии
путем обновления существующей.

ОС Windows Server 2003 с пакетом
обновления 1 (SP1) или 2 (SP2) и
клиентом RDC 6.0.
Требования к компьютерам с разрешенным
протоколом удаленного рабочего стола.

Бета-версия пакета обновления 1 (SP1)
для ОС Windows Vista или пакет
обновления 3 (SP3) для ОС Windows XP.

Окончательная первоначальная версия
(RTM) ОС Windows Vista. Допускается
установка соответствующего обновления
после установки ОС Windows XP с
пакетом обновления 2 (SP2).

ОС Windows XP с пакетом обновления 2
(SP2).

ОС Windows Server 2003 с пакетом
обновления 1 (SP1) или 2 (SP2).
Требования к серверам терминалов.
16
Компьютер
Необходимая конфигурация

Версия RC0 ОС Windows Server 2008.
Допускается установка новой версии
путем обновления существующей.

ОС Windows Server 2003 с пакетом
обновления 1 (SP1) или 2 (SP2).
Схема реализации шлюза служб терминалов по базовому
сценарию
Следующая схема наглядно иллюстрирует базовый сценарий реализации шлюза служб
терминалов.
Внутренний
брандмауэр –
необязательный
компонент (открыт порт
3389)
Внешний брандмауэр (открыт
порт 443)
Шлюз служб
терминалов
Серверы
терминалов
или
Домашний переносной
компьютер
RDP через SSL
RDP через SSL
Интернет
Доменные службы Active
Directory
Корпоративная или частная сеть
Компьютеры с разрешенным
протоколом удаленного
рабочего стола
Базовый сценарий – подключение сотрудника, работающего на дому, к компьютерам корпоративной сети
через шлюз служб терминалов
Примечание
В настоящем руководстве приводится процедура реализации шлюза служб
терминалов по базовому сценарию, который предусматривает удаленное
подключение клиента служб терминалов к ресурсу внутренней сети через сервер
шлюза служб терминалов. Руководство не содержит инструкций по настройке
брандмауэров, серверов терминалов, исполняющих удаленные приложения
RemoteApp, и инфраструктуры Active Directory, несмотря на то, что все эти
компоненты обозначены на схеме сценария. Данная схема изображает один из
многочисленных способов реализации базового сценария удаленного доступа
через шлюз служб терминалов в рабочей среде.
17
Инструкции по настройке сервера терминалов см. в разделе справки «Сервер терминалов»
(http://go.microsoft.com/fwlink/?LinkId=72052).
Инструкции по настройке удаленных приложений RemoteApp см. в документе «Пошаговое
руководство по настройке удаленных приложений RemoteApp служб терминалов ОС
Windows Server 2008» (“Windows Server 2008 Terminal Services RemoteApp Step-by-Step
Guide“) (на английском языке, http://go.microsoft.com/fwlink/?linkId=84895).
Инструкции по включению удаленного рабочего стола см. в разделе «Удаленный рабочий
стол» справки по ОС Windows Server 2008.
Базовый сценарий реализации шлюза служб терминалов:
порядок подключения
Ниже приводится упрощенное описание порядка подключения клиента TSCLIENT к
компьютеру CORPORATERESOURCE через сервер TSGSERVER.
1. Пользователь клиента служб терминалов TSCLIENT может инициировать соединение
одним из следующих способов.

Щелчком RDP-файла, который был предварительно настроен администратором,
для доступа к своему полному рабочему столу.

Щелчком значка удаленного приложения RemoteApp. Удаленные приложения
RemoteApp представлены в RDP-файле, который должен быть предварительно
настроен администратором.

Путем обращения из интернета или интрасети к списку удаленных приложений
RemoteApp, подготовленному администратором при помощи веб-доступа к службам
терминалов (TS Web Access), на определенном веб-сайте, и последующего выбора
мышью значка того или иного удаленного приложения RemoteApp.

Путем запуска программы клиента подключения к удаленному рабочему столу
(RDC) и ручной настройки параметров соединения.
2. Между клиентом TSCLIENT и сервером TSGSERVER с помощью SSL-сертификата
шлюза служб терминалов устанавливается туннель SSL. Перед тем как установить
соединение с клиентом TSCLIENT, сервер TSGSERVER должен провести проверку
подлинности и авторизацию пользователя в соответствии с политиками авторизации
подключений служб терминалов (TS CAP), настроенными на сервере TSGSERVER
администратором.
3. В случае успешного завершения проверки подлинности и авторизации сервер
TSGSERVER отправляет клиенту TSCLIENT сигнал о продолжении
последовательности подключения.
4. Клиент TSCLIENT отправляет запрос на подключение к компьютеру
CORPORATERESOURCE через сервер TSGSERVER. Перед санкционированием
запроса сервер TSGSERVER проверяет, удовлетворены ли оба приведенных ниже
условия в отношении, по крайней мере, одной из настроенных на этом сервере политик
авторизации ресурсов служб терминалов (TS RAP):
18

компьютер CORPORATERESOURCE входит в группу компьютеров, указанную в
политике TS RAP;

пользователь входит в группу пользователей, указанную в политике TS RAP.
Если оба требования удовлетворены, сервер TSGSERVER санкционирует запрос.
5. Между клиентом TSCLIENT и сервером TSGSERVER устанавливается SSLсоединение, а между сервером TSGSERVER и компьютером
CORPORATERESOURCE – RDP-соединение.
С этого момента все пакеты, которые клиент TSCLIENT отправляет серверу
TSGSERVER, перенаправляются компьютеру CORPORATERESOURCE. Аналогичным
образом, любые пакеты, которые компьютер CORPORATERESOURCE отправляет
серверу TSGSERVER, пересылаются клиенту TSCLIENT.
6. Клиент TSCLIENT предпринимает попытку организовать сеанс пользователя на
компьютере CORPORATERESOURCE. Компьютер CORPORATERESOURCE
производит проверку подлинности ОС Windows, направленную на удостоверение
личности пользователя, который запросил соединение, и выяснение привилегий,
предоставленных этому пользователю на компьютере CORPORATERESOURCE
(аналогичные меры были бы предприняты и в том случае, если бы клиент TSCLIENT
отправил запрос на удаленное подключение к компьютеру CORPORATERESOURCE в
обход сервера TSGSERVER).
7. Клиент TSCLIENT обменивается с сервером TSGSERVER зашифрованными пакетами
по протоколу RDP, которые инкапсулируются внутри протокола SSL и передаются
через порт 443. Сервер TSGSERVER пересылает эти пакеты компьютеру
CORPORATERESOURCE через порт 3389.
Поэтапная настройка сервера шлюза служб
терминалов согласно базовому сценарию
Для настройки сервера шлюза служб терминалов необходимо выполнить следующие
задачи.
Задача
Справочные материалы и пошаговые
инструкции
1. Установка службы роли «шлюз служб
терминалов».
Установка службы роли шлюза служб
терминалов
2. Получение сертификата для сервера
шлюза служб терминалов.
Получение сертификата для сервера шлюза
служб терминалов
3. Настройка сертификата для сервера
шлюза служб терминалов.
Настройка сертификата для сервера шлюза
служб терминалов
4. Создание политики авторизации
Создание политики авторизации
19
Задача
Справочные материалы и пошаговые
инструкции
подключений служб терминалов (TS CAP).
подключений служб терминалов
5. Создание политики авторизации ресурсов
служб терминалов (TS RAP).
Создание политики авторизации ресурсов
служб терминалов
6. Определение максимального числа
одновременных соединений,
устанавливаемых через шлюз служб
терминалов (факультативная задача).
Определение максимального числа
одновременных соединений,
устанавливаемых через шлюз служб
терминалов
1. Установка службы роли шлюза служб терминалов
Для установки службы роли шлюза служб терминалов выполните следующую процедуру. В
процессе установки службы роли можно (но не обязательно) выбрать один из
существующих сертификатов (или создать новый самозаверяющий сертификат), а также
создать политики TS CAP и TS RAP.
Установка службы роли шлюза служб терминалов
1. Откройте диспетчер сервера. Для этого нажмите кнопку Start (пуск), выберите
Administrative Tools (администрирование), а затем – Server Manager (диспетчер
сервера).
2. Если роль «службы терминалов» не установлена:
a) в секции Roles Summary (сводка по ролям) диспетчера сервера нажмите
кнопку Add roles (добавить роли);
б) если в мастере Add Roles Wizard (мастер добавления ролей) откроется
страница Before You Begin (перед началом работы), нажмите кнопку Next
(далее); если ранее, во время инсталляции других ролей был установлен
флажок Skip this page by default (пропускать эту страницу по умолчанию),
данная страница выведена не будет;
в) в секции Roles (роли) на странице Select Server Roles (выбор ролей сервера)
установите флажок Terminal Services (службы терминалов), после чего
нажмите кнопку Next;
г)
на странице Terminal Services нажмите кнопку Next;
д) в списке Role Services (службы ролей) на странице Select Role Services
(выбор служб ролей) установите флажок TS Gateway (шлюз служб
терминалов);
е) в случае вывода запроса на установку дополнительных служб ролей,
необходимых для работы шлюза служб терминалов, выберите Add Required
Role Services (добавить необходимые службы ролей);
20
ж) после открытия страницы Select Role Services, убедившись в том, что шлюз
служб терминалов выбран, нажмите кнопку Next.
Если роль «службы терминалов» установлена:
a) в секции Roles Summary выберите Terminal Services;
б) в секции Role Services (службы ролей) нажмите кнопку Add Role Services
(добавить службы ролей);
c.
на странице Select Role Services установите флажок TS Gateway (шлюз служб
терминалов) и нажмите кнопку Next;
г)
в случае вывода запроса на установку дополнительных служб ролей,
необходимых для работы шлюза служб терминалов, выберите Add Required
Role Services (добавить необходимые службы ролей);
д) на странице Select Role Services нажмите кнопку Next.
3. При появлении страницы Choose a Server Authentication Certificate for SSL
Encryption (выбор сертификата проверки подлинности сервера для SSLшифрования) укажите дальнейший ход действий: выбрать существующий
сертификат для SSL-шифрования (рекомендуемый метод), создать новый
самозаверяющий сертификат или отложить выбор сертификата на более позднее
время. При установке нового сервера, на котором отсутствуют сертификаты,
ознакомьтесь с требованиями к сертификатам и инструкциями по получению и
установке сертификата, приведенными в подразделе «Получение сертификата для
сервера шлюза служб терминалов».
В секции Choose an existing certificate for SSL encryption (recommended) (выбор
существующего сертификата для SSL-шифрования (рекомендуется)) в список
включаются только те сертификаты, в параметрах которых указано назначение
«проверка подлинности сервера», в поле «Улучшенный ключ» (Enhanced Key
Usage, EKU) установлено значение [Server Authentication (1.3.6.1.5.5.7.3.1)] и
которые подходят для службы роли «шлюз служб терминалов». Если установить
данный параметр, нажать кнопку Import (импорт) и выполнить импорт нового
сертификата, который не удовлетворяет указанным требованиям, он не будет
выведен в списке сертификатов.
4. При появлении страницы Create Authorization Policies for TS Gateway (создание
политик авторизации для шлюза служб терминалов) укажите, в какой момент
требуется создать политики авторизации (TS CAP и TS RAP) – в ходе установки
службы роли «шлюз служб терминалов» или в более позднее время. В случае
выбора пункта Later (позже) вы впоследствии сможете создать политику TS CAP,
выполнив инструкции подраздела Создание политики TS CAP. Выбрав Now
(сейчас), выполните следующие действия:
a) на странице Select User Groups That Can Connect Through TS Gateway
(выбор групп пользователей, которым разрешено устанавливать подключение
через шлюз служб терминалов) укажите дополнительные группы
пользователей, нажав кнопку Add (добавить); затем, при появлении
21
диалогового окна Select Groups (выбор групп), укажите местоположение и имя
группы пользователей; наконец, чтобы проверить введенное имя и закрыть
диалоговое окно Select Groups, нажмите кнопку OK;
б) указать несколько групп пользователей можно одним из двух способов: либо
ввести имена всех групп, отделив их друг от друга точками с запятой, либо
добавить дополнительные группы, принадлежащие к разным доменам,
повторив в отношении каждой из них первую часть данного этапа;
в) завершив настройку дополнительных групп пользователей, нажмите кнопку
Next на странице Select User Groups that Can Connect Through TS Gateway;
г)
при появлении страницы Create a TS CAP for TS Gateway (создание политики
TS CAP для шлюза служб терминалов) согласитесь с именем политики TS CAP,
предложенным по умолчанию (TS_CAP_01), или укажите другое имя, затем
выберите один или несколько поддерживаемых методов проверки подлинности
Windows, после чего нажмите кнопку Next;
д) на странице Create a TS RAP for TS Gateway (создание политики TS RAP для
шлюза служб терминалов) согласитесь с предложенным по умолчанию именем
политики TS RAP (TS_RAP_01) или укажите другое имя, а затем выполните
одно из следующих действий: либо выберите одну или несколько групп
компьютеров, к которым смогут подключаться удаленные пользователи, либо
откройте доступ ко всем компьютерам сети; далее нажмите кнопку Next.
5. На странице Network Policy and Access Services (службы сетевых политик и
доступа), которая выводится только в том случае, если одноименная служба роли
еще не установлена, ознакомьтесь со сводной информацией и нажмите кнопку
Next.
6. После открытия страницы Select Role Services, убедившись в том, что параметр
Network Policy Server (сервер сетевых политик) установлен, нажмите кнопку Next.
7. На странице Web Server (IIS) (веб-сервер (IIS)), которая выводится только в том
случае, если одноименная служба роли еще не установлена, ознакомьтесь со
сводной информацией и нажмите кнопку Next.
8. После открытия страницы Select Role Services согласитесь с предложенными по
умолчанию параметрами службы роли Web Server (IIS) и нажмите кнопку Next.
9. После открытия страницы Confirm Installation Options (подтверждение
параметров установки) убедитесь в том, что запланирована установка
нижеперечисленных ролей, служб ролей и компонентов:

Terminal Services\TS Gateway (службы терминалов, шлюз служб терминалов);

Network Policy and Access Services\Network Policy Server (службы сетевых
политик и доступа, сервер сетевых политик);

Web Server (IIS)\Web Server\Management Tools (веб-сервер (IIS), веб-сервер,
средства управления);

RPC over HTTP Proxy (RPC через HTTP-прокси);
22

Windows Process Activation Service\Process Model\Configuration APIs (служба
активации Windows, модель процесса, API настройки).
10. Нажмите кнопку Install (установить).
11. На странице Installation Progress (индикатор установки) обозначается ход
выполнения установки.
Если те или иные роли, службы ролей или компоненты были установлены ранее,
индикатор установки будет выведен только в отношении новых ролей, служб ролей
и компонентов.
12. При появлении страницы Installation Results (результаты установки) проверьте,
успешно ли установлены все необходимые роли, службы ролей и компоненты, а
затем нажмите кнопку Close (закрыть).
Проверка успешного завершения установки служб ролей и состояния
службы шлюза служб терминалов
Приведенная ниже процедура позволяет подтвердить корректную установку и
функционирование служб роли шлюзf служб терминалов, а также зависимых ролей, служб
ролей и компонентов.
Проверка успешного завершения установки
1. Откройте диспетчер сервера. Для этого нажмите кнопку Start, выберите
Administrative Tools, а затем – Server Manager.
2. Раскройте узел Roles (роли) в дереве консоли и дважды щелкните запись Terminal
Services (службы терминалов).
3. При появлении страницы сводки Terminal Services изучите содержимое области
System Services (системные службы). Шлюз служб терминалов должен находиться
в состоянии Running (работает) при выбранном типе запуска Auto (автоматически).
4. Закройте диспетчер сервера.
5. Откройте диспетчер IIS. Для этого нажмите кнопку Start, выберите Administrative
Tools, а затем – Internet Information Services (IIS) Manager (диспетчер служб IIS).
6. Раскрыв узел <Имя_сервера_шлюза_служб_терминалов>\Sites\Default Web Site
(Веб-узлы\Веб-узел по умолчанию), щелкните запись Default Web Site.
7. Щелкнув правой кнопкой мыши запись Default Web Site, выберите пункт Manage
Web Site (управление веб-узлом), а затем – Advanced Settings (дополнительные
параметры).
8. Когда на экране появится диалоговое окно Advanced Settings, проверьте,
установлено ли в секции (General) (общие) значение True (истина) параметра Start
Automatically (автоматический запуск). Если это не так, щелкните раскрывающийся
список, и когда он откроется, выберите значение True.
9. Нажмите кнопку OK.
23
10. Закройте диспетчер IIS.
2. Получение сертификата для сервера шлюза служб
терминалов
Для полноценного восприятия материала, изложенного в настоящем разделе, необходимо
иметь представление о цепочках доверия, подписывании сертификатов и общих принципах
их настройки. Инструкции по настройке инфраструктуры открытых ключей PKI в ОС
Windows Server 2008 см. в документе «ITPROADD-204: (Усовершенствованная
инфраструктура открытого ключа в ОС Windows Vista и Windows Server 2008)» (на
английском языке, http://go.microsoft.com/fwlink/?LinkId=93995). Инструкции по настройке
инфраструктуры открытых ключей PKI в ОС Windows Server 2003 см. в документе
«Инфраструктура открытого ключа» (на английском языке,
http://go.microsoft.com/fwlink/?LinkID=54917).
Как указывалось ранее в настоящем руководстве, пакеты, которыми обмениваются через
интернет клиенты служб терминалов и серверы шлюзов служб терминалов, по умолчанию
зашифровываются средствами протокола TLS 1.0. TLS – это стандартный протокол,
обеспечивающий безопасность передачи данных в интернете и интрасетях. Протокол TLS
представляет собой новейшую и в наилучшей степени защищенную версию протокола
SSL. Подробнее о протоколе TLS можно узнать из следующих материалов:


«Протоколы SSL и TLS в ОС Windows Server 2003» (на английском языке,
http://go.microsoft.com/fwlink/?LinkID=19646);
«RFC 2246: «Протокол TLS версии 1.0» (на английском языке,
http://go.microsoft.com/fwlink/?LinkID=40979).
Для обеспечения корректной работы протокола TLS на сервере шлюза служб терминалов
необходимо установить SSL-совместимый сертификат X.509.
Требования к сертификатам шлюза служб терминалов
Сертификаты шлюза служб терминалов должны отвечать следующим требованиям.

Имя (имя сертификата, CN), указанное в строке темы сертификата сервера, должно
совпадать с DNS-именем, при помощи которого клиент подключается к серверу шлюза
служб терминалов. Исключения из этого правила связаны с применением групповых
сертификатов и атрибутов сертификатов системной сети SAN. Если сертификаты в
организации выдаются корпоративным центром сертификации (CA), необходимо
настроить шаблон сертификата таким образом, чтобы в запросе на выдачу
сертификата содержалось соответствующее имя. Если же сертификаты выдаются
изолированным центром сертификации, данное требование не применяется.
Примечание
В случае применения сертификатов с атрибутами системной сети SAN на
любом компьютере, подключающемуся к серверу шлюза служб терминалов,
должен работать клиент подключения к удаленному рабочему столу (RDC) 6.1
(клиент RDC 6.1 [6.0.6001] поддерживает протокол удаленного рабочего
24
стола 6.1). Клиент RDC 6.1 входит в состав ОС Windows Server 2008, а также
бета-версий ОС Windows Vista с пакетом обновления 1 (SP1) и Windows XP с
пакетом обновления 3 (SP3). Бета-версии пакета обновления 1 (SP1) для
Windows Vista и пакета обновления 3 (SP3) для Windows XP доступны
участникам соответствующих программ Microsoft® Connect Beta на веб-узле MS
Connect по адресу http://go.microsoft.com/fwlink/?LinkID=102024.

Сертификат должен быть сертификатом компьютера.

Назначением сертификата должна быть проверка подлинности сервера. Значением
параметра Extended Key Usage (EKU, расширенное использование ключа) должно быть
Server Authentication (1.3.6.1.5.5.7.3.1).

С сертификатом должен быть сопоставлен закрытый ключ.

Сертификат не должен быть просрочен. Рекомендуется устанавливать сертификат,
действительный в течение одного года.

Наличие идентификатора объекта сертификата (OID) 2.5.29.15 не является
обязательным. В то же время, если устанавливаемый сертификат содержит
идентификатор объекта 2.5.29.15, он применим только при наличии следующих
значений использования ключа: CERT_KEY_ENCIPHERMENT_KEY_USAGE,
CERT_KEY_AGREEMENT_KEY_USAGE и
CERT_DATA_ENCIPHERMENT_KEY_USAGE.
Подробнее об этих значениях см. в документе Advanced Certificate Enrollment and
Management(подача заявок и управление сертификатами для опытных пользователей)
(на английском языке) на веб-ресурсе http://go.microsoft.com/fwlink/?LinkID=74577.

Клиенты должны признавать сертификат достоверным. Иначе говоря, общедоступный
сертификат центра сертификации, от которого был получен сертификат сервера шлюза
служб терминалов, должен находиться в хранилище доверенных корневых центров
сертификации на каждом клиентском компьютере.
Применение имеющихся сертификатов
Имеющийся сертификат можно применять с сервером шлюза служб терминалов при
условии, что:

он выдан одним из доверенных общедоступных центров сертификации, участвующих в
программе корневых сертификатов корпорации Microsoft согласно перечню,
приведенному в статье 931125 базы знаний корпорации Майкрософт на веб-ресурсе
http://go.microsoft.com/fwlink/?LinkID=59547;

он отвечает требованиям к сертификации сервера шлюза служб терминалов.
Если применяемый сертификат не участвует в программе корневых сертификатов
корпорации Майкрософт (к примеру, если на сервере шлюза служб терминалов создан и
установлен самозаверяющий сертификат, но не выполнена ручная настройка доверия
компьютеру клиента служб терминалов), то при попытке клиента установить подключение
через сервер шлюза служб терминалов будет выведено предупреждение об отсутствии
25
достоверного сертификата, и попытка подключения будет отклонена. Чтобы избежать этой
ошибки, перед тем как клиент попытается установить подключение через сервер шлюза
служб терминалов, поместите сертификат в хранилище сертификатов клиентского
компьютера.
Обзор процесса установки и настройки сертификата
Процесс получения, установки и настройки сертификата сервера шлюза служб терминалов
состоит из следующих этапов.
1. Получите сертификат сервера шлюза служб терминалов одним из перечисленных
ниже способов.

Если в компании имеется центр сертификации предприятия или изолированный центр
сертификации, настройки которого позволяют выдавать SSL-совместимые
сертификаты X.509, соответствующие требованиям шлюза служб терминалов, то
сформировать и отправить запрос на выдачу сертификата можно несколькими
способами, в зависимости от политик и настроек центра сертификации. Методы
получения сертификата таковы:

автоматическая подача заявки из оснастки Certificates (сертификаты);

отправка запроса на сертификат при помощи мастера запроса сертификатов;

отправка запроса на сертификат через интернет;
Примечание
При работе с центром сертификации ОС Windows Server 2003 имейте в
виду, что служба подачи заявок на сертификат через интернет,
реализованная в ОС Windows Server 2003, зависит от элемента управления
ActiveX под именем Xenroll. Он предусмотрен в ОС Microsoft Windows 2000,
Windows Server 2003 и Windows XP. В то же время, в ОС Windows
Server 2008 и Windows Vista элемент управления Xenroll считается
устаревшим. Образцы веб-страниц для подачи заявок на сертификаты,
представленные в первоначальных выпусках ОС Windows Server 2003,
пакетов обновления 1 (SP1) и 2 (SP2) для ОС Windows Server 2003, не
учитывают изменения в процедуре подачи заявок на сертификаты,
реализованные в ОС Windows Server 2008 и Windows Vista. Подробнее о
способах решения этой проблемы см. в статье 922706 базы знаний
корпорации Майкрософт (http://go.microsoft.com/fwlink/?LinkId=94472).

отправка запроса на сертификат при помощи программы командной строки Certreq.
Инструкции по получению сертификатов для ОС Windows Server 2008 перечисленными
методами см. в разделе «Obtain a Certificate» (получение сертификатов) справочной
системы оснастки Certificates и в разделе «Certreq» справочника команд ОС Windows
Server 2008. Для просмотра разделов справочной системы оснастки Certificates
нажмите кнопку Start, выберите вариант Run (выполнить), введите команду
hh certmgr.chm и нажмите кнопку OK. Инструкции по отправке запросов на
26
сертификаты для ОС Windows Server 2003 см. в статье Requesting Certificates
(отправка запросов на сертификаты) (на английском языке,
http://go.microsoft.com/fwlink/?LinkID=19638).
Сертификат, выданный центром сертификации предприятия или изолированным
центром сертификации, должен быть также подписан доверенным общедоступным
центром сертификации, участвующем в программе корневых сертификатов корпорации
Майкрософт (http://go.microsoft.com/fwlink/?LinkID=59547). В противном случае попытки
подключения к ресурсам с домашних компьютеров и компьютеров-киосков через
серверы шлюзов служб терминалов могут завершаться ошибками. Подобные ошибки
связаны с тем, что доверие к корневым сертификатам, выданным центром
сертификации предприятия, со стороны компьютеров, не входящих в домен
предприятия, в том числе домашних компьютеров и компьютеров-киосков, не
гарантируется.

Если в организации нет ни центра сертификации предприятия, ни изолированного
центра сертификации, способного выдавать SSL-совместимые сертификаты X.509,
сертификат можно приобрести у доверенного общедоступного центра сертификации,
участвующего в программе корневых сертификатов корпорации Майкрософт
(http://go.microsoft.com/fwlink/?LinkID=59547). Некоторые поставщики предоставляют
бесплатные сертификаты на ограниченный период.

Если в компании нет ни центра сертификации предприятия, ни изолированного центра
сертификации, ни совместимого сертификата, полученного от доверенного
общедоступного центра сертификации, то в целях технической оценки и тестирования
для сервера шлюза служб терминалов можно создать самозаверяющий сертификат.
Пошаговые инструкции по созданию самозаверяющих сертификатов см. в разделе
«Создание самозаверяющего сертификата для шлюза служб терминалов».
Образцы конфигураций, приведенные в настоящем руководстве, основываются на
применении самозаверяющих сертификатов.
Внимание!
В случае применения первых двух методов получения сертификата (от
изолированного центра сертификации, центра сертификации предприятия или
доверенного общедоступного центра сертификации) его следует установить на
сервере шлюза служб терминалов и выполнить сопоставление. Установка и
сопоставление самозаверяющего сертификата не выполняются, если он был
создан с помощью мастера добавления ролей Add Roles Wizard во время установки
службы роли «шлюз служб терминалов» или посредством диспетчера шлюза служб
терминалов после завершения ее установки (так, как описано в разделе «Создание
самозаверяющего сертификата для шлюза служб терминалов»). В таком случае
сертификат автоматически создается, устанавливается в нужном каталоге на
сервере шлюза служб терминалов и сопоставляется с этим сервером.
27
Примечание
У каждого клиента служб терминалов в хранилище доверенных корневых центров
сертификации должен находиться сертификат, выданный тем же центром
сертификации, от которого получен сертификат сервера. Следовательно, после
создания самозаверяющего сертификата согласно процедуре, описанной в
настоящем руководстве, необходимо скопировать этот сертификат на клиентский
компьютер (или в общую сетевую папку, доступ к которой с клиентского компьютера
разрешен), а затем установить его в хранилище доверенных корневых центров
сертификации этого компьютера. Пошаговые инструкции см. в разделе «Установка
корневого сертификата сервера шлюза служб терминалов в хранилище
доверенных корневых центров сертификации клиента служб терминалов».
В случае применения одного из первых двух методов получения сертификата и при
условии, что клиент служб терминалов доверяет выдавшему сертификат центру
сертификации, устанавливать в хранилище сертификатов клиентского компьютера
сертификат, выданный тем же центром сертификации, что и сертификат сервера, не
требуется. В частности, устанавливать сертификат центра сертификации в хранилище
сертификатов клиентского компьютера не нужно, если на сервере шлюза служб
терминалов установлен сертификат VeriSign или любой другой сертификат, полученный от
доверенного общедоступного центра сертификации.
В случае получения сертификата по третьему методу (т.е. при создании самозаверяющего
сертификата) сертификат, полученный от того же центра сертификации, что и сертификат
сервера, необходимо скопировать на клиентский компьютер. Затем его следует установить
в хранилище доверенных корневых центров сертификации этого компьютера. Подробную
информацию см. в разделе «Установка корневого сертификата сервера шлюза служб
терминалов в хранилище доверенных корневых центров сертификации клиента служб
терминалов».
2. Установите сертификат.
См. последующий раздел «Установка сертификата на сервере шлюза служб терминалов»,
содержащий инструкции по установке сертификата на сервере шлюза служб терминалов.
3. Выполните сопоставление сертификата.
См. последующий раздел «Сопоставление сертификата сервера шлюза служб
терминалов», содержащий инструкции по настройке применения сервером шлюза служб
терминалов существующего сертификата.
Создание самозаверяющего сертификата для шлюза служб
терминалов
В настоящем разделе излагается процедура создания при помощи диспетчера шлюза
служб терминалов самозаверяющего сертификата в целях выполнения технической оценки
и тестирования. Данная процедура применяется в тех случаях, когда при установке службы
28
роли «шлюз служб терминалов» самозаверяющий сертификат не был создан средствами
мастера Add Roles Wizard.
Внимание!
Самозаверяющие сертификаты рекомендуется применять исключительно в целях
технической оценки и тестирования. После создания самозаверяющего
сертификата его необходимо скопировать на клиентский компьютер (или в общую
сетевую папку, доступ к которой с клиентского компьютера разрешен), а затем
установить в хранилище доверенных корневых центров сертификации этого
компьютера.
Установка и сопоставление самозаверяющего сертификата не выполняются, если он был
создан с помощью мастера Add Roles Wizard во время установки службы роли «шлюз
служб терминалов» или посредством диспетчера шлюза служб терминалов после
завершения ее установки (так, как описано в настоящей процедуре).
Создание самозаверяющего сертификата для сервера шлюза служб терминалов
1. Откройте диспетчер шлюза служб терминалов. Для этого нажмите кнопку Start,
выберите вариант Administrative Tools, затем Terminal Services (службы
терминалов), а затем – TS Gateway Manager (диспетчер шлюза служб
терминалов).
2. Выберите в дереве консоли узел, представляющий сервер шлюза служб
терминалов и содержащий имя компьютера, на котором этот сервер установлен.
3. В секции Configuration Status (состояние конфигурации) в области результатов
нажмите кнопку View or modify certificate properties (просмотреть или изменить
свойства сертификата).
4. На вкладке SSL Certificate (SSL-сертификат) последовательно нажмите кнопки
Create a self-signed certificate for SSL encryption (создать самозаверяющий
сертификат для SSL-шифрования) и Create Certificate (создать сертификат).
5. При появлении диалогового окна Create Self-Signed Certificate (создание
самозаверяющего сертификата) выполните следующие действия:
a) убедитесь в том, что в поле Certificate name (имя сертификата) указано верное
общее имя (CN) самозаверяющего сертификата, или укажите новое имя, имея в
виду, что, за исключением случаев применения групповых сертификатов и
атрибутов SAN сертификатов, общее имя должно соответствовать DNS-имени,
с помощью которого клиенты подключаются к серверу шлюза служб
терминалов;
б) чтобы сохранить корневой сертификат в каталоге, из которого удобно вручную
распространить его среди клиентских компьютеров, проверьте, установлен ли
флажок Store the root certificate (сохранить корневой сертификат) в секции
Certificate location (расположение сертификата), а затем укажите искомое
расположение сертификата; по умолчанию указанный флажок установлен, а
сертификат сохраняется в папке
29
%Windir%\Users\<имя_пользователя>\Documents;
в) нажмите кнопку OK.
6. Если установлен флажок Store the root certificate и указано искомое расположение
сертификата, на экране появится сообщение об успешном создании шлюзом служб
терминалов самозаверяющего сертификата с указанием каталога, в котором этот
сертификат будет сохранен. Чтобы закрыть это сообщение, нажмите кнопку OK.
7. Чтобы закрыть диалоговое окно Properties (свойства) сервера шлюза служб
терминалов, нажмите кнопку OK еще раз.
3. Настройка сертификата для сервера шлюза служб
терминалов
Процесс настройки сертификата для сервера шлюза служб терминалов состоит из двух
этапов:
установка сертификата на сервере шлюза служб терминалов;
сопоставление сертификата сервера шлюза служб терминалов.
Установка сертификата на сервере шлюза служб терминалов
Следующая процедура позволяет корректно установить полученный сертификат на
сервере шлюза служб терминалов в случае, если он не был установлен ранее. После
завершения данной процедуры необходимо выполнить сопоставление сертификата.
Примечание
Выполнение настоящей процедуры не требуется, если сертификат был создан с
помощью мастера Add/Remove Roles Wizard (добавления и удаления ролей) во
время установки службы роли «шлюз служб терминалов» или посредством
диспетчера шлюза служб терминалов после завершения ее установки (так, как
описано в процедуре «Создание самозаверяющего сертификата для шлюза служб
терминалов»). В таком случае сертификат автоматически создается,
устанавливается в нужном каталоге на сервере шлюза служб терминалов и
сопоставляется с этим сервером.
Установка сертификата на сервере шлюза служб терминалов
1. Откройте консоль оснастки Certificates. Установить эту консоль, если она не была
установлена ранее, можно следующим образом:
a) нажмите кнопку Start, выберите вариант Run, введите команду mmc и нажмите
кнопку OK;
b. в меню File (файл) выберите команду Add/Remove Snap-in (добавить или
удалить оснастку);
в) при появлении диалогового окна Add or Remove Snap-ins (добавление и
удаление оснастки) выберите пункт Certificates (сертификаты) в списке
30
Available snap-ins (доступные оснастки) и нажмите кнопку Add (добавить);
г)
в диалоговом окне Certificates snap-in (оснастка диспетчера сертификатов)
выберите пункт Computer account (учетная запись компьютера) и нажмите
кнопку Next;
д) в диалоговом окне Select Computer (выбор компьютера) выберите пункт Local
computer: (the computer this console is running on) (локальный компьютер (на
котором запущена эта консоль)) и нажмите кнопку Finish;
f.
нажмите кнопку OK в диалоговом окне Add or Remove snap-ins.
2. Раскрыв узел Certificates (Local Computer) (сертификаты (локальный компьютер))
в дереве консоли оснастки Certificates, нажмите кнопку Personal (личные).
3. Щелкнув папку Personal (личные) правой кнопкой мыши, откройте контекстное
меню All Tasks (все задачи) и выберите команду Import (импорт).
4. На открывшейся странице Welcome to the Certificate Import Wizard (мастер
импорта сертификатов) нажмите кнопку Next.
5. В поле File name (имя файла) на странице File to Import (импортируемый файл)
укажите имя сертификата, который предполагается импортировать, и нажмите
кнопку Next.
6. После открытия страницы Password (пароль) выполните следующие действия:
a) если пароль для закрытого ключа, связанного с сертификатом, был установлен
ранее, введите его;
б) чтобы предусмотреть возможность экспорта закрытого ключа сертификата,
установите параметр Mark this key as exportable (пометить этот ключ как
экспортируемый);
в) чтобы включить все расширенные свойства сертификата, установите параметр
Include all extended properties (включить все расширенные свойства);
г)
нажмите кнопку Next.
7. После открытия страницы Certificate Store (хранилище сертификатов), подтвердив
выбор параметра по умолчанию, нажмите кнопку Next.
8. На странице Completing the Certificate Import Wizard (завершение работы
мастера импорта сертификатов) подтвердите правильность выбора сертификата.
9. Нажмите кнопку Finish.
10. После импорта сертификата на экране появится сообщение, подтверждающее
успешное завершение этой операции. Нажмите кнопку OK.
11. Выбрав узел Certificates в дереве консоли, удостоверьтесь в наличии нужного
сертификата в списке сертификатов, установленных на сервере шлюза служб
терминалов (этот список выводится в области сведений). Сертификат должен быть
размещен на локальном компьютере в хранилище Personal.
31
Сопоставление сертификата сервера шлюза служб терминалов
Сопоставление сертификата шлюза служб терминалов производится в диспетчере шлюза
служб терминалов. Попытка выполнить операцию сопоставления любым другим методом
приведет к неверному функционированию шлюза служб терминалов.
Примечание
Выполнение настоящей процедуры не требуется, если сертификат был создан с
помощью мастера Add/Remove Roles Wizard (добавления и удаления ролей) во
время установки службы роли «шлюз служб терминалов» или посредством
диспетчера шлюза служб терминалов после завершения ее установки (так, как
описано в процедуре «Создание самозаверяющего сертификата для шлюза служб
терминалов»).
Сопоставление сертификата с локальным сервером шлюза служб терминалов
1. Откройте диспетчер шлюза служб терминалов. Для этого нажмите кнопку Start,
выберите вариант Administrative Tools, далее Terminal Services, а затем –
TS Gateway Manager.
2. Щелкните правой кнопкой мыши узел локального сервера шлюза служб терминалов
в дереве консоли диспетчера шлюза служб терминалов и в контекстном меню
выберите пункт Properties (свойства).
3. На вкладке SSL Certificate (SSL-сертификат) последовательно нажмите кнопки
Select an existing certificate for SSL encryption (выбрать существующий
сертификат для SSL-шифрования) и Browse Certificates (обзор сертификатов).
4. Выбрав нужный сертификат в диалоговом окне Install Certificate (установить
сертификат), нажмите кнопку Install.
5. Закройте диалоговое окно Properties сервера шлюза служб терминалов нажатием
кнопки OK.
6. Если сопоставление сертификата шлюза служб терминалов выполняется впервые,
то после завершения этой операции проверить ее результат можно в области
TS Gateway Server Status (состояние сервера шлюза служб терминалов)
диспетчера шлюза служб терминалов. После успешного сопоставления
сертификата должны исчезнуть, во-первых, предупреждение о том, что сертификат
сервера не установлен или не выбран, которое выводится в секции Configuration
Status and Configuration Tasks (состояние и задачи настройки), а, во-вторых,
гиперссылка View or modify certificate properties (просмотреть или изменить
свойства сертификата).
Обзор политик авторизации шлюза служб терминалов
После установки службы роли «шлюз служб терминалов» и настройки сертификата
сервера шлюза служб терминалов необходимо создать политики авторизации
32
подключений служб терминалов (TS CAP), группы компьютеров и политики авторизации
ресурсов служб терминалов (TS RAP).
Политики авторизации подключений служб терминалов (TS CAP)
Политики TS CAP устанавливают круг пользователей, которым разрешено подключаться к
серверу шлюза служб терминалов. В такую политику можно включать группы
пользователей, настроенные на локальном сервере шлюза служб терминалов или в
доменных службах Active Directory. Можно также указать ряд условий, при соблюдении
которых пользователям предоставляется доступ к серверу шлюза служб терминалов. К
примеру, можно настроить политику таким образом, чтобы все пользователи,
подключающиеся к определенному серверу терминалов, на котором размещена база
данных сотрудников (HR), через сервер шлюза служб терминалов были обязаны входить в
группу безопасности "HR Users" (сотрудники отдела кадров). Кроме того, можно обязать
все клиентские компьютеры, устанавливающие соединения через сервер шлюза служб
терминалов, входить в группы безопасности Active Directory внутренней сети. Требование
участия компьютеров в определенной группе безопасности Active Directory внутренней сети
позволяет запретить доступ к ее ресурсам с компьютеров-киосков, компьютеров,
находящихся в аэропортах, и домашних компьютеров.
В целях обеспечения дополнительной безопасности при подключении клиентов к ресурсам
внутренней сети через шлюз служб терминалов можно определенным образом настроить
перенаправление устройств – запретить перенаправление всех устройств,
поддерживаемых клиентом служб терминалов, или только устройств определенного типа
(например, дисковых накопителей или поддерживаемых устройств Plug and Play). Запрет
на перенаправление всех устройств, поддерживаемых клиентом, не распространяется
только на перенаправление звука и смарт-карт.
При настройке запрета на перенаправление устройств отдельных типов или всех
устройств, за исключением смарт-карт, сервер шлюза служб терминалов возвращает
клиенту запрос со списком типов устройств, перенаправление которых предполагается
запретить. Этот список носит характер предложения – с его помощью клиент может
скорректировать настройки перенаправления устройств.
Внимание!
Так как предложенные сервером шлюза служб терминалов настройки
перенаправления устройств утверждаются клиентом, данную возможность не
следует рассматривать как полноценное средство обеспечения безопасности.
Предложенные настройки перенаправления устройств вводятся в действие только
на клиентах подключения к удаленному рабочему столу (RDC); если протокол RDC
на клиентском компьютере не применяется, они не действует. Кроме того,
пользователь-злоумышленник может внести в клиент RDC такие изменения,
которые позволят ему игнорировать предложенные настройки. В таких случаях
рассматриваемая функция не обеспечивает гарантированную безопасность даже
при работе с клиентами RDC.
33
Дополнительно можно выбрать способ проверки подлинности пользователей при доступе к
ресурсам внутренней сети через сервер шлюза служб терминалов – с помощью смарткарты или пароля. Если разрешены оба способа проверки подлинности, клиент может
применять любой из них по своему усмотрению.
Наконец, если в организации применяется технология защиты доступа к сети (NAP), можно
настроить обязательную отправку клиентом отклика о состоянии работоспособности
(statement of health, SoH). Инструкции о настройке технологии NAP в шлюзе служб
терминалов см. в разделе «Настройка шлюза служб терминалов: сценарий с участием
технологии защиты доступа к сети (NAP)».
Внимание!
Доступ к серверу шлюза служб терминалов предоставляется пользователям,
которые удовлетворяют изложенным в политике TS CAP условиям. Помимо нее
необходимо создать политику TS RAP. Политика TS RAP позволяет ограничить круг
ресурсов (компьютеров) внутренней сети, к которым пользователи могут
обращаться через шлюз служб терминалов. Пользователи смогут получать доступ
к ресурсам внутренней сети через сервер шлюза служб терминалов лишь после
того, как обе указанные политики будут созданы.
Политики авторизации ресурсов служб терминалов (TS RAP)
Политики TS RAP позволяют указать ресурсы (компьютеры) внутренней сети, к которым
пользователи смогут обращаться через шлюз служб терминалов. Создание политики
TS RAP сводится к созданию новой группы компьютеров (списка компьютеров внутренней
сети, к которым удаленным пользователям предполагается предоставить доступа) и
установлению связи между группой и политикой. К примеру, пользователем, входящим в
группу пользователей “HR Users”, можно разрешить доступ только к компьютерам,
входящим в группу компьютеров “HR Computers” (компьютеры отдела кадров);
аналогичным образом, доступ к ресурсам внутренней сети для пользователей, входящих в
группу “Finance Users” (финансисты), можно ограничить группой компьютеров "Finance
Computers" (компьютеры финансового отдела).
При подключении через сервер шлюза служб терминалов удаленным пользователям
предоставляется доступ к ресурсам внутренней сети в том случае, если они
удовлетворяют требованиям, по меньшей мере, одной политики TS CAP и одной – TS RAP.
Примечание
Связывая группу компьютеров, находящуюся под управлением шлюза служб
терминалов, с политикой TS RAP, можно предусмотреть применение двух видов
имен – полных доменных имен (FQDN) и NetBIOS-имен. Для этого нужно отдельно
настроить в группе компьютеров оба имени. Если с политикой TS RAP связана
группа безопасности Active Directory, то при условии, что компьютер внутренней
сети, к которому подключается клиент, принадлежит к тому же домену, что и сервер
шлюза служб терминалов, поддержка полных доменных имен и NetBIOS-имен
обеспечивается автоматически. Если компьютер внутренней сети не принадлежит к
34
тому же домену, что и сервер шлюза служб терминалов, то при подключении
клиент должен указать полное доменное имя этого компьютера.
Политики TS CAP и TS RAP создают двухуровневую проверку подлинности, которая
позволяет с достаточной степенью точности настроить контроль доступа к компьютерам во
внутренней сети.
Группы безопасности и группы компьютеров, находящиеся под
управлением шлюза служб терминалов и связываемые с политиками
TS RAP
Удаленные пользователи могут подключаться через шлюз служб терминалов к тем
ресурсам внутренней сети, которые состоят в группе компьютеров. Допустимые варианты
статуса этих ресурсов перечислены ниже.
Участники существующей группы безопасности. Такая группа безопасности может
быть определена для локальных пользователей и групп на сервере шлюза служб
терминалов или в доменных службах Active Directory.
Участники существующей или новой группы компьютеров, находящейся под
управлением шлюза служб терминалов. После установки новую группу компьютеров
под управлением шлюза служб терминалов можно настроить при помощи диспетчера
шлюза служб терминалов.
Такую группу нельзя настроить в числе локальных пользователей и групп; кроме того,
она не фигурирует в списке локальных пользователей и групп на сервере шлюза служб
терминалов.
Любой сетевой ресурс. В таком случае пользователи могут подключаться к любым
компьютерам внутренней сети, которые доступны для клиента подключения к
удаленному рабочему столу.
4. Создание политики TS CAP сервера шлюза служб
терминалов
В настоящем разделе изложена процедура создания специализированной политики
TS CAP при помощи диспетчера шлюза служб терминалов. В качестве альтернативы для
создания политик TS CAP и TS RAP шлюза служб терминалов можно обратиться к
средствам мастера Authorization Policies Wizard (политик авторизации).
Внимание!
При настройке нескольких политик TS CAP следует учитывать механизм поиска
политик, реализованный в шлюзе служб терминалов. Политики вводятся по
очереди в соответствии с их представлением в области результатов диспетчера
шлюза служб терминалов, а доступ к серверу шлюза служб терминалов
предоставляется по первой политике, требованиям которой клиент удовлетворяет.
Таким образом, если клиент не удовлетворяет требованиям первой политики
TS CAP в списке, шлюз служб терминалов переходит ко второй политике, и так
35
далее, пока не будет найдена политика, требованиям которой клиентом
соблюдены. В том случае, если клиент не соответствует требованиям всех политик
TS CAP в списке, шлюз служб терминалов отказывает ему в доступе.
Создание политики TS CAP сервера шлюза служб терминалов
1. Откройте диспетчер шлюза служб терминалов.
2. Выберите в дереве консоли узел, представляющий сервер шлюза служб
терминалов и содержащий имя компьютера, на котором этот сервер установлен.
3. Раскройте узел Policies (политики) в дереве консоли и выберите папку Connection
Authorization Policies (политики авторизации подключений).
4. Щелкнув папку Connection Authorization Policies правой кнопкой мыши, раскройте
контекстное меню Create New Policy (создать новую политику) и выберите вариант
Custom (особая).
5. На вкладке General (общие) укажите имя политики и проверьте, установлен ли
флажок Enable this policy (включить эту политику) – если нет, установите его.
6. В секции Supported Windows authentication methods (поддерживаемые методы
проверки подлинности ОС Windows) вкладки Requirements (требования)
установите оба указанных ниже флажка или один из них:

Password (пароль);

Smart card (смарт-карта).
Если разрешены оба способа проверки подлинности, клиент может применять
любой из них по своему усмотрению.
7. Нажмите кнопку Add Group (добавить группу) в секции User group membership
(required) (членство в группе пользователей (обязательное)), а затем укажите
группу пользователей, участники которой могут подключаться к серверу шлюза
служб терминалов. Необходимо указать, по меньшей мере, одну такую группу.
8. При появлении диалогового окна Select Groups (выбор групп) укажите
местоположение и имя группы пользователей, после чего, чтобы проверить
введенное имя и закрыть диалоговое окно Select Groups, нажмите кнопку OK.
Настроить дополнительные группы можно одним из двух следующих способов:

ввести имена всех групп пользователей, разделив их точками с запятой;

добавить группы из других доменов, повторив предыдущее действие в
отношении каждой из них.
9. Чтобы в качестве дополнительной меры определить критерии членства в доменах,
которым должны удовлетворять клиентские компьютеры, нажмите кнопку Add
Group в секции Client computer group membership (optional) (членство клиентов в
группах компьютеров (дополнительно)) вкладки Requirements и укажите нужные
группы. В приведенных образцах конфигураций группы компьютеров не указаны.
Группы компьютеров определяются тем же способом, что и группы пользователей.
10. Чтобы разрешить или запретить перенаправление устройств удаленных клиентов,
36
установите один из перечисленных ниже параметров на вкладке Device
Redirection (перенаправление устройств):

чтобы разрешить перенаправление всех клиентских устройств при
подключении через сервер шлюза служб терминалов, установите параметр
Enable device redirection for all client devices (разрешить перенаправление
всех клиентских устройств) – он установлен по умолчанию;

чтобы запретить при подключении через сервер шлюза служб терминалов
перенаправление всех клиентских устройств, кроме смарт-карт, установите
параметр Disable device redirection for all client devices except for smart card
(отключить перенаправление всех клиентских устройств, кроме смарт-карт);

чтобы запретить при подключении через сервер шлюза служб терминалов
перенаправление отдельных типов устройств, установите параметр Disable
device redirection for the following client device types (отключить
перенаправление клиентских устройств следующих типов), а затем установите
флажки, соответствующие тем типам устройств, перенаправление которых
предполагается запретить.
Внимание!
Настройки перенаправления устройств вводятся в действие только в
клиентах подключения к удаленному рабочему столу (RDC).
11. Нажмите кнопку OK.
12. Созданная политика TS CAP появится в области результатов диспетчера шлюза
служб терминалов. Выбрав имя политики, можно ознакомиться с ее параметрами в
нижней части области.
5. Создание политики TS RAP и выбор компьютеров, к
которым пользователи смогут подключаться через сервер
шлюза служб терминалов
В настоящем разделе описывается процедура создания специализированной политики
TS RAP средствами диспетчера шлюза служб терминалов и выбора компьютеров, к
которым пользователи вправе подключаться через сервер шлюза служб терминалов. Эти
задачи также можно выполнить при помощи мастера Authorization Policies Wizard (политик
авторизации).
Внимание!
Для подключения пользователей к участникам фермы серверов терминалов
необходимо явно указать в политике TS RAP имя этой фермы. Для этого во время
создания политики TS RAP установите параметр Select existing TS Gatewaymanaged computer group or create a new one (выбрать существующую или
создать новую группу компьютеров под управлением шлюза служб терминалов) на
вкладке Computer Group (группа компьютеров), а затем явно укажите имя фермы
37
серверов терминалов. Если имя фермы серверов терминалов не указано явно,
пользователи не смогут подключаться к ее участникам. Для обеспечения должного
уровня безопасности и упрощения административных задач серверы терминалов,
входящие в состав фермы, следует указать во второй политике TS RAP.
Установите параметр Select an Active Directory security group (выбрать группу
безопасности Active Directory) на вкладке Computer Group, после чего укажите
группу безопасности, в которой числятся входящие в состав фермы серверы
терминалов. Эта операция повышает уровень защиты, поскольку участники фермы
одновременно являются доверенными участниками группы безопасности Active
Directory.
Создание политики TS RAP и выбор компьютеров, к которым пользователи смогут
подключаться через сервер шлюза служб терминалов
1. Откройте диспетчер шлюза служб терминалов.
2. Выберите в дереве консоли узел, представляющий сервер шлюза служб
терминалов и содержащий имя компьютера, на котором этот сервер установлен.
3. Раскройте узел Policies в дереве консоли и выберите папку Resource
Authorization Policies (политики авторизации ресурсов).
4. Щелкнув папку Resource Authorization Policies правой кнопкой мыши, раскройте
контекстное меню Create New Policy и выберите вариант Custom.
5. В поле Policy name (имя политики) вкладки General введите имя длиной не более
64 символов.
6. Введите описание новой политики TS RAP в поле Description (описание).
7. Нажав кнопку Add на вкладке User Groups (группы пользователей), выберите
группы пользователей, на которые предполагается распространить действие
политики TS RAP.
8. Укажите в диалоговом окне Select Groups расположение и имя группы
пользователей, а затем нажмите кнопку OK. Указать несколько групп
пользователей можно одним из двух способов:

ввести имена всех групп пользователей, разделив их точками с запятой;

добавить группы из других доменов, повторив действия, описанные в п. 7, по
отношению к каждой из них.
9. На вкладке Computer Group (группа компьютеров) укажите группу компьютеров, к
которой пользователи смогут подключаться через шлюз служб терминалов, одним
из следующих способов.

Чтобы указать существующую группу безопасности, установите параметр
Select an existing Active Directory security group (выбрать существующую
группу безопасности Active Directory) и нажмите кнопку Browse (обзор). Укажите
в диалоговом окне Select Group расположение и имя группы пользователей, а
затем нажмите кнопку OK. В данном случае можно выбрать группу
безопасности не из доменных служб Active Directory, а из числа локальных
38
пользователей и групп.

Чтобы указать группу компьютеров, находящуюся под управлением шлюза
служб терминалов, установите параметр Select an existing TS Gatewaymanaged computer group or create a new one и нажмите кнопку Browse. В
диалоговом окне Select a TS Gateway-managed Computer Group (выбор
группы компьютеров под управлением шлюза служб терминалов) выполните
одно из следующих действий.
Выберите существующую группу компьютеров под управлением шлюза служб
терминалов, щелкнув ее имя, после чего закройте диалоговое окно нажатием
кнопки OK.
Создайте новую группу компьютеров под управлением шлюза служб
терминалов, нажав кнопку Create New Group (создать новую группу). На
вкладке General введите имя и описание новой группы. На вкладке Network
Resources (сетевые ресурсы) введите имя либо IP-адрес компьютера или
фермы служб терминалов, которую предполагается добавить в группу, и
нажмите кнопку Add. Повторите это действие в отношении всех последующих
компьютеров, включаемых в группу, и закройте диалоговое окно New
TS Gateway-Managed Computer Group (новая группа компьютеров под
управлением шлюза служб терминалов) нажатием кнопки OK. Выбрав имя
новой группы компьютеров в диалоговом окне Select a TS Gateway-managed
Computer Group, закройте это окно нажатием кнопки OK.
Внимание!
Добавляя в список компьютеров, находящихся под управлением шлюза
служб терминалов, новый компьютер внутренней сети, имейте в виду,
что для того, чтобы удаленные пользователи могли подключаться к
этому компьютеру как по имени, так и по IP-адресу, его необходимо
включить в группу дважды (в первый раз указав его имя, а во второй –
IP-адрес). Если при включении компьютера в группу компьютеров
указать только его IP-адрес, то при подключении к нему через шлюз
служб терминалов пользователи также будут вынуждены указывать IPадрес. Чтобы гарантированно ограничить круг компьютеров внутренней
сети, к которым пользователи смогут подключаться, рекомендуется не
указывать IP-адреса компьютеров в том случае, если они не являются
статическими. В частности, указывать IP-адреса не следует, если
назначение IP-адресов компьютерам в организации осуществляется с
помощью протокола DHCP.

Чтобы указать произвольный сетевой ресурс, установите параметр Allow users
to connect to any network resource (разрешить пользователям подключаться к
любым сетевым ресурсам) и нажмите кнопку OK.
10. После выбора группы компьютеров созданная политика TS RAP появится в области
результатов диспетчера шлюза служб терминалов. Выбрав имя политики, можно
39
ознакомиться с ее параметрами в нижней части области.
6. Определение максимального числа одновременных
соединений, устанавливаемых через шлюз служб
терминалов (факультативная задача)
По умолчанию, за исключением случаев, когда сервер шлюза служб терминалов работает
под управлением ОС Windows Server® 2008 Standard, число одновременных клиентских
соединений с ресурсами внутренней сети не ограничивается. В целях оптимизации
производительности сервера шлюза служб терминалов, а также для реализации
действующих в организации политик подключения и безопасности разумно ограничить
число одновременных клиентских подключений к сетевым ресурсам через сервер шлюза
служб терминалов.
Примечание
Серверы шлюзов служб терминалов, работающие под управлением ОС Windows
Server 2008 Standard, поддерживают до 250 одновременных соединений.
Определение максимально допустимого числа соединений, устанавливаемых
через шлюз служб терминалов
1. Откройте диспетчер шлюза служб терминалов.
2. Выберите в дереве консоли узел, представляющий сервер шлюза служб
терминалов и содержащий имя компьютера, на котором этот сервер установлен.
3. Раскройте узел Monitoring (наблюдение) в дереве консоли.
4. Щелкните папку Monitoring правой кнопкой мыши и в контекстном меню выберите
команду Edit Connection Limit (изменить лимит соединений).
5. В секции Maximum Connections (максимальное число подключений) вкладки
General выполните одно из следующих действий.

Чтобы определить максимальное число одновременных соединений между
клиентами служб терминалов и ресурсами внутренней сети через шлюз служб
терминалов, установите параметр Limit maximum allowed simultaneous
connections to (ограничить максимальное число одновременных подключений)
и укажите искомое число.

Чтобы отказаться от установки максимально допустимого числа соединений
между клиентами и ресурсами внутренней сети через шлюз служб терминалов,
установите параметр Allow the maximum supported simultaneous connections
(разрешить максимальное поддерживаемое число одновременных
подключений). Этот параметр выбран по умолчанию. Следует иметь в виду, что
серверы шлюзов служб терминалов, работающие под управлением ОС
Windows Server 2008 Standard, поддерживают до 250 одновременных
соединений.

Чтобы запретить организацию новых соединений между клиентами и ресурсами
40
внутренней сети через шлюз служб терминалов, установите параметр Disable
new connections (запретить новые подключения). При выборе этого параметра
сервер будет отказывать в организации новых соединений. Ранее
установленные соединения разорваны не будут.
6. Нажмите кнопку OK.
Поэтапная настройка клиента служб
терминалов согласно базовому сценарию
реализации шлюза служб терминалов
Настройка клиента служб терминалов к работе согласно базовому сценарию реализации
шлюза служб терминалов сводится к выполнению следующих задач.
Задача
Справочные материалы и пошаговые
инструкции
1. Установка корневого сертификата сервера
шлюза служб терминалов в хранилище
доверенных корневых центров
сертификации клиента служб терминалов
(факультативная задача).
Установка корневого сертификата сервера
шлюза служб терминалов в хранилище
доверенных корневых центров
сертификации клиента служб терминалов
Примечание
Выполнение данной процедуры не
требуется, если на сервере шлюза
служб терминалов установлен
сертификат, выданный одним из
доверенных общедоступных центров
сертификации, участвующих в
программе корневых сертификатов
корпорации Майкрософт, и клиент
служб терминалов доверяет этому
сертификату.
2. Настройка параметров подключения к
удаленному рабочему столу.
Настройка параметров подключения к
удаленному рабочему столу
3. Проверка корректности установления
сквозных соединений через сервер шлюза
служб терминалов.
Проверка корректности установления
сквозных соединений через сервер шлюза
служб терминалов
41
1. Установка корневого сертификата сервера шлюза служб
терминалов в хранилище доверенных корневых центров
сертификации клиента служб терминалов (факультативная
задача)
Для того чтобы клиент получил возможность безопасно передав пароль и учетные данные
для входа, пройди процедуру проверки подлинности, клиентский компьютер должен
провести идентификацию сервера шлюза служб терминалов и вступить с ним в
доверительные отношения. Это, в свою очередь, требует доверия клиентов к корневому
сертификату сервера. Так, у каждого клиента служб терминалов в хранилище доверенных
корневых центров сертификации должен находиться сертификат, выданный тем же
центром сертификации, от которого получен сертификат сервера. Ознакомиться с
содержимым этого хранилища можно с помощью оснастки Certificates.
Как указывалось ранее, выполнение настоящей процедуры не требуется, если:

на сервере шлюза служб терминалов установлен сертификат, выданный одним из
доверенных общедоступных центров сертификации, участвующих в программе
корневых сертификатов Microsoft согласно перечню, приведенному в статье 931125
базы знаний корпорации Майкрософт на веб-ресурсе
http://go.microsoft.com/fwlink/?LinkID=59547;

клиент служб терминалов уже состоит в доверительных отношениях с выдавшим
сертификат центром сертификации.
1. Установка корневого сертификата сервера шлюза служб
терминалов в хранилище доверенных корневых центров
сертификации клиента служб терминалов (факультативная
задача)
Для того чтобы клиент получил возможность, безопасно передав пароль и учетные данные
для входа, пройди процедуру проверки подлинности, клиентский компьютер должен
провести идентификацию сервера шлюза служб терминалов и вступить с ним в
доверительные отношения. Это, в свою очередь, требует доверия клиентов к корневому
сертификату сервера. Так, у каждого клиента служб терминалов в хранилище доверенных
корневых центров сертификации должен находиться сертификат, выданный тем же
центром сертификации, от которого получен сертификат сервера. Ознакомиться с
содержимым этого хранилища можно с помощью оснастки Certificates.
Как указывалось ранее, выполнение настоящей процедуры не требуется, если:

на сервере шлюза служб терминалов установлен сертификат, выданный одним из
доверенных общедоступных центров сертификации, участвующих в программе
корневых сертификатов Microsoft [согласно перечню в статье 931125 базы знаний
Майкрософт (http://go.microsoft.com/fwlink/?LinkID=59547)];

клиент служб терминалов уже состоит в доверительных отношениях с выдавшим
сертификат центром сертификации.
42
Если сервер шлюза служб терминалов работает на основе сертификата, выданного одним
из доверенных общедоступных центров сертификации, и клиентский компьютер признает и
доверяет этому сертификату, переходите к процедуре, изложенной в разделе «Настройка
параметров подключения к удаленному рабочему столу».
Внимание!
Настоятельно не рекомендуется устанавливать сертификаты, полученные из
ненадежных источников и от непроверенных лиц.
Примечание
Настраивая поддержку технологии защиты доступа к сети (NAP) в клиенте служб
терминалов, следует установить корневой сертификат сервера шлюза служб
терминалов при помощи учетной записи компьютера. Если это невозможно,
установите корневой сертификат шлюза служб терминалов с применением учетной
записи пользователя.
Перед выполнением следующей процедуры необходимо скопировать сертификат на
клиентский компьютер. К примеру, если для сервера шлюза служб терминалов с помощью
диспетчера шлюза служб терминалов был создан самозаверяющий сертификат, то к
моменту начала выполнения данной процедуры этот сертификат должен быть уже
скопирован на клиентский компьютер с сервера шлюза служб терминалов.
Установка корневого сертификата сервера шлюза служб терминалов в хранилище
доверенных корневых центров сертификации клиента служб терминалов
1. Откройте консоль оснастки Certificates. Установить эту консоль, если она не была
установлена ранее, можно следующим образом:
a) нажмите кнопку Start, выберите вариант Run, введите команду mmc и нажмите
кнопку OK;
б) в меню File выберите команду Add/Remove Snap-in;
в) при появлении диалогового окна Add or Remove Snap-ins выберите пункт
Certificates в списке Available snap-ins и нажмите кнопку Add;
г)
чтобы открыть оснастку определенной учетной записи компьютера, выберите
пункт Computer account в диалоговом окне Certificates snap-in и нажмите
кнопку Next; чтобы открыть оснастку учетной записи пользователя, выберите
пункт My user account (моя учетная запись пользователя) и нажмите кнопку
Finish;
д) если на предыдущем этапе была открыта оснастка Certificates учетной записи
компьютера, в диалоговом окне Select Computer выберите пункт Local
computer: (the computer this console is running on) и нажмите кнопку Finish;
е) нажмите кнопку OK в диалоговом окне Add or Remove snap-ins.
2. Раскрыв узел Certificates (Local Computer) в дереве консоли оснастки Certificates,
выберите запись Trusted Root Certification Authorities (доверенные корневые
центры сертификации), щелкните правой кнопкой мыши запись Certificates,
43
войдите в контекстное меню All Tasks и выберите команду Import.
3. На открывшейся странице Welcome to the Certificate Import Wizard нажмите
кнопку Next.
4. В поле File name на странице File to Import найдите корневой сертификат сервера
шлюза служб терминалов, нажмите кнопку Open, а затем – Next.
5. После открытия страницы Certificate Store, подтвердив выбор параметра по
умолчанию – Place all certificates in the following store - Trusted Root Certification
Authorities (разметить все сертификаты в хранилище доверенных корневых
сертификатов), – нажмите кнопку Next.
6. На странице Completing the Certificate Import Wizard убедитесь в том, что
установлены следующие параметры:

Certificate Store Selected by User (выбранное пользователем хранилище
сертификатов) – Trusted Root Certification Authorities (хранилище доверенных
корневых сертификатов);

Content (данные) – Certificate (сертификат);

File Name (имя файла) – путь_к_файлу\<имя_корневого_сертификата.cer>,
где <имя_корневого сертификата > соответствует имени корневого
сертификата сервера шлюза служб терминалов.
7. Нажмите кнопку Finish.
8. После импорта сертификата на экране появится сообщение, подтверждающее
успешное завершение этой операции. Нажмите кнопку OK.
9. Выбрав узел Certificates в дереве консоли, удостоверьтесь в наличии корневого
сертификата сервера шлюза служб терминалов в списке сертификатов,
установленных на клиенте (этот список выводится в области сведений). Важно, что
этот сертификат должен находиться в хранилище Trusted Root Certification
Authorities.
2. Настройка параметров подключения к удаленному
рабочему столу
Настройка параметров подключения к удаленному рабочему столу
1. Откройте клиент подключения к удаленному рабочему столу. Для этого нажмите
кнопку Start, выберите пункт All Programs, затем пункт Accessories и, наконец, –
Remote Desktop Connection (подключение к удаленному рабочему столу).
2. После открытия диалогового окна Remote Desktop Connection нажмите кнопку
Options, чтобы расширить представление окна и ознакомиться с имеющимися
параметрами.
3. В области Connect from anywhere (подключение из любого места) вкладки
Advanced (дополнительно) нажмите кнопку Settings (параметры).
44
4. При появлении диалогового окна TS Gateway Server Settings (параметры сервера
шлюза служб терминалов) установите параметры, перечисленные ниже.

Automatically detect TS Gateway server settings (автоматически определять
параметры сервера шлюза служб терминалов) – установлен по умолчанию. При
выборе этого параметра клиент служб терминалов применяет настройки
групповой политики, которые определяют поведение клиентских соединений с
серверами или фермами серверов шлюзов служб терминалов в том случае,
если такие настройки определены и введены в действие. Дополнительную
информацию см. в разделе "Using Group Policy to Manage Client Connections
Through TS Gateway" (контроль клиентских подключений через шлюз служб
терминалов при помощи групповой политики) справочной системы шлюза
служб терминалов.

Use these TS Gateway server settings (использовать следующие параметры
шлюза служб терминалов). Если имя сервера или фермы серверов шлюзов
служб терминалов и метод входа, применяемый при подключении, еще не
определены и не реализуются групповой политикой, то выбор этого параметра
позволяет задать эти настройки. Указываемое здесь имя сервера должно
совпадать с именем в поле Issued to (кому выдан) сертификата сервера шлюза
служб терминалов. Если с помощью мастера Add/Remove Roles Wizard
(добавления и удаления ролей) во время установки службы роли «шлюз служб
терминалов» или посредством диспетчера шлюза служб терминалов после
завершения её установки был создан самозаверяющий сертификат, укажите
полное доменное имя (FQDN) сервера шлюза служб терминалов.

Bypass TS Gateway server for local addresses (не использовать шлюз служб
терминалов для локальных адресов). Этот параметр установлен по умолчанию.
Он позволяет клиенту служб терминалов автоматически определять, в какой
момент необходимо обращаться к шлюзу служб терминалов. Установка этого
параметра позволяет оптимизировать соединения и сократить задержки на
мобильных компьютерах, поскольку они смогут обращаться к шлюзу служб
терминалов только тогда, когда это необходимо. Если компьютер постоянно
подключен к локальной сети (LAN) или находится под защитой брандмауэра
внутренней сети, подключение будет осуществляться в обход шлюза служб
терминалов. Если же клиент находится за пределами внутренней сети, и
подключается к ее ресурсам через интернет, то такое подключение
осуществляется через шлюз служб терминалов.
Если компьютер находится в локальной сети, но есть намерение проверить
возможность его подключения к ресурсам через сервер или ферму серверов
шлюзов служб терминалов, снимите этот флажок. В противном случае клиент
не сможет устанавливать соединение с ресурсами внутренней сети через
сервер или ферму серверов шлюзов служб терминалов.

Do not use a TS Gateway server (не использовать шлюз служб терминалов).
Установите этот параметр, если компьютер постоянно подключен к локальной
45
сети или находится под защитой брандмауэра внутренней сети. Он оптимален
в тех случаях, когда шлюз служб терминалов не нужен для прохождения
брандмауэра.
5. Выполните одно из следующих действий.

Чтобы сохранить параметры и закрыть диалоговое окно Remote Desktop
Connection последовательно нажмите кнопки Save (сохранить) и Cancel
(отмена). Параметры будут сохранены в виде RDP-файла в каталоге по
умолчанию (диск:\<имя_пользователя>\Documents).

Чтобы сохранить RDP-файл в другом месте (впоследствии его можно
скорректировать и скопировать на другие клиентские компьютеры), нажмите
кнопку Save As (сохранить как). Укажите имя и расположение файла в поле File
name диалогового окна Save as, после чего нажмите кнопку Save.

Чтобы инициировать подключение к ресурсу внутренней сети, последовательно
нажмите кнопки Save и Connect (подключить), а затем выполните следующую
процедуру («Проверка корректности установления сквозных соединений через
шлюз служб терминалов »), начиная с шага 5.
3. Проверка корректности установления сквозных
соединений через шлюз служб терминалов
Проверка корректности установления сквозных соединений через шлюз служб
терминалов
1. Откройте клиент подключения к удаленному рабочему столу. Для этого нажмите кнопку
Start, выберите пункт All Programs, затем пункт Accessories и, наконец, – Remote
Desktop Connection (подключение к удаленному рабочему столу).
2. После открытия диалогового окна Remote Desktop Connection нажмите кнопку Options,
чтобы расширить представление окна и ознакомиться с имеющимися параметрами.
3. На вкладке General введите имя компьютера (сервера терминалов или компьютера с
разрешенным протоколом подключения к удаленному рабочему столу), с которым
предполагается установить удаленное соединение через шлюз служб терминалов.
4. Нажмите кнопку Connect.
5. В диалоговом окне Enter your credentials (введите учетные данные) выберите учетную
запись пользователя, под которой предполагается удаленно входить в систему, введите
учетные данные и нажмите кнопку OK.
6. В диалоговом окне Gateway server credentials (учетные данные шлюза) выберите имя
пользователя, под которым предполагается входить на сервер шлюза служб терминалов,
введите учетные данные и нажмите кнопку OK.
7. Через некоторое время настройка завершится, и между сервером шлюза служб
терминалов и удаленным компьютером будет установлено соединение.
46
Настройка шлюза служб терминалов:
сценарий с участием технологии защиты
доступа к сети (NAP)
В целях повышения безопасности на серверах шлюза служб терминалов и клиентах можно
настроить защиту доступа к сети (Network Access Protection, NAP). NAP – это технология
создания, введения в действие и исправления политик работоспособности, реализованная
в ОС Windows Vista и Windows Server 2008. Используя эту технологию, можно ввести в
действие требования к работоспособности клиентов, подключающихся к серверу шлюза
служб терминалов, в том числе связанные с работой брандмауэров, установленными
обновлениями для системы безопасности и другими параметрами конфигурации.
Технология NAP позволяет проверить соблюдение клиентами требований политики
работоспособности до того, как им будет предоставлен доступ к ресурсам внутренней сети
через серверы шлюзов служб терминалов.
Выполнение приведенных ниже процедур обеспечивает успешную настройку и
демонстрацию работы шлюза служб терминалов по сценарию с участием технологии NAP,
который в настоящем руководстве рассматривается в качестве примера.
1. Для изучения данного сценария рекомендуется произвести настройку трех
компьютеров:

сервера шлюза служб терминалов и одновременно сервера сетевых политик (NPSсервера) (называемого в настоящем примере «TSGSERVER»);

клиента служб терминалов (называемого в настоящем примере «TSCLIENT»);

ресурса внутренней сети (называемого в настоящем примере
«CORPORATERESOURCE»).
Компьютеры, выполняющие указанные роли, должны удовлетворять системным
требованиям, описанным в разделе «Сценарий реализации служб терминалов с
участием технологии NAP: системные требования».
2. Выполните базовую настройку сервера шлюза служб терминалов, описанную в
процедуре « Поэтапная настройка сервера шлюза служб терминалов согласно
базовому сценарию» из раздела «Настройка шлюза служб терминалов: базовый
сценарий».
3. Настройте проверку соблюдения политики работоспособности технологии NAP на
сервере шлюза служб терминалов, выполнив инструкции в разделе «Поэтапная
настройка сервера шлюза служб терминалов согласно сценарию с участием
технологии NAP».
4. Выполните базовую настройку клиента служб терминалов для подключения через
шлюз служб терминалов, выполнив процедуру « Поэтапная настройка клиента служб
терминалов согласно базовому сценарию реализации шлюза служб терминалов» в
разделе «Настройка шлюза служб терминалов: базовый сценарий».
47
5. Выполните настройку клиента принудительной защиты доступа к сети, выполнив
инструкции, приведенные в разделе «Поэтапная настройка клиента служб терминалов
в качестве клиента принудительной защиты доступа к сети».
6. Настройте ресурс внутренней сети. Как указывалось ранее, в роли такого ресурса
может выступать любой сервер терминалов или компьютер с разрешенным протоколом
удаленного рабочего стола.
7. Убедитесь в том, что созданные на сервере шлюза служб терминалов политики
работоспособности технологии NAP успешно введены в действие в отношении клиента
служб терминалов, выполнив две указанные ниже задачи.

Тестирование на предмет успешно заблокированного подключения. Если политики
работоспособности корректно введены в действие на клиенте служб терминалов,
то при условии, что на этом клиенте запрещены автоматические обновления,
попытка подключения клиента будет заблокирована NPS-сервером.

Тестирование на предмет успешно разрешенного подключения. Если политики
работоспособности корректно введены в действие на клиенте служб терминалов,
то при условии, что на этом клиенте разрешены автоматические обновления,
попытка подключения клиента будет одобрена NPS-сервером.
Инструкции по выполнению указанных контрольных задач см. в разделе «Проверка
успешного применения политики работоспособности технологии NAP шлюза служб
терминалов на клиенте служб терминалов».
Сценарий реализации служб терминалов с участием
технологии NAP: системные требования
Все три компьютера, задействованные в реализации шлюза служб терминалов согласно
сценарию с участием технологии NAP, должны удовлетворять следующим системным
требованиям.
Компьютер
Необходимая конфигурация
Сервер шлюза служб терминалов
(TSGSERVER)

Согласно данному сценарию, компьютер
TSGSERVER, одновременно
выполняющий роли сервера шлюза
служб терминалов и NPS-сервера,
должен работать под управлением
версии RC0 ОС Windows Server 2008.
Допускается установка
соответствующего обновления после
установки ОС Windows Server® 2003 с
пакетом обновления 1 (SP1) или бетаверсии 3 ОС Windows Server 2008.
Дополнительные сведения см. в разделе
48
Компьютер
Необходимая конфигурация
«Supported upgrade paths» (Варианты
обновления) в документе «Установка
начальной версии ОС Windows
Server 2008» (на английском языке,
http://go.microsoft.com/fwlink/?LinkId=1048
24).
Клиент служб терминалов (TSCLIENT)
Согласно данному сценарию, компьютер
TSCLIENT, одновременно выполняющий
роли клиента служб терминалов и клиента
NAP, должен работать под управлением
любой из следующих операционных систем.

Бета-версии пакета обновления 1 (SP1)
для ОС Windows Vista или пакета
обновления 3 (SP3) для ОС Windows XP.
Примечание
Бета-версии пакета обновления 1
(SP1) для ОС Windows Vista и
пакета обновления 3 (SP3) для
ОС Windows XP доступны
участникам соответствующих
программ Microsoft® Connect
Beta на веб-ресурсе MS Connect
http://go.microsoft.com/fwlink/?LinkI
D=102024.
Ресурс внутренней сети
(CORPORATERESOURCE)

Окончательная первоначальная версия
(RTM) ОС Windows Vista. Допускается
установка соответствующего обновления
после установки ОС Windows XP с
пакетом обновления 2 (SP2).

Версия RC0 ОС Windows Server 2008.
Допускается установка новой версии
путем обновления существующей.

Бета-версии пакета обновления 1 (SP1)
для ОС Windows Vista или пакета
обновления 3 (SP3) для ОС Windows XP.
Примечание
Бета-версии пакета обновления 1
(SP1) для ОС Windows Vista и
49
Компьютер
Необходимая конфигурация
пакета обновления 3 (SP3) для
ОС Windows XP доступны
участникам соответствующих
программ Microsoft® Connect
Beta на веб-ресурсе MS Connect
http://go.microsoft.com/fwlink/?LinkI
D=102024.

Окончательная первоначальная версия
(RTM) ОС Windows Vista. Допускается
установка соответствующего обновления
после установки ОС Windows XP с
пакетом обновления 2 (SP2).

ОС Windows XP с пакетом обновления 2
(SP2).

Бета-версия ОС Windows XP с пакетом
обновления 3 (SP3).

Версия RC0 ОС Windows Server 2008.
Допускается установка новой версии
путем обновления существующей.

ОС Windows Server 2003 с пакетом
обновления 1 (SP1) или 2 (SP2).
Схема реализации шлюза служб терминалов по сценарию с
участием технологии NAP
Следующая схема наглядно иллюстрирует сценарий реализации шлюза служб терминалов
совместно с технологией NAP.
50
Внутренний
брандмауэр –
необязательный
компонент (открыт
порт 3389)
Внешний брандмауэр (открыт
порт 443)
Серверы
терминалов
RDP через SSL
или
Домашний переносной
компьютер
Шлюз служб
терминалов
RDP через SSL
Компьютеры с
разрешенным
протоколом
удаленного
рабочего стола
Доменные службы Active
Directory
NAP (центральный NPS-сервер)
Интернет
Демилитаризованная зона
Корпоративная или частная сеть
Сценарий с участием технологии защиты доступа к сети – подключение сотрудника, работающего на дому,
к компьютерам корпоративной сети через шлюз служб терминалов при включенной проверке соблюдения
политики работоспособности
Примечание
В настоящем руководстве приводятся инструкции по настройке удаленного
подключения клиентов служб терминалов к ресурсам внутренней сети через сервер
шлюза служб терминалов при включенной проверке соблюдения политики
работоспособности клиентов (такую проверку выполняет NPS-сервер). Руководство
не содержит инструкций по настройке брандмауэров, серверов терминалов,
исполняющих удаленные приложения RemoteApp, демилитаризованной зоны и
инфраструктуры Active Directory, несмотря на то, что все эти компоненты
обозначены на схеме сценария. Данная схема изображает один из возможных
способов реализации сценария в рабочей среде.
Поэтапная настройка сервера шлюза служб
терминалов согласно сценарию с участием
технологии NAP
Для настройки сервера шлюза служб терминалов согласно сценарию с участием
технологии NAP необходимо выполнить следующие задачи.
51
Задача
Справочные материалы и пошаговые
инструкции
1. Включение проверки соблюдения
политики работоспособности технологии
NAP на сервере шлюза служб терминалов.
Включение проверки соблюдения политики
работоспособности технологии NAP на
сервере шлюза служб терминалов
2. Удаление существующих политик TS CAP
и создание трех новых политик этого типа на
сервере шлюза служб терминалов.
Удаление существующих политик TS CAP и
создание трех новых политик этого типа на
сервере шлюза служб терминалов
3. Настройка на сервере шлюза служб
терминалов средства проверки
работоспособности системы безопасности
ОС Windows.
Настройка на сервере шлюза служб
терминалов средства проверки
работоспособности системы безопасности
ОС Windows
4. Создание на сервере шлюза служб
терминалов политик технологии NAP
средствами мастера Configure NAP Wizard
(настройки NAP).
Создание на сервере шлюза служб
терминалов политик технологии NAP
средствами мастера Configure NAP Wizard
(настройки NAP)
1. Включение проверки соблюдения политики
работоспособности технологии NAP на сервере шлюза
служб терминалов
Чтобы ввести в действие проверку соблюдения политики работоспособности технологии
NAP на сервере шлюза служб терминалов, необходимо настроить сервер так, чтобы он
запрашивал у клиентов служб терминалов отклик о состоянии работоспособности (SoH).
Включение проверки работоспособности на сервере шлюза служб терминалов
1. Откройте диспетчер шлюза служб терминалов. Для этого нажмите кнопку Start,
выберите пункт Administrative Tools, далее пункт Terminal Services, а затем –
Terminal Services Gateway (шлюз служб терминалов).
2. Щелкните правой кнопкой мыши узел локального сервера шлюза служб терминалов
в дереве консоли диспетчера шлюза служб терминалов и в контекстном меню
выберите пункт Properties.
3. Перейдите на вкладку TS CAP Store (хранилище политик TS CAP) и установите
флажок Request clients to send a statement of health (запрашивать у клиентов
отклик о состоянии работоспособности).
4. На экране появится сообщение, предупреждающее о необходимости настроить
политики TS CAP для защиты доступа к сети, без чего ввести в действие политики
работоспособности невозможно. Чтобы закрыть это сообщение, нажмите кнопку
OK.
52
5. Чтобы закрыть диалоговое окно Properties сервера шлюза служб терминалов,
нажмите кнопку OK еще раз.
2. Удаление существующих политик TS CAP и создание трех
новых политик этого типа на сервере шлюза служб
терминалов
Если ранее при помощи диспетчера шлюза служб терминалов на сервере шлюза служб
терминалов была создана одна или несколько политик TS CAP,как изложено в процедурах
«Создание политики TS CAP сервера шлюза служб терминалов» раздела «Настройка
шлюза служб терминалов: базовый сценарий», рекомендуется удалить эти политики
согласно процедуре, изложенной ниже.
Внимание!
Отказ от удаления ранее созданных политик TS CAP может привести к
образованию уязвимости в системе безопасности внутренней сети. Это связано с
тем, что старые политики TS CAP позволяют обойти политики проверки
подлинности, которые предстоит создать в рамках настоящего сценария. Если
политики проверки подлинности проигнорированы, то клиенты служб терминалов,
которые не удовлетворяют их требованиям, все равно смогут получить доступ к
серверу шлюза служб терминалов.
Удаление с сервера шлюза служб терминалов существующих политик TS CAP
1. Откройте диспетчер шлюза служб терминалов.
2. Выберите в дереве консоли узел, представляющий сервер шлюза служб терминалов и
содержащий имя компьютера, на котором этот сервер установлен.
3. Раскройте узел Policies (политики) в дереве консоли и выберите папку Connection
Authorization Policies (политики авторизации подключений).
4. Щелкните имя существующей политики TS CAP в области сведений и нажмите кнопку
Delete.
Удалив из диспетчера шлюза служб терминалов ранее созданные политики TS CAP,
создайте три новые, полностью идентичные между собой политики TS CAP (TSCAP1,
TSCAP2 и TSCAP3), выполнив процедуры «Создание политики TS CAP сервера шлюза
служб терминалов», изложенные в разделе «Настройка шлюза служб терминалов: базовый
сценарий».
Если в диспетчере шлюза служб терминалов отсутствует политика TS RAP, создайте ее.
Если политика TS RAP, удовлетворяющая требованиям по безопасности, уже существует,
удалять ее и создавать новую не нужно. Пошаговые инструкции по созданию политик
TS RAP см. в процедуре «Создание политики TS RAP на сервере шлюза служб
терминалов» раздела «Настройка шлюза служб терминалов: базовый сценарий».
53
3. Настройка на сервере шлюза служб терминалов средства
проверки работоспособности системы безопасности ОС
Windows
Настройка средства проверки работоспособности системы безопасности ОС Windows
(Windows Security Health Validator, WSHV) предполагает создание политики
работоспособности клиентов, которая содержит требования к клиентским компьютерам,
пытающимся подключиться к внутренней сети. Попытки клиентских компьютеров, не
соблюдающих требования WSHV, подключиться к внутренней сети блокируются.
В рассматриваемом примере системой безопасности WSHV выставляется одно условие –
разрешенные автоматические обновления.
Настройка на сервере шлюза служб терминалов средства проверки
работоспособности системы безопасности Windows
1. Откройте консоль оснастки Network Policy Server (сервер сетевых политик). Для
этого нажмите кнопку Start, выберите пункт Administrative Tools, а затем –
Network Policy Server.
2. Выберите узел Network Access Protection (защита доступа к сети) в дереве
консоли.
3. В секции System Health Validators (средства проверки работоспособности систем)
области сведений выберите вариант Configure System Health Validators
(настроить средства проверки работоспособности систем).
4. В области сведений щелкните правой кнопкой мыши запись Windows Security
Health Validator (средства проверки работоспособности системы безопасности
Windows) в секции Name и в контекстном менювыберите пункт Properties.
5. При появлении диалогового окна Windows Security Health Validator Properties
(свойства средств проверки работоспособности системы безопасности ОС
Windows) перейдите на вкладку Settings и нажмите кнопку Configure (настроить).
6. На вкладке Windows Vista и/или Windows XP (в зависимости от операционной
системы, под управлением которой работает клиент служб терминалов) снимите
все флажки, за исключением Automatic updating is enabled (автоматическое
обновление разрешено), Restrict access for clients that do not have all available
security updates installed (ограничить доступ для клиентских компьютеров, на
которых не установлены все доступные обновления системы безопасности) и
Windows Update.
7. Чтобы закрыть диалоговое окно Windows Security Health Validator Properties
(вместе с вкладками Windows Vista и Windows XP), а затем и диалоговое окно
Windows Security Health Validator Properties с открытой вкладкой Settings,
нажмите кнопку OK два раза.
54
4. Создание на сервере шлюза служб терминалов политик
технологии NAP средствами мастера Configure NAP Wizard
(настройки технологии NAP)
Мастер Configure NAP (настройки технологии NAP) упрощает процесс создания политик,
необходимых для настройки сервера шлюза служб терминалов в качестве клиента
принудительной защиты доступа к сети. В настоящем разделе приводятся процедуры
создания следующих политик шлюза служб терминалов.
Политики работоспособности. Политики работоспособности помогают определить
требования к конфигурации клиентов с поддержкой технологии NAP, устанавливающих
соединения с ресурсами внутренней сети посредством сервера шлюзов служб
терминалов.
Политика запросов на подключение. Такие политики представляют собой
упорядоченные наборы правил, которые позволяют службе NPS определить, следует
ли обработать тот или иной запрос на подключение или учетное сообщение от
RADIUS-клиента в локальном режиме, или его нужно передать другому RADIUSсерверу. При настройке на NPS-сервере функций определения работоспособности и
введения в действия соответствующих политик NAP NPS-сервер исполняет роль
RADIUS-сервера. При этом сервер шлюза служб терминалов является клиентом
сервера RADIUS.
Сетевые политики. Сетевые политики позволяют определить, кто и при каких
обстоятельствах вправе подключаться к сети. Одновременно с проверкой подлинности
согласно технологии NAP выполняется проверка работоспособности клиентов.
Создание на сервере шлюза служб терминалов политик технологии NAP
средствами мастера Configure NAP Wizard
1. Откройте консоль оснастки Network Policy Server (сервер сетевых политик). Для
этого нажмите кнопку Start, выберите пункт Administrative Tools, а затем –
Network Policy Server.
2. Выберите узел NPS (Local) (NPS-сервер (локальный)) в дереве консоли.
3. В секции Standard Configuration (стандартная конфигурация) области сведений
нажмите кнопку Configure NAP (настроить NAP).
4. На странице Select Network Connection Method for Use with NAP (выбрать метод
сетевого подключения при использовании NAP) мастера Configure NAP выполните
следующие действия:
a) в секции Network connection method (метод сетевого подключения) выберите
вариант Terminal Services Gateway (TS Gateway) (шлюз служб терминалов);
б) согласившись с именем, предложенным в секции Policy Name по умолчанию
(NAP TS Gateway), или указав другое имя, нажмите кнопку Next.
5. Убедитесь в том, что на странице Specify NAP Enforcement Servers Running
TS Gateway (указать серверы принудительной защиты доступа к сети для
55
управления шлюзом служб терминалов) в секции TS Gateway servers (серверы
шлюзов служб терминалов) установлен параметр TS Gateway server (сервер
шлюза служб терминалов), нажмите кнопку Next.
6. На странице Configure Client Device Redirection and Authentication Methods
(настроить перенаправление клиентских устройств и методы проверки
подлинности) выполните следующие действия.
a) В секции Device redirection (перенаправление устройств) установите параметр,
оптимально подходящий для конкретной среды.
б) В секции Authentication Method (метод проверки подлинности) выберите
методы или метод проверки подлинности, наиболее подходящий с учетом
специфики конкретной среды. Если разрешены оба способа проверки
подлинности, клиент может применять любой из них по своему усмотрению.
7. На странице Configure User Groups and Machine Groups (настроить группы
пользователей и компьютеров) выполните следующие действия.
a) В секции User Groups: (Required) (группы пользователей (обязательные))
нажмите кнопку Add User (добавить пользователя), а затем укажите группу
пользователей, участники которой могут подключаться к серверу шлюза служб
терминалов. Необходимо указать, как минимум, одну такую группу.
б) Затем, при появлении диалогового окна Select Groups, укажите расположение
и имя группы пользователей; наконец, чтобы проверить введенное имя и
закрыть диалоговое окно Select Groups, нажмите кнопку OK. Указать несколько
групп пользователей можно одним из двух способов:
в) ввести имена всех групп пользователей, разделив их точками с запятой;
г)
добавить группы из других доменов, повторив предыдущее действие в
отношении каждой из них.
д) В секции Machine Groups: (Optional) (группы компьютеров (дополнительно))
укажите (не обязательно) критерии участия в доменах, которым должны
удовлетворять клиентские компьютеры, затем нажмите кнопку Add Machine
(добавить компьютер) и выберите группы компьютеров. В приведенных
образцах конфигураций группы компьютеров не указаны.
е) Группы компьютеров определяются тем же способом, что и группы
пользователей.
8. Нажмите кнопку Next.
9. Убедившись в том, что на странице Define NAP Health Policy (определить политику
работоспособности NAP) установлен флажок Windows Security Health Validator и
выбран параметр Deny client access to terminal servers or computers running
Remote Desktop (запретить клиентам доступ к серверам терминалов и
компьютерам с работающим клиентом удаленного рабочего стола), нажмите кнопку
Next.
10. Проверьте, указаны ли на странице Completing New Network Access Protection
56
Policies and RADIUS clients (завершить настройку новых политик защиты доступа
к сети и клиентов сервера RADIUS) следующие политики:

в секции Health Policies (политики работоспособности) – NAP TS Gateway
Compliant (соответствие требованиям технологии NAP шлюза служб
терминалов) и NAP TS Gateway Noncompliant (несоответствие требованиям
технологии NAP шлюза служб терминалов);

в секции Connection Request Policy (политика запросов на подключение) –
NAP TS Gateway (технология NAP шлюза служб терминалов);

в секции Network Policies (сетевые политики) – NAP TS Gateway Compliant,
NAP TS Gateway Noncompliant и NAP TS Gateway Non NAP-Capable
(подключение к шлюзу служб терминалов с использованием технологии NAP
без поддержки технологии NAP).
11. Нажмите кнопку Finish.
Поэтапная настройка клиента служб
терминалов в качестве клиента
принудительной защиты доступа к сети
Для настройки клиентского компьютера служб терминалов в качестве клиента
принудительной защиты доступа к сети (Network Access Protection, NAP) необходимо
выполнить следующие задачи.
Задача
Справочные материалы и пошаговые
инструкции
1. Загрузка и выполнение команды
настройки клиента служб терминалов,
использующего технологии NAP.
Загрузка и выполнение команды настройки
клиента служб терминалов, использующего
технологии NAP
2. Проверка успешного применения
политики работоспособности технологии
NAP шлюза служб терминалов на клиенте
служб терминалов.
Проверка успешного применения политики
работоспособности технологии NAP шлюза
служб терминалов на клиенте служб
терминалов
1. Загрузка и выполнение команды настройки клиента служб
терминалов, использующего технологии NAP
Команда настройки клиента служб терминалов, использующего технологии NAP
(Tsgqecclientconfig.cmd) настраивает клиент служб терминалов в роли клиента
принудительной защиты доступа к сети, выполняя следующие задачи.
57

Добавление имени сервера шлюза служб терминалов в список доверенных серверов
клиентского компьютера.

Запуск службы Network Access Protection Agent (агент защиты сетевого доступа) и
настройка ее автоматического запуска.
Агент NAP осуществляет сбор информации о работоспособности и управление ею. Он
обрабатывает отклики о состоянии работоспособности (SoH), поступающие от
различных агентов работоспособности систем (system health agents, SHA), и
отправляет отчеты о работоспособности клиентов серверу администрирования
технологии NAP. Для корректной работы сервера администрирования технологии NAP
необходимо запустить на клиентском компьютере службу Network Access Protection
Agent и настроить ее автоматический запуск. По умолчанию эта служба автоматически
не запускается .

Ввод в действие клиента принудительного карантина шлюза сервера терминалов.
Для запуска образца сценария выполните следующую процедуру. Следует иметь в
виду, что данный сценарий необходимо выполнить от имени участника локальной
группы «Администраторы» на сервере шлюза служб терминалов.
Загрузка и выполнение команды настройки клиента служб терминалов,
использующего технологии NAP
1. Загрузите команду настройки клиента служб терминалов, использующего
технологии NAP, со страницы «Команда настройки клиента служб терминалов,
использующего технологии NAP» (на английском языке) Центра загрузки
корпорации Майкрософт (http://go.microsoft.com/fwlink/?LinkId=103093). Открыв
командную строку, щелкните в ней правой кнопкой мыши и выберите пункт Run as
Administrator (запуск от имени администратора). Для успешного выполнения
команды необходимо иметь повышенные привилегии. Инструкции по выполнению
данной команды с повышенными привилегиями в среде Windows XP см. в статье
294676 базы знаний корпорации Майкрософт
(http://go.microsoft.com/fwlink/?LinkId=87531). Инструкции по выполнению команды в
среде Windows Server 2003 см. в статье «Запуск программы с учетными данными
администратора» (на английском языке, http://go.microsoft.com/fwlink/?LinkId=87533).
2. Введите в командной строке следующий текст :
tsgqecclientconfig ИМЯ_СЕРВЕРА_ШЛЮЗА_СТ
где ИМЯ_СЕРВЕРА_ШЛЮЗА_СТ следует заменить полным доменным именем
(FQDN) сервера шлюза служб терминалов, который предполагается включить в
список доверенных серверов шлюзов служб терминалов на клиентском
компьютере.
Указываемое здесь имя сервера должно совпадать с именем в поле Issued to
(относится к) сертификата сервера шлюза служб терминалов. Если с помощью
мастера Add/Remove Roles Wizard во время установки службы роли «шлюз служб
терминалов» или посредством диспетчера шлюза служб терминалов после
58
завершения ее установки был создан самозаверяющий сертификат, укажите
полное доменное имя (FQDN) сервера шлюза служб терминалов.
Чтобы включить в список несколько серверов шлюзов служб терминалов, укажите
их имена, разделяя последовательностью символов \0 (пример:
ИМЯ_СЕРВЕРА1\0ИМЯ_СЕРВЕРА2\0ИМЯ_СЕРВЕРА3).
3. Чтобы ввести в действие новые настройки, перезагрузите клиентский компьютер,
после чего войдите в систему с теми же учетными данными, которые применялись
при выполнении команды настройки клиента.
4. Откройте редактор реестра. Для этого в поле Start (открыть) введите команду
regedit и нажмите клавишу ввода.
5. Перейдите к следующему подразделу реестра:
HKEY_LOCAL_MACHINE\Software\Microsoft\Terminal Server
Client\TrustedGateways
6. Убедитесь в том, что в подразделе TrustedGateways определено следующее
значение:
<ИМЯ_сервера_шлюза_СТ >
где вместо ИМЯ_сервера_шлюза_СТ должно быть указано полное доменное имя
(FQDN) сервера шлюза служб терминалов, заданного на этапе 2. Если в список
включено несколько серверов шлюзов служб терминалов, то в данном подразделе
должны содержаться имена каждого из них.
2. Проверка успешного применения политики
работоспособности технологии NAP на клиенте служб
терминалов
Процедуры, приведенные ниже, позволяют проверить, применяется ли политика
работоспособности, настроенная на сервере шлюза служб терминалов, на клиенте служб
терминалов.
Напомним, что политика средства проверки работоспособности системы безопасности
(WSHV), созданная на сервере шлюза служб терминалов, требует в качестве условия
успешного подключения включить на клиентских компьютерах автоматическое обновление.
Чтобы проверить, корректно ли политика работоспособности введена в действие на
клиенте служб терминалов, необходимо решить следующие задачи.

Тест блокировки подключения клиента, поддерживающего технологию NAP. Если
политика работоспособности корректно введена в действие на клиенте служб
терминалов, поддерживающем технологию NAP, то при условии, что на этом клиенте
запрещены автоматические обновления, попытка подключения клиента будет
заблокирована сервером.

Тест успешного подключения клиента, поддерживающего технологию NAP. Если
политика работоспособности корректно введена в действие на клиенте служб
терминалов, поддерживающем технологию NAP, то при условии, что на этом клиенте
59
включены автоматические обновления, попытка подключения клиента будет
разрешена сервером.

Тест блокировки подключения клиента, не поддерживающего технологию NAP. Если
политика работоспособности корректно введена в действие на клиенте служб
терминалов, не поддерживающем технологию NAP, то попытка подключения будет
заблокирована сервером в связи с неспособностью клиента отправить отклик о
состоянии работоспособности (SoH).
Тест блокировки подключения клиента, поддерживающего технологию
NAP
Выполнение на клиентском компьютере следующей процедуры позволяет проверить,
настроена ли хотя бы одна политика работоспособности технологии NAP, способная
блокировать попытки подключения через сервер шлюза служб терминалов со стороны
клиентов служб терминалов, поддерживающих технологию NAP, в случаях, когда на этих
клиентах запрещено автоматическое обновление.
Попытка организации сквозного соединения через сервер шлюза служб
терминалов в ситуации, когда на клиентском компьютере запрещено
автоматическое обновление
1. Откройте панель управления. Для этого нажмите кнопку Start и откройте меню
Control Panel.
2. На панели управления дважды щелкните запись Security Center (центр
обеспечения безопасности).
3. Проверьте, присвоено ли параметру Automatic Updating (автоматическое
обновление) в секции Security Essentials (основы безопасности) значение On
(вкл). Если это так, переходите к следующему шагу. Если значением параметра
Automatic Updating является Off (выкл), переходите к выполнению шага 7.
4. Выберите пункт Windows Update в области переходов.
5. В секции Windows Update области переходов выберите вариант Change Settings
(изменить параметры).
6. При открытии диалогового окна Choose how Windows can install updates
(выберите способ установки обновлений ОС Windows) установите параметр Never
check for updates (not recommended) (не проверять наличие обновлений (не
рекомендуется)) и нажмите кнопку OK.
7. Откройте клиент подключения к удаленному рабочему столу. Для этого нажмите
кнопку Start, выберите пункт All Programs, затем пункт Accessories и, наконец, –
Remote Desktop Connection.
8. После открытия диалогового окна Remote Desktop Connection нажмите кнопку
Options, чтобы расширить представление окна и ознакомиться с имеющимися
параметрами.
9. На вкладке General введите имя компьютера (сервера терминалов или компьютера
60
с разрешенным протоколом подключения к удаленному рабочему столу), с которым
предполагается установить соединение через шлюз служб терминалов.
10. Нажмите кнопку Connect.
11. На странице Enter your credentials выберите учетную запись пользователя, под
которой предполагается удаленно входить в систему, введите учетные данные и
нажмите кнопку OK.
12. На странице Gateway server credentials выберите имя пользователя, под которым
предполагается входить на сервер шлюза служб терминалов, введите учетные
данные и нажмите кнопку OK.
13. Через непродолжительное время будет выведено сообщение об ошибке
следующего содержания:
"This computer can't connect to the remote computer because your computer or device
did not pass the Network Access Policies validation set by your network administrator.
Please contact your network administrator for assistance" («Не удается подключиться к
удаленному компьютеру, так как компьютер или устройство не прошло проверку
соблюдения политик доступа к сети, установленную администратором сети.
Обратитесь за помощью к администратору сети»).
14. Закройте сообщение нажатием кнопку OK, а затем отмените соединение.
Проверка блокирования подключения согласно политике
работоспособности технологии NAP
Перечисленные ниже три события, записываемые в журнал событий на сервере шлюза
служб терминалов, подтверждают отказ в доступе клиентского компьютера вследствие
успешного применения политики работоспособности.

Код события 6272, ключевое слово – Audit Success (аудит – успех). Данное
событие, подлежащее регистрации в журнале Windows Logs\Security (журналы ОС
Windows\безопасность), свидетельствует о том, что NPS-сервер предоставил клиенту
доступ.

Код события 6276, ключевое слово – Audit Success (аудит – успех). Данное
событие, подлежащее регистрации в журнале Windows Logs\Security, свидетельствует
о том, что вследствие успешного применения политики работоспособности клиенту
запрещен доступ к серверу шлюза служб терминалов и, кроме того, клиент помещен в
карантин.

Код события 204, ключевое слово – Audit Failure (аудит – отказ). Данное событие,
подлежащее регистрации в журнале Applications and Services
Logs\Microsoft\Windows\TerminalServices-Gateway\Operational (журналы приложений и
служб\ Microsoft\Windows\шлюз служб терминалов\рабочий), свидетельствует о том,
что клиент не выполнил требования политик технологии NAP на NPS-сервере и не
получил разрешение на доступ к серверу шлюза служб терминалов.
61
Проверка блокирования подключения согласно политике работоспособности
технологии NAP
1. Откройте окно просмотра событий на сервере шлюза служб терминалов. Для этого
нажмите кнопку Start, выберите пункт Administrative Tools, а затем – Event
Viewer.
2. Раскройте узел Windows Logs в окне просмотра событий и нажмите кнопку
Security.
3. Выбрав в дереве консоли запись Security, проведите поиск событий с кодами 6272
и 6276.
4. Раскройте в дереве консоли узел Applications and Services
Logs\Microsoft\Windows\TerminalServices-Gateway и выберите пункт Operational.
5. Выбрав в дереве консоли запись Operational, проведите поиск событий с кодом
204.
6. Закройте окно просмотра событий.
Тест успешного подключения клиента, поддерживающего технологию
NAP
Выполнение на клиентском компьютере следующей процедуры позволяет проверить,
настроена ли хотя бы одна политика работоспособности технологии NAP, способная
санкционировать попытки подключения через сервер шлюза служб терминалов со стороны
клиентов служб терминалов, поддерживающих технологию NAP, в случаях, когда на этих
клиентах разрешено автоматическое обновление.
Попытка организации сквозного соединения через сервер шлюза служб
терминалов в ситуации, когда на клиентском компьютере разрешено
автоматическое обновление
1. Откройте панель управления. Для этого нажмите кнопку Start и откройте меню
Control Panel.
2. На панели управления дважды щелкните запись Security Center.
3. В секции Security Essentials нажмите кнопку Change settings (изменить
настройки), расположенную под параметром Automatic updating.
4. При появлении диалогового окна Choose an automatic updating option (выбор
параметров автоматического обновления) выберите параметр Install updates
automatically (recommended) (устанавливать обновления автоматически
(рекомендуется)).
5. Откройте клиент подключения к удаленному рабочему столу. Для этого нажмите
кнопку Start, выберите пункт All Programs, затем пункт Accessories и, наконец, –
Remote Desktop Connection.
6. После открытия диалогового окна Remote Desktop Connection нажмите кнопку
Options, чтобы расширить представление окна и ознакомиться с имеющимися
62
параметрами.
7. На вкладке General введите имя компьютера (сервера терминалов или компьютера
с разрешенным протоколом подключения к удаленному рабочему столу), с которым
предполагается установить соединение через шлюз служб терминалов.
8. Нажмите кнопку Connect.
9. На странице Enter your credentials выберите учетную запись пользователя, под
которой предполагается удаленно входить в систему, введите учетные данные и
нажмите кнопку OK.
10. На странице Gateway server credentials выберите имя пользователя, под которым
предполагается входить на сервер шлюза служб терминалов, введите учетные
данные и нажмите кнопку OK.
11. Через некоторое время настройка завершится, и между сервером шлюза служб
терминалов и удаленным компьютером будет установлено соединение.
Проверка успешного подключения согласно политике
работоспособности технологии NAP
Перечисленные ниже три события, записываемые в журнале событий на сервере шлюза
служб терминалов, подтверждают предоставление доступа клиентскому компьютеру
вследствие успешного применения политики работоспособности.

Код события 6272, ключевое слово – Audit Success (аудит – успех). Данное
событие, подлежащее регистрации в журнале ОС Windows Logs\Security,
свидетельствует о том, что NPS-сервер предоставил клиенту доступ.

Код события 6278, ключевое слово – Audit Success (аудит – успех). Данное
событие, подлежащее регистрации в журнале ОС Windows Logs\Security,
свидетельствует о том, что вследствие успешного применения политики
работоспособности клиенту предоставлен доступ к серверу шлюза служб терминалов.

Код события 200. Данное событие, подлежащее регистрации в журнале Applications
and Services Logs\Microsoft\Windows\TerminalServices-Gateway\Operational,
свидетельствует о том, что клиент работоспособен и поэтому может подключаться к
серверу шлюза служб терминалов.
Проверка успешного подключения согласно политике работоспособности
технологии NAP
1. Откройте окно просмотра событий на сервере шлюза служб терминалов. Для этого
нажмите кнопку Start, выберите пункт Administrative Tools, а затем – Event
Viewer.
2. Раскройте узел Windows Logs в окне просмотра событий и нажмите кнопку
Security.
3. Выбрав в дереве консоли запись Security, проведите поиск событий с кодами 6272
и 6278.
63
4. Раскройте в дереве консоли узел Applications and Services
Logs\Microsoft\Windows\TerminalServices-Gateway и выберите пункт Operational.
5. Выбрав в дереве консоли запись Operational, проведите поиск событий с кодом
200.
6. Закройте окно просмотра событий.
Тест блокировки подключения клиента, не поддерживающего
технологию NAP
Выполнение на клиентском компьютере следующей процедуры позволяет проверить,
настроена ли хотя бы одна политика работоспособности технологии NAP, способная
блокировать подключение клиента служб терминалов к серверу шлюза служб терминалов
в ситуации, когда клиент не может отправить на сервер отклик о состоянии
работоспособности.
Попытка организации сквозного соединения через сервер шлюза служб
терминалов в ситуации, когда клиент не может отправить отклик о состоянии
работоспособности
1. Откройте панель управления. Для этого нажмите кнопку Start и откройте меню Control
Panel.
2. На панели управления дважды щелкните запись Security Center.
3. Проверьте, присвоено ли параметру Automatic Updating (автоматическое обновление) в
секции Security Essentials (основы безопасности) значение On (вкл).
4. Откройте командную строку, щелкните в ней правой кнопкой мыши и выберите пункт Run
as Administrator (запуск от имени администратора).
5. Введите в командной строке следующий текст:
net stop napagent
6. Откройте клиент подключения к удаленному рабочему столу. Для этого нажмите кнопку
Start, выберите пункт All Programs, затем пункт Accessories и, наконец, – Remote
Desktop Connection.
7. После открытия диалогового окна Remote Desktop Connection нажмите кнопку Options,
чтобы расширить представление окна и ознакомиться с имеющимися параметрами.
8. На вкладке General введите имя компьютера (сервера терминалов или компьютера с
разрешенным протоколом подключения к удаленному рабочему столу), с которым
предполагается установить соединение через шлюз служб терминалов.
9. Нажмите кнопку Connect.
10. На странице Enter your credentials выберите учетную запись пользователя, под которой
предполагается удаленно входить в систему, введите учетные данные и нажмите кнопку
OK.
11. На странице Gateway server credentials выберите имя пользователя, под которым
предполагается входить на сервер шлюза служб терминалов, введите учетные данные и
64
нажмите кнопку OK.
12. Через непродолжительное время будет выведено сообщение об ошибке следующего
содержания:
"This computer can't connect to the remote computer because your computer or device did not
pass the Network Access Policies validation set by your network administrator. Please contact
your network administrator for assistance" («Не удается подключиться к удаленному
компьютеру, так как компьютер или устройство не прошло проверку соблюдения политик
доступа к сети, установленную администратором сети. Обратитесь за помощью к
администратору сети»).
13. Закройте сообщение нажатием кнопки OK, а затем отмените соединение.
Чтобы убедиться в том, что вследствие успешного применения политики
работоспособности сервер шлюза служб терминалов отказал в доступе клиентскому
компьютеру, выполните инструкции раздела «Проверка блокирования подключения
согласно политике работоспособности технологии NAP».
Справочные материалы

«Защита доступа к сети» (на английском языке,
http://go.microsoft.com/fwlink/?LinkID=70047)

Страница «Службы терминалов» (на английском языке) на веб-узле Windows
Server 2008 TechCenter (http://go.microsoft.com/fwlink/?LinkID=48555)
Настройка шлюза служб терминалов:
сценарий с участием сервера ISA Server
Для дополнительной защиты сервера шлюза служб терминалов можно привлечь сервер
Microsoft Internet Security and Acceleration (ISA) Server 2004 или ISA Server 2006, настроив
его в роли моста протокола SSL. При наличии моста SSL сервер ISA может завершать и
повторно открывать сеансы по протоколу SSL, а также проводить проверку пакетов. ISA
Server повышает уровень защиты, благодаря расшифровке входящего трафика SSL,
проверке этого трафика на предмет наличия вредоносного кода с запоминанием состояния
и блокированию соединений, содержащих подозрительные пакеты или пакеты с
известными уязвимостями. Кроме того, сервер ISA выполняет фильтрацию данных,
передаваемых по протоколу HTTP, с запоминанием состояния, чем обеспечивает
возможность детального анализа пакетов приложений, передаваемых по этому протоколу.
Ниже рассматриваются три сценария совместного применения сервера ISA и сервера
шлюза служб терминалов с целью повышения уровня безопасности удаленных
подключений к ресурсам внутренней сети.

Сервер ISA в роли моста SSL (прокси-сервер интернета). В рамках данного
сценария сервер ISA размещается в демилитаризованной зоне и исполняет роль моста
65
SSL между клиентом служб терминалов и сервером шлюза служб терминалов. При
этом последний размещается в корпоративной или частной сети.
Иллюстрацией к этому сценарию является схема 3, приведенная в следующем
разделе.

Сервер ISA Server в ролях брандмауэра и моста SSL. Данный сценарий
предусматривает исполнение сервером ISA роли брандмауэра, осуществляющего
функции фильтрации портов и пакетов, а также моста SSL. Сервер шлюза служб
терминалов может быть размещен, с одной стороны, в корпоративной или частной
сети, а, с другой, — в демилитаризованной зоне, в зависимости от того, является ли
сервер ISA внешним или внутренним брандмауэром.

Сервер ISA Server в роли брандмауэра, осуществляющего фильтрацию портов
(публикацию сервера). По условиям данного сценария, сервер ISA исполняет роль
брандмауэра с фильтрацией внешних пактов и пропускает трафик только через порт
443. Сервер шлюза служб терминалов находится в демилитаризованной зоне.
Примечание
В настоящем руководстве представлены подробные инструкции по настройке
первого сценария (в котором сервер ISA исполняет роль прокси-сервера
интернета). Два других сценария приводятся в качестве примеров альтернативных
схем защиты удаленных соединений с ресурсами внутренней сети,
предусматривающих совместное применение сервера ISA и сервера шлюза служб
терминалов.
Конфигурации, прошедшие тестирование в рамках сценария
совместной реализации шлюза служб терминалов и сервера
ISA
Сценарий совместной реализации шлюза служб терминалов и сервера ISA был
протестирован специалистами корпорации Майкрософт с применением следующих
конфигураций.
Компьютер
Необходимая конфигурация
Сервер шлюза служб терминалов
(TSGSERVER)

Версия RC0 ОС Windows Server 2008.
Допускается установка
соответствующего обновления после
установки ОС Windows Server® 2003 с
пакетом обновления 1 (SP1) или бетаверсии 3 ОС Windows Server 2008.
Дополнительные сведения см. в разделе
«Supported upgrade paths» (Варианты
обновления) в документе «Установка
начальной версии ОС Windows
66
Компьютер
Необходимая конфигурация
Server 2008» (на английском языке,
http://go.microsoft.com/fwlink/?LinkId=1048
24).
Сервер ISA (ISASERVER)

ОС Windows Server 2003 и ISA
Server 2004 с пакетом обновления 3
(SP3)
или
Клиент служб терминалов (TSCLIENT)

ОС Windows Server 2003 и ISA
Server 2006.

Бета-версия пакета обновления 1 (SP1)
для ОС Windows Vista или пакет
обновления 3 (SP3) для ОС Windows XP.
Примечание
Бета-версии пакета обновления 1
(SP1) для ОС Windows Vista и
пакета обновления 3 (SP3) для
ОС Windows XP доступны
участникам соответствующих
программ Microsoft® Connect
Beta на веб-ресурсе MS Connect
http://go.microsoft.com/fwlink/?LinkI
D=102024.

Окончательная первоначальная версия
(RTM) ОС Windows Vista. Допускается
установка соответствующего обновления
после установки ОС Windows XP с
пакетом обновления 2 (SP2).

ОС Windows XP с пакетом обновления 2
(SP2), клиент служб терминалов и
клиент подключения к удаленному
рабочему столу (RDC) 6.0. Инструкции
по загрузке клиента RDC 6.0 см. в статье
925876 базы знаний корпорации
Майкрософт
(http://go.microsoft.com/fwlink/?LinkId=793
73).

Версия RC0 ОС Windows Server 2008.
Допускается установка новой версии
67
Компьютер
Необходимая конфигурация
путем обновления существующей.
Ресурс внутренней сети
(CORPORATERESOURCE)

ОС Windows Server 2003 с пакетом
обновления 1 (SP1) или 2 (SP2), а также
клиент RDC 6.0.

Бета-версия пакета обновления 1 (SP1)
для ОС Windows Vista или пакет
обновления 3 (SP3) для ОС Windows XP.

Окончательная первоначальная версия
(RTM) ОС Windows Vista. Допускается
установка соответствующего обновления
после установки ОС Windows XP с
пакетом обновления 2 (SP2).

ОС Windows XP с пакетом обновления 2
(SP2).

Версия RC0 ОС Windows Server 2008.
Допускается установка новой версии
путем обновления существующей.

ОС Windows Server 2003 с пакетом
обновления 1 (SP1) или 2 (SP2).
Настройка соединений между сервером ISA и сервером
шлюза служб терминалов
Связь между сервером ISA и сервером шлюза служб терминалов можно настроить одним
из следующих двух способов.

Организация моста HTTPS-HTTPS. В данной конфигурации клиент шлюза служб
терминалов отправляет запрос SSL (HTTPS) мосту SSL. Для обеспечения
максимальной безопасности мост SSL инициирует отправку запроса HTTPS серверу
шлюза служб терминалов.

Организация моста HTTPS-HTTP. В данной конфигурации клиент шлюза служб
терминалов отправляет запрос SSL (HTTPS) мосту SSL. Мост SSL инициирует отправку
запроса HTTP серверу шлюза служб терминалов.
Схема совместной реализации шлюза служб терминалов и
сервера ISA
На следующей схеме изображена совместная реализация шлюза служб терминалов и
сервера ISA, в которой сервер ISA исполняет роль моста SSL.
68
Внутренний брандмауэр –
необязательный компонент
(открыты порты 443 и 80)
Внешний брандмауэр (открыт
порт 443)
Серверы
терминало
в
Сервер ISA Server как
граница каналов SSL
или
Шлюз служб
терминалов
Домашний переносной
компьютер
RDP через SSL
Компьютеры с разрешенным
протоколом удаленного
рабочего стола
RDP через SSL
или
RDP через HTTP
Доменные службы Active
Directory
Интернет
Демилитаризованная зона
Корпоративная или частная сеть
Сценарий с участием сервера ISA Server – подключение сотрудника, работающего на дому, к компьютерам
корпоративной сети через шлюз служб терминалов в условиях, когда ISA Server исполняет роль границы
каналов SSL
Примечание
В настоящем разделе приводятся инструкции по настройке удаленного доступа с
клиента служб терминалов через сервер шлюза служб терминалов с участием
сервера ISA, который получает трафик от клиента и выполняет функцию моста
SSL. Руководство не содержит инструкций по установке ОС ISA Server 2004 и ISA
Server 2006, настройке брандмауэров, серверов терминалов, исполняющих
удаленные программы RemoteApp (которые, в свою очередь, обеспечивают доступ
к бизнес-приложениям), демилитаризованной зоны и инфраструктуры Active
Directory, несмотря на то, что все эти компоненты обозначены на схеме сценария..
Данная схема изображает один из возможных способов реализации сценария в
рабочей среде.
Поэтапная настройка сервера шлюза служб
терминалов согласно сценарию его
совместной реализации с сервером ISA
Для настройки сервера шлюза служб терминалов и сервера ISA в роли моста необходимо
решить следующие задачи.
69
Задача
Справочные материалы и пошаговые
инструкции
1. Экспорт SSL-сертификата сервера шлюза
служб терминалов и его копирование на
сервер ISA.
Экспорт SSL-сертификата сервера шлюза
служб терминалов и его копирование на
сервер ISA
2. Установка SSL-сертификата сервера
шлюза служб терминалов на сервере ISA.
Установка SSL-сертификата сервера шлюза
служб терминалов на сервере ISA
3. Копирование корневого сертификата
сервера шлюзов служб терминалов и его
установка на сервере ISA.
Копирование корневого сертификата
сервера шлюзов служб терминалов и его
установка на сервере ISA
Примечание
Выполнение данного этапа
требуется только в случае
применения самозаверяющего
сертификата или SSL-сертификата
любого другого типа, не
являющегося достоверным.
4. Создание на сервере ISA нового правила
веб-публикации.
Создание на сервере ISA нового правила
веб-публикации
5. Разрешение или установка запрета на
организацию моста HTTPS-HTTP на сервере
шлюза служб терминалов.
Разрешение или установка запрета на
организацию моста HTTPS-HTTP на сервере
шлюза служб терминалов
6. Проверка настроек клиента и возможности Проверка настроек клиента и возможности
установления сквозных соединений.
установления сквозных соединений
1. Экспорт SSL-сертификата сервера шлюза служб
терминалов и его копирование на сервер ISA
Сертификат следует экспортировать только вместе с закрытым ключом. Если
применительно к выбранному сертификату такая возможность отсутствует, необходимо
получить для сервера ISA новый сертификат. Описание требований к сертификатам для
ОС ISA Server см. в документах «Цифровые сертификаты для ОС ISA Server 2004» (на
английском языке, http://go.microsoft.com/fwlink/?LinkId=104827) и «Устранение неполадок,
связанных с SSL-сертификатами, при публикации с помощью ОС ISA Server» (на
английском языке, http://go.microsoft.com/fwlink/?LinkId=104826).
Чтобы экспортировать SSL-сертификат с сервера шлюза служб терминалов и скопировать
его на сервер ISA, выполните следующую процедуру на сервере шлюза служб терминалов.
70
Экспорт SSL-сертификата сервера шлюза служб терминалов и его копирование на
сервер ISA
1. Откройте консоль оснастки Certificates на сервере шлюза служб терминалов.
Установить эту консоль, если она не была установлена ранее, можно следующим
образом:
a) нажмите кнопку Start, выберите вариант Run, введите команду mmc и нажмите
кнопку OK;
б) в меню File выберите команду Add/Remove Snap-in;
в) при появлении диалогового окна Add or Remove Snap-ins выберите пункт
Certificates в списке Available snap-ins и нажмите кнопку Add;
г)
в диалоговом окне Certificates snap-in выберите пункт Computer account и
нажмите кнопку Next;
д) в диалоговом окне Select Computer выберите пункт Local computer: (the
computer this console is running on) и нажмите кнопку Finish;
е) нажмите кнопку OK в диалоговом окне Add or Remove snap-ins.
2. Раскрыв узел Certificates (Local Computer) в дереве консоли оснастки Certificates,
выберите сначала пункт Personal, а затем – Certificates.
3. Выберите сертификат сервера шлюза служб терминалов из списка сертификатов.
Если в списке фигурирует несколько сертификатов, и не вполне ясно, какой из них
выбрать, просмотрите свойства этих сертификатов и выберите тот, который
удовлетворяет требованиям к сертификатам сервера шлюза служб терминалов.
4. Щелкнув правой кнопкой мыши тот сертификат шлюза служб терминалов, который
предполагается экспортировать, выберите в контекстном меню пункт All Tasks и
затем выберите команду Import.
5. На открывшейся странице Welcome to the Certificate Export Wizard (мастер
экспорта сертификатов) нажмите кнопку Next.
6. На странице Export Private Key (экспорт закрытого ключа) установите параметр
Yes, export the private key (да, экспортировать закрытый ключ) и нажмите кнопку
Next.
7. При появлении страницы Export File Format (формат экспортируемого файла)
убедитесь в том, что выбран параметр Personal Information Exchange - PKCS #12
(.PFX) (файл обмена личной информацией - PKCS #12 (.PFX)), установите флажок
Include all certificates in the certification path if possible (включить по
возможности все сертификаты в путь сертификата) и нажмите кнопку Next.
8. На странице Password введите пароль, предназначенный для защиты закрытого
ключа, затем подтвердите его и нажмите кнопку Next.
9. В поле File name на странице File to Export (имя файла экспорта) нажмите кнопку
Browse.
10. В диалоговом окне Save As укажите имя сертификата, который предполагается
экспортировать, и каталог, в котором его нужно сохранить (имейте в виду, что этот
71
каталог должен быть доступен с сервера ISA), а затем нажмите кнопку Save.
11. На странице File to Export нажмите кнопку Next.
12. На странице Completing the Certificate Export Wizard (завершение мастера
экспорта сертификатов), убедившись в том, что указан нужный сертификат, а
параметрам Export Keys (экспорт ключей) и Include all certificates in the
certification path присвоены значения Yes, нажмите кнопку Finish.
13. После экспорта сертификата на экране появится сообщение, подтверждающее
успешное завершение этой операции. Нажмите кнопку OK.
14. Закройте консоль оснастки Certificates.
15. Скопируйте сертификат на сервер ISA.
2. Установка SSL-сертификата сервера шлюза служб
терминалов на сервере ISA
Для установки SSL-сертификата сервера шлюза служб терминалов на сервере ISA
выполните на нем следующую процедуру.
Установка SSL-сертификата сервера шлюза служб терминалов на сервере ISA
1. Откройте консоль оснастки Certificates на сервере ISA. Установить эту консоль,
если она не была установлена ранее, можно следующим образом:
a) нажмите кнопку Start, выберите пункт Run, введите команду mmc и нажмите
кнопку OK;
б) в меню File выберите команду Add/Remove Snap-in;
в) при появлении диалогового окна Add or Remove Snap-ins выберите пункт
Certificates в списке Available snap-ins и нажмите кнопку Add;
г)
в диалоговом окне Certificates snap-in выберите пункт Computer account и
нажмите кнопку Next;
д) в диалоговом окне Select Computer выберите пункт Local computer: (the
computer this console is running on) и нажмите кнопку Finish;
е) нажмите кнопку OK в диалоговом окне Add or Remove snap-ins.
2. Раскрыв узел Certificates (Local Computer) в дереве консоли оснастки Certificates,
нажмите кнопку Personal.
3. Щелкнув папку Personal правой кнопкой мыши, откройте контекстное меню All
Tasks и выберите команду Import.
4. На открывшейся странице Welcome to the Certificate Import Wizard нажмите
кнопку Next.
5. В поле File name на странице File to Import нажмите кнопку Browse и укажите
каталог, в который ранее с сервера шлюза служб терминалов был скопирован SSLсертификат. Выбрав сертификат (Certificate_Name.pfx), последовательно нажмите
72
кнопки Open и Next.
6. После открытия страницы Password выполните следующие действия:
если пароль для закрытого ключа, связанного с сертификатом, был определен
ранее, введите его;
чтобы предусмотреть возможность экспорта закрытого ключа сертификата,
установите параметр Mark this key as exportable (пометить этот ключ как
экспортируемый);
установите флажок Include all extended properties.
7. Нажмите кнопку Next.
8. На странице Certificate Store, установив параметр Automatically select the
certificate store based on the type of certificate (автоматически выбрать
хранилище на основе типа сертификата), нажмите кнопку Next.
9. На странице Completing the Certificate Import Wizard (завершение мастера
импорта сертификатов) проверьте правильность выбора сертификата и наличие
следующих пар «параметр-значение»:
Certificate Store Selected (выбранное хранилище сертификатов) – Automatically
determined by the wizard (определяется мастером автоматически);
Content – PFX;
File Name – путь_к_файлу\<имя_сертификата.pfx>, где <имя_сертификата >
соответствует имени SSL-сертификата сервера шлюза служб терминалов.
10. Нажмите кнопку Finish.
11. После импорта сертификата на экране появится сообщение, подтверждающее
успешное завершение этой операции. Нажмите кнопку OK.
12. Выбрав узел Certificates в дереве консоли, удостоверьтесь в наличии нужного
сертификата в списке сертификатов, установленных на сервере ISA (этот список
выводится в области сведений). Сертификат должен быть размещен на локальном
компьютере в хранилище Personal.
3. Копирование корневого сертификата сервера шлюзов
служб терминалов и его установка на сервере ISA
Выполнять процедуру, представленную в настоящем разделе, требуется только при
следующих обстоятельствах:
если применяется самозаверяющий сертификат или SSL-сертификат любого другого
типа, не являющегося достоверным;
если при установке сертификата на сервере ISA (согласно предшествующей
процедуре) не была настроена загрузка цепочки сертификатов или не был установлен
параметр Automatically select the certificate store based on the type of certificate.
73
Копирование корневого сертификата сервера шлюзов служб терминалов и его
установка на сервере ISA
1. Откройте консоль оснастки Certificates на сервере ISA. Установить эту консоль,
если она не была установлена ранее, можно следующим образом:
a) нажмите кнопку Start, выберите пункт Run, введите команду mmc и нажмите
кнопку OK;
б) в меню File выберите команду Add/Remove Snap-in;
в) при появлении диалогового окна Add or Remove Snap-ins выберите пункт
Certificates в списке Available snap-ins и нажмите кнопку Add;
г)
в диалоговом окне Certificates snap-in выберите пункт Computer account и
нажмите кнопку Next;
д) в диалоговом окне Select Computer выберите пункт Local computer: (the
computer this console is running on) и нажмите кнопку Finish;
е) нажмите кнопку OK в диалоговом окне Add or Remove snap-ins.
2. Раскрыв узел Certificates в дереве консоли оснастки Certificates, выберите запись
Trusted Root Certification Authorities, щелкните правой кнопкой мыши запись
Certificates, войдите в контекстное меню All Tasks и выберите команду Import.
3. На открывшейся странице Welcome to the Certificate Import Wizard нажмите
кнопку Next.
4. В поле File name на странице File to Import нажмите кнопку Browse и перейдите к
каталогу, в котором расположен корневой сертификат сервера шлюза служб
терминалов. Выбрав корневой сертификат (<имя_корневого_сертификата.cer
или, если закрытый ключ был экспортирован вместе с сертификатом, –
<имя_корневого_сертификата.pfx>), последовательно нажмите кнопки Open и
Next.
Примечание
Если самозаверяющий сертификат был создан с помощью мастера
Add/Remove Roles Wizard во время установки службы роли «шлюз служб
терминалов» или посредством диспетчера шлюза служб терминалов после
завершения ее установки (так, как описано в процедуре «Создание
самозаверяющего сертификата для шлюза служб терминалов» в разделе
«Настройка шлюза служб терминалов: базовый сценарий»), обратите
внимание на то, что самозаверяющий сертификат одновременно является
корневым.
5. Если пароль для закрытого ключа, связанного с сертификатом, был определен
ранее, введите его на странице Password.
6. После открытия страницы Certificate Store, подтвердив выбор параметра по
умолчанию – Place all certificates in the following store - Trusted Root Certification
Authorities нажав кнопку Next.
7. На странице Completing the Certificate Import Wizard убедитесь в том, что
74
установлены следующие параметры:
Certificate Store Selected by User – Trusted Root Certification Authorities;
Content – Certificate (или PFX);
File Name – путь_к_файлу\<имя_корневого_сертификата.cer> (или
<имя_корневого_сертификата.pfx>), где <имя_корневого сертификата >
соответствует имени корневого сертификата сервера шлюза служб
терминалов.
8. Нажмите кнопку Finish.
9. После импорта сертификата на экране появится сообщение, подтверждающее
успешное завершение этой операции. Нажмите кнопку OK.
10. Выбрав узел Certificates в дереве консоли, удостоверьтесь в наличии корневого
сертификата сервера шлюза служб терминалов в списке сертификатов,
установленных на сервере ISA (этот список выводится в области сведений).
Убедитесь в том, что этот сертификат находится в хранилище Trusted Root
Certification Authorities локального компьютера.
4. Создание на сервере ISA нового правила веб-публикации
Для настройки организации мостов HTTPS-HTTP или HTTPS-HTTPS с применением
сервера шлюза служб терминалов и сервера ISA необходимо создать на сервере ISA
соответствующее правило веб-публикации.
Внимание!
Некоторые шаги процедуры, направленной на создание правила веб-публикации
для сервера ISA, обуславливаются применяемой версией этого программного
продукта— ОС ISA Server 2004 или ISA Server 2006. Обязательно соблюдайте
последовательность действий, установленную для конкретной версии ОС ISA
Server.
Создание нового правила веб-публикации при использовании ОС ISA
Server 2004
Для создания нового правила веб-публикации при использовании ОС ISA Server 2004
выполните следующие действия.
Создание нового правила веб-публикации на сервере с ОС ISA Server 2004
1. Откройте диспетчер ОС ISA Server. Для этого на компьютере, исполняющем роль
сервера ISA, нажмите кнопку Start, выберите пункт All Programs, затем пункт
Microsoft ISA Server и, наконец, — ISA Server Management (диспетчер ОС ISA
Server).
2. Перейдите к записи <локальный сервер ISA> в дереве консоли.
3. Щелкнув правой кнопкой мыши запись Firewall Policy (политика брандмауэра),
75
откройте контекстное меню New (создать) и выберите команду Secure Web Server
Publishing Rule (правило безопасной публикации веб-сервера).
4. На странице Welcome to the SSL Publishing Rule Wizard (мастер правил
публикации SSL), в поле SSL Web Publishing Rule Name (имя правила вебпубликации SSL) введите имя нового правила публикации сервера и нажмите
кнопку Next.
5. На странице Publishing Mode (режим публикации) выберите пункт SSL Bridging
(мост SSL) и нажмите кнопку Next.
6. На странице Select Rule Action (выбрать действие правила) выберите пункт Allow
(разрешить) и нажмите кнопку Next.
7. При появлении страницы Bridging Mode (режим использования моста) выполните
одно из следующих действий:
чтобы разрешить организацию моста HTTPS-HTTP, установите параметр
Secure connections to clients (безопасные соединения с клиентами) и нажмите
кнопку Next;
чтобы разрешить организацию моста HTTPS-HTTPS, установите параметр
Secure connections to clients and Web server (безопасные соединения с
клиентами и веб-сервером) и нажмите кнопку Next.
8. На странице Define Website to Publish (веб-сайт для публикации) выполните
следующие действия.
a. Введите имя сервера шлюза служб терминалов в поле Computer name or IP
address (имя или IP-адрес компьютера). Указанное имя должно совпадать с
именем сервера шлюза служб терминалов, через который, согласно условиям
рассматриваемого сценария, должны подключаться пользователи. Кроме того,
оно должно совпадать с именем сертификата (полем CN), установленного на
сервере шлюза служб терминалов.
б) Установите флажок Forward the original host header instead of the actual one
(specified above) (пересылать исходный заголовок вместо действительного
(указанного выше)).
в) В поле Path (путь) введите type /*.
9. После открытия страницы Public Name Details (параметры внешнего имени)
выполните следующие действия.
a) Установите параметр This domain name (данного доменного имени) в секции
Accept requests for (принимать запросы для).
b. Введите имя сервера шлюза служб терминалов в поле Public Name (внешнее
имя). Указанное имя должно совпадать с именем сервера шлюза служб
терминалов, через который, согласно условиям рассматриваемого сценария,
должны подключаться пользователи.
в) Убедитесь в том, что поле Path не заполнено.
г)
Нажмите кнопку Next.
76
10. При необходимости создайте новый веб-прослушиватель SSL. Если имеется
готовый прослушиватель с сертификатом, имя которого совпадает с внешним
именем, делать этого не нужно. В таком случае выберите подходящий вебпрослушиватель, нажмите кнопку Next и переходите к шагу 11.
Если создать веб-прослушиватель SSL необходимо, выполните следующие
действия.
a) На странице Welcome to the New Web Listener (мастер создания вебпрослушивателя) введите имя нового веб-прослушивателя в поле Web Listener
Name (имя веб-прослушивателя) и нажмите кнопку Next. Если настройка вебпрослушивателей для сервера ISA была проведена ранее, нажмите кнопку New
на странице Select Web Listener (выбрать веб-прослушиватель); когда на
экране появится страница Welcome to the New Web Listener, приступайте к
вводу параметров нового веб-прослушивателя.
б) На странице IP Addresses (IP-адреса), в секции Listen for requests from these
networks (прослушивать запросы из данных сетей) установите флажок External
(внешние) и нажмите кнопку Next.
в) После открытия страницы Port Specification (спецификация порта) выполните
следующие действия:
г)
В секции SSL установите флажок Enable SSL (разрешить SSL) и снимите
флажок Enable HTTP (разрешить протокол HTTP).
д) Нажмите кнопку Select и при появлении диалогового окна Select Certificate
(выбор сертификата) укажите искомый сертификат.
е) Чтобы закрыть диалоговое окно Select Certificate, нажмите кнопку OK, а затем
кнопку Next.
ж) На странице Completing the New Web Listener Wizard (завершение работы
мастера создания веб-прослушивателя) нажмите кнопку Finish.
11. Убедившись в том, что на странице Select Web Listener указываются верные
свойства веб-прослушивателя, нажмите кнопку Next.
12. На странице User Sets (наборы учетных записей) выберите пункт All Users (все
пользователи) и нажмите кнопку Next.
13. На странице Completing the New SSL Web Publishing Rule Wizard (завершение
работы мастера правил веб-публикации SSL) нажмите кнопку Finish.
14. Чтобы сохранить изменения и обновить политику брандмауэра сервера ISA,
нажмите кнопку Apply (применить) в области сведений консоли диспетчера ОС ISA
Server.
15. После успешного введения изменений в действие (о ходе этого процесса
оповещает индикатор выполнения) нажмите кнопку OK в диалоговом окне Apply
New Configuration (применить новую конфигурацию).
77
Создание нового правила веб-публикации на сервере с ОС ISA
Server 2006
Для создания нового правила веб-публикации на сервере с ОС ISA Server 2006 выполните
следующие действия.
Создание нового правила веб-публикации на сервере с ОС ISA Server 2006
1. Откройте диспетчер ОС ISA Server. Для этого на компьютере, исполняющем роль
сервера ISA, нажмите кнопку Start, выберите пункт All Programs, затем пункт
Microsoft ISA Server и, наконец, — ISA Server Management.
2. Выберите в дереве консоли узел, представляющий сервер ISA и содержащий имя
компьютера, на котором этот сервер установлен.
3. Выберите пункт Firewall Policy.
4. На вкладке Tasks (задачи) выберите вариант Publish Web Sites (опубликовать вебузлы).
5. На странице Welcome to the New Web Publishing Rule Wizard (мастер создания
правила веб-публикации) введите имя нового правила публикации в поле Web
publishing rule name (имя правила веб-публикации) и нажмите кнопку Next.
6. На странице Select Rule Action выберите вариант Allow и нажмите кнопку Next.
7. На странице Publishing Type (тип публикации), убедившись в том, что параметр
Publish a single Web site or load balancer (опубликовать один веб-узел или
систему балансировки нагрузки) установлен, нажмите кнопку Next.
8. При появлении страницы Server Connection Security (безопасность подключения к
серверу) установите параметр Use SSL to connect to the published Web server or
server farm (использовать SSL для подключения к опубликованному веб-серверу
или ферме серверов) и нажмите кнопку Next.
9. В поле Internal site name (имя внутреннего веб-узла) на странице Internal
Publishing details (сведения о внутренней публикации) введите имя сервера
шлюза служб терминалов и нажмите кнопку Next.
Если серверу ISA не удалось выполнить разрешение имени сервера шлюза служб
терминалов, введите его IP-адрес. В качестве альтернативы эти сведения можно
включить в Hosts-файл.
10. При втором появлении страницы Internal Publishing Details выполните следующие
действия:
a) убедитесь в том, что поле Path не заполнено;
б) проверьте, снят ли флажок Forward the original host header instead of the
actual one specified in the Internal site name field on the previous page
(пересылать исходный заголовок узла вместо действительного, указанного в
поле «Имя внутреннего веб-узла» на предыдущей странице);
в) нажмите кнопку Next.
78
11. После открытия страницы Public Name Details выполните следующие действия.
a) Установите параметр This domain name (type below) (доменное имя (введите
ниже)) в секции Accept requests for.
b. Введите имя сервера шлюза служб терминалов в поле Public Name. Указанное
имя должно совпадать с именем сервера шлюза служб терминалов, через
который, согласно условиям рассматриваемого сценария, должны
подключаться пользователи. Кроме того, оно должно совпадать с именем
сертификата (полем CN) или атрибутом SAN сертификата, установленного на
сервере шлюза служб терминалов.
Примечание
В случае применения сертификатов с атрибутами SAN на любом
компьютере, подключающемуся к серверу шлюза служб терминалов,
должен работать клиент подключения к удаленному рабочему столу
(RDC) 6.1 (клиент RDC 6.1 [6.0.6001] поддерживает протокол
удаленного рабочего стола версии 6.1). Клиент RDC 6.1 входит в состав
ОС Windows Server 2008, а также бета-версий ОС Windows Vista с
пакетом обновления 1 (SP1) и Windows XP с пакетом обновления 3
(SP3). Бета-версии пакета обновления 1 (SP1) для ОС Windows Vista и
пакета обновления 3 (SP3) для ОС Windows XP доступны участникам
соответствующих программ Microsoft® Connect Beta на веб-сайте MS
Connect по адресу http://go.microsoft.com/fwlink/?LinkID=102024.
в) Убедитесь в том, что поле Path не заполнено.
г)
Нажмите кнопку Next.
12. При необходимости создайте новый веб-прослушиватель SSL. Если имеется
готовый прослушиватель с сертификатом, имя которого совпадает с внешним
именем, делать этого не нужно. В таком случае выберите подходящий вебпрослушиватель, нажмите кнопку Next и переходите к шагу 13.
Если создать веб-прослушиватель SSL необходимо, выполните следующие
действия.
a) На странице Select Web Listener нажмите кнопку New.
б) На странице Welcome to the New Web Listener Wizard введите имя нового вебпрослушивателя в поле Web Listener Name и нажмите кнопку Next.
в) На странице Client Connection Security (безопасность клиентских
подключений) установите параметр Require SSL secured connections with
clients (требовать безопасное подключение SSL для клиентов), а затем
нажмите кнопку Next.
г)
На странице Web Listener IP Addresses (IP-адреса веб-прослушивателей)
выполните следующие действия.
д) Установите флажок External (внешний) в секции Listen for incoming Web
requests from these networks (прослушивать входящие веб-запросы данных
79
сетей).
е) Убедитесь в том, что флажок The ISA Server will compress content sent to
clients through this Web Listener if the clients requesting the content support
compression (ISA Server будет сжимать содержимое, отправленное клиентам
через данный веб-прослушиватель, если клиенты запрашивают поддержку
сжатия содержимого) установлен.
ж) Нажмите кнопку Select IP Addresses (выбрать IP-адреса).
з)
На странице External Listener IP Selection (выбор IP-адресов внешнего
прослушивателя) выполните следующие действия.
и) Выберите пункт Specified IP addresses on the ISA Server in the selected
Network (IP-адреса, указанные на сервере ISA, в выбранной сети). Выбрав
подходящие IP-адреса в секции Available IP addresses (доступные IP-адреса),
последовательно нажмите кнопки Add и OK.
к)
Нажмите кнопку Next.
л) На странице Listener SSL Certificates (SSL-сертификаты прослушивателя)
установите параметр Assign a certificate for each IP address (назначить
сертификат для каждого IP-адреса), укажите подходящий IP-адрес и нажмите
кнопку Select Certificate.
м) На странице Select Certificate, в одноименной секции, щелкните запись
сертификата сервера шлюза служб терминалов, после чего последовательно
нажмите кнопки Select (выбрать) и Next.
н) На странице Authentication Settings (параметры проверки подлинности)
установите параметр No Authentication (без проверки подлинности) и нажмите
кнопку Next.
о) На странице Single Sign On Settings (параметры единого входа) установите
параметр SSO is not relevant for this setup (параметры единого входа не
существенны для данной конфигурации) и нажмите кнопку Next.
п) На странице Completing the New Web Listener Wizard нажмите кнопку Finish.
р) При втором появлении страницы Completing the NewWeb Listener Wizard,
проверив правильность указанных свойств веб-прослушивателя, нажмите
кнопку Finish.
13. Убедившись в том, что на странице Select Web Listener выбран нужный вебпрослушиватель, нажмите кнопку Next.
14. На странице Authentication Delegation (делегирование проверки подлинности)
установите параметр No delegation, and client cannot authenticate directly (без
делегирования, клиент не может выполнять проверку подлинности напрямую) и
нажмите кнопку Next.
15. На странице User Sets выберите пункт All Users и нажмите кнопку Next.
16. На странице Completing the New Web Site Publishing Rule Wizard (завершение
работы мастера правил веб-публикации) нажмите кнопку Finish.
80
17. Чтобы сохранить изменения и обновить политику брандмауэра сервера ISA,
нажмите кнопку Apply в области сведений консоли диспетчера ОС ISA Server.
18. После успешного введения изменений в действие (о ходе этого процесса
оповещает индикатор выполнения) нажмите кнопку OK в диалоговом окне Apply
New Configuration.
5. Разрешение или установка запрета на организацию моста
HTTPS-HTTP на сервере шлюза служб терминалов
Чтобы разрешить организацию моста HTTPS-HTTP, необходимо установить флажок Use
HTTPS-HTTP bridging (разрешить мосты HTTPS-HTTP) на вкладке SSL Bridging сервера
шлюза служб терминалов. Снятие этого флажка приводит к запрету организации мостов
HTTPS-HTTPS (если в момент, когда данный параметр снят, произвести попытку
организации моста HTTPS-HTTPS, сервер шлюза служб терминалов не сможет ее
обработать). В силу проектных особенностей установка и снятие данного флажка приводит
к созданию или обновлению значения в записи реестра Allow Anonymous (разрешить
анонимный вход).
Внимание!
Если организация мостов HTTPS-HTTP разрешена, то сервер шлюза служб
терминалов может обращаться только к инструментам встроенной проверки
подлинности ОС Windows. Если организация мостов SSL средствами сервера ISA
согласно данному сценарию больше не нужна, настоятельно рекомендуется
откатить изменения, выполненные в настоящей процедуре, и отключить
организацию мостов HTTPS-HTTP на сервере шлюзов служб терминалов. В
противном случае шлюз служб терминалов будет предоставлять доступ всем
пользователям.
7. Проверка настроек клиента и возможности установления
сквозных соединений
Клиенты, подключающиеся через сервер ISA к серверу шлюза служб терминалов, могут
находиться в пределах внешнего сетевого диапазона сервера ISA . Веб-публикации также
можно настраивать в расчете на внутреннюю сеть. Это позволяет ввести в действие
единое пространство имен для сервера шлюза служб терминалов и гарантировать
подключение клиентов служб терминалов к серверу шлюза служб терминалов через
сервер ISA.
В общем случае адрес сервера шлюза служб терминалов и IP-адрес сервера ISA
публикуются в системе DNS. Таким образом, клиенты, разрешая адрес сервера шлюза
служб терминалов, попадают на сервер ISA. В соответствии с требованиями созданного
для сервера ISA правила веб-публикации, все входящие запросы на подключение к шлюзу
служб терминалов, поступающие из внешней сети, перенаправляются аналогичному
шлюзу, расположенному во внутренней сети.
81
Если опубликовать имена в службе DNS не удается, или если требуется провести
тестирование, необходимо добавить в Hosts-файл запись, которая увязывает адрес
сервера шлюза служб терминалов, с одной стороны, и IP-адрес сервера ISA, с другой.
Hosts-файл на клиентских компьютерах находится в каталоге
%windir%\system32\drivers\etc\hosts.
Проверьте правильность настройки клиента шлюза служб терминалов согласно процедуре
«Поэтапная настройка клиента служб терминалов согласно базовому сценарию
реализации шлюза служб терминалов» из раздела «Настройка шлюза служб терминалов:
базовый сценарий». Для проверки связи в рамках данного сценария выполните процедуру
«Проверка корректности установления сквозных соединений через сервер шлюза служб
терминалов» из раздела «Настройка шлюза служб терминалов: базовый сценарий».
Справочные материалы
О тестировании и устранении неполадок, связанных с передачей данных через сервер ISA
по протоколу RPC через HTTP, см. в следующих материалах.
Тестирование протокола RPC через HTTP с применением ОС ISA Server 2006. Часть 1:
протоколы, проверка подлинности и обработки (на английском языке,
http://go.microsoft.com/fwlink/?LinkId=104828).
Тестирование протокола RPC через HTTP с применением ОС ISA Server 2006. Часть 2:
тестовый инструментарий и стратегии (на английском языке,
http://go.microsoft.com/fwlink/?LinkId=104830).
Тестирование протокола RPC через HTTP с применением ОС ISA Server 2006. Часть 3:
стандартные ошибки и их исправление (на английском языке,
http://go.microsoft.com/fwlink/?LinkId=104832).
Вопросы ведения журнала передачи по протоколу RPC через HTTP (на английском
языке, http://go.microsoft.com/fwlink/?LinkId=104832)
Контроль активных подключений через
сервер шлюза служб терминалов
После настройки клиентов служб терминалов, необходимой для подключения удаленных
компьютеров к ресурсам внутренней сети через шлюз служб терминалов, можно наладить
контроль активных подключений. В настоящем разделе представлены следующие
процедуры контроля активных соединений через сервер шлюза служб терминалов:
выбор событий шлюза служб терминалов, подлежащих регистрации в журнале;
просмотр подробных сведений об активных подключениях через сервер шлюза служб
терминалов.
82
Выбор событий шлюза служб терминалов, подлежащих
регистрации в журнале
При помощи диспетчера шлюза служб терминалов можно выбрать типы событий, которые
предполагается отслеживать, например, неудачные и удачные попытки подключения к
компьютерам внутренней сети через сервер шлюза служб терминалов.
Такие события выводятся в окне просмотра событий ОС Windows. События, связанные с
сервером шлюза служб терминалов, хранятся в окне просмотра событий в рамках узла
Application and Services Logs\Microsoft\Windows\Terminal Services-Gateway\ (журналы
приложений и служб\Microsoft\Windows\шлюз служб терминалов\).
Выбор событий шлюза служб терминалов, подлежащих регистрации в журнале
1. Откройте диспетчер шлюза служб терминалов.
2. Выберите в дереве консоли узел, представляющий сервер шлюза служб
терминалов и содержащий имя компьютера, на котором этот сервер установлен.
3. Выделив имя сервера шлюза служб терминалов в дереве консоли, щелкните
правой кнопкой мыши и в контекстном меню выберите пункт Properties.
4. Укажите, какие события шлюза служб терминалов требуется отслеживать, путем
снятия и установки соответствующих флажков на вкладке Auditing (аудит).
В следующей таблице перечислены и описаны типы событий шлюза служб терминалов,
которые можно отслеживать.
Таблица 1. типы событий, связанные со шлюзом служб терминалов
Имя события
Описание
Код события
Successful User
Disconnection from the
Resource (пользователь
успешно отключился от
ресурса)
Отслеживая штамп времени
данного, а также родственного
события Successful User
Connection to the Resource
(пользователь успешно
подключился к ресурсу),
можно выяснить время
пользовательского сеанса, а
также объем входящих и
исходящих данных (в
килобайтах), переданных
удаленным клиентом через
сервер шлюза служб
терминалов.
303: клиент отключается
от ресурса по собственной
инициативе
Failed User Connection to
the Resource (пользователю
не удалось подключиться к
Удаленный клиент,
удовлетворяющий
определенным в политиках
304
202: отключение
пользователя
производится
администратором
83
Имя события
Описание
ресурсу)
TS CAP и TS RAP
требованиям, не смог
подключиться через сервер
шлюза служб терминалов к
ресурсу (компьютеру)
внутренней сети из-за
недоступности последнего.
Код события
Отслеживание этого события
помогает выяснить, какие
проблемы, возникающие при
подключении, вызваны
неполадками служб
терминалов и удаленного
рабочего стола и не связаны с
сервером шлюза служб
терминалов.
Failed Connection
Authorization (не удалось
выполнить авторизацию
подключения)
Удаленный клиент не смог
подключиться к ресурсу через
сервер шлюза служб
терминалов, так как он не
удовлетворяет требованиям,
заявленным в политиках
TS CAP.
201
Failed Resource
Authorization (не удалось
выполнить авторизацию
ресурса)
Удаленный клиент не смог
подключиться к компьютеру
через сервер шлюза служб
терминалов, так как политик
TS RAP, разрешающих
пользователю устанавливать
соединения с указанным
компьютером, не обнаружено.
301
В частности, как было
отмечено ранее, такое
событие может произойти в
результате попытки
подключения к компьютеру по
NetBIOS-имени в ситуации,
когда политика TS RAP,
настроенная на сервере
шлюза служб терминалов,
84
Имя события
Описание
Код события
идентифицирует компьютер
по полному доменному имени.
Successful User Connection
to the Resource
(пользователь успешно
подключился к ресурсу)
Попытка удаленного клиента
подключиться к компьютеру
через сервер шлюза служб
терминалов завершилась
успешно.
Successful Connection
Authorization (авторизация
подключения успешно
выполнена)
Удаленный клиент успешно
200
подключился к серверу шлюза
служб терминалов, так как он
удовлетворяет требованиям,
заявленным, по крайней мере,
в одной политике TS CAP.
Successful Resource
Authorization (авторизация
ресурса успешно выполнена)
Удаленный клиент успешно
300
подключился к ресурсу
внутренней сети через сервер
шлюза служб терминалов, так
как этот клиент удовлетворяет
требованиям, заявленным, по
крайней мере, в одной
политике TS RAP.
302
Просмотр подробных сведений об активных подключениях
через сервер шлюза служб терминалов
Диспетчер шлюза служб терминалов позволяет просматривать сведения об активных
соединениях между клиентами служб терминалов и ресурсами внутренней сети,
установленных через сервер шлюза служб терминалов. Эти данные выводятся в области
сведений Monitoring (Наблюдение) и имеют следующую структуру.
Имя события
Описание
Connection ID (идентификатор соединения)
Идентификатор указывается в формате
<a:b>, где «a» — код туннеля,
обеспечивающий уникальную
идентификацию конкретного подключения к
серверу шлюза служб терминалов, а «b» —
код канала. Код туннеля определяет число
входящих соединений с сервером шлюза
служб терминалов, установленных с
85
Имя события
Описание
момента запуска шлюза. При организации
каждого последующего входящего
соединения с сервером шлюза служб
терминалов значение кода туннеля
увеличивается на единицу.
User ID (идентификатор пользователя)
Домен и идентификатор пользователя,
вошедшего в клиентскую систему, в
формате <домен\ИД_пользователя>.
User Name (имя пользователя)
Полное имя пользователя, вошедшего в
клиентскую систему.
Примечание
Просмотр полного имени
пользователя возможен только при
условии входа на сервер шлюза
служб терминалов в качестве
пользователя домена. Если вход в
систему выполнен в качестве
участника группы локальных
администраторов, то просмотреть
полное имя пользователя можно в
столбце User ID.
Connected On (время подключения)
Дата и время установления соединения.
Connection Duration (длительность
подключения)
Период времени, в течение которого
подключение было активным.
Idle Time (время простоя)
Период времени, в течение которого
подключение простаивало (если простой
был зафиксирован).
Target Computer (конечный компьютер)
Имя компьютера внутренней сети, к
которому подключался клиент.
Client IP Address (IP-адрес клиента)
IP-адрес клиента.
Примечание
Если в конфигурации сети
предусмотрены прокси-серверы, то
IP-адрес в этом столбце относится к
прокси-серверу, а не к клиенту служб
терминалов.
86
Имя события
Описание
Target Port (порт назначения)
Порт компьютера внутренней сети, к
которому подключался клиент.
Следующая процедура помогает просмотреть подробные сведения об активных
подключениях через сервер шлюза служб терминалов.
Просмотр подробных сведений об активных подключениях через сервер шлюза
служб терминалов
1. Откройте диспетчер шлюза служб терминалов.
2. Выберите в дереве консоли узел, представляющий сервер шлюза служб терминалов и
содержащий имя компьютера, на котором этот сервер установлен.
3. Раскройте узел Monitoring в дереве консоли.
В области результатов диспетчера шлюза служб терминалов появится сводка об общем
количестве соединений между удаленными пользователями и компьютерами внутренней
сети. Сведения о конкретных соединениях, если таковые установлены, выводятся ниже
сводки.
Выбрав то или иное подключение, можно в нижней области ознакомиться с его
подробными характеристиками. При необходимости можно прервать любое отдельно
взятое соединение или все сеансы подключения через шлюз служб терминалов,
относящийся к одному пользователю.
4. Чтобы обновить данные о состоянии подключения, нажмите кнопку Refresh (обновить) в
области Actions (действия).
Пример сценария для проверки
правильности настройки сертификатов
Выполнив настройку сертификатов на сервере шлюза служб терминалов и клиенте служб
терминалов (согласно инструкциям в разделе «Настройка шлюза служб терминалов:
базовый сценарий»), при помощи утилиты Rpcping.exe из комплекта Resource Kit Tools
можно проверить правильность такой настройки. Механизм применения утилиты
Rpcping.exe для этой цели иллюстрирует представленный ниже сценарий. Утилиту
Rpcping.exe можно загрузить в составе инструментов Windows Server 2003 Resource Kit
(http://go.microsoft.com/fwlink/?LinkId=16544).
В настоящем приложении изложены процедуры сохранения образца сценария в виде
текстового файла и его запуска с помощью утилиты Rpcping.exe; здесь же представлен
выходной поток после успешного исполнения команды и синтаксис образца сценария.
87
Исполнение сценария Rpcpingtest
Для запуска данного образца сценария выполните следующую процедуру. Следует иметь в
виду, что сценарий необходимо выполнить от имени участника локальной группы
«Администраторы» на сервере шлюза служб терминалов.
Исполнение образца сценария
1. Скопируйте и вставьте образец сценария в текстовый файл.
2. Сохраните текстовый файл под именем Rpcpingtest.cmd.
3. Откройте командную строку, перейдите в каталог, где находится утилита
Rpcping.exe, и введите команду Rpcpingtest.cmd.
4. К примеру, если файл Rpcping.exe сохранен в каталоге C:\Tools,
то в командной строке следует ввести следующий текст (заменив
ИМЯ_СЕРВЕРА_ШЛЮЗА_СТ именем конкретного сервера шлюза служб
терминалов):
C:\Tools\Rpcpingtest ИМЯ_СЕРВЕРА_ШЛЮЗА_СТ <имя пользователя> <имя
домена>
5. Нажмите клавишу ввода.
6. Введите пароль RPC/http-прокси (пароль сервера шлюза служб терминалов).
Пример выходного потока после успешного исполнения
команды
Если сценарий выполнен успешно, и настройка сертификата правильна, выходной поток в
командной строке должен выглядеть примерно так:
Results:
RPC/HTTP server preferred auth scheme is: 2
Results:
Pinging successfully completed in 78 sec.
-----------------------------------------------------------Prompting for second rpc ping command in the scripting file
Enter the password for server:
<пароль доступа к шлюзу служб терминалов>
Enter the password for RCP/http Proxy:
Results:
<пароль доступа к шлюзу служб терминалов>
Completed 1 calls in 141 ms
Results: 7 T/S or 141.000 ms/T.
Пример сценария Rpcping
@echo off
setlocal
88
set _TARGETGATEWAY=%1
set _USERNAME=%2
set _DOMAINNAME=%3
if "%_TARGETGATEWAY%"
== "" goto DO_USAGE
if "%_USERNAME%"
== "" goto DO_USAGE
if "%_DOMAINNAME%"
== "" goto DO_USAGE
Echo *******************************************************************
Echo * Первый запрос RPCPing предназначен для проверки подлинности в службе
Echo * RPC через HTTP-прокси. Если запрос завершается неудачно, значит, неверна настройка
Echo * сертификата на клиентском компьютере
Echo * или введен неправильный пароль.
Echo *******************************************************************
Rpcping -v 2 -e 3388 -t ncacn_http -s localhost -o RpcProxy=%_TARGETGATEWAY% -P
"%_USERNAME%,%_DOMAINNAME%,*" -H NTLM -u NTLM -a connect -F ssl -B msstd:%_TARGETGATEWAY%
-E
-R None
Echo *******************************************************************
Echo * Второй запрос RPCPing предназначен для проверки подлинности в службе
Echo * «шлюз служб терминалов». Если запрос завершается неудачно, указанная служба,
Echo * по-видимому, не запущена.
Echo *******************************************************************
Rpcping -v 2 -e 3388 -t ncacn_http -s localhost -o RpcProxy=%_TARGETGATEWAY% -P
"%_USERNAME%,%_DOMAINNAME%,*" -I "%_USERNAME%,%_DOMAINNAME%,*" -H NTLM -u NTLM -a connect
-F
ssl -B msstd:%_TARGETGATEWAY%
goto endall
:DO_USAGE
89
Echo ******************************************************************
Usage:
*
Echo * testclient.cmd [gateway] [user] [domain/machine]
*
Echo *
*
Echo ******************************************************************
goto endall
:ENDALL
Endlocal
Заявление об отказе от гарантий
Представленный пример сценария не входит в стандартные программы и услуги
поддержки корпорации Майкрософт. Пример сценария предоставляется в форме «КАК
ЕСТЬ», без каких бы то ни было гарантийных обязательств. Корпорация Майкрософт
отказывается от любых подразумеваемых гарантий, в том числе, без ограничения, от
любых гарантий пригодности для продажи и годности примера сценария для решения тех
или иных задач. Все риски, связанные с применением и эффективностью данного примера
сценария, а равно и документации к нему, возлагаются на пользователя. Ни корпорация
Майкрософт, ни ее авторы, ни какие бы то ни было иные лица, вовлеченные в процесс
создания, производства и распространения данного сценария, ни при каких
обстоятельствах не будут нести ответственности за любой ущерб (в том числе, без
ограничения, за утрату дохода, простой производственных мощностей, утрату деловой
информации и любые иные виды материального ущерба), связанный с применением или
невозможностью применения примеров сценариев и документации, даже в случае
уведомления корпорации Майкрософт о возможности такого ущерба.
90