1 / 34

Windows Server 2008 { Terminal Services }

Windows Server 2008 { Terminal Services }. Gál Tamás v-tagal@microsoft.com rendszermérnök Microsoft Magyarország. Somogyi Csaba csaba.somogyi@microsoft.com IT üzemeltetési szakértő Microsoft Magyarország. Tartalom. TS 2008 felvezetés Kulcs szerepkörök { Terminal Server } { TS Licensing }

irving
Download Presentation

Windows Server 2008 { Terminal Services }

An Image/Link below is provided (as is) to download presentation Download Policy: Content on the Website is provided to you AS IS for your information and personal use and may not be sold / licensed / shared on other websites without getting consent from its author. Content is provided to you AS IS for your information and personal use only. Download presentation by click this link. While downloading, if for some reason you are not able to download a presentation, the publisher may have deleted the file from their server. During download, if you can't get a presentation, the file might be deleted by the publisher.

E N D

Presentation Transcript

  1. Windows Server 2008 { Terminal Services } Gál Tamásv-tagal@microsoft.comrendszermérnökMicrosoft Magyarország Somogyi Csabacsaba.somogyi@microsoft.comIT üzemeltetési szakértőMicrosoft Magyarország

  2. Tartalom • TS 2008 felvezetés • Kulcs szerepkörök • { Terminal Server} • { TS Licensing} • { TS Session Broker} • { TS Web Access} • Alkalmazás publikálás – máshogy • Komplex elérés: TS Gateway

  3. { TS 2008 felvezetés - újdonságok } • Sok-sok újdonság • (a fő szerepkörökön túl is) • TS Manager MMC, TS Configuration MMC • 27 shell parancs • >70 csoportházirend beállítási lehetőség • Remote Desktop Client 6.x • Terminal Services EasyPrint

  4. { TS 2008 felvezetés - TS Manager } • TSAdmin.exe helyett TSAdmin.msc • Csoportok létrehozása • Egyebek • Refresh / Search, Disconnect All, Import from Session Broker

  5. { TS 2008 felvezetés - TS Config.} • TSCC.msc helyett TSConfig.msc • Távoli szerverek elérése • Licensing Diagnosis • Csatlakozás Terminal Server farmokhoz

  6. Konfigurációs beállítások az Active Directory-ban • Active Directory Users and Computers • Active Directory Service Interface (ADSI) • ADSI Extension Library: TSUSerEx.Dll • Windows Management Instrumentation (WMI) • WMI Provider: TsCfgWMI.dll • WbemTest.exe

  7. TS 2008 és a csoportházirendek • Tartományi környezetben optimális megoldás az egységesítésre • 54 számítógépekre érvényesülő szabály • 20 felhasználókra érvényesülő szabály • Ütköző beállítások feloldási sorrendje: Session > csoportházirend > ADUC > TS Config

  8. { TS Licensing } • 120 napunk van tesztelni  • Eszköz vagy felhasználó alapú, a döntés a környezettől függ • Legyen hibatűrő! • Több licence szerver megosztott CAL-okkal. Active Directory-ban behirdetve (TS Licence Servers biztonsági csoport) • Aktív-passzív licence szerver

  9. {A TS felügyeleti eszközei } demó

  10. Biztonsági fejlesztések • Előzetes azonosítás (RDP 6.x-es kliens és szerver kell hozzá) • A session csak sikeres azonosítás esetén jön létre • Single Sign-On • Csak tartományban működik • Csak Vista és Windows Server 2008 között • Csoportházirendben név szerint megadott szerverekre

  11. RDP kliens fejlesztések • Csak egy gyors lista • Osztott monitor • ClearType • Aero élmény • Hálózati forgalom prioritás (70:30) • Átirányítás • Printer • Eszközök (diszk, soros port, PnP) • Időzóna • Smart card stb.

  12. {Az RDP kliens} demó

  13. Nyomtatási fejlesztések • Nyomtatás helyi driver-ekkel • Csak az alapértelmezett nyomtató megy át (csoportházirend) • A nyomtató csak az adott session-ben látszik • Sávszélesség korlátozás • TS EasyPrint

  14. { TS EasyPrint } Előfeltétel: RDP 6.1 + .NET 3.0

  15. A { Session Broker } • Adatbázisra épülő terheléselosztási / erőforrás optimalizálási megoldás • A szükséges szerepkör: TS Session Broker szolgáltatás • A kiszolgálók egy Session Broker farm részei – az első kiszolgálóval definiálhatom a farmot • A további kiszolgálók extra szolgáltatás nélkül csatlakozhatnak • A terhelés elosztást első körben a DNS, a második körben az adatbázis vezérli

  16. Két fontos szereplő • Alkalmazás publikálás (Remote App) • Miért adjunk távoli asztalt, ha elég egy alkalmazás ablak is? • .rdp, .msi fájlokkal vagy Web Access-en keresztül érhető el • {TS Web Access } • Önálló szerepkörré nőtt az IIS-ből • Fontos szereplő a „Bárhonnét tudok dolgozni” című darabban • Céges arculatot is kaphat

  17. {Alkalmazás publikálás} • {TS Web Access} demó

  18. {Komplex elérés: TS Gateway } • Mire fogjuk használni? • TSG architektúra • TSG <> NAP, TSG <> ISA • Hibakeresés, problémamegoldás

  19. { Mire fogjuk használni? } • RDP over HTTPS • Nincs szükség az RDP portra, a VPN-re, stb. • A TS RA / WA „kisérője” is lehet (remote access portál) • A hozzáférés { széleskörű } szabályzása • Connection Authorization Policies és Resource Authorization Policies • Kevesebb aggódás az RDP publikálás miatt

  20. { Hogyan fogjuk használni? } • Szerepkör-rész (role service) • Önállóan telepíthető (a Terminal Services komponens nem kell hozzá) • Az IIS7, az RPC over HTTP Proxy és az NPS viszont igen > Server Manager • Tanúsítvány (lásd később)! • Kompatibilitás • Tűzfalak, NAT szerverek, NAP • Használható a WS03 TS-sel is

  21. { TSG architetúra } • A TS szerver (vagy egy RDP host) a tűzfal mögött van • HTTPS-t használunk a tűzfalon keresztül • AD/NAP ellenőrzés a kapcsolat kiépítése előtt • Több TSG > NLB AD/NAP TS Gateway (WS08) AD / NAP ellenőrzés RDC 6.x kliens - Minimum XP SP2 HTTPS kapcsolat indítása a TS Gateway felé RDP over HTTPS a TSG feléRDP 3389 a TS / host gép felé Host gépek Internet Terminálszerver(ek) • MS IT implementáció: http://tinyurl.com/2f38v4

  22. { Connection Authorization Policies } • Feltételek a kapcsolódáshoz Hitelesítés típusa? Felhasználók? Számítógépek?

  23. { Connection Authorization Policies } • Feltételek a kapcsolódáshoz Átirányítás? Típusa?

  24. { Resource Authorization Policies } • Feltételek az erőforrásokhoz Mely / milyen gépcsoportokat? Mely portokon?

  25. {A TSG üzembehelyezése } demó

  26. { TSG <> NAP } • A biztonság bővítése • A kliens egészségi állapotának ellenőrzése egyszerűen megoldható • A TSG NAP beállítás lépései • Az ellenőrzés engedélyezése a TSG Manager-ben • A megfelelő TS CAP-ok elkészítése • Windows Security Health Validator beállítása a TSG szerveren • A NAP varázslóval a vonatkozó házirend elkészítése • Step by Step útmutató • http://go.microsoft.com/fwlink/?LinkID=85872

  27. { TSG <> ISA 2004 / 2006 } • Fokozott biztonság • ISA 2006 / ISA 2004 SP3 (csak WS03-on) • Lehetséges forgatókönyvek • SSL bridging (Web proxy) • A TSG a privát hálózatban, az ISA a külső kliens és a TSG között figyel, ellenőríz és szűr • Tűzfal és SSL bridging • A TSG a privát hálózatban vagy a DMZ-ben, port és csomagszűrés is + ua. mint az elsőnél • Tűzfal • TSG a DMZ-ben, az ISA tűzfalként portszűrést (csak 443) végez > Server publishing

  28. { TSG <> ISA 2004 / 2006 }

  29. { TSG <> ISA 2004 / 2006 } • Kétfajta kapcsolat a TSG és az ISA között • HTTPS-HTTPS bridging: maximális védelem • HTTPS-HTTP bridging: az ISA HTTP-t küld vissza • L7 szűrés > ISA • * Step by Step Guide > lásd előző dia

  30. { Hibakeresés, problémamegoldás } • Tanúsítvány beszerzési lehetőségek • Saját: egyszerű, UI-ról generálható, de manuálisan kell terjeszteni (Trusted Root CA-ként is) • Belső: saját PKI rendszer, kicsit (?) komplikáltabb, terjesztés csoportházirenddel • Külső: költsége van, de nincs manuális telepítés + lehetséges egy wildcard tanúsítványt használni az összes TS szolgáltatáshoz • Követelmények • Egyező CN mező • ISA publikálás esetén a privát kulccsal ellátott tanúsítvány szükséges

  31. { Hibakeresés, problémamegoldás } • Naplózás szintje állítható (Auditing) • TSG Manager • Online követhető a használat • Saját esemény-napló • Rpcping.exe

  32. {A TSG dolgozik } demó

  33. {Kezdés 15:05-kor }

More Related