基于安全和新的应用需求Server 已然成为炙手可热的企业服务器平台平台的迁移带来了服务器远程管理方式的变化Server 让我们有了更多的选择在Server中新增的一项功能Terminal Services Gateway(TS Gateway远程服务网关)利用它远程客户端可通过HTTPS安全地建立与服务器的远程会话
为什么选择TS Gateway通道?
不管在远程服务器上进行远程管理还是要远程运行程序在把这些资源暴露到Internet时都会有潜在的安全风险
()远程桌面不够安全灵活
管理员比较熟悉的远程桌面方式是在防火墙上打开TCP端口将从Internet客户端上发来的请求转发给本地网络中TS服务器的IP地址不过直接向Internet开启TCP 端口可能会导致安全风险而且如果你要将多于一台服务器发布到Internet我们还需要多个公网IP地址
()VPN方式不够方便
VPN也是远程管理的一种方式它要求远程用户在使用RDP访问服务器之前先建立一个VPN连接尽管这种方案更安全同时也更灵活但有时候也可能并不太方便因为许多公共Internet AP(Access Point)并没有开启PPTP或LTP通信端口出差的用户一般是通过酒店的网络来访问Internet的而这种网络有一些也无法初始化VPN连接
()TS Gateway安全而且通用
Windows Server 中的TS Gateway解决了这个问题它把RDP封装在HTTPS中(也称为RDP over HTTPS)用户可以通过HTTPS的端口TCP 连接到TS Gateway服务器TS Gateway对客户端进行身份验证从HTTPS中解压RDP然后在端口上把连接转发到目标
资源通过TS Gateway客户端只需要访问端口即可建立一个安全的RDP会话除了只需要使用一个端口RDP over HTTPS还支持只允许HTTP和HTTPS出站通信的代理服务器我们只需要一个外网公共IP地址通过这个IP地址即可发布TS Gateway服务器而且我们可以在TS Gateway上对用户先进行身份验证然后根据验证的结果允许或阻止用户访问本地网络中的某台(或所有)计算机
远程管理Windows服务器配置TS Gateway
()安装TS Gateway
在把服务器配置为一台TS Gateway之前我们必须把TS Gateway服务添加到操作系统上在Windows Server 服务器上依次打开管理工具→服务器管理启动添加角色向导在远程服务角色下找到TS Gateway服务选中它添加TS Gateway服务的同时会自动添加一些其它必需的服务和功能例如网络策略服务器
Microsoft IIS以及RPCover—HTTP代理服务器向导会问你是否要配置一个SSL(Secu re Socket Layer安全套接字层)证书远程服务策略以及网络策略服务器不过笔者建议可以稍后再做这些配置(本文稍后会介绍这些配置)完成向导之后管理工具的远程服务下面会多出一个TS Gateway管理器
)thisstylewidth=; height=>
(图)
()配置连接数
打开TS Gateway管理器找到我们要配置为TS Gateway的服务器打开它的属性对话框在常规选项卡上可以限制TS Gateway的同时连接数或完全禁用新的连接默认是允许支持的最大连接数如果没有特殊原因 保留默认值即可
image onmousewheel=javascript:return big(this) border= alt= src=http://imgeducitycn/img_///jpg width= onload=javascript:if(thiswidth>)thisstylewidth=; height=>
(图)
()配置SSL证书
SSL证书选项卡上有一个必须要配置的选项默认设置下TS客户端和TS Gateway服务器之间在lnternet上通信时会使用TLS (Transport Layer Security传输层安全)来加密通信要使用加密必须在TS Gateway服务器上选择恰当的计算机证书证书的目的是进行服务器身份验证可以由本地证书管理中心(CA)发布证书必须要有一个与TS
Gatewayf服务器DNS名称一致的主题名称值—— DNS名称即用户连接到服务器时使用的名称(例如)否则就会无法连接
需要注意的是不能用MMC证书管理单元中的标准证书请求向导来请求证书这个向导只能发布那些本机名称的证书而这里我们要的是公共名称公共名称通常和本机名称是不一样的如果你有一个在线的CA你可以用certreqexe工具来准备证书请求或者如果你不喜欢基于命令行的工具也可以用IIS管理器中的一个向导来请求证书按照以下步骤操作打开IIS管理器点击服务器名称在右方的面板中点击服务器证书选择创建域证书 选项在常规名称一栏输入TS Gateway的DNS名称然后就可以自动发布和安装这个证书
如果可能的话最好的方案是使用一个商业证书因为大多数客户端默认都可能会信任它从商业CA获取了证书之后你可以使用MMC的证书管理单元将它导入证书安装在TS Gateway计算机的个人目录下之后就可以使用TS Gateway计算机属性对话框的SSL证书 选项卡进行配置以启用证书点击为SSL加密选择现有证书(建议)然后点击浏览证书选择该证书即可
image onmousewheel=javascript:return big(this) border= alt= src=http://imgeducitycn/img_///jpg width= onload=javascript:if(thiswidth>)thisstylewidth=; height=>
(图)
()配置连接身份验证策略
使用TS CAP 存储选项卡配置连接身份验证策略由于TS Gateway使用了网络策略服务器来控制客户端的访问通过TS Gateway管理器创建的所有策略实际上都会在网
络策略服务器上创建在这个选项卡上你还可以启用一个选项如果配置了网络访问保护(Network Access ProtectionNAP)就要求客户端在进行连接之前必须声明自己处于健康状态就本文来说选择本地的网络策略服务器就可以了不要选中要求客户端声明自己处于健康状态的这个选项
image onmousewheel=javascript:return big(this) border= alt= src=http://imgeducitycn/img_///jpg width= onload=javascript:if(thiswidth>)thisstylewidth=; height=>
(图)
()其他配置项
服务器场选项卡可以将多台TS Gateway分组创建一个服务器场提高TS Gateway服务的可用性不能在这里配置网络负载均衡(Network Load BalanceNLB)而必须在Windows中配置它不过配置好NLB之后你可以使用服务器场选项卡向服务器场添加NLB成员
审核选项卡可以配置TS Gateway的日志选项只需要点击你想记录日志的事件即可TS Gateway服务器事件在MMC事件查看器管理单元中显示在应用程序和服务日志\Microsoft\Windows\TerminalServicesGateway下笔者建议大家选定所有可用的选项
image onmousewheel=javascript:return big(this) border= alt= src=http://imgeducitycn/img_///jpg width= onload=javascript:if(thiswidth>)thisstylewidth=; height=>
(图)
SSL桥接选项卡我们可以在这配置Microsoft ISA Server或其它SSL桥接兼容设备连接到TS Gateway的方式SSL桥接选项卡上唯一的一个选项就是使用HTTPHTTP桥接默认并未被选中意即使用HTTPSHTTPS(或SSL)桥接在客户端通过lSA Server连接到TS Gateway时维持加密状态使用这种配置时ISA Server会终止从客户端发起的SSL会话对用户进行预认证(如果侦听器已经配置为如此)监控包与TS Gateway服务器建立一个新的SSL会话并使用最高安全性要使客户端能通过TS Gateway的公共名称建立SSL会话ISA Server上的证书必须和TS Gateway服务器的一样
远程管理Windows服务器配置TS Gateway策略
配置好服务器属性之后必须创建连接身份验证策略 和资源身份验证策略默认情况下TS Gateway没有策略在没有定义至少一种策略之前TS Gateway无法正常工作在连接身份验证策略中可以设置允许通过TS Gateway访问的用户或组身份验证方法(智能卡或密码)以及RDP设备重定向选项资源身份验证策略则可以指定那些可以通过TS Gateway访问的主机
()连接身份验证策略
在TS Gateway管理器的左面板上找到策略下的连接身份验证策略节点点击右键选择以自定义方式创建新策略(不使用向导)选项在弹出对话框的常规选项卡中输入策略的名称切换到需求选项卡选择允许连接到TS Gateway的用户和计算机组必须添加至少一个用户组(本地组或AD组)注意添加组后这个组只能连接到TS Gateway;而并没有把该组授权为可以通过TS Gateway连接到其它主机如果你想限制用户只能从指定的计算机上进行连接你也可以添加一个或多个计算机组在需求选项卡上还可以选择一个或多个身份验证模式(密码和/或智能卡)
image onmousewheel=javascript:return big(this) border= alt= src=http://imgeducitycn/img_///jpg width= onload=javascript:if(thiswidth>)thisstylewidth=; height=>
(图)
无论从安全还是功能方面来说设备重定向 选项卡上的选项都很有用在远程计算机上可以启用所有设备的重定向也可以全部禁用 或者有选择性地禁用某几种设备由于RDP设备重定向可能会导致一些潜在的安全风险因此限制重定向是比较明智的可以根据不同的用户组和身份验证方法为它们配置多个不同设备重定向权限的连接身份验证策略例如对于管理员组的策略可以强制要求他们使用智能卡进行身份验证允许所有设备重定向;而对于普通用户则允许他们使用密码进行身份验证但限制设备重定向记住一点TS Gateway应用连接身份验证策略的顺序和RRAS应用策略的顺序是一致的
()资源身份验证策略
在TS Gateway管理器的左方面板上找到策略下的资源身份验证策略节点点击右键选择创建新策略(自定义 在弹出对话框的常规选项卡中输入策略名称和说明切换到用户组选项卡选择一个或多个用户组(本地组或AD组)注意你在这里指定的用户组和之前在连接身份验证策略中指定的并不一定要一样因为这里的组是用于控制资源访问权限的而不仅仅是针对TS Gateway的
切换到计算机组选项卡这是配置资源身份验证策略时最重要的选项在这里指定计算机组注意你在用户组选项卡指定的用户组必须有权限访问这里的计算机组你有三个选择首先可以从AD选择一个现有的计算机组你也可以选择一个TS Gateway的计算机组(选择它然后点击浏览你可以输入计算机的Domain Name或IP地址来创建这个组)或者还可以选择允许访问所有内部计算机如果你只有一个资源身份验证策略时使用这种方式是很有用的和连接身份验证策略类似为不同的资源创建不同的资源身份验证策略也是一种好方法
在允许的端口选项卡上可以配置RDP会话使用的端口默认是TCP端口你可以配置为其它任何可用的端口不过我并不建议这样做端口是公认的RDP端口如果你想通过隐藏端口的方法来提高安全性你可以把默认值修改为其它端口
image onmousewheel=javascript:return big(this) border= alt= src=http://imgeducitycn/img_///jpg width= onload=javascript:if(thiswidth>)thisstylewidth=; height=>
(图)
远程管理Windows服务器部署TS Gateway
配置好TS Gateway和策略之后必须正确地部署服务器如果你使用的是普通的防火墙你应该把TS Gateway服务器放在DMZ区在面向Internet的防火墙和TS Gateway服务器之间开启TCP端口在TS Gateway和面向内部网络的防火墙问开启TCP端口注意TS Gateway服务器必须是一个域成员因此在面向内部网络的防火墙上可能还需要一些其它的端口
image onmousewheel=javascript:return big(this) border= alt= src=http://imgeducitycn/img_///jpg width= onload=javascript:if(thiswidth>)thisstylewidth=; height=>
(图)
如果你使用的是ISA Server 或ISA Server 可以把TS Gateway服务器放在本地网络然后再通过ISA Server把它发布出去这样做已经比较安全了这种情况下你必须把证书从TS Gateway复制到ISA Server上你还可以配置HTTPS桥接除了配置防火墙以外还要在公共DNS上创建一个主机记录主机名要用TS Gateway服务器的名称(这个名称还要和证书的主题名一致)IP地址则是TS Gateway的IP
配置TS客户端
要使用TS Gateway客户端上必须安装远程桌面连接O大家可从如下地址下载并安装()安装完成后打开RDP客户端软件输入要连接计算机的本地DNS名称点击高级→设置对TS Gateway相关的选项进行配置默认值是自动检测TS Gateway设置如果这些设置是由组策略强制分发的这样设置就够了或者你也可以手工输入TS Gateway服务器的公共名称你还可以选择在连接本地IP地址时绕开TS Gateway这样当用户不管在LAN还是Internet都会使用同一种方式进行RDP连接你也可以选择不使用TS Gateway配置好这些选项点击连接 首先会看到一个TS Gateway的验证对话框然后还要进行远程主机的身份验证如果两个验证都通过了就可以开始RDP会话了
image onmousewheel=javascript:return big(this) border= alt= src=http://imgeducitycn/img_///jpg width= onload=javascript:if(thiswidth>)thisstylewidth=; height=>
(图)
