Terminal Services và cấu hình chế độ đăng ký của
Terminal Services

Trong phần đầu của loạt bài này, chúng ta đã thực hiện cài đặt cơ bản
cho Terminal Services cũng như việc đăng ký Terminal Services và cấu
hình chế độ đăng ký của Terminal Services. Trong phần này, chúng tôi
sẽ giới thiệu tiếp phần cài đặt và cấu hình TS Gateway và RDP client.
Sau đó sẽ tạo một kết nối và kiểm tra nó làm việc như thế nào.
Cài đặt Terminal Services Gateway Service trên Terminal Services
Gateway
Bây giờ chúng ta chuyển sự quan tâm sang máy Terminal Services Gateway.
Đây là máy tính mà các máy khách bên ngoài sẽ kết nối vào lúc ban đầu khi
tạo các kết nối máy khách Terminal Services của chúng.
Thực hiện theo các bước dưới đây để cài đặt Terminal Services Gateway trên
máy Terminal Services Gateway.
1. Mở Server Manager trên máy tính Terminal Services Gateway. Kích
vào nút Roles trong phần panel bên trái của giao diện điều khiển, sau
đó kích vào liên kết Add Role trong phần panel bên phải.
2. Kích Next trong trang Before You Begin.
3. Trong trang Select Server Roles hãy tích vào hộp kiểm Terminal
Services
4. Trong trang Terminal Services, kích Next.
5. Trong trang Select Role Services, tích vào hộp kiểm TS Gateway. Sau
đó bạn sẽ thấy một hộp thoại Add Roles Wizard hỏi có muốn Add
role services and features required for TS Gateway. Kích nút Add

Required Role Services.

Hình 1
6. Kích Next trong trang Select Role Services
7. Trong trang Choose a Server Authentication Certificate for SSL
Encryption, chọn tùy chọn Choose a certificate for SSL encryption
later. Chọn tùy chọn này là vì chúng ta vẫn chưa tạo một chứng chỉ cho
TS Gateway để sử dụng kết nối SSL giữa bản thân nó và các máy
khách RDP. Chúng ta sẽ yêu cầu một chứng chỉ sau này và sau đó cấu
hình TS Gateway để sử dụng chứng chỉ. Kích Next.

Hình 2
8. Trong trang Create Authorization Policies for TS Gateway, bạn hãy
chọn tùy chọn Later. Chọn tùy chọn này là vì chúng tôi muốn đưa bạn
vào giao diện điều khiển TS Gateway và giới thiệu cách cấu hình các
chính sách thẩm định trong giao diện điều khiển này. Kích Next.

Hình 3
9. Kích Next trong trang Network Policy and Access Services
10. Trong trang Select Role Services, bạn hãy tích vào hộp kiểm
Network Policy Server, sau đó kích Next.

Hình 4
11. Trong trang Web Server (IIS), kích Next
12. Trong trang Select Role Services, chấp nhận các dịch vụ role
mặc định đã được chọn bởi tiện ích. Ở đây có một số dịch vụ cần thiết
cho việc chạy dịch vụ TS Gateway. Kích Next.

Hình 5
13. Xem lại toàn bộ các thông tin trong trang Confirm Installation

Selections và kích Install.

Hình 6
14. Kích Close trong trang Installation Results để hiển thị cài đặt đã
thành công.
Yêu cầu một chứng chỉ cho Terminal Services Gateway
Lúc này chúng ta có thể yêu cầu một chứng chỉ mà Web site trên TS Gateway
có thể sử dụng để thiết lập kết nối SSL với máy khách RDP.
Thực hiện các bước dưới đây để yêu cầu một chứng chỉ cho máy TS
Gateway:
1. Từ menu Administrative Tools, kích Internet Information Services
(IIS) Manager.
2. Trong giao diện điều khiển Internet Information Services (IIS)
Manager, kích vào tên máy chủ trong phần panel bên trái của giao diện
điều khiển. Kích đúp vào biểu tượng Server Certificates ở phần giữa
của giao diện này.

Hình 7
3. Trong phần bên trái của giao diện điều khiển, bạn hãy kích vào liên kết
Create Domain Certificate.

Hình 8
4. Trong trang Distinguished Name Properties, hãy nhập vào các thông
tin đã được chỉ định trong trang này. Mục quan trọng nhất đó là
Common name. Tên mà bạn nhập vào ở đây phải cùng với tên mà máy
khách Terminal Services đã được cấu hình để sử dụng nhằm liên lạc
với máy tính TS Gateway. Đây cũng là tên mà các máy chủ DNS dùng
chung sẽ được cấu hình để cung cấp địa chỉ chung nhằm cho phép truy
cập vào TS Gateway. Trong hầu hết các trường hợp, bộ phận này sẽ là
một bộ địng tuyến hoặc một giao diện bên ngoài của thiết bị NAT, hoặc

có lẽ là giao diện bên ngoài của tường lửa tiên tiến như Microsoft ISA
Firewall chẳng hạn. Kích Next.

Hình 9
5. Trong trang Online Certification Authority, kích nút Select. Trong
hộp thoại Select Certification Authority, hãy chọn tên Enterprise CA
mà bạn muốn thu chứng chỉ. Hãy nhớ rằng chúng ta có thể thu được
chứng chỉ miền này và tự động cài đặt nó vì đang sử dụng một
Enterprise CA. Nếu bạn đang sử dụng một CA đơn (standalone) thì sẽ
phải sử dụng trang Web enrollment và điều đó chỉ được sau khi đã tạo
một yêu cầu offline, sau đó bạn phải tự cài đặt chứng chỉ của máy tính.
Kích OK sau khi chọn Enterprise CA.

Hình 10
6. Nhập vào một tên Friendly name trong trang Online Certification
Authority. Trong ví dụ này chúng tôi sẽ đặt tên cho một chứng chỉ là
TSG Cert. Kích Finish.

Hình 11
7. Sau khi nhận một chứng chỉ, bạn sẽ thấy các thông tin có liên quan đến
chứng chỉ trong phần panel ở giữa của giao diện điều khiển. Nếu kích
đúp vào chứng chỉ thì bạn sẽ thấy hộp thoại Certificate, đây chính là
hộp thoại thể hiện tên chung trong trường Issued to và thông báo You
have a private key that corresponds to this certificate. Điều này rất
quan trọng vì chứng chỉ sẽ không làm việc nếu bạn không có một khóa
riêng. Kích OK để đóng hộp thoại Certificate.

Hình 12
Cấu hình Terminal Services Gateway để sử dụng Certificate
Với chứng chỉ đã được cài đặt trong kho chứa chứng chỉ của máy tính rồi,

bạn hoàn toàn có thể gán TS Gateway để sử dụng chứng chỉ này.
Thực hiện các bước dưới đây để cấu hình TS Gateway sử dụng chứng chỉ đó:
1. Trong giao diện điều khiển Administrative Tools, kích vào mục
Terminal Services, sau đó kích TS Gateway.
2. Trong TS Gateway Manager, kích vào tên của máy tính TS Gateway
trong panel bên trái của giao diện điều khiển. Phần panel ở giữa cung
cấp rất nhiều thông tin hữu ích về các bước cấu hình cần được hoàn tất
để kết thúc cài đặt. Kích vào liên kết View or modify certificate
properties.

Hình 13
3. Trong hộp thoại Properties cho TS Gateway, trên tab SSL Certificate,
tính năng Select an existing certificate for SSL encryption phải được
kích hoạt và sau đó kích nút Browse Certificates. Khi đó sẽ xuất hiện
hộp thoại Install Certificate. Kích vào chứng chỉ, trong trường hợp
này là tsg.msfirewall.org, sau đó kích nút Install.

Hình 14
4. Tab SSL Certificate sẽ hiển thị các thông tin về chứng chỉ mà TS
Gateway sẽ sử dụng để thiết lập kết nối SSL. Kích OK.

Hình 15
5. Nội dung của phần panel ở giữa có một chút thay đổi, nó phản ánh rằng
chứng chỉ hiện đã được cài đặt trên TS Gateway. Mặc dù vậy, lúc này
chúng ta sẽ thấy phần Configuration Status cần tạo cả chính sách
thẩm định kết nối và chính sách thẩm định tài nguyên.

Hình 16
Tạo một Terminal Services Gateway CAP
CAP chính là viết tắt của từ Connection Authorization Policy (chính sách

thẩm định kết nối), nó cho phép bạn có thể kiểm soát người nào có thể kết nối
đến Terminal Server thông qua Terminal Services Gateway.
Thực hiện các bước dưới đây để tạo một chính sách thẩm định kết nối:
1. Trong phần panel bên trái của giao diện điều khiển, kích vào nút
Connection Authorization Policies nằm trong Policies. Trong phần
panel bên phải của giao diện, bạn hãy kích vào mũi tên bên phải của
Create New Policy và sau đó kích Wizard.

Hình 17
2. Trên trang Authorization Policies, chọn Create only a TS CAP. Kích
Next.

Hình 18
3. Trên trang Connection Authorization Policy, nhập vào tên cho CAP.
Trong ví dụ này chúng tôi sẽ đặt tên CAP là General CAP. Kích Next.

Hình 19
4. Trên trang Requirements, hãy tích vào hộp kiểm Password. Nếu bạn
có kế hoạch sử dụng chứng thực thẻ thông minh thì nên chọn tùy chọn
Smartcard. Lúc này bạn cần cấu hình những nhóm nào có thể truy
nhập vào Terminal Server thông qua TS Gateway. Để thực hiện điều
đó, bạn hãy kích nút Add Group. Trong hộp thoại Select Groups,
nhập vào tên của nhóm muốn cho phép truy cập và kích Check Names.
Trong ví dụ này, chúng tôi nhập vào Domain Users sau đó kích OK.

Hình 20
5. Lưu ý trên trang Requirements bạn có thể chọn tùy chọn tạo các nhóm
máy tính và cho phép chỉ truy cập vào các máy tính cụ thể. Chúng tôi
sẽ không cấu hình tùy chọn này trong ví dụ này. Kích Next.


Hình 21
6. Trên trang Device Redirection, chọn tùy chọn Enable device
redirection for all client devices. Lưu ý rằng nếu bạn muốn có môi
trường bảo mật tốt hơn thì hãy xem xét đến việc chọn tùy chọn Disable
device redirection for the following client device types sau đó chọn
Drives và Clipboard. Để có độ bảo mật tốt hơn nữa bạn cũng có thể
chọn Disable device redirection for all client devices except for
smart cards. Kích Next.