远程管理Windows 2008服务器
基于安全和新的应用需求,Server 2008已然成为炙手可热的企业服务器平台。平台的迁移带来了服务器远程管理方式的变化,Server 2008让我们有了更多的选择。在Server 2008中新增的一项功能Terminal Services Gateway(TS Gateway,远程服务网关),利用它远程客户端可通过HTTPS安全地建立与服务器的远程会话。
1、为什么选择TS Gateway通道?
不管在远程服务器上进行远程管理,还是要远程运行程序,在把这些资源暴露到Internet时,都会有潜在的安全风险。
(1).远程桌面不够安全灵活
管理员比较熟悉的“远程桌面”方式是在防火墙上打开TCP端口3389,将从Internet客户端上发来的请求转发给本地网络中TS服务器的IP地址。不过,直接向Internet开启TCP 3389端口可能会导致安全风险。而且如果你要将多于一台服务器发布到Internet,我们还需要多个公网IP地址。
(2).VPN方式不够方便
VPN也是远程管理的一种方式,它要求远程用户在使用RDP访问服务器之前先建立一个VPN连接。尽管这种方案更安全,同时也更灵活,但有时候也可能并不太方便。因为许多公共Internet AP(Access Point)并没有开启PPTP或L2TP通信端口。出差的用户一般是通过酒店的网络来访问Internet的,而这种网络有一些也无法初始化VPN连接。
(3).TS Gateway安全而且通用
Windows Server 2008中的TS Gateway解决了这个问题。它把RDP封装在HTTPS中(也称为RDP over HTTPS),用户可以通过HTTPS的端口TCP 443连接到TS Gateway服务器。TS Gateway对客户端进行身份验证,从HTTPS中解压RDP,然后在端口3389上把连接转发到目标
资源。通过TS Gateway,客户端只需要访问端口443即可建立一个安全的RDP会话。除了只需要使用一个端口,RDP over HTTPS还支持只允许HTTP和HTTPS出站通信的代理服务器。我们只需要一个外网公共IP地址,通过这个IP地址即可发布TS Gateway服务器。而且,我们可以在TS Gateway上对用户先进行身份验证,然后根据验证的结果允许或阻止用户访问本地网络中的某台(或所有)计算机。
2、远程管理Windows2008服务器,配置TS Gateway
(1).安装TS Gateway
在把服务器配置为一台TS Gateway之前,我们必须把TS Gateway服务添加到操作系统上。在Windows Server 2008服务器上,依次打开“管理工具”→“服务器管理”,启动“添加角色”向导。在“远程服务”角色下找到“TS Gateway服务”,选中它。添加TS Gateway服务的同时,会自动添加一些其它必需的服务和功能,例如网络策略服务器、
Microsoft IIS以及RPC-over-?HTTP代理服务器。向导会问你是否要配置一个SSL(Secu re Socket Layer,安全套接字层)证书,远程服务策略以及网络策略服务器,不过笔者建议可以稍后再做这些配置(本文稍后会介绍这些配置)。完成向导之后,管理工具的远程服务下面会多出一个TS Gateway管理器。
(2).配置连接数
打开TS Gateway管理器,找到我们要配置为TS Gateway的服务器,打开它的属性对话框。在“常规”选项卡上,可以限制TS Gateway的同时连接数,或完全禁用新的连接。默认是允许支持的最大连接数,如果没有特殊原因, 保留默认值即可。
(3).配置SSL证书
“SSL证书”选项卡上有一个必须要配置的选项。默认设置下,TS客户端和TS Gateway服务器之间在lnternet上通信时会使用TLS 1.0(Transport Layer Security,传输层安全)来加密通信。要使用加密,必须在TS Gateway服务器上选择恰当的计算机证书。证书的目的是进行服务器身份验证,可以由本地证书管理中心(CA)发布。证书必须要有一个与TS
Gatewayf服务器DNS名称一致的主题名称值?? DNS名称即用户连接到服务器时使用的名称(例如,tsg.domain.com),否则就会无法连接。
需要注意的是:不能用MMC证书管理单元中的标准证书请求向导来请求证书。这个向导只能发布那些本机名称的证书,而这里我们要的是公共名称,公共名称通常和本机名称是不一样的。如果你有一个在线的CA,你可以用certreq.exe工具来准备证书请求。或者,如果你不喜欢基于命令行的工具,也可以用IIS管理器中的一个向导来请求证书。按照以下步骤操作:打开IIS管理器,点击服务器名称,在右方的面板中点击“服务器证书”。选择“创建域证书” 选项,在“常规名称”一栏输入TS Gateway的DNS名称。然后就可以自动发布和安装这个证书。
如果可能的话,最好的方案是使用一个商业证书,因为大多数客户端默认都可能会信任它。从商业CA获取了证书之后,你可以使用MMC的证书管理单元将它导入。证书安装在TS Gateway计算机的个人目录下之后,就可以使用TS Gateway计算机属性对话框的“SSL证书” 选项卡进行配置以启用证书。点击“为SSL加密选择现有证书(建议)”,然后点击“浏览证书”选择该证书即可。
(4).配置连接身份验证策略
使用“TS CAP 存储”选项卡配置连接身份验证策略。由于TS Gateway使用了网络策略服务器来控制客户端的访问,通过TS Gateway管理器创建的所有策略实际上都会在网
络策略服务器上创建。在这个选项卡上,你还可以启用一个选项:如果配置了网络访问保护(Network Access Protection,NAP),就要求客户端在进行连接之前必须声明自己处于健康状态。就本文来说,选择本地的网络策略服务器就可以了,不要选中要求客户端声明自己处于健康状态的这个选项。
(5).其他配置项
“服务器场”选项卡可以将多台TS Gateway分组,创建一个服务器场,提高TS Gateway服务的可用性。不能在这里配置网络负载均衡(Network Load Balance,NLB),而必须在Windows中配置它。不过配置好NLB之后,你可以使用“服务器场”选项卡向服务器场添加NLB成员。
“审核”选项卡可以配置TS Gateway的日志选项。只需要点击你想记录日志的事件即可。TS Gateway服务器事件在MMC事件查看器管理单元中显示在“应用程序和服务日志\Microsoft\Windows\TerminalServices-Gateway”下。笔者建议大家选定所有可用的选项。
“SSL桥接”选项卡,我们可以在这配置Microsoft ISA Server或其它SSL桥接兼容设备连接到TS Gateway的方式。“SSL桥接”选项卡上唯一的一个选项就是:使用HTTP5-HTTP桥接,默认并未被选中,意即使用HTTPS-HTTPS(或SSL)桥接,在客户端通过lSA Server连接到TS Gateway时维持加密状态。使用这种配置时,ISA Server会终止从客户端发起的SSL会话,对用户进行预认证(如果侦听器已经配置为如此),监控包,与TS Gateway服务器建立一个新的SSL会话,并使用最高安全性。要使客户端能通过TS Gateway的公共名称建立SSL会话,ISA Server上的证书必须和TS Gateway服务器的一样。