Hình 1

Việc thiếu vấn đ�?tiền thẩm định là một vấn đ�?thực s�?khó khăn. Không có cơ ch�?tiền thẩm định thì người dùng nặc danh có th�?nâng cao các kết nối nặc danh thỏa hiệp với Terminal Server đã được ban b�? Một Terminal Server b�?thỏa hiệp s�?tr�?thành một l�?hổng nghiêm trọng đối với mạng của bạn, vì khi đó k�?tấn công có th�?truy cập vào toàn b�?h�?điều hành và thực hiện các tấn công.

Trước những khó khăn đó, Windows Server 2008 cung cấp cho các bạn một giải pháp cho vấn đ�?bảo mật này: Terminal Services Gateway. S�?dụng Terminal Services Gateway bạn có th�?thẩm định trước những người dùng và kiểm soát những Terminal Servers nào mà người dùng có th�?truy cập dựa trên các thông tin cá nhân và chính sách. Tính năng này còn cho phép bạn có th�?kiểm soát một cách tinh t�?hơn những gì cần đ�?bảo đảm rằng bạn có một giải pháp RDP truy cập t�?xa một cách an toàn.

Trong loạt bài gồm hai phần này, chúng ta s�?cùng tìm hiểu cách làm việc với giải pháp Terminal Servers, s�?dụng mạng lab như hình bên dưới. Các mũi tên th�?hiện hướng truyền thông t�?máy khách RDP bên ngoài tới Terminal Server.

Mỗi một máy ch�?trong kịch bản này đều đang s�?dụng Windows Server 2008 Enterprise Edition. Trong mạng ví d�?này, chúng tôi đang s�?dụng máy ch�?Windows Server 2008 NAT với tư cách là Internet gateway. Bạn có th�?s�?dụng bất c�?một thiết b�?NAT đơn giản nào khác hoặc có th�?là b�?định tuyến lọc gói d�?liệu giống như PIX, hoặc thậm chí là một tường lửa tiên tiến như Microsoft ISA Firewall. Tùy chọn cấu hình chính �?đây là hướng các kết nối của cổng TCP 443 đến máy tính Terminal Service Gateway.

Domain Controller có DNS, DHCP, Certificate Services trong ch�?đ�?Enterprise CA và WINS đã được cài đặt t�?trước.

Terminal Server ch�?có một h�?điều hành cơ bản đã được cài đặt. Chúng tôi s�?cài đặt các dịch v�?khác trong suốt loạt bài này.

TS Gateway ch�?có một h�?điều hành cơ bản được cài đặt. Chúng tôi cũng s�?cài đặt các dịch v�?khác.

Loạt bài này s�?mô t�?các quá trình và th�?tục cần đến đ�?thực hiện chạy một giải pháp cơ bản:

• Cài đặt Terminal Services và Terminal Services Licensing trên Terminal Server
• Cấu hình Terminal Services Licensing
• Cài đặt Desktop Experience trên Terminal Server (không bắt buộc)
• Cấu hình ch�?đ�?Terminal Services Licensing
• Cài đặt Terminal Services Gateway Service trên Terminal Services Gateway
• Yêu cầu chứng ch�?cho Terminal Services Gateway
• Cấu hình Terminal Services Gateway đ�?s�?dụng chứng ch�?
• Tạo Terminal Services Gateway RAP
• Tạo Terminal Services Gateway CAP
• Cấu hình RDP Client đ�?có th�?s�?dụng Terminal Services Gateway

Cài đặt Terminal Services và Terminal Services Licensing trên Terminal Server

Bước đầu tiên là cài đặt Terminal Services trên máy tính Terminal Services.

Thực hiện các bước dưới đây đ�?cài đặt Terminal Services và Terminal Services Licensing:

1. Trên máy tính Terminal Server, bạn hãy m�?Server Manager. Trong Server Manager, kích nút Roles trong panel bên trái của giao diện điều khiển.

2. Kích vào liên kết Add Roles trong phần panel phải của giao diện điều khiển

Hình 2

3. Kích Next trong trang Before You Begin

4. Trong trang Before You Begin, bạn hãy tích dấu kiểm vào hộp kiểm Terminal Services, sau đó kích Next.

Hình 3

5. Kích Next trong trang Terminal Services

6. Trong cửa s�?Select Role Services, bạn hãy tích vào hộp kiểm Terminal Server và TS Licensing. Kích Next.

Hình 4

7. Kích Next trong cửa s�?Uninstall and Reinstall Application for Compatibility

8. Trong cửa s�?Specify Authentication Method for Terminal Server, bạn hãy chọn Require Network Level Authentication. Bạn có th�?chọn theo từng kịch bản của mình vì chúng tôi đang ch�?s�?dụng các máy khách Vista SP1 đ�?kết nối đến Terminal Server thông qua TS Gateway. Chúng ta s�?không th�?s�?dụng tùy chọn này nếu cần h�?tr�?các máy khách Windows XP SP2. Tuy vậy, bạn có th�?h�?tr�?Network Level Authentication với Windows XP SP3. Nhưng chúng tôi vẫn chưa xác nhận điều này, chính vì vậy bạn hãy kiểm tra các lưu ý phát hành của Windows XP SP3. Kích Next.

Hình 5

9. Trong trang Specify Licensing Mode, bạn hãy chọn tùy chọn Configure later. Có th�?chọn một tùy chọn khác tuy nhiên theo ví d�?này chúng tôi chọn Configure later đ�?có th�?giới thiệu cho các bạn nơi cấu hình ch�?đ�?đăng ký trong giao diện điều khiển Terminal Services. Kích Next.

Hình 6

10. Trong trang Select Use Groups Allowed Access To This Terminal Server, s�?dụng các tùy chọn mặc định. Bạn có th�?b�?sung thêm hoặc xóa các nhóm nếu muốn chỉnh tinh hơn điều khiển truy cập trên Terminal Server. Mặc dù vậy, nếu tất c�?người dùng phải đi qua Terminal Services Gateway, thì bạn có th�?kiểm soát ai kết nối với Terminal Server bằng các thiết lập chính sách TS Gateway. Đ�?lại các thiết lập mặc định và kích Next.

Hình 7

11. Trong trang Configure Discovery Scope for TS Licensing, chọn tùy chọn This domain. Chọn tùy chọn này trong kịch bản là vì chúng ta ch�?có một miền. Nếu bạn có một forest đa miền thì hoàn toàn có th�?xem xét đến việc chọn tùy chọn The forest. Kích Next.

Hình 8

12. Trong Confirm Installation Selections, tích vào ch�?th�?thông tin cảnh báo có th�?phải cài đặt lại các ứng dụng đã được cài đặt trên máy tính này rồi nếu bạn muốn chúng làm việc đúng cách trong môi trường session của Terminal Services. Bạn cũng nên lưu ý rằng IE Enhanced Security Configuration s�?b�?tắt. Kích Install.

Hình 9

13. Trong cửa s�?Installation Results bạn s�?thấy một cảnh báo yêu cầu cần khởi động lại máy ch�?đ�?hoàn tất cài đặt. Kích Close.

Hình 10

14. Kích Yes trong hộp thoại Add Roles Wizard, hộp thoại hỏi bạn xem có muốn khởi động lại máy ch�?hay không.

15. Đăng nhập với tư cách quản tr�?viên. Cài đặt s�?tiếp tục sau một vài phút vì trang Installation Progress xuất hiện sau khi Server Manager xuất hiện.

16. Kích Close vào trang Installation Results sau khi thấy thông báo cài đặt thành công Installation succeeded.

Hình 11

17. Bạn có th�?thấy thông báo cho biết rằng Terminal Services licensing mode is not configured �?nghĩa là ch�?đ�?đăng ký của Terminal Services chưa được cấu hình. Bạn có th�?gạt b�?thông báo này vì chúng tôi s�?chuyển sang cấu hình Terminal Services Licensing, sau đó cấu hình ch�?đ�?đăng ký trên Terminal Server.

Hình 12

Cấu hình việc đăng ký trên Terminal Services

Lúc này chúng ta đã hoàn toàn sẵn sàng đ�?cấu hình Terminal Services Licensing. Ví d�?s�?dụng một s�?d�?liệu gi�? không đúng với những yêu cầu thực cho việc đăng ký các kết nối máy khách Terminal Services, tuy nhiên nó s�?cung cấp một ví d�?v�?quá trình này s�?làm việc như th�?nào. Không nên thực hiện một th�?tục tương t�?mà chúng tôi đã giới thiệu �?đây đ�?đăng ký các máy khách Terminal Services vì bạn phải thực hiện với các yêu cầu đăng ký thực.

Thực hiện các bước dưới đây đ�?kích hoạt Terminal Services Licensing Server của bạn:

1. T�?menu Administrative Tools, kích Terminal Services, sau đó kích TS Licensing Manager.

2. Trong giao diện điều khiển TS Licensing Manager, bạn hãy kích chuột phải vào tên máy ch�?trong panel bên trái của giao diện. Kích Activate Server.

Hình 13

3. Kích Next trong trang Welcome to the Activate Server Wizard.

4. Trong trang Connection Method, bạn hãy chọn Connection (recommended) sau đó kích Next.

Hình 14

5. Trong trang Company Information, bạn hãy nhập vào các thông tin công ty và kích Next.

Hình 15

6. Nhập vào các thông tin tùy chọn nếu bạn thích trên trang Company Information, sau đó kích Next.

Hình 16

7. Trong trang Completing the Activate Server Wizard, bạn bảo đảm tùy chọn Start Install Licenses Wizard phải được chọn, sau đó cũng kích Next.

Hình 17

8. Kích Next trong trang Welcome to the Install Licenses Wizard.

9. Trong trang License Program, kích mũi tên xuống trên danh sách License program và chọn ra chương trình đăng ký mà bạn thực hiện. Trong ví d�?này chúng tôi s�?chọn Other agreement vì lab này không thực hiện trong bất k�?chương trình đăng ký nào. Kích Next.

Hình 18

10. Trong trang License Program, bạn hãy nhập vào Agreement number. Trong ví d�?này chúng tôi nhập vào s�?đơn giản 1234567. Kích Next.

Hình 19

11. Trong trang Product Version and License Type, bạn hãy chọn Product version, License type và Quantity tương ứng với những nhu cầu cho môi trường của bạn. Trong cài đặt lab này, chúng tôi đang s�?dụng Windows Server 2008 Terminal Servers, chính vì vậy s�?chọn Windows Server 2008. Do s�?dụng các CAL người dùng trong mạng ví d�?này nên chúng tôi chọn Windows Server 2008 TS Per User CAL. Nhập vào 50 trong hộp văn bản Quantity và kích Next.

Hình 20

12. Kích Finish trong trang Completing the Install Licenses Wizard

Cài đặt Desktop Experience trên Terminal Server (tùy chọn)

Khi Windows Vista clients kết nối với Windows Server 2008 Terminal Server, chúng có th�?có những cảm nhận desktop giống như Vista trong session của Terminal Services nếu bạn cài đặt tùy chọn Desktop Experience trên Terminal Server.

Thực hiện các bước dưới đây đ�?cài đặt Desktop Experience Feature cho Terminal Server:

1. Trong trang Select Features, bạn hãy tích vào hộp kiểm Desktop Experience, sau đó kích Next.

Hình 21

2. Kích Install trong trang Confirm Installation Selections

3. Trong trang Installation Results, bạn hãy đọc các thông tin cảnh báo cần khởi động lại máy đ�?kết thúc cài đặt.

4. Kích Yes trong hộp thoại hỏi bạn muốn khởi động lại máy lúc này không.

5. Đăng nhập với tư cách quản tr�?viên. Cài đặt s�?tiếp tục lại và cần đến một vài phút, do vậy bạn hãy kiên nhẫn.

6. Kích Close trong trang Installation Results, đây là cách hiển th�?rằng cài đặt đã thành công.

Cấu hình ch�?đ�?đăng ký Terminal Services

Chúng ta s�?kết thúc việc cấu hình Terminal Services bằng cách thiết lập Terminal Services Licensing Mode. Thực hiện các bước dưới đây đ�?cấu hình ch�?đ�?này:

1. T�?menu Administrative Tools, bạn hãy kích mục Terminal Services, sau đó kích Terminal Services Configuration.

2. Trong phần panel �?giữa của giao diện điều khiển Terminal Services Configuration, bạn hãy kích đúp vào Terminal Services Licensing mode.

Hình 22

3. Trong hộp thoại Properties, chọn tùy chọn Per User đối với Specify the Terminal Services licensing mode. Chọn Automatically discover license server đối với Specify the license server discovery mode. Kích OK.

Hình 23

4. Kích nút Licensing Diagnosis trong panel bên trái của giao diện điều khiển. Trong phần panel giữa bạn s�?thấy các thông tin chi tiết v�?cấu hình đăng ký cho Terminal Server này.

Hình 24

5. Đóng giao diện điều khiển Terminal Service Configuration

Kết luận

Trong phần 1 của loạt bài gồm hai phần này, chúng tôi đã giới thiệu cách cài đặt các dịch v�?Terminal Server và việc đăng ký Terminal Server trên Terminal Server, tiếp đến chúng tôi đã cấu hình đăng ký Terminal Services, cài đặt Desktop Experience trên Terminal Server và cấu hình ch�?đ�?đăng ký cho máy ch�?cuối. Phần tiếp theo chúng tôi s�?giới thiệu cho các bạn cách cài đặt và cấu hình Terminal Services Gateway và RDP client. Sau đó s�?kết thúc bằng cách tạo kết nối t�?một địa điểm bên ngoài.