在2003中从公网访问TS服务需要开启3389端口,而且没有有效的身份验证措施和策略授权,而网络中针对终端服务的攻击非常普遍,为此管理员需要承担巨大的安全风险。作为TS角色中的重要组件,TSGW通过SSL+证书+NPS的方式很好保证了公网访问TS服务器的安全。2008中的TS通过443进行访问,使用证书进行身份验证,而必选的CAP和RAP对连接和资源进行安全的授权管理,虽然矩阵的世界里没有绝对的安全,但TS中真的做了很多。
原本计划把将TS系列在一星期内搞定。因为学习POWERSHELL走火入魔,5.4过后才发出第二篇。
安装
1.添加角色
2.为SSL配置证书,我选择稍后配置
3.创建授权策略,稍后配置
4.添加NPS角色
5.确保网络策略服务器选中
6.添加IIS角色
7.添加IIS角色2
8.确认安装
9.完成
申请证书
1.配置证书
2.创建证书
3.测试,我选择自签名证书,实际环境可以使用企业CA或者第三方CA
4.在服务端和客户端将证书导入守信任的根证书颁发机构,过程不再赘述
创建CAP
1.创建连接授权策略
2.策略名称
3.选择身份验证方式和允许连接到TSGW的组成员身份,在设置摘要中有详细描述
创建RAP
1.创建RAP
2.策略名称
3.选择授权的用户组
4.指定可以连接到的计算机资源
测试
1.选择TSGW进行连接,注意这里的名称必须与证书中的名称完全符合
2.连接
3.TSGW中监视到的会话
本文转自 chinaperrylee 51CTO博客,原文链接:http://blog.51cto.com/perry/145696,如需转载请自行联系原作者
