Windows 2008-TS测试-TS GateWay
在2003中从公网访问TS服务需要开启3389端口,而且没有有效的身份验证措施和策略授权,而网络中针对终端服务的攻击非常普遍,为此管理员需要承担巨大的安全风险。作为TS角色中的重要组件,TSGW通过SSL+证书+NPS的方式很好保证了公网访问TS服务器的安全。2008中的TS通过443进行访问,使用证书进行身份验证,而必选的CAP和RAP对连接和资源进行安全的授权管理,虽然矩阵的世界里没有绝对的安全,但TS中真的做了很多。
原本计划把将TS系列在一星期内搞定。因为学习POWERSHELL走火入魔,5.4过后才发出第二篇。
安装
1.添加角色
![](http://blog.51cto.com/attachment/200805/200805051209986941968.jpg)
2.为SSL配置证书,我选择稍后配置
![](http://blog.51cto.com/attachment/200805/200805051209986996203.jpg)
3.创建授权策略,稍后配置
![](http://blog.51cto.com/attachment/200805/200805051209987023843.jpg)
4.添加NPS角色
![](http://blog.51cto.com/attachment/200805/200805051209987045968.jpg)
5.确保网络策略服务器选中
![](http://blog.51cto.com/attachment/200805/200805051209987106734.jpg)
6.添加IIS角色
![](http://blog.51cto.com/attachment/200805/200805051209987145781.jpg)
7.添加IIS角色2
![](http://blog.51cto.com/attachment/200805/200805051209987170203.jpg)
8.确认安装
![](http://blog.51cto.com/attachment/200805/200805051209987201765.jpg)
9.完成
![](http://blog.51cto.com/attachment/200805/200805051209987433796.jpg)
申请证书
1.配置证书
![](http://dong8745.blog.51cto.com/attachment/200805/200805051209987570328.jpg)
2.创建证书
![](http://dong8745.blog.51cto.com/attachment/200805/200805051209987595375.jpg)
3.测试,我选择自签名证书,实际环境可以使用企业CA或者第三方CA
![](http://dong8745.blog.51cto.com/attachment/200805/200805051209987613921.jpg)
4.在服务端和客户端将证书导入守信任的根证书颁发机构,过程不再赘述
![](http://dong8745.blog.51cto.com/attachment/200805/200805051209987644125.jpg)
创建CAP
1.创建连接授权策略
![](http://dong8745.blog.51cto.com/attachment/200805/200805051209987888046.jpg)
2.策略名称
![](http://dong8745.blog.51cto.com/attachment/200805/200805051209987899500.jpg)
3.选择身份验证方式和允许连接到TSGW的组成员身份,在设置摘要中有详细描述
![](http://dong8745.blog.51cto.com/attachment/200805/200805051209987908234.jpg)
创建RAP
1.创建RAP
![](http://dong8745.blog.51cto.com/attachment/200805/200805051209988117343.jpg)
2.策略名称
![](http://dong8745.blog.51cto.com/attachment/200805/200805051209988129875.jpg)
3.选择授权的用户组
![](http://dong8745.blog.51cto.com/attachment/200805/200805051209988142203.jpg)
4.指定可以连接到的计算机资源
![](http://dong8745.blog.51cto.com/attachment/200805/200805051209988152625.jpg)
测试
1.选择TSGW进行连接,注意这里的名称必须与证书中的名称完全符合
![](http://dong8745.blog.51cto.com/attachment/200805/200805051209988475281.jpg)
2.连接
![](http://dong8745.blog.51cto.com/attachment/200805/200805051209988509203.jpg)
3.TSGW中监视到的会话
![](http://dong8745.blog.51cto.com/attachment/200805/200805051209988522546.jpg)
本文转自 90375 51CTO博客,原文链接:http://blog.51cto.com/dong8745/75152,如需转载请自行联系原作者