Terminal Services Gateway của Windows Server 2008 Các quản trị viên bảo mật của Microsoft luôn có một chút cảnh giác trong việc đưa ra Terminal Servers trên Internet. Lý do là vì chưa có một khả năng để có thể thẩm định từ trước các kết nối hoặc chính sách người dùng để xác định xem những người dùng nào có thể truy cập vào Terminal Server nào. Việc thiếu vấn đề tiền thẩm định là một vấn đề thực sự khó khăn. Không có cơ chế tiền thẩm định thì người dùng nặc danh có thể nâng cao các kết nối nặc danh thỏa hiệp với Terminal Server đã được ban bố. Một Terminal Server bị thỏa hiệp sẽ trở thành một lỗ hổng nghiêm trọng đối với mạng của bạn, vì khi đó kẻ tấn công có thể truy cập vào toàn bộ hệ điều hành và thực hiện các tấn công. Trước những khó khăn đó, Windows Server 2008 cung cấp cho các bạn một giải pháp cho vấn đề bảo mật này: Terminal Services Gateway. Sử dụng Terminal Services Gateway bạn có thể thẩm định trước những người dùng và kiểm soát những Terminal Servers nào mà người dùng có thể truy cập dựa trên các thông tin cá nhân và chính sách. Tính năng này còn cho phép bạn có thể kiểm soát một cách tinh tế hơn những gì cần để bảo đảm rằng bạn có một giải pháp RDP truy cập từ xa một cách an toàn. Trong loạt bài gồm hai phần này, chúng ta sẽ cùng tìm hiểu cách làm việc với giải pháp Terminal Servers, sử dụng mạng lab như hình bên dưới. Các mũi tên thể hiện hướng truyền thông từ máy khách RDP bên ngoài tới Terminal Server. Hình 1 Mỗi một máy chủ trong kịch bản này đều đang sử dụng Windows Server 2008 Enterprise Edition. Trong mạng ví dụ này, chúng tôi đang sử dụng máy chủ Windows Server 2008 NAT với tư cách là Internet gateway. Bạn có thể sử dụng bất cứ một thiết bị NAT đơn giản nào khác hoặc có thể là bộ định tuyến lọc gói dữ liệu giống như PIX, hoặc thậm chí là một tường lửa tiên tiến như Microsoft ISA Firewall. Tùy chọn cấu hình chính ở đây là hướng các kết nối của cổng TCP 443 đến máy tính Terminal Service Gateway. Domain Controller có DNS, DHCP, Certificate Services trong chế độ Enterprise CA và WINS đã được cài đặt từ trước. Terminal Server chỉ có một hệ điều hành cơ bản đã được cài đặt. Chúng tôi sẽ cài đặt các dịch vụ khác trong suốt loạt bài này. TS Gateway chỉ có một hệ điều hành cơ bản được cài đặt. Chúng tôi cũng sẽ cài đặt các dịch vụ khác. Loạt bài này sẽ mô tả các quá trình và thủ tục cần đến để thực hiện chạy một giải pháp cơ bản:  Cài đặt Terminal Services và Terminal Services Licensing trên Terminal Server  Cấu hình Terminal Services Licensing  Cài đặt Desktop Experience trên Terminal Server (không bắt buộc)  Cấu hình chế độ Terminal Services Licensing  Cài đặt Terminal Services Gateway Service trên Terminal Services Gateway  Yêu cầu chứng chỉ cho Terminal Services Gateway  Cấu hình Terminal Services Gateway để sử dụng chứng chỉ  Tạo Terminal Services Gateway RAP  Tạo Terminal Services Gateway CAP  Cấu hình RDP Client để có thể sử dụng Terminal Services Gateway Cài đặt Terminal Services và Terminal Services Licensing trên Terminal Server Bước đầu tiên là cài đặt Terminal Services trên máy tính Terminal Services. Thực hiện các bước dưới đây để cài đặt Terminal Services và Terminal Services Licensing: 1. Trên máy tính Terminal Server, bạn hãy mở Server Manager. Trong Server Manager, kích nút Roles trong panel bên trái của giao diện điều khiển. 2. Kích vào liên kết Add Roles trong phần panel phải của giao diện điều khiển Hình 2 3. Kích Next trong trang Before You Begin 4. Trong trang Before You Begin, bạn hãy tích dấu kiểm vào hộp kiểm Terminal Services, sau đó kích Next. Hình 3 5. Kích Next trong trang Terminal Services 6. Trong cửa sổ Select Role Services, bạn hãy tích vào hộp kiểm Terminal Server và TS Licensing. Kích Next. Hình 4 7. Kích Next trong cửa sổ Uninstall and Reinstall Application for Compatibility 8. Trong cửa sổ Specify Authentication Method for Terminal Server, bạn hãy chọn Require Network Level Authentication. Bạn có thể chọn theo từng kịch bản của mình vì chúng tôi đang chỉ sử dụng các máy khách Vista SP1 để kết nối đến Terminal Server thông qua TS Gateway. Chúng ta sẽ không thể sử dụng tùy chọn này nếu cần hỗ trợ các máy khách Windows XP SP2. Tuy vậy, bạn có thể hỗ trợ Network Level Authentication với Windows XP SP3. Nhưng chúng tôi vẫn chưa xác nhận điều này, chính vì vậy bạn hãy kiểm tra các lưu ý phát hành của Windows XP SP3. Kích Next. Hình 5 9. Trong trang Specify Licensing Mode, bạn hãy chọn tùy chọn Configure later. Có thể chọn một tùy chọn khác tuy nhiên theo ví dụ này chúng tôi chọn Configure later để có thể giới thiệu cho các bạn nơi cấu hình chế độ đăng ký trong giao diện điều khiển Terminal Services. Kích Next. Hình 6 10. Trong trang Select Use Groups Allowed Access To This Terminal Server, sử dụng các tùy chọn mặc định. Bạn có thể bổ sung thêm hoặc xóa các nhóm nếu muốn chỉnh tinh hơn điều khiển truy cập trên Terminal Server. Mặc dù vậy, nếu tất cả người dùng phải đi qua Terminal Services Gateway, thì bạn có thể kiểm soát ai kết nối với Terminal Server bằng các thiết lập chính sách TS Gateway. Để lại các thiết lập mặc định và kích Next. [...]... đặt Desktop Experience trên Terminal Server (tùy chọn) Khi Windows Vista clients kết nối với Windows Server 2008 Terminal Server, chúng có thể có những cảm nhận desktop giống như Vista trong session của Terminal Services nếu bạn cài đặt tùy chọn Desktop Experience trên Terminal Server Thực hiện các bước dưới đây để cài đặt Desktop Experience Feature cho Terminal Server: 1 Trong trang Select Features,... ký Terminal Services Chúng ta sẽ kết thúc việc cấu hình Terminal Services bằng cách thiết lập Terminal Services Licensing Mode Thực hiện các bước dưới đây để cấu hình chế độ này: 1 Từ menu Administrative Tools, bạn hãy kích mục Terminal Services, sau đó kích Terminal Services Configuration 2 Trong phần panel ở giữa của giao diện điều khiển Terminal Services Configuration, bạn hãy kích đúp vào Terminal. .. cấu hình đăng ký cho Terminal Server này Hình 24 5 Đóng giao diện điều khiển Terminal Service Configuration Kết luận Trong phần 1 của loạt bài gồm hai phần này, chúng tôi đã giới thiệu cách cài đặt các dịch vụ Terminal Server và việc đăng ký Terminal Server trên Terminal Server, tiếp đến chúng tôi đã cấu hình đăng ký Terminal Services, cài đặt Desktop Experience trên Terminal Server và cấu hình chế... trường của bạn Trong cài đặt lab này, chúng tôi đang sử dụng Windows Server 2008 Terminal Servers, chính vì vậy sẽ chọn Windows Server 2008 Do sử dụng các CAL người dùng trong mạng ví dụ này nên chúng tôi chọn Windows Server 2008 TS Per User CAL Nhập vào 50 trong hộp văn bản Quantity và kích Next Hình 20 12 Kích Finish trong trang Completing the Install Licenses Wizard Cài đặt Desktop Experience trên Terminal. .. máy khách Terminal Services vì bạn phải thực hiện với các yêu cầu đăng ký thực Thực hiện các bước dưới đây để kích hoạt Terminal Services Licensing Server của bạn: 1 Từ menu Administrative Tools, kích Terminal Services, sau đó kích TS Licensing Manager 2 Trong giao diện điều khiển TS Licensing Manager, bạn hãy kích chuột phải vào tên máy chủ trong panel bên trái của giao diện Kích Activate Server Hình... hình Terminal Services Licensing, sau đó cấu hình chế độ đăng ký trên Terminal Server Hình 12 Cấu hình việc đăng ký trên Terminal Services Lúc này chúng ta đã hoàn toàn sẵn sàng để cấu hình Terminal Services Licensing Ví dụ sử dụng một số dữ liệu giả, không đúng với những yêu cầu thực cho việc đăng ký các kết nối máy khách Terminal Services, tuy nhiên nó sẽ cung cấp một ví dụ về quá trình này sẽ làm... hiện sau khi Server Manager xuất hiện 16 Kích Close vào trang Installation Results sau khi thấy thông báo cài đặt thành công Installation succeeded Hình 11 17 Bạn có thể thấy thông báo cho biết rằng Terminal Services licensing mode is not configured – nghĩa là chế độ đăng ký của Terminal Services chưa được cấu hình Bạn có thể gạt bỏ thông báo này vì chúng tôi sẽ chuyển sang cấu hình Terminal Services. .. Services Configuration, bạn hãy kích đúp vào Terminal Services Licensing mode Hình 22 3 Trong hộp thoại Properties, chọn tùy chọn Per User đối với Specify the Terminal Services licensing mode Chọn Automatically discover license server đối với Specify the license server discovery mode Kích OK Hình 23 4 Kích nút Licensing Diagnosis trong panel bên trái của giao diện điều khiển Trong phần panel giữa bạn... Installation Selections, tích vào chỉ thị thông tin cảnh báo có thể phải cài đặt lại các ứng dụng đã được cài đặt trên máy tính này rồi nếu bạn muốn chúng làm việc đúng cách trong môi trường session của Terminal Services Bạn cũng nên lưu ý rằng IE Enhanced Security Configuration sẽ bị tắt Kích Install Hình 9 13 Trong cửa sổ Installation Results bạn sẽ thấy một cảnh báo yêu cầu cần khởi động lại máy chủ... đăng ký Terminal Services, cài đặt Desktop Experience trên Terminal Server và cấu hình chế độ đăng ký cho máy chủ cuối Phần tiếp theo chúng tôi sẽ giới thiệu cho các bạn cách cài đặt và cấu hình Terminal Services Gateway và RDP client Sau đó sẽ kết thúc bằng cách tạo kết nối từ một địa điểm bên ngoài . độ Terminal Services Licensing  Cài đặt Terminal Services Gateway Service trên Terminal Services Gateway  Yêu cầu chứng chỉ cho Terminal Services Gateway  Cấu hình Terminal Services Gateway. chỉ  Tạo Terminal Services Gateway RAP  Tạo Terminal Services Gateway CAP  Cấu hình RDP Client để có thể sử dụng Terminal Services Gateway Cài đặt Terminal Services và Terminal Services. Terminal Services Gateway của Windows Server 2008 Các quản trị viên bảo mật của Microsoft luôn có một chút cảnh giác trong việc đưa ra Terminal Servers trên Internet.