Windows Server 2008 { Terminal Services }

Windows Server 2008

{ Terminal Services }Gál Tamásv-tagal@microsoft.comrendszermérnökMicrosoft Magyarország

Somogyi Csabacsaba.somogyi@microsoft.comIT üzemeltetési szakértőMicrosoft Magyarország

Tartalom

TS 2008 felvezetésKulcs szerepkörök

{ Terminal Server }{ TS Licensing }{ TS Session Broker }{ TS Web Access }

Alkalmazás publikálás – máshogyKomplex elérés: TS Gateway

{ TS 2008 felvezetés - újdonságok }

Sok-sok újdonság(a fő szerepkörökön túl is)TS Manager MMC, TS Configuration MMC27 shell parancs>70 csoportházirend beállítási lehetőségRemote Desktop Client 6.xTerminal Services EasyPrint

{ TS 2008 felvezetés - TS Manager }

TSAdmin.exe helyett TSAdmin.msc Csoportok létrehozásaEgyebek

Refresh / Search, Disconnect All, Import from Session Broker

{ TS 2008 felvezetés - TS Config.}

TSCC.msc helyett TSConfig.msc

Távoli szerverek eléréseLicensing DiagnosisCsatlakozás Terminal Server farmokhoz

Konfigurációs beállítások az Active Directory-ban

Active Directory Users

and Computers

Active Directory Service

Interface (ADSI)

ADSI Extension Library:

TSUSerEx.Dll

Windows Management

Instrumentation (WMI)

WMI Provider: TsCfgWMI.dll

WbemTest.exe

TS 2008 és a csoportházirendek

Tartományi környezetben optimális megoldás az egységesítésre

54 számítógépekre érvényesülő szabály20 felhasználókra érvényesülő szabály

Ütköző beállítások feloldási sorrendje:Session > csoportházirend > ADUC > TS Config

{ TS Licensing }

120 napunk van tesztelni Eszköz vagy felhasználó alapú, a döntés a környezettől függLegyen hibatűrő!

Több licence szerver megosztott CAL-okkal. Active Directory-ban behirdetve (TS Licence Servers biztonsági csoport)Aktív-passzív licence szerver

{ A TS felügyeleti eszközei }

demó

Biztonsági fejlesztések

Előzetes azonosítás (RDP 6.x-es kliens és szerver kell hozzá)

A session csak sikeres azonosítás esetén jön létre

Single Sign-OnCsak tartományban működikCsak Vista és Windows Server 2008 közöttCsoportházirendben név szerint megadott szerverekre

RDP kliens fejlesztések

Csak egy gyors listaOsztott monitorClearTypeAero élményHálózati forgalom prioritás (70:30)Átirányítás

PrinterEszközök (diszk, soros port, PnP)IdőzónaSmart card stb.

{ Az RDP kliens}

demó

Nyomtatási fejlesztések

Nyomtatás helyi driver-ekkelCsak az alapértelmezett nyomtató megy át (csoportházirend)A nyomtató csak az adott session-ben látszikSávszélesség korlátozásTS EasyPrint

{ TS EasyPrint }

Előfeltétel: RDP 6.1 + .NET 3.0

A { Session Broker }

Adatbázisra épülő terheléselosztási / erőforrás optimalizálási megoldás

A szükséges szerepkör: TS Session Broker szolgáltatásA kiszolgálók egy Session Broker farm részei – az első kiszolgálóval definiálhatom a farmotA további kiszolgálók extra szolgáltatás nélkül csatlakozhatnakA terhelés elosztást első körben a DNS, a második körben az adatbázis vezérli

Két fontos szereplő

Alkalmazás publikálás (Remote App)Miért adjunk távoli asztalt, ha elég egy alkalmazás ablak is?.rdp, .msi fájlokkal vagy Web Access-en keresztül érhető el

{ TS Web Access }Önálló szerepkörré nőtt az IIS-bőlFontos szereplő a „Bárhonnét tudok dolgozni” című darabbanCéges arculatot is kaphat

{ Alkalmazás publikálás}{ TS Web Access}

demó

{ Komplex elérés: TS Gateway }

Mire fogjuk használni?TSG architektúraTSG <> NAP, TSG <> ISAHibakeresés, problémamegoldás

{ Mire fogjuk használni? }

RDP over HTTPSNincs szükség az RDP portra, a VPN-re, stb.A TS RA / WA „kisérője” is lehet (remote access portál)

A hozzáférés { széleskörű } szabályzásaConnection Authorization Policies és Resource Authorization PoliciesKevesebb aggódás az RDP publikálás miatt

{ Hogyan fogjuk használni? }

Szerepkör-rész (role service)Önállóan telepíthető (a Terminal Services komponens nem kell hozzá)Az IIS7, az RPC over HTTP Proxy és az NPS viszont igen > Server ManagerTanúsítvány (lásd később)!

KompatibilitásTűzfalak, NAT szerverek, NAPHasználható a WS03 TS-sel is

{ TSG architetúra }A TS szerver (vagy egy RDP host) a tűzfal mögött vanHTTPS-t használunk a tűzfalon keresztülAD / NAP ellenőrzés a kapcsolat kiépítése előttTöbb TSG > NLB AD / NAP

HTTPS kapcsolat indítása a TS Gateway felé Host gépek

TS Gateway(WS08)

InternetTerminálszerver(ek)

RDP over HTTPS a TSG felé RDP 3389 a TS / host gép felé

AD / NAP ellenőrzés

RDC 6.x kliens - Minimum XP SP2

MS IT implementáció: http://tinyurl.com/2f38v4

{ Connection Authorization Policies }

Feltételek a kapcsolódáshoz

Hitelesítés típusa?

Felhasználók?

Számítógépek?

{ Connection Authorization Policies }

Feltételek a kapcsolódáshoz

Átirányítás?

Típusa?

{ Resource Authorization Policies }

Feltételek az erőforrásokhoz

Mely / milyen gépcsoportokat?

Mely portokon?

{ A TSG üzembehelyezése }

demó

{ TSG <> NAP }

A biztonság bővítéseA kliens egészségi állapotának ellenőrzése egyszerűen megoldható

A TSG NAP beállítás lépéseiAz ellenőrzés engedélyezése a TSG Manager-benA megfelelő TS CAP-ok elkészítéseWindows Security Health Validator beállítása a TSG szerverenA NAP varázslóval a vonatkozó házirend elkészítése

Step by Step útmutatóhttp://go.microsoft.com/fwlink/?LinkID=85872

{ TSG <> ISA 2004 / 2006 }Fokozott biztonság

ISA 2006 / ISA 2004 SP3 (csak WS03-on)

Lehetséges forgatókönyvekSSL bridging (Web proxy)

A TSG a privát hálózatban, az ISA a külső kliens és a TSG között figyel, ellenőríz és szűr

Tűzfal és SSL bridging A TSG a privát hálózatban vagy a DMZ-ben, port és csomag szűrés is + ua. mint az elsőnél

Tűzfal TSG a DMZ-ben, az ISA tűzfalként portszűrést (csak 443) végez > Server publishing

{ TSG <> ISA 2004 / 2006 }

{ TSG <> ISA 2004 / 2006 }

Kétfajta kapcsolat a TSG és az ISA között

HTTPS-HTTPS bridging: maximális védelemHTTPS-HTTP bridging: az ISA HTTP-t küld vissza

L7 szűrés > ISA

* Step by Step Guide > lásd előző dia

{ Hibakeresés, problémamegoldás }

Tanúsítvány beszerzési lehetőségekSaját: egyszerű, UI-ról generálható, de manuálisan kell terjeszteni (Trusted Root CA-ként is)Belső: saját PKI rendszer, kicsit (?) komplikáltabb, terjesztés csoportházirenddelKülső: költsége van, de nincs manuális telepítés + lehetséges egy wildcard tanúsítványt használni az összes TS szolgáltatáshoz

KövetelményekEgyező CN mezőISA publikálás esetén a privát kulccsal ellátott tanúsítvány szükséges

{ Hibakeresés, problémamegoldás }

Naplózás szintje állítható (Auditing)TSG Manager

Online követhető a használat

Saját esemény-naplóRpcping.exe

{ A TSG dolgozik }

demó

{ Kezdés 15:05-kor }