Cấu hình Terminal Services Gateway của Windows Server 2008 (Phần 2)
Trong phần đầu của loạt bài này, chúng ta đã thực hiện cài đặt cơ bản cho Terminal Services cũng như việc đăng ký Terminal Services và cấu hình chế độ đăng ký của Terminal Services
Cấu hình Terminal Services Gateway của Windows Server 2008 (Phần 2)
Nguồn : quantrimang.com
Thomas Shinder
Trong phần đầu của loạt bài này, chúng ta đã thực hiện cài đặt cơ bản cho
Terminal Services cũng như việc đăng ký Terminal Services và cấu hình
chế độ đăng ký của Terminal Services. Trong phần này, chúng tôi sẽ giới
thiệu tiếp phần cài đặt và cấu hình TS Gateway và RDP client. Sau đó sẽ
tạo một kết nối và kiểm tra nó làm việc như thế nào.
Cài đặt Terminal Services Gateway Service trên Terminal Services Gateway
Bây giờ chúng ta chuyển sự quan tâm sang máy Terminal Services Gateway.
Đây là máy tính mà các máy khách bên ngoài sẽ kết nối vào lúc ban đầu khi tạo
các kết nối máy khách Terminal Services của chúng.
Thực hiện theo các bước dưới đây để cài đặt Terminal Services Gateway trên
máy Terminal Services Gateway.
1. Mở Server Manager trên máy tính Terminal Services Gateway. Kích vào
nút Roles trong phần panel bên trái của giao diện điều khiển, sau đó kích
vào liên kết Add Role trong phần panel bên phải.
2. Kích Next trong trang Before You Begin.
3. Trong trang Select Server Roles hãy tích vào hộp kiểm Terminal
Services
4. Trong trang Terminal Services, kích Next.
5. Trong trang Select Role Services, tích vào hộp kiểm TS Gateway. Sau
đó bạn sẽ thấy một hộp thoại Add Roles Wizard hỏi có muốn Add role
services and features required for TS Gateway. Kích nút Add
Required Role Services.
Hình 1
6. Kích Next trong trang Select Role Services
7. Trong trang Choose a Server Authentication Certificate for SSL
Encryption, chọn tùy chọn Choose a certificate for SSL encryption
later. Chọn tùy chọn này là vì chúng ta vẫn chưa tạo một chứng chỉ cho
TS Gateway để sử dụng kết nối SSL giữa bản thân nó và các máy khách
RDP. Chúng ta sẽ yêu cầu một chứng chỉ sau này và sau đó cấu hình TS
Gateway để sử dụng chứng chỉ. Kích Next.
Hình 2
8. Trong trang Create Authorization Policies for TS Gateway, bạn hãy
chọn tùy chọn Later. Chọn tùy chọn này là vì chúng tôi muốn đưa bạn vào
giao diện điều khiển TS Gateway và giới thiệu cách cấu hình các chính
sách thẩm định trong giao diện điều khiển này. Kích Next.
Hình 3
9. Kích Next trong trang Network Policy and Access Services
10. Trong trang Select Role Services, bạn hãy tích vào hộp kiểm
Network Policy Server, sau đó kích Next.
Hình 4
11. Trong trang Web Server (IIS), kích Next
12. Trong trang Select Role Services, chấp nhận các dịch vụ role mặc
định đã được chọn bởi tiện ích. Ở đây có một số dịch vụ cần thiết cho việc
chạy dịch vụ TS Gateway. Kích Next.
Hình 5
13. Xem lại toàn bộ các thông tin trong trang Confirm Installation
Selections và kích Install.
Hình 6
14. Kích Close trong trang Installation Results để hiển thị cài đặt đã
thành công.
Yêu cầu một chứng chỉ cho Terminal Services Gateway
Lúc này chúng ta có thể yêu cầu một chứng chỉ mà Web site trên TS Gateway có
thể sử dụng để thiết lập kết nối SSL với máy khách RDP.
Thực hiện các bước dưới đây để yêu cầu một chứng chỉ cho máy TS Gateway:
1. Từ menu Administrative Tools, kích Internet Information Services (IIS)
Manager.
2. Trong giao diện điều khiển Internet Information Services (IIS) Manager,
kích vào tên máy chủ trong phần panel bên trái của giao diện điều khiển.
Kích đúp vào biểu tượng Server Certificates ở phần giữa của giao diện
này.
Hình 7
3. Trong phần bên trái của giao diện điều khiển, bạn hãy kích vào liên kết
Create Domain Certificate.
Hình 8
4. Trong trang Distinguished Name Properties, hãy nhập vào các thông tin
đã được chỉ định trong trang này. Mục quan trọng nhất đó là Common
name. Tên mà bạn nhập vào ở đây phải cùng với tên mà máy khách
Terminal Services đã được cấu hình để sử dụng nhằm liên lạc với máy
tính TS Gateway. Đây cũng là tên mà các máy chủ DNS dùng chung sẽ
được cấu hình để cung cấp địa chỉ chung nhằm cho phép truy cập vào TS
Gateway. Trong hầu hết các trường hợp, bộ phận này sẽ là một bộ địng
tuyến hoặc một giao diện bên ngoài của thiết bị NAT, hoặc có lẽ là giao
diện bên ngoài của tường lửa tiên tiến như Microsoft ISA Firewall chẳng
hạn. Kích Next.
Hình 9
5. Trong trang Online Certification Authority, kích nút Select. Trong hộp
thoại Select Certification Authority, hãy chọn tên Enterprise CA mà bạn
muốn thu chứng chỉ. Hãy nhớ rằng chúng ta có thể thu được chứng chỉ
miền này và tự động cài đặt nó vì đang sử dụng một Enterprise CA. Nếu
bạn đang sử dụng một CA đơn (standalone) thì sẽ phải sử dụng trang
Web enrollment và điều đó chỉ được sau khi đã tạo một yêu cầu offline,
sau đó bạn phải tự cài đặt chứng chỉ của máy tính. Kích OK sau khi chọn
Enterprise CA.
Hình 10
6. Nhập vào một tên Friendly name trong trang Online Certification
Authority. Trong ví dụ này chúng tôi sẽ đặt tên cho một chứng chỉ là TSG
Cert. Kích Finish.
Hình 11
7. Sau khi nhận một chứng chỉ, bạn sẽ thấy các thông tin có liên quan đến
chứng chỉ trong phần panel ở giữa của giao diện điều khiển. Nếu kích đúp
vào chứng chỉ thì bạn sẽ thấy hộp thoại Certificate, đây chính là hộp thoại
thể hiện tên chung trong trường Issued to và thông báo You have a
private key that corresponds to this certificate. Điều này rất quan trọng
vì chứng chỉ sẽ không làm việc nếu bạn không có một khóa riêng. Kích
OK để đóng hộp thoại Certificate.
Hình 12
Cấu hình Terminal Services Gateway để sử dụng Certificate
Với chứng chỉ đã được cài đặt trong kho chứa chứng chỉ của máy tính rồi, bạn
hoàn toàn có thể gán TS Gateway để sử dụng chứng chỉ này.
Thực hiện các bước dưới đây để cấu hình TS Gateway sử dụng chứng chỉ đó:
1. Trong giao diện điều khiển Administrative Tools, kích vào mục Terminal
Services, sau đó kích TS Gateway.
2. Trong TS Gateway Manager, kích vào tên của máy tính TS Gateway
trong panel bên trái của giao diện điều khiển. Phần panel ở giữa cung cấp
rất nhiều thông tin hữu ích về các bước cấu hình cần được hoàn tất để kết
thúc cài đặt. Kích vào liên kết View or modify certificate properties.
Hình 13
3. Trong hộp thoại Properties cho TS Gateway, trên tab SSL Certificate,
tính năng Select an existing certificate for SSL encryption phải được
kích hoạt và sau đó kích nút Browse Certificates. Khi đó sẽ xuất hiện hộp
thoại Install Certificate. Kích vào chứng chỉ, trong trường hợp này là
tsg.msfirewall.org, sau đó kích nút Install.
Hình 14
4. Tab SSL Certificate sẽ hiển thị các thông tin về chứng chỉ mà TS
Gateway sẽ sử dụng để thiết lập kết nối SSL. Kích OK.
Hình 15
5. Nội dung của phần panel ở giữa có một chút thay đổi, nó phản ánh rằng
chứng chỉ hiện đã được cài đặt trên TS Gateway. Mặc dù vậy, lúc này
chúng ta sẽ thấy phần Configuration Status cần tạo cả chính sách thẩm
định kết nối và chính sách thẩm định tài nguyên.
Hình 16
Tạo một Terminal Services Gateway CAP
CAP chính là viết tắt của từ Connection Authorization Policy (chính sách thẩm
định kết nối), nó cho phép bạn có thể kiểm soát người nào có thể kết nối đến
Terminal Server thông qua Terminal Services Gateway.
Thực hiện các bước dưới đây để tạo một chính sách thẩm định kết nối:
1. Trong phần panel bên trái của giao diện điều khiển, kích vào nút
Connection Authorization Policies nằm trong Policies. Trong phần
panel bên phải của giao diện, bạn hãy kích vào mũi tên bên phải của
Create New Policy và sau đó kích Wizard.
Hình 17
2. Trên trang Authorization Policies, chọn Create only a TS CAP. Kích
Next.
Hình 18
3. Trên trang Connection Authorization Policy, nhập vào tên cho CAP.
Trong ví dụ này chúng tôi sẽ đặt tên CAP là General CAP. Kích Next.
Hình 19
4. Trên trang Requirements, hãy tích vào hộp kiểm Password. Nếu bạn có
kế hoạch sử dụng chứng thực thẻ thông minh thì nên chọn tùy chọn
Smartcard. Lúc này bạn cần cấu hình những nhóm nào có thể truy nhập
vào Terminal Server thông qua TS Gateway. Để thực hiện điều đó, bạn
hãy kích nút Add Group. Trong hộp thoại Select Groups, nhập vào tên
của nhóm muốn cho phép truy cập và kích Check Names. Trong ví dụ
này, chúng tôi nhập vào Domain Users sau đó kích OK.
Hình 20
5. Lưu ý trên trang Requirements bạn có thể chọn tùy chọn tạo các nhóm
máy tính và cho phép chỉ truy cập vào các máy tính cụ thể. Chúng tôi sẽ
không cấu hình tùy chọn này trong ví dụ này. Kích Next.
Hình 21
6. Trên trang Device Redirection, chọn tùy chọn Enable device redirection
for all client devices. Lưu ý rằng nếu bạn muốn có môi trường bảo mật
tốt hơn thì hãy xem xét đến việc chọn tùy chọn Disable device
redirection for the following client device types sau đó chọn Drives và
Clipboard. Để có độ bảo mật tốt hơn nữa bạn cũng có thể chọn Disable
device redirection for all client devices except for smart cards. Kích
Next.
Hình 22
7. Trên trang Summary of TS CAP Settings, đọc các kết quả của các phần
chọn của bạn, sau đó kích Finish.
Hình 23
8. Kích Close trên trang Confirm Policy Creation
Tạo Terminal Services Gateway RAP
RAP là viết tắt của Resource Authorization Policy (chính sách thẩm định tài
nguyên), đây chính là chính sách mà chúng ta cần tạo tiếp. RAP được sử dụng
để kiểm soát Terminal Server nào có thể được truy cập thông qua Terminal
Services Gateway.
Thực hiện các bước dưới đây để tạo một RAP:
1. Kích vào nút Resource Authorization Policies trong phần panel bên trái
của giao diện điều khiển TS Gateway Manager. Trong phần panel bên
phải của giao diện, bạn hãy kích vào mũi tên bên phải của liên kết Create
New Policy sau đó kích Wizard.