windows server 2008 { terminal services }
DESCRIPTION
Windows Server 2008 { Terminal Services }. Gál Tamás [email protected] rendszermérnök Microsoft Magyarország. Somogyi Csaba [email protected] IT üzemeltetési szakértő Microsoft Magyarország. Tartalom. TS 2008 felvezetés Kulcs szerepkörök { Terminal Server } { TS Licensing } - PowerPoint PPT PresentationTRANSCRIPT
Windows Server 2008
{ Terminal Services }Gál Tamá[email protected]érnökMicrosoft Magyarország
Somogyi [email protected] üzemeltetési szakértőMicrosoft Magyarország
Tartalom
TS 2008 felvezetésKulcs szerepkörök
{ Terminal Server }{ TS Licensing }{ TS Session Broker }{ TS Web Access }
Alkalmazás publikálás – máshogyKomplex elérés: TS Gateway
{ TS 2008 felvezetés - újdonságok }
Sok-sok újdonság(a fő szerepkörökön túl is)TS Manager MMC, TS Configuration MMC27 shell parancs>70 csoportházirend beállítási lehetőségRemote Desktop Client 6.xTerminal Services EasyPrint
{ TS 2008 felvezetés - TS Manager }
TSAdmin.exe helyett TSAdmin.msc Csoportok létrehozásaEgyebek
Refresh / Search, Disconnect All, Import from Session Broker
{ TS 2008 felvezetés - TS Config.}
TSCC.msc helyett TSConfig.msc
Távoli szerverek eléréseLicensing DiagnosisCsatlakozás Terminal Server farmokhoz
Konfigurációs beállítások az Active Directory-ban
Active Directory Users
and Computers
Active Directory Service
Interface (ADSI)
ADSI Extension Library:
TSUSerEx.Dll
Windows Management
Instrumentation (WMI)
WMI Provider: TsCfgWMI.dll
WbemTest.exe
TS 2008 és a csoportházirendek
Tartományi környezetben optimális megoldás az egységesítésre
54 számítógépekre érvényesülő szabály20 felhasználókra érvényesülő szabály
Ütköző beállítások feloldási sorrendje:Session > csoportházirend > ADUC > TS Config
{ TS Licensing }
120 napunk van tesztelni Eszköz vagy felhasználó alapú, a döntés a környezettől függLegyen hibatűrő!
Több licence szerver megosztott CAL-okkal. Active Directory-ban behirdetve (TS Licence Servers biztonsági csoport)Aktív-passzív licence szerver
{ A TS felügyeleti eszközei }
demó
Biztonsági fejlesztések
Előzetes azonosítás (RDP 6.x-es kliens és szerver kell hozzá)
A session csak sikeres azonosítás esetén jön létre
Single Sign-OnCsak tartományban működikCsak Vista és Windows Server 2008 közöttCsoportházirendben név szerint megadott szerverekre
RDP kliens fejlesztések
Csak egy gyors listaOsztott monitorClearTypeAero élményHálózati forgalom prioritás (70:30)Átirányítás
PrinterEszközök (diszk, soros port, PnP)IdőzónaSmart card stb.
{ Az RDP kliens}
demó
Nyomtatási fejlesztések
Nyomtatás helyi driver-ekkelCsak az alapértelmezett nyomtató megy át (csoportházirend)A nyomtató csak az adott session-ben látszikSávszélesség korlátozásTS EasyPrint
{ TS EasyPrint }
Előfeltétel: RDP 6.1 + .NET 3.0
A { Session Broker }
Adatbázisra épülő terheléselosztási / erőforrás optimalizálási megoldás
A szükséges szerepkör: TS Session Broker szolgáltatásA kiszolgálók egy Session Broker farm részei – az első kiszolgálóval definiálhatom a farmotA további kiszolgálók extra szolgáltatás nélkül csatlakozhatnakA terhelés elosztást első körben a DNS, a második körben az adatbázis vezérli
Két fontos szereplő
Alkalmazás publikálás (Remote App)Miért adjunk távoli asztalt, ha elég egy alkalmazás ablak is?.rdp, .msi fájlokkal vagy Web Access-en keresztül érhető el
{ TS Web Access }Önálló szerepkörré nőtt az IIS-bőlFontos szereplő a „Bárhonnét tudok dolgozni” című darabbanCéges arculatot is kaphat
{ Alkalmazás publikálás}{ TS Web Access}
demó
{ Komplex elérés: TS Gateway }
Mire fogjuk használni?TSG architektúraTSG <> NAP, TSG <> ISAHibakeresés, problémamegoldás
{ Mire fogjuk használni? }
RDP over HTTPSNincs szükség az RDP portra, a VPN-re, stb.A TS RA / WA „kisérője” is lehet (remote access portál)
A hozzáférés { széleskörű } szabályzásaConnection Authorization Policies és Resource Authorization PoliciesKevesebb aggódás az RDP publikálás miatt
{ Hogyan fogjuk használni? }
Szerepkör-rész (role service)Önállóan telepíthető (a Terminal Services komponens nem kell hozzá)Az IIS7, az RPC over HTTP Proxy és az NPS viszont igen > Server ManagerTanúsítvány (lásd később)!
KompatibilitásTűzfalak, NAT szerverek, NAPHasználható a WS03 TS-sel is
{ TSG architetúra }A TS szerver (vagy egy RDP host) a tűzfal mögött vanHTTPS-t használunk a tűzfalon keresztülAD / NAP ellenőrzés a kapcsolat kiépítése előttTöbb TSG > NLB AD / NAP
HTTPS kapcsolat indítása a TS Gateway felé Host gépek
TS Gateway(WS08)
InternetTerminálszerver(ek)
RDP over HTTPS a TSG felé RDP 3389 a TS / host gép felé
AD / NAP ellenőrzés
RDC 6.x kliens - Minimum XP SP2
MS IT implementáció: http://tinyurl.com/2f38v4
{ Connection Authorization Policies }
Feltételek a kapcsolódáshoz
Hitelesítés típusa?
Felhasználók?
Számítógépek?
{ Connection Authorization Policies }
Feltételek a kapcsolódáshoz
Átirányítás?
Típusa?
{ Resource Authorization Policies }
Feltételek az erőforrásokhoz
Mely / milyen gépcsoportokat?
Mely portokon?
{ A TSG üzembehelyezése }
demó
{ TSG <> NAP }
A biztonság bővítéseA kliens egészségi állapotának ellenőrzése egyszerűen megoldható
A TSG NAP beállítás lépéseiAz ellenőrzés engedélyezése a TSG Manager-benA megfelelő TS CAP-ok elkészítéseWindows Security Health Validator beállítása a TSG szerverenA NAP varázslóval a vonatkozó házirend elkészítése
Step by Step útmutatóhttp://go.microsoft.com/fwlink/?LinkID=85872
{ TSG <> ISA 2004 / 2006 }Fokozott biztonság
ISA 2006 / ISA 2004 SP3 (csak WS03-on)
Lehetséges forgatókönyvekSSL bridging (Web proxy)
A TSG a privát hálózatban, az ISA a külső kliens és a TSG között figyel, ellenőríz és szűr
Tűzfal és SSL bridging A TSG a privát hálózatban vagy a DMZ-ben, port és csomag szűrés is + ua. mint az elsőnél
Tűzfal TSG a DMZ-ben, az ISA tűzfalként portszűrést (csak 443) végez > Server publishing
{ TSG <> ISA 2004 / 2006 }
{ TSG <> ISA 2004 / 2006 }
Kétfajta kapcsolat a TSG és az ISA között
HTTPS-HTTPS bridging: maximális védelemHTTPS-HTTP bridging: az ISA HTTP-t küld vissza
L7 szűrés > ISA
* Step by Step Guide > lásd előző dia
{ Hibakeresés, problémamegoldás }
Tanúsítvány beszerzési lehetőségekSaját: egyszerű, UI-ról generálható, de manuálisan kell terjeszteni (Trusted Root CA-ként is)Belső: saját PKI rendszer, kicsit (?) komplikáltabb, terjesztés csoportházirenddelKülső: költsége van, de nincs manuális telepítés + lehetséges egy wildcard tanúsítványt használni az összes TS szolgáltatáshoz
KövetelményekEgyező CN mezőISA publikálás esetén a privát kulccsal ellátott tanúsítvány szükséges
{ Hibakeresés, problémamegoldás }
Naplózás szintje állítható (Auditing)TSG Manager
Online követhető a használat
Saját esemény-naplóRpcping.exe
{ A TSG dolgozik }
demó
{ Kezdés 15:05-kor }