Dacă eliminați toate învelișul strălucitor și pleavă, apoi sensul specialistului IT va fi foarte clar și ușor de înțeles: principala provocare IT este de a crea, gestiona și accesul securizat la aplicații de afaceri și de date. Totul altceva - instalarea pachetelor de corecții, căutarea de depanare, suportul utilizatorului - este subordonată principalei sarcini. Atât un specialist IT de la o întreprindere mare, cât și un cric de toate meseriile dintr-o companie mică sunt plătiți, de fapt, pentru un singur lucru - pentru a asigura securitatea datelor și buna funcționare a aplicațiilor.
De aceea, tehnologia de la distanță (RDS) reprezintă o soluție excelentă pentru rezolvarea acestei probleme. Utilizarea Remote Desktop devine metoda standard pentru furnizarea accesului omniprezent și securizat la aplicație de oriunde din rețea.
Ce avem nevoie
Pentru a începe, aveți nevoie de două servere. Una dintre ele ar trebui să fie echipată cu un procesor puternic și memorie volumetrică (cifrele exacte vă sugerez să vă determinați). Un astfel de server puternic va fi o gazdă RDS, sau RDSH (Remote Desktop Session Host). Acesta va instala aplicații care trebuie să fie accesate de utilizatori, deci, printre altele, trebuie să aibă suficiente resurse pentru a sprijini multe conexiuni simultane ale utilizatorilor acestor aplicații.
Al doilea Serverul nu are nevoie la fel de multă putere ca el va juca rolul unui Gateway Remote Desktop (Desktop Gateway Remote, RDG), și să lucreze ca un fel de proxy între conexiuni „externe“ de pe Internet și cel RDSH-server „intern“. Munca ca gateway este mult mai puțin intensă, astfel încât acest server poate fi alocat în mod semnificativ mai puține resurse.
Când pregătiți un server RDG pe un paravan de protecție, va trebui să deschideți un singur port între Internet și serverul RDG. Deschiderea 443 de TCP permite clienților externi să se conecteze la serverul-RDG, care va acționa ca un gateway de securitate, transmiterea clienților de trafic protejat de RDSH (de obicei, prin portul TCP 3389) (vezi. Fig. 1).
Fig. 1. Serverul RDG acționează ca un gateway de securitate între clienții Internet și gazda RDSH
A treia componentă este un certificat SSL cu numele gateway-ului, mai accesibil de pe Internet de către FQDN-ul serverului RDG. Aveți dreptul de a crea un astfel de certificat gratuit, folosind built-in de certificat Microsoft Services, dar este mai bine să-și petreacă aproximativ 30 $ pe an pentru un certificat publică emis de o autoritate de încredere, deoarece acest lucru simplifică foarte mult punerea în aplicare. În acest exemplu, certificatul este legat de serverul server1.contoso.com.
Instalarea serverului RDSH
În timpul instalării RDSH, trebuie să configurați patru parametri importanți:
După ce ați primit răspunsurile, instalatorul va instala RDSH pe server # 92; server2. Apoi, trebuie să instalați suita Microsoft Office. Rețineți că instalarea aplicațiilor pe serverul RDSH necesită un pas suplimentar care nu este prezent în instalarea normală. În Panoul de control, localizați intrarea "Instalare aplicație pe serverul de la distanță", unde introduceți calea către fișierul de instalare Office și așteptați să se finalizeze instalarea în cadrul Panoului de control.
Instalarea gateway-ului Desktop la distanță
Instalând serverul RDSH, îl puteți deschide pentru a accesa clienții Internet. Mai întâi trebuie să instalați certificatul SSL achiziționat pe server # 92; server1. Procesul de obținere a acestui certificat este determinat de editorul său, dar în final certificatul trebuie instalat în magazinul personal al certificatelor de calculator (dar nu în magazinul personal al utilizatorului).
Fig. 2. Configurarea certificatelor pentru RDG
După instalarea certificatului, instalați rolul Remote Desktop Services pe server # 92; server1, dar de data aceasta cu serviciul Remote Desktop Gateway. Așa cum se poate vedea în fig. 2. Acest proces de configurare este mult mai complicat decât configurarea RDSH, dar totuși se ajunge la patru lucruri:
- Certificat de autentificare server. Dacă ați instalat corect certificatul SSL în memoria personală a computerului local, acesta va apărea în câmpul corespunzător (a se vedea Figura 2).
- Grupuri de utilizatori pentru Gateway RD. Grupuri de utilizatori cărora li se permite să se conecteze la resurse interne prin intermediul acestui server RDG.
- Politica RD CAP (Politica de autentificare la distanță) determină ce mecanisme sunt folosite pentru a autentifica utilizatorii la gateway-ul RDG.
- RD RAP (Politica de autentificare la distanță Desktop) determină ce resurse interne pot fi accesate de către utilizatorii care se conectează prin RDG.
Configurarea Outlook RemoteApp
Pentru mulți administratori, universali, aici începe complexitatea. Următorul pas de configurare este efectuat pe serverul RDSH unde trebuie să creați o configurație RemoteApp pentru Microsoft Outlook. În acesta, trebuie să specificați toate informațiile necesare, astfel încât clienții externi să se poată conecta la serverul RDG prin Internet.
Fig. 3. Configurarea setărilor RDG pe serverul RDSH
Următorul pas este definirea serverului RDG la care se vor conecta clienții Internet. Faceți clic pe butonul Schimbare de lângă Setări Gateway RD - fereastra prezentată în Fig. 3. Aici puteți specifica numele serverului dvs. RDG, precum și metoda de autentificare în sistem. Rețineți că o casetă de selectare este deja selectată. Oferă ceva asemănător unui semn unic atunci când utilizatorii intră în acreditări o singură dată și obțin acces la RDG și RDSH. Cea de-a doua căsuță permite conectarea utilizatorilor rețelei locale, ocolind serverul RDG. Întrucât utilizatorii din rețeaua locală nu au nevoie de protecție suplimentară furnizată de serverul RDG, selectarea acestei casete permite conectarea directă la RDSH. Asigurați-vă că ambele casete de selectare sunt selectate și faceți clic pe OK.
Configurarea setărilor RDG pe serverul RDSH Pasul final al acestui exemplu este crearea unui fișier de conexiune Outlook pentru utilizatori. Pentru aceasta, faceți clic pe Outlook RemoteApp și selectați Creare fișier .rdp, apoi faceți clic pe Următorul și Finalizați. În dosarul C: # 92; Program Files # 92; Programe ambalate va fi un fișier cu extensia .rdp, care poate fi distribuit utilizatorilor. Pentru a vă conecta la Outlook prin intermediul Internetului, utilizatorii vor trebui doar să faceți dublu clic pe fișier și să introduceți acreditările.
Un alt mesaj și încă un certificat
După finalizarea configurării și dublu clic pe conexiunea RDP la Outlook, veți vedea un mesaj de eroare (Figura 4). Din punct de vedere tehnic, aceasta nu este o eroare, deși acest mesaj adesea confundă utilizatorii. Este necesară autentificarea suplimentară a fișierului RDP de către clientul de la distanță, înainte de a rula acest fișier. Este necesară autentificarea suplimentară a fișierului RDP de către clientul de la distanță, înainte de a rula acest fișier. Ca și înainte, problema este rezolvată prin semnarea unui fișier RDP cu un certificat, iar acesta poate fi același certificat utilizat la instalarea RDG.
Fig. 4 Mesaj de eroare client desktop la distanță indicând faptul că un alt certificat SSL public este necesar pe fiecare server RDSH
Pentru a scăpa de mesajul de eroare, instalați certificatul RDG în magazinul personal al certificatelor serverului RDSH, apoi reveniți la nodul RemoteApp Manager din Managerul de Server. Faceți clic pe butonul Schimbare de lângă Setările de semnătură digitală. În fereastra care se deschide, bifați caseta Sign with a digital certificate și faceți clic pe butonul Change. Dacă ați instalat corect certificatul în magazinul personal al computerului local, certificatul va fi afișat în listă. Apoi, reconstruiți fișierul RDP pentru Outlook.
Drept urmare, mesajul de eroare se va transforma într-o întrebare dacă utilizatorul are încredere în editorul acestui program RemoteApp. Dacă utilizatorul este de acord, este suficient să faceți clic pe butonul Conectare, înainte ca acesta să poată verifica caseta astfel încât mesajul să nu mai apară din nou.
Aici, de fapt, și toate instrucțiunile pentru a oferi acces de pe Internet la programul intern Outlook dimensiune de puțin sub 2 mii de cuvinte. Evident, în RDS există mult mai multe opțiuni pentru configurarea și protejarea mediului. Dar acest exemplu simplu este doar începutul pe calea cea mare spre accesul omniprezent și sigur la aplicații.
Trimiteți-le prietenilor: