欢迎来到天天文库
浏览记录
ID:14402816
大小:332.50 KB
页数:8页
时间:2018-07-28
《win server2008 ts gateway快速安装及配置方法》由会员上传分享,免费在线阅读,更多相关内容在行业资料-天天文库。
1、WinServer2008TSGateway配置方法基于安全和新的应用需求,Server2008已然成为炙手可热的企业服务器平台。平台的迁移带来了服务器远程管理方式的变化,Server2008让我们有了更多的选择。在Server 2008中新增的一项功能TerminalServicesGateway(TSGateway,远程服务网关),利用它远程客户端可通过HTTPS安全地建立与服务器的远程会话。 1、为什么选择TSGateway通道? 不管在远程服务器上进行远程管理,还是要远程运行程序,在把这些资源暴露到Internet时,都会有潜在的安全风险。
2、(1).远程桌面不够安全灵活 管理员比较熟悉的“远程桌面”方式是在防火墙上打开TCP端口3389,将从Internet客户端上发来的请求转发给本地网络中TS服务器的IP地址。不过,直接向Internet开启TCP3389端口可能会导致安全风险。而且如果你要将多于一台服务器发布到Internet,我们还需要多个公网IP地址。 (2).VPN方式不够方便 VPN也是远程管理的一种方式,它要求远程用户在使用RDP访问服务器之前先建立一个VPN连接。尽管这种方案更安全,同时也更灵活,但有时候也可能并不太方便。因为许多公共InternetAP(AccessPo
3、int)并没有开启PPTP或L2TP通信端口。出差的用户一般是通过酒店的网络来访问Internet的,而这种网络有一些也无法初始化VPN连接。 (3).TSGateway安全而且通用 WindowsServer2008中的TSGateway解决了这个问题。它把RDP封装在HTTPS中(也称为RDPoverHTTPS),用户可以通过HTTPS的端口TCP443连接到TSGateway服务器。TSGateway对客户端进行身份验证,从HTTPS中解压RDP,然后在端口3389上把连接转发到目标 资源。通过TSGateway,客户端只需要访问端口443即可
4、建立一个安全的RDP会话。除了只需要使用一个端口,RDPoverHTTPS还支持只允许HTTP和HTTPS出站通信的代理服务器。我们只需要一个外网公共IP地址,通过这个IP地址即可发布TSGateway服务器。而且,我们可以在TSGateway上对用户先进行身份验证,然后根据验证的结果允许或阻止用户访问本地网络中的某台(或所有)计算机。 2、配置TSGateway (1).安装TSGateway 在把服务器配置为一台TSGateway之前,我们必须把TSGateway服务添加到操作系统上。在WindowsServer2008服务器上,依次打开“管理工
5、具”→“服务器管理”,启动“添加角色”向导。在“远程服务”角色下找到“TSGateway服务”,选中它。添加TSGateway服务的同时,会自动添加一些其它必需的服务和功能,例如网络策略服务器、 MicrosoftIIS以及RPC-over-—HTTP代理服务器。向导会问你是否要配置一个SSL(SecureSocketLayer,安全套接字层)证书,远程服务策略以及网络策略服务器,不过笔者建议可以稍后再做这些配置(本文稍后会介绍这些配置)。完成向导之后,管理工具的远程服务下面会多出一个TSGateway管理器。(图1) (2).配置连接数 打开TSG
6、ateway管理器,找到我们要配置为TSGateway的服务器,打开它的属性对话框。在“常规”选项卡上,可以限制TSGateway的同时连接数,或完全禁用新的连接。默认是允许支持的最大连接数,如果没有特殊原因,保留默认值即可。(图2) (3).配置SSL证书 “SSL证书”选项卡上有一个必须要配置的选项。默认设置下,TS客户端和TSGateway服务器之间在lnternet上通信时会使用TLS1.0(TransportLayerSecurity,传输层安全)来加密通信。要使用加密,必须在TSGateway服务器上选择恰当的计算机证书。证书的目的是进行服
7、务器身份验证,可以由本地证书管理中心(CA)发布。证书必须要有一个与TS Gatewayf服务器DNS名称一致的主题名称值——DNS名称即用户连接到服务器时使用的名称(例如,tsg.domain.com),否则就会无法连接。 需要注意的是:不能用MMC证书管理单元中的标准证书请求向导来请求证书。这个向导只能发布那些本机名称的证书,而这里我们要的是公共名称,公共名称通常和本机名称是不一样的。如果你有一个在线的CA,你可以用certreq.exe工具来准备证书请求。或者,如果你不喜欢基于命令行的工具,也可以用IIS管理器中的一个向导来请求证书。按照以下步骤
8、操作:打开IIS管理器,点击服务器名称,在右方的面板中点击“服务器
此文档下载收益归作者所有