Windows Server 2008 { Terminal Services } Gál Tamás v-tagal@microsoft.com rendszermérnök Microsoft Magyarország Somogyi Csaba csaba.somogyi@microsoft.com IT üzemeltetési szakértő Microsoft Magyarország

Tartalom TS 2008 felvezetés Kulcs szerepkörök { Terminal Server } { TS Licensing } { TS Session Broker } { TS Web Access } Alkalmazás publikálás – máshogy Komplex elérés: TS Gateway

{ TS 2008 felvezetés - újdonságok } Sok-sok újdonság (a fő szerepkörökön túl is) TS Manager MMC, TS Configuration MMC 27 shell parancs >70 csoportházirend beállítási lehetőség Remote Desktop Client 6.x Terminal Services EasyPrint

{ TS 2008 felvezetés - TS Manager } TSAdmin.exe helyett TSAdmin.msc Csoportok létrehozása Egyebek Refresh / Search, Disconnect All, Import from Session Broker

{ TS 2008 felvezetés - TS Config.} TSCC.msc helyett TSConfig.msc Távoli szerverek elérése Licensing Diagnosis Csatlakozás Terminal Server farmokhoz

Konfigurációs beállítások az Active Directory-ban Active Directory Users and Computers Active Directory Service Interface (ADSI) ADSI Extension Library: TSUSerEx.Dll Windows Management Instrumentation (WMI) WMI Provider: TsCfgWMI.dll WbemTest.exe

TS 2008 és a csoportházirendek Tartományi környezetben optimális megoldás az egységesítésre 54 számítógépekre érvényesülő szabály 20 felhasználókra érvényesülő szabály Ütköző beállítások feloldási sorrendje: Session > csoportházirend > ADUC > TS Config

{ TS Licensing } 120 napunk van tesztelni  Eszköz vagy felhasználó alapú, a döntés a környezettől függ Legyen hibatűrő! Több licence szerver megosztott CAL-okkal. Active Directory-ban behirdetve (TS Licence Servers biztonsági csoport) Aktív-passzív licence szerver

{ A TS felügyeleti eszközei } demó

Biztonsági fejlesztések Előzetes azonosítás (RDP 6.x-es kliens és szerver kell hozzá) A session csak sikeres azonosítás esetén jön létre Single Sign-On Csak tartományban működik Csak Vista és Windows Server 2008 között Csoportházirendben név szerint megadott szerverekre

RDP kliens fejlesztések Csak egy gyors lista Osztott monitor ClearType Aero élmény Hálózati forgalom prioritás (70:30) Átirányítás Printer Eszközök (diszk, soros port, PnP) Időzóna Smart card stb.

{ Az RDP kliens} demó

Nyomtatási fejlesztések Nyomtatás helyi driver-ekkel Csak az alapértelmezett nyomtató megy át (csoportházirend) A nyomtató csak az adott session-ben látszik Sávszélesség korlátozás TS EasyPrint

{ TS EasyPrint } Előfeltétel: RDP 6.1 + .NET 3.0

A { Session Broker } Adatbázisra épülő terheléselosztási / erőforrás optimalizálási megoldás A szükséges szerepkör: TS Session Broker szolgáltatás A kiszolgálók egy Session Broker farm részei – az első kiszolgálóval definiálhatom a farmot A további kiszolgálók extra szolgáltatás nélkül csatlakozhatnak A terhelés elosztást első körben a DNS, a második körben az adatbázis vezérli

Két fontos szereplő Alkalmazás publikálás (Remote App) Miért adjunk távoli asztalt, ha elég egy alkalmazás ablak is? .rdp, .msi fájlokkal vagy Web Access-en keresztül érhető el { TS Web Access } Önálló szerepkörré nőtt az IIS-ből Fontos szereplő a „Bárhonnét tudok dolgozni” című darabban Céges arculatot is kaphat

{ Alkalmazás publikálás} { TS Web Access} demó

{ Komplex elérés: TS Gateway } Mire fogjuk használni? TSG architektúra TSG <> NAP, TSG <> ISA Hibakeresés, problémamegoldás

{ Mire fogjuk használni? } RDP over HTTPS Nincs szükség az RDP portra, a VPN-re, stb. A TS RA / WA „kisérője” is lehet (remote access portál) A hozzáférés { széleskörű } szabályzása Connection Authorization Policies és Resource Authorization Policies Kevesebb aggódás az RDP publikálás miatt

{ Hogyan fogjuk használni? } Szerepkör-rész (role service) Önállóan telepíthető (a Terminal Services komponens nem kell hozzá) Az IIS7, az RPC over HTTP Proxy és az NPS viszont igen > Server Manager Tanúsítvány (lásd később)! Kompatibilitás Tűzfalak, NAT szerverek, NAP Használható a WS03 TS-sel is

{ TSG architetúra } A TS szerver (vagy egy RDP host) a tűzfal mögött van HTTPS-t használunk a tűzfalon keresztül AD / NAP ellenőrzés a kapcsolat kiépítése előtt Több TSG > NLB AD / NAP TS Gateway (WS08) AD / NAP ellenőrzés RDC 6.x kliens - Minimum XP SP2 HTTPS kapcsolat indítása a TS Gateway felé RDP over HTTPS a TSG felé RDP 3389 a TS / host gép felé Host gépek Internet Terminálszerver(ek) MS IT implementáció: http://tinyurl.com/2f38v4

{ Connection Authorization Policies } Feltételek a kapcsolódáshoz Hitelesítés típusa? Felhasználók? Számítógépek?

{ Connection Authorization Policies } Feltételek a kapcsolódáshoz Átirányítás? Típusa?

{ Resource Authorization Policies } Feltételek az erőforrásokhoz Mely / milyen gépcsoportokat? Mely portokon?

{ A TSG üzembehelyezése } demó

{ TSG <> NAP } A biztonság bővítése A TSG NAP beállítás lépései A kliens egészségi állapotának ellenőrzése egyszerűen megoldható A TSG NAP beállítás lépései Az ellenőrzés engedélyezése a TSG Manager-ben A megfelelő TS CAP-ok elkészítése Windows Security Health Validator beállítása a TSG szerveren A NAP varázslóval a vonatkozó házirend elkészítése Step by Step útmutató http://go.microsoft.com/fwlink/?LinkID=85872

{ TSG <> ISA 2004 / 2006 } Fokozott biztonság ISA 2006 / ISA 2004 SP3 (csak WS03-on) Lehetséges forgatókönyvek SSL bridging (Web proxy) A TSG a privát hálózatban, az ISA a külső kliens és a TSG között figyel, ellenőríz és szűr Tűzfal és SSL bridging A TSG a privát hálózatban vagy a DMZ-ben, port és csomag szűrés is + ua. mint az elsőnél Tűzfal TSG a DMZ-ben, az ISA tűzfalként portszűrést (csak 443) végez > Server publishing

{ TSG <> ISA 2004 / 2006 }

{ TSG <> ISA 2004 / 2006 } Kétfajta kapcsolat a TSG és az ISA között HTTPS-HTTPS bridging: maximális védelem HTTPS-HTTP bridging: az ISA HTTP-t küld vissza L7 szűrés > ISA * Step by Step Guide > lásd előző dia

{ Hibakeresés, problémamegoldás } Tanúsítvány beszerzési lehetőségek Saját: egyszerű, UI-ról generálható, de manuálisan kell terjeszteni (Trusted Root CA-ként is) Belső: saját PKI rendszer, kicsit (?) komplikáltabb, terjesztés csoportházirenddel Külső: költsége van, de nincs manuális telepítés + lehetséges egy wildcard tanúsítványt használni az összes TS szolgáltatáshoz Követelmények Egyező CN mező ISA publikálás esetén a privát kulccsal ellátott tanúsítvány szükséges

{ Hibakeresés, problémamegoldás } Naplózás szintje állítható (Auditing) TSG Manager Online követhető a használat Saját esemény- napló Rpcping.exe

{ A TSG dolgozik } demó

{ Kezdés 15:05-kor }