Настройка режима лицензирования служб терминала

Сейчас мы завершим настройку севера терминала путем установки режима лицензирования служб терминала. Для этого нужно выполнить следующие шаги:

1. В меню Инструменты администрирования выбираем элемент Службы терминала и жмем Конфигурация служб терминала.
2. В средней панели консоли Конфигурация служб терминала дважды жмем на строку Режим лицензирования служб терминала.

 

Рисунок 22

1. В диалоговом окне Свойства выбираем опцию Для каждого пользователя (Per User) для строки Укажите режим лицензирования служб терминала. Выбираем
   
   
   
   

Настройка шлюза служб терминала (Terminal Services Gateway) в Windows Server 2008

Администраторы безопасности Microsoft всегда были немного осторожны с публикацией серверов терминала в Интернете. И на то была веская причина – не было возможности для предварительной аутентификации соединения или использования политики для определения того, какие пользователи могли получить доступ к тому или иному серверу терминала (Terminal Servers). Отсутствие предварительной аутентификации было особенно сложной проблемой. Без предварительной аутентификации анонимные пользователи могли использовать свое анонимное подключение для компрометации опубликованных серверов терминала. Скомпрометированный сервер терминала, возможно, представлял собой самое опасное средство атаки вашей сети, так как атакующий пользователь имеет доступ ко всей ОС, чтобы запустить свою атаку. Windows Server 2008 предоставляет решение для этой проблемы безопасности: шлюз служб терминала (Terminal Services Gateway). Используя шлюз служб терминала, вы можете предварительно аутентифицировать пользователей и контролировать, к каким серверам терминала пользователи могут получить доступ на основе мандатов и политики. Этот дает вам гибкий контроль, необходимый для RDP решения по безопасному удаленному доступу.
В этой серии статей, состоящей из двух частей, о том как заставить это решение работать, мы будем использовать лабораторную сеть, показанную на рисунке ниже. Стрелки показывают поток соединений внешнего RDP клиента с сервером терминала.

 

Рисунок 1

На каждом сервере в этом примере стоит Windows Server 2008 Enterprise Edition.
В этой сети я использую Windows Server 2008 NAT сервер в качестве Интернет-шлюза. Вы можете использовать любое другое простое устройство NAT или маршрутизатор с фильтрацией пакетов, например PIX, или даже расширенный брандмауэр типа Microsoft ISA Firewall. Ключевая опция конфигурации здесь заключается в том, что вы будете направлять соединения TCP порта 443 на компьютер шлюза служб терминала.

Тонкий клиент - Терминальный клиент Thinstation, для бездисковой загрузки с помощью PXE или загрузки с жесткого диска по протоколу RDP

«Тонкий» клиент служит для удаленной работы на терминальном сервере. При этом на клиентской машине отсутствует установленная операционная система. Приложения выполняются на сервере, а компьютер пользователя служит только для отображения и ввода информации с помощью клавиатуры и мыши. В качестве аппаратной части может быть обычный PC, либо специальный тонкий клиент. Из существующих проектов реализации клиентской операционной системы наиболее подходящим оказался Thinstation (лицензия GPL). Домашняя страница проекта http://www.thinstation.org/ С помощью мини-дистрибутива Linux - Thinstation можно реализовать windows-терминалы для работы по протоколу RDP. Использование готовых образов с сайта проекта или генераторов образов, без дороботки, оказалось не пригодным. Были внесены следующие изменения: 1. Русификация, для понимания русских имен файлов на съемных носителях и исправления в клавиатурной раскладке. 2. Загрузка с SATA дисков 3. Русифицированные меню (не полностью в режиме AUTOSTART=On) 4. Разные мелкие исправления. Использование терминальных клиентов дает очевидную выгоду, позволяя сэкономить на покупке операционных систем. Сокращается время для установки и настройки компьютеров пользователей. Экономия времени системного администратора, за счет простоты реализации и централизованности управления.