基于安全和新的應(yīng)用需求，Server 2008已然成為炙手可熱的企業(yè)服務(wù)器平臺。平臺的遷移帶來了服務(wù)器遠(yuǎn)程管理方式的變化，Server 2008讓我們有了更多的選擇。在Server　2008中新增的一項(xiàng)功能Terminal Services Gateway(TS Gateway，遠(yuǎn)程服務(wù)網(wǎng)關(guān))，利用它遠(yuǎn)程客戶端可通過HTTPS安全地建立與服務(wù)器的遠(yuǎn)程會(huì)話。

1、為什么選擇TS Gateway通道?

不管在遠(yuǎn)程服務(wù)器上進(jìn)行遠(yuǎn)程管理，還是要遠(yuǎn)程運(yùn)行程序，在把這些資源暴露到Internet時(shí)，都會(huì)有潛在的安全風(fēng)險(xiǎn)。

(1).遠(yuǎn)程桌面不夠安全靈活

管理員比較熟悉的“遠(yuǎn)程桌面”方式是在防火墻上打開TCP端口3389，將從Internet客戶端上發(fā)來的請求轉(zhuǎn)發(fā)給本地網(wǎng)絡(luò)中TS服務(wù)器的IP地址。不過，直接向Internet開啟TCP 3389端口可能會(huì)導(dǎo)致安全風(fēng)險(xiǎn)。而且如果你要將多于一臺服務(wù)器發(fā)布到Internet，我們還需要多個(gè)公網(wǎng)IP地址。

(2).VPN方式不夠方便

VPN也是遠(yuǎn)程管理的一種方式，它要求遠(yuǎn)程用戶在使用RDP訪問服務(wù)器之前先建立一個(gè)VPN連接。盡管這種方案更安全，同時(shí)也更靈活，但有時(shí)候也可能并不太方便。因?yàn)樵S多公共Internet AP(Access Point)并沒有開啟PPTP或L2TP通信端口。出差的用戶一般是通過酒店的網(wǎng)絡(luò)來訪問Internet的，而這種網(wǎng)絡(luò)有一些也無法初始化VPN連接。

(3).TS Gateway安全而且通用

Windows Server 2008中的TS Gateway解決了這個(gè)問題。它把RDP封裝在HTTPS中(也稱為RDP over HTTPS)，用戶可以通過HTTPS的端口TCP 443連接到TS Gateway服務(wù)器。TS Gateway對客戶端進(jìn)行身份驗(yàn)證，從HTTPS中解壓RDP，然后在端口3389上把連接轉(zhuǎn)發(fā)到目標(biāo)

資源。通過TS Gateway，客戶端只需要訪問端口443即可建立一個(gè)安全的RDP會(huì)話。除了只需要使用一個(gè)端口，RDP over HTTPS還支持只允許HTTP和HTTPS出站通信的代理服務(wù)器。我們只需要一個(gè)外網(wǎng)公共IP地址，通過這個(gè)IP地址即可發(fā)布TS Gateway服務(wù)器。而且，我們可以在TS Gateway上對用戶先進(jìn)行身份驗(yàn)證，然后根據(jù)驗(yàn)證的結(jié)果允許或阻止用戶訪問本地網(wǎng)絡(luò)中的某臺(或所有)計(jì)算機(jī)。

2、遠(yuǎn)程管理Windows2008服務(wù)器，配置TS Gateway

(1).安裝TS Gateway

在把服務(wù)器配置為一臺TS Gateway之前，我們必須把TS Gateway服務(wù)添加到操作系統(tǒng)上。在Windows Server 2008服務(wù)器上，依次打開“管理工具”→“服務(wù)器管理”，啟動(dòng)“添加角色”向?qū)?。?ldquo;遠(yuǎn)程服務(wù)”角色下找到“TS Gateway服務(wù)”，選中它。添加TS Gateway服務(wù)的同時(shí)，會(huì)自動(dòng)添加一些其它必需的服務(wù)和功能，例如網(wǎng)絡(luò)策略服務(wù)器、

Microsoft IIS以及RPC-over-—HTTP代理服務(wù)器。向?qū)?huì)問你是否要配置一個(gè)SSL(Secu re Socket Layer，安全套接字層)證書，遠(yuǎn)程服務(wù)策略以及網(wǎng)絡(luò)策略服務(wù)器，不過筆者建議可以稍后再做這些配置(本文稍后會(huì)介紹這些配置)。完成向?qū)е螅芾砉ぞ叩倪h(yuǎn)程服務(wù)下面會(huì)多出一個(gè)TS Gateway管理器。

(圖1)

(2).配置連接數(shù)

打開TS Gateway管理器，找到我們要配置為TS Gateway的服務(wù)器，打開它的屬性對話框。在“常規(guī)”選項(xiàng)卡上，可以限制TS Gateway的同時(shí)連接數(shù)，或完全禁用新的連接。默認(rèn)是允許支持的最大連接數(shù)，如果沒有特殊原因， 保留默認(rèn)值即可。

(圖2)

(3).配置SSL證書

“SSL證書”選項(xiàng)卡上有一個(gè)必須要配置的選項(xiàng)。默認(rèn)設(shè)置下，TS客戶端和TS Gateway服務(wù)器之間在lnternet上通信時(shí)會(huì)使用TLS 1.0(Transport Layer Security，傳輸層安全)來加密通信。要使用加密，必須在TS Gateway服務(wù)器上選擇恰當(dāng)?shù)挠?jì)算機(jī)證書。證書的目的是進(jìn)行服務(wù)器身份驗(yàn)證，可以由本地證書管理中心(CA)發(fā)布。證書必須要有一個(gè)與TS

Gatewayf服務(wù)器DNS名稱一致的主題名稱值—— DNS名稱即用戶連接到服務(wù)器時(shí)使用的名稱(例如，tsg.domain.com)，否則就會(huì)無法連接。

需要注意的是：不能用MMC證書管理單元中的標(biāo)準(zhǔn)證書請求向?qū)碚埱笞C書。這個(gè)向?qū)е荒馨l(fā)布那些本機(jī)名稱的證書，而這里我們要的是公共名稱，公共名稱通常和本機(jī)名稱是不一樣的。如果你有一個(gè)在線的CA，你可以用certreq.exe工具來準(zhǔn)備證書請求?；蛘?，如果你不喜歡基于命令行的工具，也可以用IIS管理器中的一個(gè)向?qū)碚埱笞C書。按照以下步驟操作：打開IIS管理器，點(diǎn)擊服務(wù)器名稱，在右方的面板中點(diǎn)擊“服務(wù)器證書”。選擇“創(chuàng)建域證書” 選項(xiàng)，在“常規(guī)名稱”一欄輸入TS Gateway的DNS名稱。然后就可以自動(dòng)發(fā)布和安裝這個(gè)證書。

如果可能的話，最好的方案是使用一個(gè)商業(yè)證書，因?yàn)榇蠖鄶?shù)客戶端默認(rèn)都可能會(huì)信任它。從商業(yè)CA獲取了證書之后，你可以使用MMC的證書管理單元將它導(dǎo)入。證書安裝在TS Gateway計(jì)算機(jī)的個(gè)人目錄下之后，就可以使用TS Gateway計(jì)算機(jī)屬性對話框的“SSL證書” 選項(xiàng)卡進(jìn)行配置以啟用證書。點(diǎn)擊“為SSL加密選擇現(xiàn)有證書(建議)”，然后點(diǎn)擊“瀏覽證書”選擇該證書即可。

(圖3)

(4).配置連接身份驗(yàn)證策略

使用“TS CAP 存儲(chǔ)”選項(xiàng)卡配置連接身份驗(yàn)證策略。由于TS Gateway使用了網(wǎng)絡(luò)策略服務(wù)器來控制客戶端的訪問，通過TS Gateway管理器創(chuàng)建的所有策略實(shí)際上都會(huì)在網(wǎng)

絡(luò)策略服務(wù)器上創(chuàng)建。在這個(gè)選項(xiàng)卡上，你還可以啟用一個(gè)選項(xiàng)：如果配置了網(wǎng)絡(luò)訪問保護(hù)(Network Access Protection，NAP)，就要求客戶端在進(jìn)行連接之前必須聲明自己處于健康狀態(tài)。就本文來說，選擇本地的網(wǎng)絡(luò)策略服務(wù)器就可以了，不要選中要求客戶端聲明自己處于健康狀態(tài)的這個(gè)選項(xiàng)。

(圖4)

(5).其他配置項(xiàng)

“服務(wù)器場”選項(xiàng)卡可以將多臺TS Gateway分組，創(chuàng)建一個(gè)服務(wù)器場，提高TS Gateway服務(wù)的可用性。不能在這里配置網(wǎng)絡(luò)負(fù)載均衡(Network Load Balance，NLB)，而必須在Windows中配置它。不過配置好NLB之后，你可以使用“服務(wù)器場”選項(xiàng)卡向服務(wù)器場添加NLB成員。

“審核”選項(xiàng)卡可以配置TS Gateway的日志選項(xiàng)。只需要點(diǎn)擊你想記錄日志的事件即可。TS Gateway服務(wù)器事件在MMC事件查看器管理單元中顯示在“應(yīng)用程序和服務(wù)日志\Microsoft\Windows\TerminalServices-Gateway”下。筆者建議大家選定所有可用的選項(xiàng)。

(圖5)

“SSL橋接”選項(xiàng)卡，我們可以在這配置Microsoft ISA Server或其它SSL橋接兼容設(shè)備連接到TS Gateway的方式。“SSL橋接”選項(xiàng)卡上唯一的一個(gè)選項(xiàng)就是：使用HTTP5-HTTP橋接，默認(rèn)并未被選中，意即使用HTTPS-HTTPS(或SSL)橋接，在客戶端通過lSA Server連接到TS Gateway時(shí)維持加密狀態(tài)。使用這種配置時(shí)，ISA Server會(huì)終止從客戶端發(fā)起的SSL會(huì)話，對用戶進(jìn)行預(yù)認(rèn)證(如果偵聽器已經(jīng)配置為如此)，監(jiān)控包，與TS Gateway服務(wù)器建立一個(gè)新的SSL會(huì)話，并使用最高安全性。要使客戶端能通過TS Gateway的公共名稱建立SSL會(huì)話，ISA Server上的證書必須和TS Gateway服務(wù)器的一樣。

#p#

3、遠(yuǎn)程管理Windows2008服務(wù)器，配置TS Gateway策略

配置好服務(wù)器屬性之后，必須創(chuàng)建“連接身份驗(yàn)證策略” 和“資源身份驗(yàn)證策略”。默認(rèn)情況下，TS Gateway沒有策略，在沒有定義至少一種策略之前，TS Gateway無法正常工作。在連接身份驗(yàn)證策略中，可以設(shè)置允許通過TS Gateway訪問的用戶或組、身份驗(yàn)證方法(智能卡或密碼)，以及RDP設(shè)備重定向選項(xiàng)。資源身份驗(yàn)證策略則可以指定那些可以通過TS Gateway訪問的主機(jī)。

(1).連接身份驗(yàn)證策略

在TS Gateway管理器的左面板上，找到“策略”下的“連接身份驗(yàn)證策略”節(jié)點(diǎn)，點(diǎn)擊右鍵，選擇“以自定義方式創(chuàng)建新策略(不使用向?qū)?”選項(xiàng)。在彈出對話框的“常規(guī)”選項(xiàng)卡中，輸入策略的名稱。切換到“需求”選項(xiàng)卡，選擇允許連接到TS Gateway的用戶和計(jì)算機(jī)組。必須添加至少一個(gè)用戶組(本地組或AD組)。注意，添加組后，這個(gè)組只能連接到TS Gateway;而并沒有把該組授權(quán)為可以通過TS Gateway連接到其它主機(jī)。如果你想限制用戶只能從指定的計(jì)算機(jī)上進(jìn)行連接，你也可以添加一個(gè)或多個(gè)計(jì)算機(jī)組。在“需求”選項(xiàng)卡上，還可以選擇一個(gè)或多個(gè)身份驗(yàn)證模式(密碼和/或智能卡)。

(圖6)

無論從安全還是功能方面來說，“設(shè)備重定向” 選項(xiàng)卡上的選項(xiàng)都很有用。在遠(yuǎn)程計(jì)算機(jī)上可以啟用所有設(shè)備的重定向，也可以全部禁用， 或者有選擇性地禁用某幾種設(shè)備。由于RDP設(shè)備重定向可能會(huì)導(dǎo)致一些潛在的安全風(fēng)險(xiǎn)，因此限制重定向是比較明智的?？梢愿鶕?jù)不同的用戶組和身份驗(yàn)證方法，為它們配置多個(gè)不同設(shè)備重定向權(quán)限的連接身份驗(yàn)證策略。例如，對于管理員組的策略，可以強(qiáng)制要求他們使用智能卡進(jìn)行身份驗(yàn)證，允許所有設(shè)備重定向;而對于普通用戶，則允許他們使用密碼進(jìn)行身份驗(yàn)證，但限制設(shè)備重定向。記住一點(diǎn)，TS Gateway應(yīng)用連接身份驗(yàn)證策略的順序和RRAS應(yīng)用策略的順序是一致的。

(2).資源身份驗(yàn)證策略

在TS Gateway管理器的左方面板上，找到“策略”下的“資源身份驗(yàn)證策略”節(jié)點(diǎn)，點(diǎn)擊右鍵，選擇“創(chuàng)建新策略(自定義 在彈出對話框的“常規(guī)”選項(xiàng)卡中，輸入策略名稱和說明。切換到“用戶組”選項(xiàng)卡，選擇一個(gè)或多個(gè)用戶組(本地組或AD組)注意你在這里指定的用戶組和之前在連接身份驗(yàn)證策略中指定的并不一定要一樣，因?yàn)檫@里的組是用于控制資源訪問權(quán)限的，而不僅僅是針對TS Gateway的。

切換到“計(jì)算機(jī)組”選項(xiàng)卡，這是配置資源身份驗(yàn)證策略時(shí)最重要的選項(xiàng)。在這里指定計(jì)算機(jī)組，注意你在“用戶組”選項(xiàng)卡指定的用戶組必須有權(quán)限訪問這里的計(jì)算機(jī)組。你有三個(gè)選擇。首先可以從AD選擇一個(gè)現(xiàn)有的計(jì)算機(jī)組。你也可以選擇一個(gè)TS Gateway的計(jì)算機(jī)組。(選擇它，然后點(diǎn)擊“瀏覽”，你可以輸入計(jì)算機(jī)的Domain Name或IP地址來創(chuàng)建這個(gè)組)或者，還可以選擇允許訪問所有內(nèi)部計(jì)算機(jī)，如果你只有一個(gè)資源身份驗(yàn)證策略時(shí)，使用這種方式是很有用的。和連接身份驗(yàn)證策略類似，為不同的資源創(chuàng)建不同的資源身份驗(yàn)證策略也是一種好方法。

在“允許的端口”選項(xiàng)卡上，可以配置RDP會(huì)話使用的端口。默認(rèn)是TCP端口3389，你可以配置為其它任何可用的端口，不過我并不建議這樣做。端口3389是公認(rèn)的RDP端口。如果你想通過隱藏端口的方法來提高安全性，你可以把默認(rèn)值修改為其它端口。

(圖7)

4、遠(yuǎn)程管理Windows2008服務(wù)器，部署TS Gateway

配置好TS Gateway和策略之后，必須正確地部署服務(wù)器。如果你使用的是普通的防火墻，你應(yīng)該把TS Gateway服務(wù)器放在DMZ區(qū)，在面向Internet的防火墻和TS Gateway服務(wù)器之間開啟TCP端口443，在TS Gateway和面向內(nèi)部網(wǎng)絡(luò)的防火墻問開啟TCP端口3389。注意TS Gateway服務(wù)器必須是一個(gè)域成員，因此在面向內(nèi)部網(wǎng)絡(luò)的防火墻上可能還需要一些其它的端口。

(圖8)

如果你使用的是ISA Server 2006或ISA Server 2004，可以把TS Gateway服務(wù)器放在本地網(wǎng)絡(luò)，然后再通過ISA Server把它發(fā)布出去，這樣做已經(jīng)比較安全了。這種情況下，你必須把證書從TS Gateway復(fù)制到ISA Server上，你還可以配置HTTPS橋接。除了配置防火墻以外，還要在公共DNS上創(chuàng)建一個(gè)主機(jī)記錄，主機(jī)名要用TS Gateway服務(wù)器的名稱(這個(gè)名稱還要和證書的主題名一致)，IP地址則是TS Gateway的IP。

5、配置TS客戶端

要使用TS Gateway，客戶端上必須安裝遠(yuǎn)程桌面連接6.O，大家可從如下地址下載并安裝(http://support.microsoft.com/kb/925876)。安裝完成后打開RDP客戶端軟件，輸入要連接計(jì)算機(jī)的本地DNS名稱，點(diǎn)擊“高級”→“設(shè)置”，對TS Gateway相關(guān)的選項(xiàng)進(jìn)行配置。默認(rèn)值是自動(dòng)檢測TS Gateway設(shè)置，如果這些設(shè)置是由組策略強(qiáng)制分發(fā)的，這樣設(shè)置就夠了?；蛘撸阋部梢允止ぽ斎隩S Gateway服務(wù)器的公共名稱。你還可以選擇在連接本地IP地址時(shí)繞開TS Gateway，這樣當(dāng)用戶不管在LAN還是Internet，都會(huì)使用同一種方式進(jìn)行RDP連接。你也可以選擇不使用TS Gateway。配置好這些選項(xiàng)，點(diǎn)擊“連接”， 首先會(huì)看到一個(gè)TS Gateway的驗(yàn)證對話框，然后還要進(jìn)行遠(yuǎn)程主機(jī)的身份驗(yàn)證。如果兩個(gè)驗(yàn)證都通過了，就可以開始RDP會(huì)話了。

(圖9)

【編輯推薦】

1. Windows 7 E胎死腹中
2. 微軟披露Windows 7版本間升級計(jì)劃
3. Intel將率先全面部署Windows 7
4. Ed Bott：Windows 7可不僅僅是Vista 2.0這么簡單
5. Windows7正式版最實(shí)用的改進(jìn)