安装和管理Win 2008中的终端网关服务
2008的终端有2大特性:TS Gateway和TS Remote APP(包括Web Access),这篇文章介绍前者。由于这是我第一次写这种Step by step的文章(平时这类文章看得不少,写得太少),因此在文章内容的尺寸把握上肯定会有不准,还望指教。也希望我在技术方面能变得勤劳一些所以,多写些雄文,也多向conan、kejia等诸位兄弟们学习。如果文章里面有任何的问题不清楚,欢迎讨论。
实验环境:
DC:192.168.1.3------Win 2008 DC/TS Gateway Server/Terminal Server
NY:192.168.1.2------Win Vista Client
1.添加角色:Terminal Service和IIS(IIS是为了做Web Access用的,这里并没有用到)
![clip_image001[4]](http://blogs.itecn.net/blogs/asuka/WindowsLiveWriter/Win2008_FA94/clip_image001%5B4%5D_thumb.png)
![clip_image002[4]](http://blogs.itecn.net/blogs/asuka/WindowsLiveWriter/Win2008_FA94/clip_image002%5B4%5D_thumb.png)
2在DC上面.创建一个TS Gateway服务器的证书:dc.cer
3.在DC的证书机构中导入这张证书
4.为客户端计算机也导入这张证书(如果是生产环境可以用组策略把证书分发下去)
![clip_image008[4]](http://blogs.itecn.net/blogs/asuka/WindowsLiveWriter/Win2008_FA94/clip_image008%5B4%5D_thumb.png)
![clip_image009[4]](http://blogs.itecn.net/blogs/asuka/WindowsLiveWriter/Win2008_FA94/clip_image009%5B4%5D_thumb.png)
至此用证书做加密的过程已完成,接下去对服务器进行设置
5.在DC上创建CAP:CAP中定义的组就是指使用Ts Gateway时做验证使用
![clip_image010[4]](http://blogs.itecn.net/blogs/asuka/WindowsLiveWriter/Win2008_FA94/clip_image010%5B4%5D_thumb.png)
![clip_image011[4]](http://blogs.itecn.net/blogs/asuka/WindowsLiveWriter/Win2008_FA94/clip_image011%5B4%5D_thumb.png)
![clip_image012[4]](http://blogs.itecn.net/blogs/asuka/WindowsLiveWriter/Win2008_FA94/clip_image012%5B4%5D_thumb.png)
此时打开ADUC创建一个组叫Remote application group,这个组的账户在使用Ts Gateway时做验证使用
![clip_image013[4]](http://blogs.itecn.net/blogs/asuka/WindowsLiveWriter/Win2008_FA94/clip_image013%5B4%5D_thumb.png)
![clip_image014[4]](http://blogs.itecn.net/blogs/asuka/WindowsLiveWriter/Win2008_FA94/clip_image014%5B4%5D_thumb.png)
6.在DC上创建一组TS Gateway Managed Computer Group,这个组主要是添加那些域
里面能够使用TS Gateway服务的计算机
![clip_image019[4]](http://blogs.itecn.net/blogs/asuka/WindowsLiveWriter/Win2008_FA94/clip_image019%5B4%5D_thumb.png)
![clip_image020[4]](http://blogs.itecn.net/blogs/asuka/WindowsLiveWriter/Win2008_FA94/clip_image020%5B4%5D_thumb.png)
7.在DC上创建RAP
![clip_image015[4]](http://blogs.itecn.net/blogs/asuka/WindowsLiveWriter/Win2008_FA94/clip_image015%5B4%5D_thumb.png)
把刚刚创建的remote application group添加进来
![clip_image016[4]](http://blogs.itecn.net/blogs/asuka/WindowsLiveWriter/Win2008_FA94/clip_image016%5B4%5D_thumb.png)
至此CAP和RAP已经创建完毕,我们可以检查一下创建的2条策略
![clip_image021[4]](http://blogs.itecn.net/blogs/asuka/WindowsLiveWriter/Win2008_FA94/clip_image021%5B4%5D_thumb.png)
![clip_image022[4]](http://blogs.itecn.net/blogs/asuka/WindowsLiveWriter/Win2008_FA94/clip_image022%5B4%5D_thumb.png)
7.在DC上的Windows高级防火墙创建2条规则:一条允许3389仅DC本机能够访问(由于DC即是Terminal Server又是Terminal Gateway,所以这条策略不创建也无妨),另外一条规则禁用所有3389访问
![clip_image023[4]](http://blogs.itecn.net/blogs/asuka/WindowsLiveWriter/Win2008_FA94/clip_image023%5B4%5D_thumb.png)
8.激动人心的时间到了,先到client上面直接连接DC,由于DC上面限制所有3389的连接除了DC本机
![clip_image024[4]](http://blogs.itecn.net/blogs/asuka/WindowsLiveWriter/Win2008_FA94/clip_image024%5B4%5D_thumb.png)
9.添加TS Gateway
经过2遍的密码验证:第一遍是正常的终端连接用户验证,第二遍是验证Ts Gateway的使用权限,对应的组是“remote application group”
![clip_image026[4]](http://blogs.itecn.net/blogs/asuka/WindowsLiveWriter/Win2008_FA94/clip_image026%5B4%5D_thumb.png)
![clip_image027[4]](http://blogs.itecn.net/blogs/asuka/WindowsLiveWriter/Win2008_FA94/clip_image027%5B4%5D_thumb.png)
大功告成
![clip_image028[4]](http://blogs.itecn.net/blogs/asuka/WindowsLiveWriter/Win2008_FA94/clip_image028%5B4%5D_thumb.png)