Windows 上的终端服务 2008 引入一个名为 “TS 网关” 我们用于从组织外部连接到在局域网中使用终端服务器的计算机. 要使用此功能, 我们必须将其安装在网络上的服务器上, 我们不关心您是否安装了终端服务器服务. 在路由器/防火墙中，我们将端口 443tcp 重定向到此服务器，这反过来又会通过 3389tcp 将我们安全地重定向到终端服务器, 我们还可以应用某些指令来进一步保护连接.

Este sería un esquema de una red de servidores Terminal Server, para que se puedan conectar desde el exterior (互联网) a los servidores de Terminal Services, deberemos instalar TS Gateway o Puerta de Enlace en uno de ellos, y redirigir el tráfico HTTPS a él, y ya él se encargará de llevarnos al servidor que hayamos pedido a la hora de conectarnos, ya que el servidor de Puerta de Enlace utiliza RDP sobre HTTPS. Para este documento el servidor de puerta de enlace será w2k803 y el servidor de Terminal Services será w2k802.

Para agregar está función, debemos ir a la consola de administración del servidor y agregar la siguiente función: “TS 网关”,

Al marcar este componente, se nos instalarán los requisitos que tenga, por supuesto se tienen que instalar, 点击 “Agregar características requeridas”,

Podemos instalar un certificado ya para que la conexión RDP vaya cifrada con la capa SSL y sea más segura, si tenemos ya un certificado podemos aprovechar e instalarlo ahora, 否则, 后, marcando la tercera opción. “以后”, la instalación de un certificado será obligatoria posteriormente.

Podemos crear ahora unas directivas de autorización para la conexión usando TS Gateway/TS puerta de enlace, pero lo haremos después desde la consola. “以后”,

Confirmamos qué es lo que vamos a instalar y pulsamos en “安装”,

… 我们等待它安装完毕…

还行, instalación finalizada correctamente, 点击 “关闭”,

Para abrir la consola de administración, 我们将 “开始” > “计划” > “管理工具” > “终端服务” > “Administrador de puerta de enlace de TS”.

Si es la primera vez que la abrimos veremos que está totalmente sin configurar, nos mostrará diferentes alertas. Ahora vamos a ir configurando las propiedades del servidor de puerta de enlace, para ello sobre el servidor con botón derecho vamos a “性能”. Y repasamos las pestañas para configurarlo según nos interese.

在 “常规” podemos habilitar un número máximo de conexiones simultáneas o directamente deshabilitar las conexiones a través de este servidor.

在 “Certificado SSL” es donde instalaremos un certificado SSL, podremos crearnos uno desde aquí o si nos lo instalamos desde Panel de control podríamos elegirlo aquí. En este caso nos basta con crearnos un certificado para asegurar la conexión, 为此，请单击 “Crear certificado…”,

向上, debemos indicar el nombre completo de este servidor, abajo donde guardaremos una copiar del certificado que posteriormente se instalarán los usuarios. “接受”,

还行, “接受”,

Ahora vemos que la pantalla ha cambiado indicandonos que tenemos un certificado correctamente instalado, pero este certificado al ser de una entidad emisora de certificados de no confianza (pq nos lo hemos generado nosotros, no una entidad emisora de certificados, una CA – 证书颁发机构). 点击 “检查” para guardar una copia del certificado en un directorio donde luego los usuarios se lo puedan instalar.

Seleccionamos el certificado y pulsamos en “查看证书…”,

在 “详” pulsamoa abajo en el botón “复制到文件…”,

Nos saldrá el asistente para la exportación de certificados, 还行, lo continuamos, “以后”,

马克 “No exportar la clave privada” 和 “以后”,

“DER binario codificado X.509 (.CER) & “以后”,

Seleccionamos el path donde lo guardaremos y el nombre. “以后”,

“结束” para que nos copie el certificado a esta carpeta.

还行, “接受”, esto luego lo seguiremos cuando querramos ver cómo se conecta un usuario.

Nos comenta de donde usar las directivas de autorización de conexiones de Terminal Services (las CAP_TS) si de un servidor NPS ( 网络策略服务器) local o uno central que será el servidor de dichas directivas. NPS es el componente que sustituye a IAS de Microsoft Windows 2003. Si sólo tendremos un servidor de Puerta de Enlace de Terminal Services lo normal será marcar local, si no uno central para no tener que duplicar las directivas en ambos servidores.

在 “Granja de servidores” nos encontramos los servidores que harán balanceo para permitir el acceso de las conexiones del exterior, aquí si tenemos más de un servidor de PE es donde deberemos agregarlos para que se balanceen las conexiones, indicamos el nombre del servidor y pulsamos en “加”, abajo nos mostará el listado de los servidores pertenecientes a dicha granja y su estado.

在 “审计” podremos auditar todos los eventos que nos interesen para comprobar la seguridad de nuestros sistemas, desde ver quien se conecta, quien se intenta conectar, errores de autorización, acceso a recursos…

在 “Protocolo de puente SSL” es para asegurar la conexión si tenemos un ISA Server dentro de la red o un dispositivo para establecer una conexión segura SSL entre este y el servidor de Puerta de Enlace. Tenemos más info para ISA 这里 (en la parte final del documento).

Ahora lo que tenemos que hacer es crear dos directivas, una primera llamada CAP (Connection Authorization Policies), permite especificar grupos de usuarios y/o equipos, que pueden acceder a un servidor TS Puerta de Enlace. Para crear una directiva de este tipo en la consola de “Administrador de Puerta de Enlace” 信封 “政策” 右键单击 “Directivas de autorización de conexiones” > “Crear nueva directiva” > “习惯”.

在 “常规” le indicamos un nombre de directiva, por ejemplo TS_CAP y la habilitamos.

在 “要求” será donde digamos que metodo de autenticación se usará para conectarse, si con “密码” 或 “Tarjeta inteligente”. Y después tenemos que seleccionar obligatoriamente un grupo de usuarios para indicar quien tiene acceso a conectarse, yo tengo un grupo en el Directorio Activo llamado “Usuarios de TS” donde meto a los usuarios que quiero que se conecten, aquí lo agrego para indicar esto. Además si queremos para mayor seguridad, podemos crear un grupo en el Directorio Activo y meter equipos en él para permitir sólo estás conexiones desde ciertos equipos.

在 “Redirección de dispositivos” tenemos que dispositivos queremos que les redireccione la conexión RDP de Terminal, podemos habilitar todos los dispositivos, deshabilitarlos o personalizarlo.

Ahora lo que tenemos que hacer es crear otra directiva, esta segunda llamada RAP (Resource Authorization Policies), permite especificar los recursos de la red interna que los usuarios remotos podrán acceder a través de un servidor TS Puerta de Enlace. Al crear una directiva de tipo RAP, adicionalmente pueden crearse grupos de equipos y asociarlos con la directiva RAP. Los usuarios remotos tendrán acceso solo si cumplen al menos con una de las condiciones especificadas en el TS CAP y una del TS RAP. Para crear una directiva de este tipo en la consola de “Administrador de Puerta de Enlace” 信封 “政策” 右键单击 “Directivas de autorización de recursos” > “Crear nueva directiva” > “习惯”.

在 “常规” le indicamos un nombre de directiva, por ejemplo TS_RAP y la habilitamos.

La pestaña “Grupos de usuarios”, es igual que en la directiva CAP, aquí indicamos grupos de usuarios para permitirles la conectividad usando el TS Puerta de Enlace. Quien tiene acceso a conectarse, yo tengo un grupo en el Directorio Activo llamado “Usuarios de TS” donde meto a los usuarios que quiero que se conecten.

在 “Grupo de equipos” agregamos si nos interesa algún grupo en el Directorio Activo para dar acceso a determinados equipos a traves de TS Gateway.

在 “Puertos permitidos” veremos a qué puerto se conectarán los clientes de Escritorio Remoto a los servidores de Terminal Server, podemos permitir sólo conexiones al 3389, a cualquier puerto o personalizarlo.

Aquí ya estaría finalizada la configuración de un servidor de Puerta de Enlace de Terminal Services, ahora lo que vamos a ver es cómo se debe conectar un usuario que esté en internet a un servidor de Terminal Server que esté dentro de la red a través del servidor PE.

Lo primero de todo es que cómo en el servidor de Puerta de Enlace hemos generado un certificado no valido, no con una Entidad Emisora de Certificados válida como: VeriSign, RapidSSL,CAcert, Comodo, Thawte… Pues en el PC cliente hay que instalar el certificado de arriba para indicar que confiamos en la Entidad Emisora de este certificado. 为此，, antes hemos guardado el certificado en un directorio llamado COMPARTIDA en el servidor Puerta de Enlace, suponiendo que está compartida y los usuarios pueden acceder a ella, sobre el certificado generado anteriormente, con botón derecho en el certificado “Instalar certificado”,

Nos saldrá un asistente de importación de certificados “以后”,

Debemos marcar el check de “Colocar todos los certificados en el siguiente almacén” y en el botón “检查” 选择 “Entidades emisoras raíz de confianza”, “以后”,

“结束” para importar el certificado correctamente,

确认, “是的”,

接受,

再, en el PC cliente con el certificado ya instalado, abrimos el cliente de “Conexión a Escritorio Remoto” (“开始” > “执行” > mstsc). Por supuesto que tiene que ser la versión 6 的客户, 否则, nos lo tenemos que descargar de la web de Microsoft (http://support.microsoft.com/default.aspx/kb/925876). Nos vamos a la pestaña de “高级选项” y pulsamos sobre el botón de “配置”. En la nueva ventana que se abre tenemos que marcar “Usar esta configuración de servidor de Puerta de enlace de TS” 和 “服务器名称” indicamos cual es el servidor de Puerta de Enlace de la organización”.

Aceptamos las configuraciones e indicamos a qué servidor nos vamos a conectar, nos pedirá la autenticación antes de llegar a la ventana de Terminal Services por seguridad, ya que tengo habilitado NLA (Network Level Authentication), 一种新型的身份验证, 对用户进行身份验证, 到客户端计算机和服务器凭据彼此. 这意味着现在在解除终端服务会话之前执行身份验证，并且用户会看到登录屏幕. 使用以前的 Remote Desktop Connection 客户端 6.0, TS 会话在用户单击 “连接”, 这为恶意用户执行拒绝服务攻击创造了机会窗口 (二) 并通过中间人攻击窃取凭据 (MITM 公司).

Bueno vemos que ya estaría conectado a Terminal Services, ahora para comprobar si lo estoy haciendo por la Puerta de Enlace nos vamos a la consola.

我们打开 “Administrador de puerta de enlace de TS” 和 “Supervisión” veremos quien está conectado y vemos que está conectado al servidor llamado w2k802.bujarra.com a través del servidor de puerta de enlace llamado w2k803.bujarra.com. Desde aquí además podremos cerrar la sesión al usuario “Interrumpir esta conexión” o desconectarlo “Desconectar a este usuario”.

www.bujarra.com – 赫克托·埃雷罗 – NH*****@bu*****.c噢 – v 1.0