2022年配置TS网关核心 .pdf

《2022年配置TS网关核心 .pdf》由会员分享，可在线阅读，更多相关《2022年配置TS网关核心 .pdf（29页珍藏版）》请在淘文阁 - 分享文档赚钱的网站上搜索。

1、配置TS 网关核心方案更新时间: 2008年6月应用到: Windows Server 2008 若要成功设置和演示本指南举例介绍的TS 网关核心方案，需要执行以下步骤。可以按照本方案配置TS 网关服务器， 以使远程用户可以通过TS 网关服务器， 从Internet 访问内部网络资源。在本方案中，内部网络资源可以是终端服务器、运行RemoteApp 程序的终端服务器或启用了远程桌面的计算机。1.建议设置三台计算机来评估本方案。这三台计算机分别为：TS 网关服务器（在本示例中称为“ TSGSERVER ”）终端服务客户端（在本示例中称为“ TSCLIENT ”）内部网络资源（在本示例中称为“ C

2、ORPORATERESOURCE”）计算机必须满足TS 网关核心方案的系统要求中介绍的系统要求。2.遵照 为TS 网关核心方案配置TS 网关服务器的步骤中的说明配置TS 网关服务器。3.遵照 为TS 网关核心方案配置终端服务客户端的步骤中的说明配置终端服务客户端。4.配置内部网络资源。5.遵照 验证通过TS 网关建立的端对端连接是否运行正常中的说明， 演示终端服务客户端可以通过TS 网关服务器连接到内部网络资源。TS 网关核心方案的系统要求在TS 网关核心方案中使用的三台计算机必须满足以下系统要求。计算机所需的配置TS 网关服务器(TSGSERVER) Windows Server 2008。

3、可以从Windows Server(R) 2003 Service Pack 1 (SP1) 或 Windows Server 2008 进行安装升级。有关详细信息，请参阅“ 安装Windows Server 2008 ”( http:/ )（可能为英文网页）中的“ 支持的升级路径” 。名师资料总结 - - -精品资料欢迎下载 - - - - - - - - - - - - - - - - - - 名师精心整理 - - - - - - - 第 1 页，共 29 页 - - - - - - - - - 终端服务客户端(TSCLIENT) Windows Vista SP1 或 Windows X

4、P Service Pack 3 (SP3) Beta 或 Windows XP SP3 Release Candidate (RC)。Windows Vista。可以从带有Service Pack 2 (SP2) 的Windows XP 进行安装升级。Windows XP SP2 和 Remote Desktop Connection (RDC) 6.0。若要下载RDC 6.0 ，请参阅Microsoft 知识库中的文章 925876 (http:/ Server 2008。可以进行安装升级。带有 SP1 的 Windows Server 2003 或带有SP2 和RDC 6.0 的 Win

5、dows Server 2003。内部网络资源(CORPORATERESOURCE) 对于启用了远程桌面的计算机：Windows Vista SP1 或 Windows XP SP3 Beta 或Windows XP SP3 RC。Windows Vista。此安装可以是从带有SP2 的 Windows XP 的升级。带有 SP2 的 Windows XP。带有 SP1 的 Windows Server 2003 或带有SP2 的Windows Server 2003。对于终端服务器：Windows Server 2008。可以进行安装升级。带有 SP1 的 Windows Server 20

6、03 或带有SP2 的Windows Server 2003。名师资料总结 - - -精品资料欢迎下载 - - - - - - - - - - - - - - - - - - 名师精心整理 - - - - - - - 第 2 页，共 29 页 - - - - - - - - - 设置TS 网关核心方案下图展示了TS 网关的核心方案。备注本设置指南中的步骤介绍了如何设置核心TS 网关方案，以便通过TS 网关服务器从终端服务客户端远程访问内部网络资源。本指南未介绍如何设置图表中展示的防火墙、运行 RemoteApp 程序的终端服务器或Active Directory 基础结构。在生产环境下有许多方

7、法可以实现TS 网关核心远程访问方案，该图表提供了其中的一种方法。有关如何设置终端服务器的信息，请参阅帮助主题“终端服务器”( http:/ 程序的信息， 请参阅“ Windows Server 2008 终端服务RemoteApp 循序渐进指南”( http:/ Server 2008 帮助中的主题“使用远程桌面”。TS 网关核心方案的连接次序下面简要介绍了TSCLIENT 通过TSGSERVER 连接到CORPORATERESOURCE 时遵循的次序。1.终端服务客户端(TSCLIENT) 上的用户可以通过执行以下任一操作来启动连接：单击管理员已配置的RDP 文件来访问用户自己的完整桌面。

8、单击RemoteApp 程序图标。RemoteApp 程序表示为一个管理员已配置的RDP 文件。名师资料总结 - - -精品资料欢迎下载 - - - - - - - - - - - - - - - - - - 名师精心整理 - - - - - - - 第 3 页，共 29 页 - - - - - - - - - 访问网站（通过Internet 或通过intranet）以访问管理员使用终端服务Web 访问(TS Web 访问) 提供的RemoteApp 程序的列表，然后单击RemoteApp 程序图标。打开远程桌面连接客户端并手动指定该连接的相应设置。2.使用TS 网关服务器的SSL 证书在TS

9、CLIENT 和TSGSERVER 之间建立SSL 隧道。TSGSERVER 必须首先根据管理员在TSGSERVER 上配置的终端服务连接授权策略(TS CAP) 对用户进行身份验证和授权，然后才能在TSCLIENT 和TSGSERVER 之间建立连接。3.成功完成身份验证和授权后，TSGSERVER 会向TSCLIENT 发出信号以继续按次序建立连接。4.TSCLIENT 请求通过TSGSERVER 连接到CORPORATERESOURCE。在授权该请求之前，TSGSERVER 会针对在TSGSERVER 上配置的至少一个终端服务资源授权策略(TS RAP) 验证是否同时满足以下两个条件：C

10、ORPORATERESOURCE 是在TS RAP 中指定的计算机组的成员；并且该用户是在TS RAP 中指定的用户组的成员。如果同时满足这两个要求，TSGSERVER 将授权该请求。5.在TSCLIENT 和TSGSERVER 之间建立SSL 连接，并在TSGSERVER 和CORPORATERESOURCE 之间建立RDP 连接。从这一刻起，TSCLIENT 发送至TSGSERVER 的所有数据包都将转发至CORPORATERESOURCE， 同时CORPORATERESOURCE 发送至TSGSERVER 的所有数据包也将转发至TSCLIENT。6.TSCLIENT 将尝试在CORPOR

11、ATERESOURCE 上创建用户会话。CORPORATERESOURCE 执行Windows 身份验证，以验证请求连接的用户的身份，以及该用户对CORPORATERESOURCE 拥有的权限。（TSCLIENT 请求不使用TSGSERVER 远程连接到CORPORATERESOURCE 时，同样应遵循上述这些步骤。）7.TSCLIENT 通过端口443 与TSGSERVER 交换封装在SSL 内的加密RDP 数据包。TSGSERVER 通过端口3389 将RDP 数据包转发至CORPORATERESOURCE。名师资料总结 - - -精品资料欢迎下载 - - - - - - - - - -

12、- - - - - - - - 名师精心整理 - - - - - - - 第 4 页，共 29 页 - - - - - - - - - 为TS 网关核心方案配置TS 网关服务器的步骤若要配置TS 网关服务器，请完成以下任务。任务参考文档 / 循序渐进指南1. 安装TS 网关角色服务。安装TS 网关角色服务2. 为 TS 网关服务器获取证书。为 TS 网关服务器获取证书3. 为 TS 网关服务器配置证书。为 TS 网关服务器配置证书4. 创建终端服务连接授权策略(TS CAP) 。创建TS CAP5. 创建终端服务资源授权策略(TS RAP) 。创建TS RAP6. 限制通过TS 网关同时建立连

13、接的最大连接数（可选）。限制通过TS 网关同时建立连接的最大连接数1. 安装TS 网关角色服务遵照以下步骤来安装TS 网关角色服务。在角色服务安装过程中，可以选择现有证书（或创建新的自签名证书），也可以创建TS CAP 和TS RAP。安装TS 网关角色服务的步骤1.打开服务器管理器。要打开“服务器管理器”，请单击“开始”，指向“管理工具”，然后单击“服务器管理器”。2.如果未安装“终端服务”角色，请执行下列操作：a.在服务器管理器中的“角色摘要”下，单击“添加角色”。b.在“添加角色向导”中，如果显示“开始之前”页，请单击“下一步”。如果已安装了其他角色并且选中了“默认情况下将跳过此页”复选

14、框，则不会出现此页。c.在“选择服务器角色”页上的“角色”下，选中“终端服务”复选框，然后单击“下一步”。d.在“终端服务”页上，单击“下一步”。e.在“选择角色服务”页上的“角色服务”列表中，选中“ TS 网关”复选框。f.如果系统提示您指定是否要安装TS 网关所需的其他角色服务，请单击“添加必需的角色服务”。g.在“选择角色服务”页上，确认已选中TS 网关，然后单击“下一步”。名师资料总结 - - -精品资料欢迎下载 - - - - - - - - - - - - - - - - - - 名师精心整理 - - - - - - - 第 5 页，共 29 页 - - - - - - - - -

15、 如果已安装“终端服务”角色，请执行下列操作：h.在“角色摘要”下，单击“终端服务”。i.在“角色服务”下，单击“添加角色服务”。j.在“选择角色服务”页上，选中“ TS 网关”复选框，然后单击“下一步”。k.如果系统提示您指定是否要安装TS 网关 必需的其他角色服务，请单击“添加必需的角色服务”。l.在“选择角色服务”页上，单击“下一步”。3.在“选择SSL 加密的服务器身份验证证书”页上，指定是为SSL 加密选择现有证书（推荐），或为SSL 加密创建自签名证书，还是以后再为SSL 加密选择证书。如果正在安装尚未获得证书的新服务器，则请参阅为TS 网关服务器获取证书，了解有关证书要求以及如何

16、获取并安装证书的信息。在“为SSL 加密选择现有证书（推荐）”选项下，只有适合TS 网关角色服务并且具有特定用途（服务器身份验证）和增强型密钥用法(EKU) 服务器身份验证(1.3.6.1.5.5.7.3.1) 的证书将出现在证书列表中。如果选择此选项，单击“导入”，然后导入不符合这些要求的新证书，导入的证书不会出现在列表中。4.在“为TS 网关创建授权策略”页上，指定是在安装TS 网关角色服务过程中还是在安装之后创建授权策略（TS CAP 和TS RAP）。如果选择“以后”，则按照 创建TS CAP中的过程创建此策略。如果选择“现在”，则执行下列操作：a.在“选择可以通过TS 网关连接的用户

17、组”页上， 单击“添加”指定其他用户组。 在“选择组”对话框中，指定用户组的位置和名称，然后根据需要单击“确定”，以检查名称和关闭“选择组”对话框。b.若要指定多个用户组，请执行以下两个操作之一：键入每个用户组的名称，用分号分隔每个组的名称；或通过对每个组重复该步骤的第一个操作来添加不同域中的其他组。c.指定完其他用户组之后，在“选择可以通过TS 网关连接的用户组”页上，单击“下一步”。名师资料总结 - - -精品资料欢迎下载 - - - - - - - - - - - - - - - - - - 名师精心整理 - - - - - - - 第 6 页，共 29 页 - - - - - - -

18、- - d.在“为TS 网关创建TS CAP ”页上，接受TS CAP 的默认名称(TS_CAP_01) 或指定新名称，选择一个或多个受支持的Windows 身份验证方法，然后单击“下一步”。e.在“为TS 网关创建TS RAP ”页上，接受TS RAP 的默认名称(TS_RAP_01) 或指定一个新名称，然后执行以下任一操作：指定仅允许用户连接到一个或多个计算机组中的计算机， 然后指定计算机组；或指定用户可以连接到网络中的任何计算机。单击“下一步”。5.在“网络策略和访问服务”页上（如果尚未安装此角色服务，则出现该页），查看摘要信息，然后单击“下一步”。6.在“选择角色服务”页上，验证是否已

19、选中“网络策略服务器”，然后单击“下一步”。7.在“ Web 服务器(IIS)”页上（如果尚未安装此角色服务，则出现该页），查看摘要信息，然后单击“下一步”。8.在“选择角色服务”页上，接受“ Web 服务器(IIS)”的默认选择，然后单击“下一步”。9.在“确认安装选项”页上，确认将安装下列角色、角色服务和功能：终端服务TS 网关网络策略和访问服务网络策略服务器Web 服务器(IIS)Web 服务器管理工具RPC Over HTTP 代理Windows 进程激活服务进程模型配置API 单击“安装”。在“安装进度”页上，将注明安装进度。如果其中任何角色、角色服务或功能已安装，将只注明正在安装的

20、新角色、角色服务或功能的安装进度。在“安装结果”页上，确认这些角色、角色服务和功能的安装已成功，然后单击“关闭”。名师资料总结 - - -精品资料欢迎下载 - - - - - - - - - - - - - - - - - - 名师精心整理 - - - - - - - 第 7 页，共 29 页 - - - - - - - - - 验证角色服务安装已成功和TS 网关服务状态使用以下过程来验证TS 网关角色服务及从属的角色、角色服务和功能是否已正确安装并且正常运行。验证安装已成功的步骤1.打开服务器管理器。要打开“服务器管理器”，请单击“开始”，指向“管理工具”，然后单击“服务器管理器”。2.在控

21、制台树中，展开“角色”，然后双击“终端服务”。3.在“终端服务”摘要页上的“系统服务”区域中， 验证终端服务网关的状态是否为“正在运行”，并且启动类型设置是否为“自动”。4.关闭服务器管理器。5.打开Internet 信息服务(IIS) 管理器。若要打开IIS 管理器，请单击“开始”，指向“管理工具”，然后单击“ Internet 信息服务(IIS)管理器”。6.在控制台树中， 展开 TS Gateway_Server_Name站点默认网站 ， 然后单击“默认网站”。7.右键单击“默认网站”，指向“管理网站”，然后单击“高级设置”。8.在“高级设置”对话框中的“常规”下，验证“自动启动”是否设

22、置为True。如果未设置为True，则单击下拉箭头以显示列表，然后单击True。9.单击“确定”。10.关闭IIS 管理器。2. 为TS 网关服务器获取证书本部分假定您了解证书信任链、证书签名以及常规证书配置原则。有关Windows Server 2008 中的PKI 配置的信息， 请参阅ITPROADD-204: Windows Vista 和Windows Server 2008 中的PKI 增强功能( http:/ Server 2003 中的PKI 配置的信息，请参阅公钥基础结构( http:/ 1.0 来加密终端服务客户端与TS 网关服务器之间通过Internet 进行的通信。TLS

23、 是一个标准协议，有助于确保Internet 或Intranet 上的Web 通信的安全。TLS 是SSL 协议的最新且最安全的版本。有关TLS 的详细信息，请参阅：Windows Server 2003 中的SSL/TLS ( http:/ - - -精品资料欢迎下载 - - - - - - - - - - - - - - - - - - 名师精心整理 - - - - - - - 第 8 页，共 29 页 - - - - - - - - - RFC 2246：TLS 协议版本1.0 ( http:/ 网关服务器上安装与SSL 兼容的X.509 证书。TS 网关的证书要求TS 网关的证书必须满

24、足以下要求：除非使用的是通配符证书或SAN 属性的证书，否则，服务器证书主题行中的名称（证书名称或CN）必须与客户端连接到TS 网关服务器时使用的DNS 名称匹配。如果您的组织通过企业证书颁发机构(CA) 颁发证书，则必须配置证书模板，以便在证书请求中提供相应名称。如果您的组织通过独立CA 颁发证书，则不必这样做。备注如果使用的SAN 属性的证书，则连接到TS 网关服务器的客户端必须运行Remote Desktop Connection (RDC) 6.1。（ RDC 6.1 6.0.6001 支持 Remote Desktop Protocol 6.1。）Windows Server 200

25、8、Windows Vista SP1、Windows XP SP3 Beta 和Windows XP SP3 RC 中均包含RDC 6.1 。证书是计算机证书。证书的指定用途是服务器身份验证。扩展密钥用法(EKU) 是服务器身份验证(1.3.6.1.5.5.7.3.1)。证书具有相应的私钥。证书未过期。我们建议证书自安装之日起，具有一年的有效期。不需要证书对象标识符（也称为OID）2.5.29.15。但是，如果计划使用的证书包含对象标识符2.5.29.15，则仅还在同时设置至少下列密钥用法值之一的情况下，才可以使用该证书：CERT_KEY_ENCIPHERMENT_KEY_USAGE、CER

26、T_KEY_AGREEMENT_KEY_USAGE、和CERT_DATA_ENCIPHERMENT_KEY_USAGE。有关这些值的详细信息，请参阅高级证书注册和管理( http:/ - - -精品资料欢迎下载 - - - - - - - - - - - - - - - - - - 名师精心整理 - - - - - - - 第 9 页，共 29 页 - - - - - - - - - 证书在客户端上必须是可信的。即，为TS 网关服务器证书签名的CA 的公用证书必须位于客户端计算机上的受信任根证书颁发机构存储中。使用现有证书如果已有一个证书，则可以对TS 网关服务器重复使用该证书，条件是该证书：

27、由参与Microsoft 根证书程序成员计划的任一受信任公用CA 颁发Microsoft 知识库文章931125 中列出了这些CA ( http:/ 网关服务器的证书要求。如果Microsoft 根证书程序成员计划不信任该证书（例如，如果在TS 网关服务器上创建并安装了自签名证书，但没有手动将该证书配置为信任终端服务客户端计算机），则当客户端尝试通过TS 网关服务器建立连接时，将出现一条警告，表明您没有受信任的证书，进而连接失败。为了防止出现此错误，在客户端尝试通过TS 网关服务器建立连接之前，应先将该证书安装到客户端计算机上的计算机证书存储中。证书安装和配置过程概述为TS 网关服务器获取、安

28、装和配置证书的过程涉及以下步骤：1. 通过执行以下任一操作为TS 网关服务器获取证书：如果您的公司有一个独立CA 或企业CA，并且该CA 配置为颁发满足TS 网关要求的与SSL 兼容的X.509 证书，则可以通过多种方式生成并提交证书请求，具体方式取决于组织CA 的策略和配置。获取证书的方法包括：从“证书”管理单元启动自动注册。使用证书申请向导申请证书。通过Web 申请证书。备注如果有Windows Server 2003 CA，请注意， Windows Server 2003 证书服务Web 注册功能依赖于名为Xenroll 的 ActiveX 控件。 Microsoft Windows 2

29、000、Windows Server 2003 和Windows XP 中可以使用此ActiveX 控件。但是，Windows Server 2008 和 Windows Vista 中已弃用Xenroll。Windows Server 2003 原始发行版、 Windows Server 2003 Service Pack 1 (SP1) 和 Windows Server 2003 Service Pack 2 (SP2) 附带的示例证书注册网页不能用于更改Windows Server 2008 和 Windows Vista 执行基于Web 的证书注册操作的方式。有关解决此问题可以执行的步

30、骤的信息，请参阅Microsoft 知识库文章922706 名师资料总结 - - -精品资料欢迎下载 - - - - - - - - - - - - - - - - - - 名师精心整理 - - - - - - - 第 10 页，共 29 页 - - - - - - - - - ( http:/ 命令行工具。有关使用上述任一方法为Windows Server 2008 获取证书的详细信息，请参阅“证书”管理单元帮助中的“获取证书”主题以及Windows Server 2008 Command Reference 中的“ Certreq”主题。若要查看“证书”管理单元帮助主题，依次单击“开始”、

31、“运行”，键入hh certmgr.chm， 然后单击“确定”。 有关如何为Windows Server 2003 申请证书的信息，请参阅Requesting Certificates (http:/ 根证书程序成员计划的受信任公用CA ( http:/ 为独立CA 或企业CA 颁发的证书共同签名。否则，通过家用计算机或展台计算机建立连接的用户可能无法连接到TS 网关服务器。由于不属于域成员的计算机（例如，家用计算机或展台计算机）可能不信任企业CA 颁发的根证书，因此这些连接可能会失败。如果您的公司没有配置为颁发与SSL 兼容的X.509 证书的独立CA 或企业CA，可以向参与Microsof

32、t 根证书程序成员计划的受信任公用CA ( http:/ 购买证书。其中某些供应商可能会无偿提供试用版证书。或者，如果您的公司没有独立CA 或企业CA，并且您没有受信任公用CA 颁发的兼容证书，则可以为TS 网关服务器创建并导入自签名证书，以便进行技术评估和测试。有关循序渐进指南，请参阅 为TS 网关创建自签名证书。在本指南介绍的示例配置中，将使用自签名证书。重要事项如果使用前两种方法中的任一方法来获取证书（即，如果从独立/ 企业 CA 或从受信任公用CA 获取证书），则还必须在TS 网关服务器上安装证书并映射该证书。但是，如果是在安装TS 网关角色服务期间使用添加角色向导或在安装之后使用TS

33、 网关管理器来创建自签名证书（如为 TS 网关创建自签名证书 中所述）， 则不必安装证书或将证书映射到TS 网关服务器。 在这种情况下， 系统会在TS 网名师资料总结 - - -精品资料欢迎下载 - - - - - - - - - - - - - - - - - - 名师精心整理 - - - - - - - 第 11 页，共 29 页 - - - - - - - - - 关服务器上的正确位置自动创建和安装证书，并将其映射到TS 网关服务器。备注终端服务客户端在其受信任根证书颁发机构存储中必须具有颁发服务器证书的CA 的证书。因此，如果遵照本指南中的过程创建自签名证书，则必须将该证书复制到客户端

34、计算机（或复制到可以从客户端计算机访问的网络共享），然后在客户端计算机上的受信任根证书颁发机构存储中安装该证书。有关循序渐进指南，请参阅在终端服务客户端上的受信任根证书颁发机构存储中安装TS 网关服务器根证书 。如果使用前两种方法中的任一方法获取证书，并且终端服务客户端计算机信任颁发证书的CA，则不必在客户端计算机证书存储中安装颁发服务器证书的CA 的证书。例如，如果在TS 网关服务器上安装了VeriSign 或其他公用受信任CA 证书，则不必在客户端计算机证书存储中安装颁发证书的CA 的证书。如果使用第三种方法来获取证书（即，如果创建自签名证书），则一定要将颁发服务器证书的CA 的证书复制到

35、客户端计算机中。然后，必须在客户端计算机上的受信任根证书颁发机构存储中安装该证书。有关详细信息，请参阅在终端服务客户端上的受信任根证书颁发机构存储中安装TS 网关服务器根证书。2. 安装证书。在TS 网关服务器上安装证书。使用此过程（本指南稍后将介绍）在TS 网关服务器上安装证书。3. 映射证书。映射TS 网关证书 。使用此过程（本指南稍后将介绍）可以指定TS 网关服务器使用现有证书。为TS 网关创建自签名证书此过程描述了如何使用TS 网关管理器创建自签名证书，以便进行技术评估和测试（如果在安装TS 网关 角色时，未使用添加角色向导创建自签名证书）。重要事项建议您仅在进行测试和评估时使用自签名

36、证书。在创建了自签名证书之后，必须将其复制到客户端计算机（或复制到可以从客户端计算机访问的网络共享），然后在客户端计算机上的受信任根证书颁发机构存储中安装该证书。如果是在安装TS 网关角色服务期间使用添加角色向导或在安装之后使用TS 网关管理器来创建自签名证书（如本过程所述），则不必安装证书或将证书映射到TS 网关服务器。为TS 网关服务器创建自签名证书的步骤1.打开TS 网关管理器。若要打开TS 网关管理器，请单击“开始”，依次指向“管理工具”和“终端服务”，然后单击“ TS 网关管理器”。2.在控制台树中，通过单击选择代表您的TS 网关服务器的节点，该节点以运行TS 网关服务器的计算机命名

37、。名师资料总结 - - -精品资料欢迎下载 - - - - - - - - - - - - - - - - - - 名师精心整理 - - - - - - - 第 12 页，共 29 页 - - - - - - - - - 3.在结果窗格中的“配置状态”下，单击“查看或修改证书属性”。4.在“ SSL 证书”选项卡上，单击“为SSL 加密创建自签名证书”，然后单击“创建证书”。5.在“创建自签名证书”对话框中，执行下列操作：a.在“证书名称”下，验证是否已为自签名证书指定了正确的公用名(CN)，或指定一个新名称。除非使用的是通配符证书或证书的SAN 属性，否则，CN 必须与客户端连接到TS 网关

38、 服务器时使用的DNS 名称匹配。b.在“证书位置”下，若要将根证书存储在指定位置，以便可以手动将根证书分发到客户端，请验证是否选中了“存储根证书”复选框，然后指定存储证书的位置。默认情况下将选中此复选框，并将证书存储在%Windir%UsersDocuments 文件夹下。c.单击“确定”。6.如果选中了“存储根证书”复选框并指定了证书的位置，将出现一条消息，表明TS 网关 已成功地创建自签名证书，并确认已存储的证书的位置。单击“确定”关闭该消息。7.再次单击“确定”关闭TS 网关 服务器的“属性”对话框。3. 为TS 网关服务器配置证书为TS 网关服务器配置证书的过程涉及以下步骤：在TS

39、网关服务器上安装证书映射TS 网关服务器证书在TS 网关服务器上安装证书获取证书之后，使用此过程在TS 网关服务器上的正确位置安装该证书（如果尚未安装该证书）。完成此过程之后，必须映射该证书。备注如果是在安装TS 网关角色服务期间使用添加/删除角色向导或在安装之后使用TS 网关管理器来创建自签名证书（如为 TS 网关创建自签名证书中所述），则不必执行此过程。在任一情况下，将自动创建证书，安装在TS 网关服务器上的正确位置，并映射到TS 网关服务器。在TS 网关服务器上安装证书的步骤1.打开“证书”管理单元控制台。 如果尚未添加“证书”管理单元控制台， 可以执行以下操作进行添加：a.依次单击“开

40、始”、“运行”，键入mmc，然后单击“确定”。名师资料总结 - - -精品资料欢迎下载 - - - - - - - - - - - - - - - - - - 名师精心整理 - - - - - - - 第 13 页，共 29 页 - - - - - - - - - b.在“文件”菜单上，单击“添加/删除管理单元”。c.在“添加或删除管理单元”对话框的“可用的管理单元”列表中，单击“证书”，然后单击“添加”。d.在“证书管理单元”对话框中，单击“计算机帐户”，然后单击“下一步”。e.在“选择计算机”对话框中，单击“本地计算机：（运行该控制台的计算机）”，然后单击“完成”。f.在“添加或删除管理单

41、元”对话框中，单击“确定”。2.在“证书”管理单元控制台的控制台树中，展开“证书(本地计算机) ”，然后单击“个人”。3.右键单击“个人”文件夹，指向“所有任务”，然后单击“导入”。4.在“欢迎使用证书导入向导”页上，单击“下一步”。5.在“要导入的文件”页上的“文件名”框中，指定要导入的证书的名称，然后单击“下一步”。6.在“密码”页上，执行以下操作：a.如果以前曾为与证书关联的私钥指定了密码，则键入该密码。b.如果希望将证书的私钥标记为可导出，则确保选中“将此密钥标记为可导出”。c.如果希望包括证书的所有扩展属性，则确保选中“包括所有扩展属性”。d.单击“下一步”。7.在“证书存储”页上接

42、受默认选项，然后单击“下一步”。8.在“正在完成证书导入向导”页上，确认已选择了正确的证书。9.单击“完成”。10.成功地完成了证书导入之后，将出现一条消息，确认导入已成功。单击“确定”。11.在控制台树中选中“证书”的情况下，在详细信息窗格中，验证TS 网关 服务器上的证书列表中是否出现正确的证书。该证书必须在本地计算机的“个人”存储下。名师资料总结 - - -精品资料欢迎下载 - - - - - - - - - - - - - - - - - - 名师精心整理 - - - - - - - 第 14 页，共 29 页 - - - - - - - - - 映射TS 网关服务器证书必须使用TS

43、网关管理器来映射TS 网关服务器证书。如果使用任何其他方法来映射TS 网关服务器证书，TS 网关将无法正常工作。备注如果是在安装TS 网关角色服务期间使用添加/删除角色向导或在安装之后使用TS 网关管理器来创建自签名证书（如为 TS 网关创建自签名证书中所述），则不必执行此过程。将证书映射到本地TS 网关服务器的步骤1.打开TS 网关管理器。若要打开TS 网关管理器，请单击“开始”，依次指向“管理工具”和“终端服务”，然后单击“ TS 网关管理器”。2.在TS 网关管理器控制台树中，右键单击本地TS 网关服务器，然后单击“属性”。3.在“ SSL 证书”选项卡上，单击“为SSL 加密选择现有证

44、书（推荐）”，然后单击“浏览证书”。4.在“安装证书”对话框中，单击要使用的证书，然后单击“安装”。5.单击“确定”关闭TS 网关服务器的“属性”对话框。6.如果这是初次映射该TS 网关证书，在完成证书映射之后，可以通过在TS 网关管理器中查看“ TS 网关服务器状态”区域，验证映射是否成功。在“配置状态和配置任务”下，不再显示表明尚未安装或选择服务器证书的警告以及“查看或修改证书属性”超链接。了解TS 网关的授权策略在安装了TS 网关角色服务并为该TS 网关服务器配置了证书之后，必须创建终端服务连接授权策略(TS CAP)、计算机组和终端服务资源授权策略(TS RAP)。TS CAP 通过T

45、S CAP，可以指定可连接到TS 网关服务器的用户。可以指定存在于本地TS 网关服务器上或Active Directory 域服务中的用户组。还可以指定用户访问TS 网关服务器时必须满足的其他条件。例如，可以指定通过TS 网关服务器连接到承载人力资源(HR) 数据库的特定终端服务器的所有用户必须是“ HR Users”安全组的成员。还可以指定启动连接的客户端计算机必须是内部网络中Active Directory 安全组的成员，才能连接到TS 网关服务器。通过要求计算机必须是内部网络中特定Active Directory 安全组的成员， 可以排除尝试从不受信任的展台计算机、机场计算机或家用计算机

46、连接到内部网络的用户。为了在客户端通过TS 网关连接到内部网络时增强安全性，还可以指定是禁用终端服务客户端支持的所有设备的客户端设备重定向，还是仅禁用特定设备类型（如磁盘驱动器或受支持的即插即用设备）的客户端设备重定向。如果禁用客户端支持的所有设备的客户端设备重定向，则除音频重定向和智能卡重定向以外的所有设备重定向都将被禁用。名师资料总结 - - -精品资料欢迎下载 - - - - - - - - - - - - - - - - - - 名师精心整理 - - - - - - - 第 15 页，共 29 页 - - - - - - - - - 在选择了禁用特定设备类型的设备重定向还是禁用除智能卡

47、以外的所有设备类型的选项后，TS 网关服务器会将请求发送回客户端，包含要禁用的设备类型的列表。此列表只是建议；客户端可能会修改该列表中的设备重定向设置。警告由于 TS 网关服务器依靠客户端来强制使用服务器推荐的设备重定向设置，所以，若要保证安全，不应考虑使用此功能。只能对远程桌面连接(RDC) 客户端强制使用建议的设备重定向设置；不能对不使用 RDC 的客户端强制使用这些设置。此外，恶意用户可能会修改RDC 客户端，使客户端忽略建议的设置。在这种情况下，此功能无法保证安全，即使对于RDC 客户端也是如此。此外，还可以指定远程客户端是必须使用智能卡身份验证，还是必须使用密码身份验证才能通过TS

48、网关服务器访问内部网络资源。如果选中全部两个选项，则允许使用任一身份验证方法的客户端建立连接。最后，如果组织已经部署了网络访问保护(NAP)，则可以指定客户端必须发送健康声明(SoH)。有关如何为NAP 配置TS 网关的信息，请参阅配置TS 网关NAP 方案 。重要事项用户满足TS CAP 中指定的条件时，将被授予访问TS 网关服务器的权限。此外，还必须创建TS RAP 。通过TS RAP ，可以指定用户可通过TS 网关连接到的内部网络资源（计算机）。在您创建TS CAP 和 TS RAP 之前，用户无法通过此TS 网关服务器连接到内部网络资源。TS RAP 通过TS RAP，可以指定远程用户

49、可通过TS 网关服务器连接到的内部网络资源。在创建TS RAP 时，可以创建计算机组 （内部网络上希望远程用户连接到的一组计算机）并将其与TS RAP 关联。 例如，可以指定属于“ HR Users”用户组成员的用户仅可连接到属于“ HR Computers”计算机组成员的计算机，而属于“ Finance Users”用户组成员的用户仅可连接到属于“ Finance Computers”计算机组成员的计算机。如果通过TS 网关服务器连接到内部网络的远程用户至少满足一个TS CAP 和一个TS RAP 中指定的条件，将被授予访问网络上的计算机的权限。备注将受 TS 网关管理的计算机组与TS RA

50、P 关联时，可以通过将完全限定的域名(FQDN) 和NetBIOS 名称分别添加到受TS 网关 管理的计算机组中，同时支持这两个名称。将Active Directory 安全组与TS RAP 关联时，如果客户端要连接到的内部网络计算机与TS 网关服务器属于同一个域，将自动支持FQDN 和 NetBIOS 名称。如果内部网络计算机与TS 网关服务器分别属于不同的域，用户必须指定内部网络计算机的FQDN 。TS CAP 和TS RAP 相结合，提供两个不同的授权级别，使您可以为内部网络上的计算机配置更具体的访问控制级别。与TS RAP 关联的安全组和受TS 网关管理的计算机组远程用户可以通过TS