1 / 90

第 20 章 終端機服務閘道( TS Gateway )

第 20 章 終端機服務閘道( TS Gateway ). 本章重點. 20 - 1 TS Gateway 簡介 20 - 2 架設 TS Gateway 伺服器 20 - 3 設定 TS Gateway 用戶端與建立連線. 終端機服務閘道( TS Gateway ). 終端機服務閘道 ( TS Gateway )是 Windows Server 2008 令人矚目的新功能之一 , 因為它可以讓遠端的使用者透過網際網路 , 與公司內部的網路建立一條加密的連線 , 因此頗能符合多數企業的需求。. 20 - 1 TS Gateway 簡介.

lan
Download Presentation

第 20 章 終端機服務閘道( TS Gateway )

An Image/Link below is provided (as is) to download presentation Download Policy: Content on the Website is provided to you AS IS for your information and personal use and may not be sold / licensed / shared on other websites without getting consent from its author. Content is provided to you AS IS for your information and personal use only. Download presentation by click this link. While downloading, if for some reason you are not able to download a presentation, the publisher may have deleted the file from their server. During download, if you can't get a presentation, the file might be deleted by the publisher.

E N D

Presentation Transcript

  1. 第 20 章 終端機服務閘道(TS Gateway)

  2. 本章重點 • 20 - 1 TS Gateway 簡介 • 20 - 2 架設 TS Gateway 伺服器 • 20 - 3 設定 TS Gateway 用戶端與建立連線

  3. 終端機服務閘道(TS Gateway) • 終端機服務閘道(TS Gateway)是 Windows Server 2008 令人矚目的新功能之一, 因為它可以讓遠端的使用者透過網際網路, 與公司內部的網路建立一條加密的連線, 因此頗能符合多數企業的需求。

  4. 20 - 1 TS Gateway 簡介 • 由於 TS Gateway 在功能和架構方面都不同於以往, 所以我們先從基本原理談起, 再介紹實作方式。 • TS Gateway 的架構 • 使用 TS Gateway 的優點 • 本章 TS Gateway 的應用情境

  5. TS Gateway 的架構 • 假設要讓出差在外的業務員, 能透過網際網路連線到公司內部網路的伺服器, 可以用 TS Gateway 功能建置以下 的架構:

  6. TS Gateway 的架構 • 1. 要求與伺服器建立連線 • TS Gateway 用戶端執行 RDC 6.X 程式(亦即 6.X 版的遠端桌面連線程式), 透過網際網路連接到 TS Gateway 伺服器。 • 這段連線採用 RDP over TLS 技術, 將 RDP 封包隱藏在 TLS 封包內, 這樣做有『保密』和『可通過防火牆』的效果。 • 前者是因為 TLS 會將封包內容加密;後者則因為大部分的防火牆不會阻擋 TLS 封包。

  7. TS Gateway 的架構 • 2. 利用『網路原則伺服器』的原則, 限制連線的建立 • TS Gateway 伺服器接到 TS Gateway 用戶端的連線要求時, 會根據網路原則伺服器(NPS, Network Policy Server)所儲存的原則, 來決定『是否建立連線』和『可以連線到內部網路的哪些伺服器』。 • 掌控『是否建立連線』的原則謂之 CAP (Connection Authorization Policy, 連線授權原則)。 • 掌控『可以連線到內部網路的哪些伺服器』謂之 RAP(Resource Authorization Policy, 資源授權原則)

  8. TS Gateway 的架構 • 3. 與要遙控的伺服器(亦即被控端)建立連線。

  9. 到底是 SSL 加密或 TLS 加密? • 在 Windows Server 2008 的畫面和說明文件中, 有的顯示 SSL 加密;有些則顯示 TLS 加密, 到底是哪一種才對?其實兩者的意思相同。 • SSL (Secure Socket Layer) 是 Netscape 公司所推出的協定, 由於受到廣泛使用, 發展到了 3.0 版時, 被 IETF 組織加以修改成為國際標準, 稱為 TLS (Transport Layer Security) 1.0 版, 相關規格記載於 RFC 2246。

  10. 到底是 SSL 加密或 TLS 加密? • 從技術面來看, SSL 3.0 與 TLS 1.0 的差異極小, 一般將兩者視為相同, 所以經常會將 SSL 與 TLS 兩個名詞混用。

  11. 使用 TS Gateway 的優點 • 從前文的架構圖可以看出 TS Gateway 有以下的優點: • 在防火牆毋須開放 TCP 3389 連接埠 • 直接以遠端桌面連線程式(RDP 協定)來建立連線時, 會使用 TCP 3389 連接埠, 但是大多數的防火牆裝置或 NAT 裝置不會開放該連接埠, 因此必須額外設定。

  12. 使用 TS Gateway 的優點 • 但是 TS Gateway 所用的 TLS 協定廣泛用於電子商務的網站, 所以防火牆裝置或 NAT 裝置通常會開放它所用的 TCP 443 連接埠, 毋須再額外設定。 • 毋須使用虛擬私人網路(VPN) • 以往要透過網際網路連線到公司內部網路, 幾乎都用虛擬私人網路技術。 • 可是相對來說, 建立 VPN 伺服器的技術門檻比較高, 而且在用戶端的設定也比較繁瑣, 不如遠端桌面連線程式好用。

  13. 本章 TS Gateway 的應用情境 • 為了便於理解, 本章將以最少的電腦來架構一個 TS Gateway 的應用情境, 如下圖:

  14. 本章 TS Gateway 的應用情境 • TS Gateway 用戶端透過 Genie-pc 連線到 WS2008, Genie-pc 不但扮演 TS Gateway 伺服器, 也是儲存 CAP 和 RAP 的網路原則伺服器。

  15. 20 - 2 架設 TS Gateway 伺服器 • 一般要架設某種伺服器, 大多都是安裝相對應的元件即可。 • 可是要架設 TS Gateway 伺服器則不然, 還多了『申請與安裝伺服器憑證』及『建立授權原則』等動作, 整個流程算是比較複雜, 因此我們整理如右圖。

  16. 架設 TS Gateway 伺服器

  17. 安裝 TS Gateway 伺服器角色 • 請在初始設定工作視窗或伺服器管理員視窗點選新增角色, 若看到在您開始前交談窗、按下一步鈕繼續:

  18. 安裝 TS Gateway 伺服器角色 • 按下一步鈕

  19. 安裝 TS Gateway 伺服器角色 • 按下一步鈕

  20. 安裝 TS Gateway 伺服器角色 • 按下一步鈕

  21. 安裝 TS Gateway 伺服器角色 • 按下一步鈕

  22. 安裝 TS Gateway 伺服器角色

  23. 安裝 TS Gateway 伺服器角色 • 按下一步鈕

  24. 安裝 TS Gateway 伺服器角色 • 接著連續按 4 次下一步鈕, 同意系統自行安裝所需的元件, 直到看到以下的交談窗:

  25. 安裝 TS Gateway 伺服器角色

  26. 安裝 TS Gateway 伺服器角色

  27. 安裝 TS Gateway 伺服器角色 • 從以上的過程可以看出:要發揮 TS Gateway 功能, 其實還必須安裝不少其它元件。 • 所幸這些工作都由系統自動完成, 毋須我們操心。

  28. 申請與安裝電腦憑證 • 在開始實作之前, 許多人都會有一個疑問:『為何 TS Gateway 伺服器需要電腦憑證』? • 因為 TS Gateway 伺服器與 TS Gateway 用戶端透過 TLS 協定來加密, 該協定通常由用戶端向伺服器要求出示憑證, 以確認伺服器的真實身分。 • 所以 TS Gateway 伺服器必須擁有可證明自己身分的電腦憑證, 由於係用在伺服器, 故又稱伺服器憑證。

  29. 申請與安裝電腦憑證 • 至於該如何取得伺服器憑證呢? • 倘若公司有 CA 伺服器可核發憑證, 那就向該 CA 伺服器申請一個電腦憑證即可。 • 若無 CA 伺服器, 可以由 Windows Server 2008 自己核發一個憑證給自己, 這種憑證稱為自我簽署(Self-signed)憑證。 • TS Gateway 伺服器的憑證為符合 X.509 v3 規格、且與 TLS 協定相容的憑證。

  30. 申請電腦憑證 • 請執行『開始 / 系統管理工具 / 終端機服務 / TS 閘道管理員』命令, 開啟 TS 閘道管理員主控台:

  31. 申請電腦憑證

  32. 申請電腦憑證

  33. 申請電腦憑證 • 接著再按確定鈕, 然後關閉 TS 閘道管理員主控台。

  34. 安裝電腦憑證 • 先前的步驟已經產生了一個自我簽署的憑證, 以 Genie-pc.cer 為檔名、儲存在 C:\Users\Public 資料夾。 • 可是對於電腦來說, 還要將此憑證匯入到特定的位置, 才算是完成安裝手續。 • 請按開始鈕、輸入 "mmc"、按 Enter鍵:

  35. 安裝電腦憑證

  36. 安裝電腦憑證 • 按下一步鈕

  37. 安裝電腦憑證

  38. 安裝電腦憑證

  39. 安裝電腦憑證

  40. 安裝電腦憑證 • 按下一步鈕

  41. 安裝電腦憑證 • 按下一步鈕

  42. 安裝電腦憑證 • 按下一步鈕

  43. 安裝電腦憑證

  44. 安裝電腦憑證

  45. 安裝電腦憑證

  46. 建立 CAP • 所謂的 CAP(連線授權原則), 係用來決定誰能與 TS Gateway 伺服器建立連線。 • 等於是為整個連線把守第一道關卡, 過濾掉未經許可的連線要求。 • 要建立 CAP, 請先以具有本機系統管理員權限的帳戶登入 TS Gateway 伺服器, 再執行『開始 / 系統管理工具 / 終端機服務 / TS 閘道管理員』命令, 開啟 TS 閘道管理員主控台。

  47. 建立 CAP

  48. 建立 CAP

  49. 建立 CAP

  50. 建立 CAP

More Related