Hogyan adhat hozzáférést alkalmazásokhoz és adatokhoz ... bárhonnan!
Ha eltávolítja az egész fényes csomagolást és a burkolatokat, akkor az informatikai szakember munkája rendkívül világos és érthető lesz: az informatika legfontosabb feladata az üzleti alkalmazásokhoz és adatokhoz való hozzáférés létrehozása, kezelése és biztonságos biztosítása. Minden más - a javítócsomagok telepítése, a hibakeresési keresés, a felhasználói támogatás - alárendelve van a fő feladatnak. Egy nagyvállalat informatikai szakembere és egy kis cég minden szakmájának jackja pénzben fizetett, egyrészt - az adatok biztonsága és az alkalmazások zavartalan működése érdekében.
Ezért a távoli asztali technológia (RDS) kiváló megoldás ennek a problémának a megoldására. A Távoli asztal használatával válik a szabványos módja annak, hogy bárhonnan a hálózat bármely pontjáról bárhonnan és biztonságos hozzáférést biztosítson az alkalmazáshoz.
Amire szükségünk van
Elindításához két szerverre van szükség. Az egyiket erőteljes processzorral és térfogat-memóriával kell felszerelni (a pontos számokat, amiket önmagam meghatároznának). Az ilyen nagy teljesítményű kiszolgáló RDS-fogadó, vagy RDSH (Remote Desktop Session Host) lesz. Olyan alkalmazásokat telepít, amelyeket a felhasználóknak hozzáférniük kell, így többek között elegendő erőforrással kell rendelkeznie ahhoz, hogy támogassa az ilyen alkalmazások sok felhasználójának egyidejű kapcsolódását.
A második kiszolgálónak nem kell ennyi energiája, hiszen a Remote Desktop Gateway (RDG) szerepét játssza, és egyfajta proxykiszolgálóként működik az Internet és a "belső" RDSH szerver "külső" kapcsolatai között. Az átjáróként végzett munka sokkal kevésbé intenzív, így a kiszolgáló számára lényegesen kevesebb erőforrás áll rendelkezésre.
Amikor RDG szervert készít a tűzfalon, akkor egyetlen portot kell megnyitnia az Internet és az RDG kiszolgáló között. A TCP 443-as felfedezése lehetővé teszi a külső ügyfelek számára, hogy csatlakozzanak egy olyan RDG-kiszolgálóhoz, amely biztonsági átjáróként működik, amely biztonságosan továbbítja az ügyfeleknek az RDSH forgalmat (általában a TCP 3389-es portján keresztül) (lásd 1. ábra).
Ábra. 1. Az RDG kiszolgáló biztonsági átjáróként működik az internetes ügyfelek és az RDSH gazdagép között
A harmadik összetevő SSL tanúsítvány az átjáró nevével, amely pontosabban hozzáférhető az internetről az RDG kiszolgáló FQDN-jéről. Önnek joga van ilyen tanúsítvány létrehozásához ingyen az operációs rendszerbe beépített Microsoft tanúsítási szolgáltatások felhasználásával, de jobb, ha évente 30 dollárt költenek egy megbízható tanúsító hatóság által kiállított nyilvános tanúsítványra, mivel ez nagyban megkönnyíti a végrehajtást. Ebben a példában a tanúsítvány a kiszolgáló server1.contoso.com címre van kötve.
Az RDSH szerver telepítése
Az RDSH telepítése során négy fontos paramétert kell beállítani:
Miután megkapta a választ, a telepítő telepíti az RDSH-t a kiszolgálóra # 92; # 92; kiszolgáló2. Ezután telepítenie kell a Microsoft Office csomagot. Ne feledje, hogy az alkalmazások telepítése az RDSH szerverre további lépést igényel, amely nincs jelen a normál telepítés során. A Vezérlőpulton keresse meg az "Alkalmazás telepítése távoli asztali kiszolgálóra" bejegyzést, ahol megadja az Office telepítési fájljának elérési útját, és várja meg a telepítés befejezését a Vezérlőpulton belül.
A távoli asztali átjáró telepítése
Az RDSH szerver telepítésével megnyithatja azt az internetes ügyfelek eléréséhez. Először telepítenie kell a megvásárolt SSL tanúsítványt a szerveren # 92; # 92; kiszolgáló1. A tanúsítvány megszerzésének módját a kiadó határozza meg, de a tanúsítványt végül a számítógépes tanúsítványok személyes tárolójában kell telepíteni (de nem a felhasználó személyes áruházában).
Ábra. 2. Tanúsítványok konfigurálása az RDG-hez
A tanúsítvány telepítése után telepítse a Távoli asztali szolgáltatások szerepkörét a kiszolgálón # 92; # 92; kiszolgáló1, de ezúttal a Távoli asztali átjáró szolgáltatással. Amint az 1. ábrán látható. 2. Ez a konfigurációs folyamat bonyolultabb, mint az RDSH beállítása, de még mindig négy dologról van szó:
- Szerver hitelesítési tanúsítvány. Ha helyesen telepítette az SSL tanúsítványt a helyi számítógép személyes tárolóhelyére, akkor a megfelelő mezőben jelenik meg (lásd a 2. ábrát).
- RD Gateway felhasználói csoportok. Olyan felhasználók csoportjai, akik számára engedélyezni kell a belső erőforrásokhoz való kapcsolódást az RDG kiszolgálón keresztül.
- Az RD CAP (Remote Desktop Authentication Policy) meghatározza, hogy mely mechanizmusokat használnak a felhasználók hitelesítésére az RDG átjáróhoz.
- A RD RAP (Remote Desktop Authentication Policy) meghatározza, hogy mely belső erőforrások férhetnek hozzá az RDG-n keresztül csatlakozó felhasználók számára.
Az Outlook RemoteApp konfigurálása
Számos rendszergazdának, univerzálisnak, itt kezdődik a bonyolultság. A következő konfigurációs lépést az RDSH kiszolgálón végzi el, ahol létre kell hoznia egy RemoteApp konfigurációt a Microsoft Outlook programhoz. Ebben meg kell adnia az összes szükséges információt, hogy a külső ügyfelek az interneten keresztül csatlakozhassanak az RDG kiszolgálóhoz.
Ábra. 3. Az RDG beállítások konfigurálása az RDSH szerveren
A következő lépés az az RDG kiszolgáló meghatározása, amelyhez az internetes ügyfelek csatlakoznak. Kattintson a Change Gateway gombra a RD Gateway Settings mellett - a 2. ábrán látható ablak. 3. Itt megadhatja az RDG szerver nevét, valamint a rendszerbe való bejelentkezés módját. Vegye figyelembe, hogy egy jelölőnégyzet már be van jelölve. Olyan, mint egy egyszeri bejelentkezés, amikor a felhasználók csak egyszer adják meg a hitelesítő adatokat, és hozzáférhetnek az RDG és az RDSH szolgáltatáshoz. A második jelölőnégyzet lehetővé teszi a helyi hálózat felhasználóinak csatlakozását, megkerülve az RDG kiszolgálót. Mivel a helyi hálózat felhasználóinak nincs szükségük az RDG szerver által biztosított további védelemre, a jelölőnégyzet kiválasztásával ezek közvetlenül az RDSH-hoz csatlakozhatnak. Győződjön meg arról, hogy mindkét jelölőnégyzet be van jelölve, és kattintson az OK gombra
Az RDG beállítások konfigurálása az RDSH kiszolgálón A példa végső lépése egy Outlook kapcsolati fájl létrehozása a felhasználók számára. Ehhez kattintson az Outlook RemoteApp parancsra, és válassza a Create .rdp fájl létrehozása parancsot, majd kattintson a Tovább és a Befejezés gombra. A C: # 92, Programfájlok # 92, Csomagolt programok mappában lesz egy fájl, a .rdp kiterjesztéssel, amely a felhasználók számára is elosztható. Az Outlook-hoz való csatlakozás az interneten keresztül a felhasználóknak csak duplán kell kattintaniuk a fájlra, és meg kell adniuk hitelesítő adataikat.
Még egy üzenet és még egy tanúsítvány
Miután befejezte a konfigurációt, és duplán kattint az Outlook-hoz való RDP kapcsolatra, egy hibaüzenet jelenik meg (4. ábra). Technikai szempontból ez nem hiba, bár ez az üzenet gyakran összetéveszti a felhasználókat. A távoli asztali kliens további RDP fájl hitelesítését igényli a fájl futtatása előtt. A távoli asztali kliens további RDP fájl hitelesítését igényli a fájl futtatása előtt. Mint korábban, a probléma megoldható az RDP-fájl tanúsítvánnyal történő aláírásával, és ez lehet ugyanaz a tanúsítvány, amelyet az RDG telepítésekor használt.
Ábra. 4 Távoli asztali ügyfél hibaüzenet, amely jelzi, hogy minden egyes nyilvános SSL-tanúsítványra szükség van minden RDSH kiszolgálón
A hibaüzenet megszabadításához telepítse az RDG tanúsítványt az RDSH kiszolgáló tanúsítványainak személyes tárolójába, majd térjen vissza a Remote Manager Manager csomópontjába a Kiszolgálókezelőben. Kattintson a Digitális aláírás beállításai mellett található Módosítás gombra. A megnyíló ablakban jelölje be a Digitális tanúsítvány jelölőnégyzetet, majd kattintson a Módosítás gombra. Ha helyesen telepítette a tanúsítványt a helyi számítógép személyes áruházába, akkor a tanúsítvány a listában szerepel. Ezután újratelepítse az Outlook-hoz tartozó RDP-fájlt.
Ennek eredményeképpen a hibaüzenet megváltoztatja a kérdést arról, hogy a felhasználó megbízik-e a RemoteApp program kiadójával. Ha a felhasználó elfogadja, elegendő a Connect gombra kattintani, még mielőtt ellenőrizni tudja a dobozt, hogy az üzenet ne jelenjen meg újra.
Itt, sőt, és minden utasítást, hogy hozzáférést biztosítson az internetről a belső program Outlook mérete kevesebb, mint 2000 szót. Nyilvánvaló, hogy az RDS-ben sokkal több lehetőség van a környezet konfigurálására és védelmére. De ez az egyszerű példa csak a kezdet a nagy út az alkalmazásokhoz való mindenható és biztonságos eléréshez.