Зона терминального доступа| Зона терминального доступа |
Сергей «grinder» Яремчук
В состав Win2k8 входит полнофункциональная и высокопроизводительная версия служб терминалов. С ней организация удаленного безопасного многопользовательского доступа к приложениям для администратора уже не станет сложной задачей. Новые горизонтыВозможность удаленного запуска программ, установленных на сервере, была реализована еще во времена гигантских мэйнфреймов. С переходом на персональные компьютеры, увеличением мощности систем и появлением быстрых каналов терминальный доступ обрел вторую жизнь. К числу основных преимуществ применения служб терминалов стоит отнести:
Средство удаленного запуска приложений впервые появилось в WinNT 4.0 Server, в выпуске Terminal Server Edition. Начиная с Win2k, это уже полностью встроенный компонент для всех серверных Windows. С каждой новой версией возможности сервера терминалов возрастали, а администрирование становилось удобнее и понятнее – выход Longhorn не стал исключением. В Win2k8 следует отметить появление шлюза служб терминалов (TS Gateway),
который позволяет подключаться к TS и удаленным рабочим столам c любого
устройства через небезопасные сети. Шлюз туннелирует RDP-сеансы через
защищенный HTTPS и создает безопасные соединения между компьютерами
(даже если те располагаются за NAT). Такой шлюз может заменить
применение VPN при подключении к корпоративной сети, а использование
стандартного 443 порта снимает необходимость в перестройке правил
межсетевого экрана. Кроме того, возможность подключения к нескольким
терминальным серверам и конфигурирование настроек через одну консоль
управления заметно упростят процедуру администрирования. Теперь не
возникнет путаница с доступом для нескольких серверов, достаточно
настроить все один раз на TS Gateway. Если задействуется сервер сетевых
политик (NPS) или ISA, – их можно также использовать для проверки политик. Веб-доступ к службе терминалов (TS Web Access) – еще одна новинка, позволяющая подключаться к TS, используя веб-браузер, а также получать список доступных приложений RemoteApp. Технология единого входа (Single Sign On) избавляет пользователя от необходимости многократного ввода логинов и паролей. Больше не требуется для перехода от одного ресурса к другому повторно вводить учетные данные. Правда, возможность SSO доступна только клиентам Vista и Win2k8. Печать из службы терминалов упрощена: пользователь, выполняющий печать из RemoteApp или из сеанса подключения к удаленному рабочему столу, имеет доступ ко всем функциям локального или любого другого доступного на сервере принтера. В Win2k8 используется обновленная версия протокола удаленного доступа RDP 6 (Remote Desktop Protocol). Чтобы воспользоваться всеми возможностями новой версии, понадобится более свежий клиент – Remote Desktop Connection (RDC) 6.1. Только в этом случае будут доступны 32-битный цвет, разрешение экрана вплоть до 4096х2048, стиль оформления Vista, сглаживание шрифтов, поддержка нескольких мониторов, PnP-девайсов, музыкальных плееров, цифровых камер и ряда других сервисов. Клиент RDC 6.1 по умолчанию входит в состав сервера Win2k8, для Vista включен в SP1, для WinXP – в SP3. Возможна работа и со старой версией клиента, но администратор должен это явно разрешить. Установка службы терминаловПерейдем к установке службы терминалов. Открываем Server Manager, выбираем во вкладке Roles ссылку Add Roles, в списке ролей – Terminal Services, затем в списке Службы роли (Role Services) отмечаем те, которые надо установить. В списке предложены пять служб: собственно Terminal Server, обеспечивающий «классическую» функциональность, Сервер лицензий (TS Licensing), TS Gateway, TS Web Access и TS Session Broker. В зависимости от назначения сервера, можно все службы роли установить на одном компьютере. Компонент TS Session Broker, входящий в состав не только Win2k8, но и Win2k3 Enterprise и Datacenter Edition, является упрощенной альтернативой службы балансировки (NLB) и распределяет новые сеансы по наименее загруженным серверам в составе фермы и обеспечивает подключения пользователей к прерванному сеансу. Сервер с TS перед установкой обязательно должен быть присоединен к домену (если таковой имеется), иначе некоторые настройки будут недоступны, а при выборе TS Session Broker установка и вовсе прервется. Рекомендуется размещать сервер TS Gateway и TS Web Access в периметре сети, а сам TS – за межсетевым экраном. Итак, отмечаем нужные пункты (как минимум, Terminal Server и TS Licensing). Для некоторых вариантов потребуются дополнительные роли, о чем сообщит появившееся окно. Так, роль сервера TS Web Access потребует установки роли Web Server (IIS) и Windows Process Activation Service, а выбор TS Gateway – Web Server (IIS) и Network Policy Server. Определимся с методом аутентификации. На выбор тут два варианта, причем установки по умолчанию нет. «Require Network Level Authentication» означает, что к серверу смогут подключаться только компьютеры с совместимыми версиями ОС и терминального клиента Remote Desktop Connection. Другой вариант предназначен для тех случаев, когда есть клиенты с устаревшей версией RDC (это снижает защищенность Сети, так как ранние версии имели проблемы с безопасностью). Следующий шаг позволяет указать режим лицензирования. Здесь пока можно выбрать Configure Later, а лицензии настроить позже. После чего переходим к настройке пользователей и групп, которым будет разрешен доступ к TS. Первый этап завершен. Далее настройки могут отличаться в зависимости от выбранных служб роли. Скажем, если для установки был выбран TS Licensing, то в следующем окне следует указать область, где будет представлен сервер лицензирования. Варианта три: workgroup, domain и forest. В зависимости от текущих настроек сервера, на котором производится установка, некоторые пункты будут неактивны. По умолчанию хранилище лицензий располагается в Windows\system32\LServer. При помощи кнопки Browse можно указать другой каталог. Когда выбран TS Gateway, мастер запросит SSL-сертификат, который будет использован для работы по защищенному протоколу HTTPS. Если в организации есть центр сертификации, можно экспортировать созданный им сертификат. Иначе возможно использование самоподписанного сертификата (Create a self-signed certificate for SSL Encryption). Этот вариант рекомендуется для тестовых целей или небольших организаций. Для TS Gateway также понадобится создать политику авторизации (Authorization Policy), где определяются группы пользователей, которые смогут подключаться к шлюзу TS. По умолчанию такое подключение разрешено только членам группы Administrators. Кроме ввода пароля, доступно использование Smart Card. Если в организации несколько TS, здесь же можно указать, к каким из них будут подключаться конкретные пользователи. Если устанавливается IIS, то специальный пункт настроек будет посвящен выбору его компонентов. Проверяем установки в последнем окне; обращаем внимание, что для корректной работы в режиме TS некоторые приложения, возможно, придется переустановить. Расширенные настройки безопасности IE также будут выключены. По завершению установки потребуется перезагрузка, после которой в систему будут добавлены еще некоторые элементы, в частности, оснастки консоли MMC. В итоге появится окно Installation Result с резюме. Если в ходе установки TS Licensing не настраивался, появится предупреждение о том, что режим лицензирования не настроен и будет показано количество дней до окончания льготного периода. Настройка службы терминаловС этого момента пользователи, которым был разрешен доступ к TS, уже могут подключаться. Если был установлен TS Web Access, то, набрав в браузере адрес http://127.0.0.1/ts, можно проверить его работу. Настройки службы терминалов производятся в Server Manager. В меню Roles после установки появится дополнительный пункт Terminal Services. Как и для других компонентов Win2k8, в основном окне выводятся все сопоставленные события, состояние отдельных сервисов и список установленных служб роли. Здесь же даны рекомендации по дальнейшей настройке. В подменю доступны настройки отдельных сервисов. Кстати, некоторые консоли можно вызвать из меню Administrative Tools – Terminal Services или из командной строки. Например, для Terminal Services Configuration вводим в терминале или окне Run команду tsconfig.msc. Кратко рассмотрим некоторые из настроек. Большая часть их доступна в меню TS RemoteApp. Так, нажав на ссылку Change возле надписи Terminal Server Settings, мы вызываем окно RemoteApp Deployment Settings. Окно состоит из пяти вкладок – в них можно изменить основные параметры сервисов. В частности, указать имя TS и другой номер RDP-порта, разрешить или запретить (по умолчанию) пользователям запускать программы, не включенные в список (unlisted), настроить параметры подключения к TS Gateway. Во вкладке Digital Signature нужно обязательно указать сигнатуру, которая будет использована для подписи rdp-файлов. Это позволит пользователям проверять их источник. В Common RDP Settings указываются ресурсы (диски, устройства и так далее), которые будут доступны после подключения, а также количество цветов и сглаживание шрифтов. Дополнительные параметры RDP-соединения задаются на вкладке Custom RDP Settings. Подробную информацию по всем возможным параметрам можно найти в документе по адресу support.microsoft.com/kb/885187/en-us. Чтобы удаленные пользователи могли подключаться к рабочему столу нажатием одной кнопки TS Web Access, кликаем по ссылке Change, которая расположена возле подписи «A remote desktop connection for this server is not visible in TS Web Access», и отмечаем флажок в поле Remote desktop access. Список приложений, которые будут доступны для работы с TS, настраивается в меню TS RemoteApp. Но перед тем как добавить сюда программу, вначале следует ее правильно установить. Для этого в Control Panel выбираем пункт Install Application on Terminal Server: откроется мастер установки приложений. Хотя он и подписан как «Floppy disk and CD-ROM», можно указать исполняемый файл инсталлятора на локальном диске. Далее программа устанавливается обычным способом. По ее окончании нажимаем в мастере кнопку Cancel или Finish, чтобы отменить или зафиксировать установку. Можно приступать к созданию rdp-файла. В настройках TS RemoteApp нажимаем ссылку Add RemoteApp Programs. В окне RemoteApp Wizard добавляем программы в список доступных. По окончании работы мастера в пустовавшем поле RemoteApp Program появится список отобранных программ. Выбираем нужную и вызываем контекстное меню. Чтобы создать rdp-файл, достаточно кликнуть пункт Create rdp File. Снова появится мастер RemoteApp Wizard. В большинстве случаев можно оставить все предлагаемые по умолчанию установки, смело нажимая Next. На шаге Specify Package Settings есть возможность изменить настройки сервера терминалов, TS Gateway, к которому будет подключаться клиент при запуске этого файла, и установки сертификата. После создания профильного файла его тут же можно проверить, запустив на локальном компьютере. При помощи других пунктов контекстного меню можно создать msi-файл, показать или убрать из списка TS Web Access. При создании msi-файла дополнительно можно настроить вывод ярлыка на рабочий стол и в меню Пуск, а также задать ассоциации файлов. Установить созданный msi-файл на терминальные клиенты можно разными способами: от ручного до применения групповых политик. Чтобы просмотреть список терминальных сеансов, их статус, пользователей, процессы, нужно зайти в меню Terminal Services Manager. Здесь же администратору под силу отключить любого пользователя или отправить ему сообщение. Лицензирование службы терминаловКак и в предыдущих версиях системы, служба терминалов требует лицензирования. За раздачу лицензий отвечает специальная служба TS Licensing (Terminal Server Licensing), которая управляет выдачей маркеров для нескольких TS. Доступны два варианта лицензии TS CALs (Client Access Licenses): на пользователя (Per User) или на устройство (Per Device). В режиме Per User использование одного логина для доступа нескольких пользователей будет нарушением лицензии. Для тестирования работы TS предусмотрен льготный период в 120 дней, в течение которого лицензии не требуются. Но если в предыдущей версии за начало отсчета бралось время первого подключения клиента к серверу терминалов, то сейчас часы начинают обратный отсчет с момента установки. Кроме того, Remote Desktop поддерживает два подключения для административных целей, которые не требуют лицензий. Если сервер лицензий не был настроен при установке, то нужно сделать это сейчас. В Administrative Tools выбираем TS Licensing Manager, находим в раскрывающемся списке All server свой сервер (он помечен красным крестиком) и в контекстном меню – пункт Activate. Появится мастер Activate Server Wizard. Вначале потребуется выбрать метод соединения: лучше оставить «автоматическое» (Automatic connection), оно наиболее удобно. Как вариант, для ввода лицензии предлагается использовать веб-браузер или телефон. После соединения с сервером Microsoft вбиваем данные о компании. В последнем окне смотрим, чтобы был установлен флажок Install Licenses Wizard, который и будет запущен далее. В новом мастере, в окне License Program, указываем программу лицензирования и вводим номер соглашения. При помощи списков на странице Product Version and License Type указываем версию TS, тип лицензий и их количество. Лицензирование служб терминала настраивается в консоли Terminal Services Configuration. Находим в окне Edit Settings пункт Terminal Services licensing mode и дважды щелкаем по ссылке, чтобы открылось окно свойств. Во вкладке Licensing выбираем тип лицезии: Per User или Per Device. По умолчанию сервер лицензирования определяется автоматически (Automatically Discover a license server); если все в порядке, так и оставляем. При возникновении проблем параметры придется ввести вручную в Use specified license servers. Выбрав в левой панели Licensing Diagnosis, получаем подробности лицензирования. Радость администратораТехнология служб терминалов, призванная улучшить работу конечного пользователя и облегчить жизнь администратора, продолжает эволюционировать. По сравнению с предыдущими версиями, в реализации службы терминалов Win2k8 сделано большое количество усовершенствований, расширены функциональные возможности и исправлены некоторые баги. Нововведения, наверняка, по праву оценят администраторы, в задачу которых входит организация подобного сервиса. На стороне клиентаПорядок подключения к TS, в общем-то, не изменился. Вызываем окно Подключение к удаленному рабочему столу (Пуск -> Все программы -> Стандартные -> Связь) и вводим параметры сервера. Чтобы настроить подключение через TS Gateway, нажимаем кнопку «Параметры» (Options), открываем вкладку «Дополнительно» (Advanced) и жмем «Настройки» (Settings). По умолчанию в поле «Установки соединения» (Connection Settings) указано автоматическое определение параметров TS Gateway. Если сервер находится в одной сети, то трудностей обычно не возникает. Иначе выбираем «Использовать следующие параметры сервера шлюза TS» (Use these TS Gateway server settings), вводим имя сервера и в «Способы входа в систему» (Logon methods) отмечаем подходящий. Здесь доступно три варианта:
Чуть ниже находится флажок «Обходить сервер шлюза TS для локальных адресов» (Bypass TS Gateway server for local addresses), установка которого разрешит подключаться к серверу терминалов с локальных адресов напрямую, в обход шлюза TS. По умолчанию он установлен, снимать его требуется, только если все подключения разрешены исключительно через TS Gateway. |