Windows Server 2008应用程序架构-第03部分 B 终端服务网关(TS Gateway).ppt

* * * * * * * * * * * * * * * * * * * * * * * * * * * * * * * * * * * * * * * * * * * * * * * * * * * * * * * * * * * * * * * 按两次下一步钮,再按完成钮、确定钮 倘若在完成上述步骤之前,客户端已经登入网域,请要求客户端执行Gpupdate.exe程序,并注销后再次登入,以确保会套用必威体育精装版的组策略。 在客户端以网域用户帐户登入后,执行『开始/所有程序/附属应用程序/远程桌面联机』命令： 如果上述联机的被控端是网域控制站,我们应该会看到以下的示误讯息： 因为域控制器预设只允许Administrator群组的成员可以远程登入,所以虽然我们已经在远程桌面使用者交谈窗将xdom\tony加入清单还不够： 由于这是域控制器的『本机安全策略』在掌控,因此必须修改其设定内容。 请执行『开始/系统管理工具/本机安全策略』命令,并如下操作： 接着关闭本机安全策略控制台即可。 实验3-1 Windows 2008-TS测试-TS GateWay * * * * * * * * * * * * * * * * 所谓的CAP（联机授权原则）,系用来决定谁能与TS Gateway服务器建立联机。 等于是为整个联机把守第一道关卡,过滤掉未经许可的联机要求。 要建立CAP,请先以具有本机系统管理员权限的帐户登入TS Gateway服务器,再执行『开始/系统管理工具/终端服务/ TS网关守卫』命令,开启TS网关管理员控制台。 所谓的RAP（资源授权原则）系用来决定TS Gateway用户端,可以联机到内部网络的哪些服务器。 等于是把守第二道关卡,以免客户端联机到TS Gateway服务器之后,就可以肆无忌惮地存取内部网络的所有资源。 要建立RAP,请先以具有本机系统管理员权限的帐户登入TS Gateway服务器,再执行『开始/系统管理工具/终端服务/ TS网关守卫』命令,开启TS网关管理员控制台。 一般而言,在AD数据库或本机帐户数据库都有用户群组,但未必有计算机群组。 若我们不想只为了TS Gateway功能而在这些数据库建立计算机群组,便应选择选取现有TS网关管理的计算机群组，或建立新群组单选钮,代表建立仅用在TS Gateway功能的计算机群组,该群组并不存在于AD数据库或本机帐户数据库。 至于允许用户联机到任何网络资源单选钮,由于风险太高,我们建议不要选取。 假设在前一页下图中选取选取现有TS网关管理的计算机群组，或建立新群组单选钮,并按其右侧的浏览钮： 若被控端与TS Gateway服务器隶属相同的网域,则只要输入计算机名称就可以。 若隶属不同的网域,则必须输入完整计算机名称（FQDN）,最保险的方式是将这两种名称和IP地址都输入,如下图： 将来客户端执行远程桌面连线程序时,无论用计算机名称、IP地址和FQDN,都可以建立联机。 输入计算机名称后,按两次确定钮,回到新增TS RAP交谈窗： 当TS Gateway服务器都设定完毕之后,客户端要做的事比较简单,只有『安装计算机凭证』和『建立联机』两件而已。 读者或许会疑惑：刚才不是已经安装了凭证吗,现在为何还要安装一次？千万别搞混了,刚才是在服务器安装计算机凭证,现在是要在客户端安装计算机凭证。 为何要这么麻烦呢？ 因为凭证制度的基础是『信任』,当服务器出示凭证给客户端时,若客户端不信任该凭证,则该凭证等于一张废纸。 所以将凭证安装到用户端,等于告诉客户端：『将来看到这份凭证时,别怀疑、要相信它』！ 将凭证安装到客户端的方式有两种： 在客户端执行mmc.exe安装 在域控制器透过组策略安装 如果我们能操作客户端的键盘与滑鼠,请先确定具有『本机系统管理员』的权限,再执行mmc.exe来安装凭证。 安装方式请参考前一节的安装计算机凭证（20-12页）,同样是将凭证汇入到凭证(本机电脑) /信任的跟证书授权/凭证中,如下图。 需要注意的是：客户端必须有权限读取计算机凭证文件。 以前一节的范例来说,凭证文件的路径为服务器的C:\Users\Public\Genie-pc.cer,因此在服务器必须将C\Users\Public文件夹设为共用,以利客户端汇入。 倘若客户端经常不在公司,例如：出差人员或常驻海外人员所用的电脑,我们很难有机会在这些计算机安装凭证,此时可改用组策略来安装,只要客户端联机到网域便会自动完成安装。 请先确定具有『网域系统管理员』的权限,在域控制器执行『开始/系统管理工具/组策略管理』命令,开启组策略管理控制台。 但是TS Gateway所用的TLS协议广泛用于电子商务的网站,所以防火墙装置或NAT装置通常会开放它所用的TCP