Concentriamoci solo su due servizi forniti dai Terminal Services di Windows 2008: Terminal Services Gateway e Terminal Services RemoteApp. Il primo, Terminal Services Gateway, una volta aggiunto e configurato, permette all'amministratore di controllare gli accessi ai server Terminal utilizzando delle regole di accesso o Authorization Policy. Il secondo, Terminal Services RemoteApp, rende disponibili agli utenti le sole applicazioni, e non l'intero desktop, installate sul server Terminal. La comunicazione tra i client Terminal ed il TS Gateway avviene utilizzando il protocollo HTTPS sulla porta 443. Il protocollo RDP risulta essere così incapsulato in un pacchetto HTTP protetto da SSL; non occorrerà quindi creare eventuali connessioni VPN per connettersi da remoto ai server Terminal ma basterà solo pubblicare la porta 443 del TS Gateway per rendere i nostri server Terminal accessibili, in maniera protetta, anche da postazioni Internet, protette o meno da firewall. É importante evidenziare che per poter sfruttare appieno le funzionalità dei Terminal Services di Windows Server 2008 è necessario utilizzare computer client con sistema operativo Windows XP SP3, Vista SP1 o Server 2008. In questi ambienti, infatti, è presente la versione aggiornata del Terminal Services Client, la versione 6.1. Microsoft, inoltre, ha reso disponibile il download, solo per Windows XP SP2, del solo client RDC 6.1: basta connettersi alla sezione download del sito Microsoft e cercare l'articolo della knowledge base 952155.
UN POSSIBILE SCENARIO
Consideriamo il caso di un'azienda che opera nell'editoria e che voglia rendere disponibili ai propri utenti, in modo sicuro, applicazioni Windows installate sui server Terminal TS01 e TS02. Gli utenti non dovranno aver accesso all'intero desktop sul server Terminal, ma solo all'applicazione pubblicata. Gli utenti da abilitare faranno parte del gruppo G TS Users. L'azienda utilizza un dominio Active Directory basato su Windows Server 2008 e tutti i server eseguono Windows Server 2008 Enterprise Edition. I client, invece, sono costituiti da Windows Vista SP1 e XP SP3. In Active Directory, prima di avviare la configurazione dei Terminal Services, andrà creato il gruppo Globale G TS Users che contiene gli account utente che utilizzeranno le applicazioni pubblicate sul server Terminal e il gruppo G TS Servers che contiene i computer account dei server Terminal (es. TS01 e TS02). Per raggiungere gli obiettivi di protezione richiesti dallo scenario ci occorre un nuovo server (TSGW) su cui verrà installato il nuovo ruolo di Terminal Server Gateway. Tutti i server e i client sono membri del dominio (Figura 1).
Figura 1 - Uno possibile impiego dei Terminal Services: un client (TS-CL01), due server (TS01 e TS02) e un Terminal Server Gateway (TSGW)
IL RUOLO DEI TS GATEWAY
Una volta completato il logon come amministratore sul server TSGW, lanciamo Server Manager da Start / Server Manager. Dalla barra dei comandi selezioniamo Action / Add Roles. Verrà avviato il wizard per l'aggiunta dei ruoli. Clicchiamo sul pulsante Next, dall'elenco dei ruoli selezioniamo Terminal Services e facciamo nuovamente clic su Next. Dall'elenco dei Role Services selezioniamo TS Gateway per visualizzare la finestra per l'aggiunta di ulteriori ruoli e funzionalità, qui facciamo clic sul pulsante Add Required Role Services (Figura 2).
Figura 2 - Aggiunta automatica dei servizi necessari per il funzionamento del ruolo TS Gateway
Cliccando sul pulsante Next, selezioniamo Create a self-signed certificate for SSL encryption e nuovamente su Next. Selezioniamo Later e clicchiamo su Next fino alla sezione riepilogativa e quindi su Install e poi su Close.
LA CONFIGURAZIONE
Una volta completata l'installazione del ruolo Terminal Services Gateway possiamo iniziare la configurazione del server TSGW. Apriamo TS Gateway manager da Start / Administrative Tools / Terminal Services. Con il tasto destro del mouse scegliamo il server TSGW / Properties. Facciamo clic sulla sezione SSL Certificate, selezioniamo Create e Self-Signed Certificate for SSL Encryption dopodiché clicchiamo su Create Certificate. É visualizzata ora la finestra Create Self-Signed Certificate. Verifichiamo che nella sezione Certificate name sia riportato l'FQDN corretto del server TSGW. Nella sezione Certificate location prendiamo nota del percorso dove sarà salvato il root certificate che dovrà essere distribuito (es. via Group Policy) ai computer client che saranno utilizzati per connettersi al server TSGW. Senza questo certificato installato sul client non sarà possibile creare una connessione con il TS Gateway. Di default il certificato viene salvato nella cartella Documents dell'amministratore. Il file certificato ha estensione .cer e nome uguale al nome del server (es. TSGW). Cliccando su OK viene visualizzata una finestra di conferma in cui occorre cliccare nuovamente su OK. Una volta tornati alla finestra delle proprietà del server TSGW clicchiamo su OK per confermare le operazioni eseguite e chiuderla.
LE AUTHORIZATION POLICY
Dalla consolle TS Gateway Manager selezioniamo la voce Policies / Connection Authorization Policies. Dalla barra dei comandi clicchiamo su Action / Create New Policy / Wizard. Verrà avviato il wizard Create Authorization Policies for TS Gateway. Accettiamo le impostazioni di default e clicchiamo su Next, nel campo Enter a name... inseriamo TS Remote User e clicchiamo nuovamente su Next. Da Add Group... aggiungiamo il gruppo di utenti autorizzati per accedere ai server Terminal (es. G TS Users) e clicchiamo su Next e poi, infine, su Finish per avviare il processo di creazione della Connection Authorization Policy (CAP) con cui definire chi può aver accesso ai server Terminal. Adesso creiamo la Resource Authorization Policy per definire a quali server Terminal è possibile avere accesso.Dalla consolle TS Gateway Manager clicchiamo su Policies / Resource Authorization Policies. Dalla barra dei comandi andiamo su Action / Create New Policy / Wizard. Avviato il wizard Create Authorization Policies for TS Gateway, accettiamo le impostazioni (clic su Next) e nel campo Enter a name... inseriamo TS Resources. Facciamo clic sul pulsante Add Group... aggiungiamo il gruppo di utenti autorizzati per accedere ai server Terminal (es. G TS Users) e clicchiamo su Next. Il gruppo deve essere lo stesso che è stato utilizzato nella CAP. Clicchiamo sul pulsante Browse ed inseriamo il gruppo che contiene i server terminal (es. G TS Servers). Dopodiché clicchiamo su Next e poi su Finish per avviare il processo di creazione della Resource Authorization Policy (RAP). Il processo di configurazione del TS Gateway è completato.
INSTALLARE I TS
Una volta fatto logon con credenziali amministrative sul server Terminal (es. TS01) lanciamo Server Manager da Start / Server Manager. Dalla barra dei comandi selezioniamo Action / Add Roles e, avviato il wizard per l'aggiunta dei ruoli, clicchiamo sul pulsante Next per selezionare dall'elenco dei ruoli Terminal Services. Dall'elenco dei Role Services scegliamo Terminal Server e clicchiamo su Next. Nella finestra Authentication Method selezioniamo Require Network Level Authentication e clicchiamo su Next, quindi su Add per aggiungere il gruppo GTS Users. Cliccando sul pulsante Install verrà avviata l'installazione dei Terminal Services. Al termine riavviamo TS01 cliccando su Close. Le operazioni svolte su TS01 devono essere replicate su TS02. Per poter accedere ai server Terminal è necessario configurare TS01 e TS02 affinché accettino connessioni RDP in ingresso solo dagli utenti autorizzati. Sul server TS01 lanciamo Server Manager, nella sezione Server Summary clicchiamo sul link Configure Remote Desktop. Selezioniamo la voce Allow connection from computers running any version of Remote Desktop e poi clicchiamo su Select Users. Nella finestra Remote Desktop Users, dal link Add... aggiungiamo il gruppo di utenti autorizzati (es. G TS Users) e confermiamo le scelte cliccando su OK e nuovamente su OK. Occorre prestare attenzione al fatto che sulle postazioni client che utilizzano le applicazioni remote passando tramite TS Gateway venga installato il root certificate nell'elenco delle Trusted Root Certificate Authorities. L'operazione può essere eseguita client per client utilizzando le MMC, oppure centralmente utilizzando le Group Policy. In questo caso basterà modificare la Group Policy di dominino (es. Default Domain Policy) ed importare il certificato nella sezione Computer Configuration / Windows Settings / Security Settings / Public Key Policies / Public Key Policies / Trusted Root Certification Authorities. Al successivo aggiornamento della policy sarà installato automaticamente il certificato sul client. Volendo forzare il client ad aggiornare subito la Policy basta lanciare sul client il comando gpupdate /force.
PUBBLICARE...
Adesso possiamo pubblicare le applicazioni che saranno utilizzate dai membri del gruppo G TS Users. Sul server TS01 andiamo in Start / Administrative Tools / Terminal Services / TS RemoteApp Manager. Dalla barra dei comandi, selezionando Action / Add RemoteApp Programs verrà avviato il wizard RemoteApp. Dall'elenco dei programmi disponibili sul server terminal selezioniamo da rendere disponibili agli utenti Terminal (es. Word, Excel ecc). Se il programma non è presente nell'elenco basterà fare clic sul pulsante Browse e selezionare l'eseguibile presente sul server TS01. (Figura 3)
Figura 3 - Pubblicazione con RemoteApp delle applicazioni installate sul server Terminal
...E DISTRIBUIRE APPLICAZIONI REMOTE
Per creare un pacchetto msi, da distribuire via group policy nel dominio oppure da installare come un'applicazione tradizionale, una volta aperto TS RemoteApp Manager selezioniamo in RemoteApp Programs le applicazioni. Dal link Create Windows Installar Package avviamo il RemoteApp Wizard. In TS Gateway Settings clicchiamo su Change, quindi adoperiamo le seguenti scelte: selezioniamo la voce Use the TS Gateway server settings...; inseriamo nel campo Server name l'FQDN di TSGW (tsgw.edu.lucaconte.it) e nel campo Logon method selezioniamo Ask for password (NTLM); selezioniamo Use the same user credentials... e deselezioniamo Bypass TS Gateway.... Con un clic su OK confermiamo le scelte. I file msi creati (uno per ciascun programma pubblicato) vengono salvati di default nella cartella locale \Program Files\Packaged Programs. I file adesso sono distribuibili sui client terminal utilizzando le group policy.
LANCIARE SESSIONI SUI CLIENT TERMINAL
Una volta installate e distribuite le applicazioni remote utilizzando i file msi, si possono anche lanciare le applicazione terminal (installate di default nella cartella Remote Programs). Per lanciare l'applicazione da Start / All programs / Remote Programs basta selezionare l'applicazione che è stata installata (Figura 4) e nella finestra Windows Security inserire username e password dell'utente membro del gruppo G TS Users (es. EDU\lconte). A questo punto viene creata la connessione con il server TS Gateway (TSGW). 
Figura 4 - Avvio di applicazioni RemoteApp installata sul client con il pacchetto msi
Il risultato? In pochi istanti verrà avviata una sessione terminal limitata alla sola applicazione. L'applicazione remota si presenta all'utente con lo stesso aspetto di una applicazione locale. Le applicazioni locali e remote possono essere usate contemporaneamente.
0 Commenti | Permalink | TrackbackTag: server terminal service
Segnala a
Articoli simili
Page Views sempre più in discussione
Backup e ripristino veloce per Sql Server
Il server domestico targato Microsoft
L'arma di Microsoft per la sicurezza
RAID: la strategia della ridondanza
Prestazioni da supercomputer
Indice principale Archivi
Per la pubblicità: Master Advertising S.r.L.
redazione@techblogs.it | Condizioni generali per l'uso del sito | Privacy
