Если убрать всю блестящую обертку и шелуху, то смысл работы ИТ-специалиста станет предельно четким и понятным: основная задача ИТ состоит в создании, управлении и обеспечении безопасного доступа к бизнес-приложениям и данным. Все остальное — установка пакетов исправлений, поиск устранение неполадок, поддержка пользователей — подчинено главной задаче. И ИТ-специалисту на крупном предприятии, и мастеру на все руки в мелкой компании платят деньги, в сущности, за одно — за обеспечение безопасности данных и бесперебойной работы приложений.
Именно поэтому технология удаленного рабочего стола (RDS) — отличное решение, позволяющее решать указанную задачу. Использование удаленного рабочего стола становится стандартным методом обеспечения повсеместного и безопасного доступа к приложения с любой точки сети.
Предшественник RDS, службы терминалов (Terminal Services), давно использовались для обеспечении доступа к приложениям в рамках локальной сети, и лишь с появлением Windows Server 2008 стало возможным распространить сферу доступа на весь Интернет. Основное преимущество RDS — простота реализации. Затратив немного сил и не обладая обширным опытом, можно легко распространить область доступа к приложениям и данным на весь Интернет. Все, что для этого нужно, — два сервера, SSL-сертификат и несколько операций мышью.
Что нам понадобится
С выпуском Windows Server 2008 R2 службы терминалов получили новое имя — службы удаленного рабочего стола (Remote Desktop Services, RDS). Новое название отражает расширенные возможности RDS в области виртуализации как настольного компьютера, так и приложений. Теперь можно средствами одного RDS предоставлять пользователям доступ как к набору приложений, так и целому виртуальному рабочему столу. Тему виртуального настольного компьютера мы пока оставим для другой статьи, а сейчас я покажу, насколько просто подключать пользователей к удаленным приложениям.
Для начала потребуются два сервера. Один из них должен оборудоваться мощным процессором и объемной памятью (точные цифры я предлагаю вам определить самостоятельно). Такой мощный сервер будет хостом RDS, или RDSH (Remote Desktop Session Host). На нем будут устанавливаться приложения, доступ к которым требуется предоставлять пользователям, поэтому помимо прочего у него должно быть достаточно ресурсов для поддержки многих одновременных подключений пользователей этих приложений.
В нашем примере в качестве размещаемого на хосте приложения, которое будет доступно из Интернета, мы возьмем Microsoft Outlook 2007. В Outlook 2007 часто приходится открывать присоединенные к сообщениям файлы, поэтому также потребуется установить полный Microsoft Office. Обратите внимание, что хотя мы установим полный набор Office, пользователям будет доступен только Outlook.
Второму серверу не нужно столько мощи, поскольку он будет играть роль шлюза удаленного рабочего стола (Remote Desktop Gateway, RDG), и работать как своего рода прокси-сервер между «внешними» подключениями из Интернета и «внутренним» RDSH-сервером. Работа в качестве шлюза намного менее напряженна, поэтому этому серверу можно выделить существенно меньше ресурсов.
При подготовке RDG-сервера на брандмауэре потребуется открыть один-единственный порт между Интернетом и RDG-сервером. Открытие 443 протокола TCP позволит внешним клиентам подключаться к RDG-серверу, который будет работать в качестве защитного шлюза, пересылающего клиентам защищенный RDSH-трафик (обычно через порт 3389 TCP) (см. рис. 1).
Увеличить
Рис. 1. RDG-сервер работает как защитный шлюз между клиентами Интернета и RDSH-хостом
Третий компонент — SSL-сертификат с именем шлюза, точнее доступным из Интернета полным доменным именем RDG-сервера. Вы вправе создать такой сертификат бесплатно, используя встроенные в ОС службы сертификации Microsoft, но лучше потратить примерно 30 долларов в год на публичный сертификат, выданный доверенным центром сертификации, так как это сильно упростит реализацию. В данном примере сертификат привязан к серверу server1.contoso.com.
Установка RDSH-сервера
Первый шаг на пути к предоставлению доступа к вашим приложениям из Интернета вообще не имеет никакого отношения к приложениям. RDS устроены так, что RDSH-сервер следует устанавливать до установки каких-либо приложений. Таким образом, надо установить на сервере \\server2 «с нуля» операционную систему Windows Server 2008 R2 и добавить роль Remote Desktop Services со службой Remote Desktop Session Host.
Если RDS устанавливается впервые, также потребуется установить службу лицензирования удаленного рабочего стола (Remote Desktop Licensing). За подробностями установки этой службы отошлем читателя к статье http://technet.microsoft.com/library/dd983943(WS.10).aspx.
В процессе установки RDSH нужно настроить четыре важных параметра:
- Метод проверки подлинности. Проверка подлинности на уровне сети (NLA) повышает безопасность проверки подлинности пользователей RDSH-сервера, но поддерживается только клиентами под управлением Windows XP SP3, Windows Vista и Windows 7 с RDC-клиентом версии не ниже 6.0. Если ваши клиенты удовлетворяют этим требованиям, рекомендуем выбрать NLA.
- Метод лицензирования. Возможны два метода лицензирования, а выбор полностью определяется типом приобретенной лицензии клиентов RDS. Лицензия на устройство привязана к этому устройству, но может использоваться неограниченным числом пользователей. Лицензия на пользователя закреплена за конкретным пользователем, но может использоваться на любом устройстве. Если речь идет о тестовой среде, для которой лицензии еще не приобретены, можете пока отложить конфигурирование этой части. Лицензирование надо настроить в течение следующих 120 дней, только по истечении этого времени RDS перестанет обслуживать подключения.
- Группы пользователей. Создайте пользователей или группы, которые будет предоставляться доступ к RDSH-серверу через Интернет.
- Богатство пользовательского интерфейса. Здесь можно запретить или разрешить особую функциональность для использования клиентами на сервере RDSH, а именно: воспроизведение аудио и видео, запись аудио и элементы интерфейса Windows Aero. Каждая из этих возможностей увеличивает объем данных, которыми обмениваются клиент и сервер в течение сеанса, поэтому включать эти функции следует только при необходимости.
Получив ответы, установщик установит RDSH на сервер \\server2. Дальше надо установить пакет Microsoft Office. Имейте в виду, что установка приложений на сервер RDSH требует дополнительного шага, который отсутствует при обычной установке. В Панели управления (Control Panel) найдите элемент «Install Application on Remote Desktop Server», где введите путь к файлу установки Office и дождитесь завершения установки в рамках Панели управления.
Все программное обеспечение должно устанавливаться на RDSH-серверы именно так. Также следует иметь в виду, что некоторые приложения могут устанавливаться на RDSH только в определенной конфигурации. На веб-сайте https://connect.microsoft.com/tsappcomp корпорация Майкрософт предоставляет бесплатный анализатор приложений RDS (RDS Application Analyzer), позволяющий разобраться в требованиях таких приложений.
Установка шлюза удаленных рабочих столов
Установив RDSH-сервер, можно открыть его для доступа клиентов Интернета. Сначала надо установить приобретенный SSL-сертификат на сервер \\server1. Процесс получения этого сертификата определяется его издателем, но в конечном итоге сертификат должен быть установлен в личном хранилище сертификатов компьютера (но не в личном хранилище пользователя).
Увеличить
Рис. 2. Конфигурирование сертификатов на RDG
После установки сертификата устанавливают роль Remote Desktop Services на сервер \\server1, но на сей раз со службой Remote Desktop Gateway. Как видно на рис. 2, этот процесс конфигурирования сложнее, чем настройка RDSH, но все равно все сводится к четырем вещам:
- Server authentication certificate (сертификат проверки подлинности сервера). Если вы правильно установили SSL-сертификат в личном хранилище локального компьютера, он появится в соответствующем поле (см. рис. 2).
- RD Gateway User Groups (группы пользователей шлюза удаленных столов). Группы пользователей, которым разрешено подключаться ко внутренним ресурсам через этот RDG-сервер.
- RD CAP (политика проверки подлинности при подключении к удаленному рабочему столу) определяет, какие механизмы используются для проверки подлинность пользователей на RDG шлюзе.
- RD RAP (политика проверки подлинности при подключении к удаленному рабочему столу) определяет, к каким внутренним ресурсам разрешено получать доступ пользователями, подключившимся через RDG.
Конфигурирование сертификатов на RDG «Прощелкайте» оставшиеся страницы мастера и завершите установку — RDG-сервер готов к использованию. С этого момента RDG-сервер начнет принимать подключения, адресованные RDSH-серверу.
Конфигурирование Outlook RemoteApp
Для многих администраторов-универсалов именно здесь начинаются сложности. Следующий этап настройки выполняется на RDSH-сервере, где нужно создать конфигурацию RemoteApp для Microsoft Outlook. В ней надо указать всю необходимую информацию, чтобы внешние клиенты могли подключаться к RDG-серверу через Интернет.
Перейдите к узлу RemoteApp Manager в окне Диспетчера сервера. Щелкните узел правой кнопкой и выберите Add RemoteApp Programs. В открывшемся мастере отметьте флажком Microsoft Office Outlook 2007 в списке установленных приложений, после чего щелкните Next и затем — Finish. Вы создали подключение к Outlook RemoteApp.
Рис. 3. Конфигурирования параметров RDG на RDSH-сервере
Следующий шаг — определение RDG-сервера, к которому будут подключаться Интернет-клиенты. Щелкните кнопку Change рядом с RD Gateway Settings — откроется окно, показанное на рис. 3. Здесь вы можете задать имя своего RDG-сервера, а также способ входа в систему. Обратите внимание, что один флажок уже установлен. Он обеспечивает что-то типа единого входа, когда пользователи вводят учетные данные только раз и получают доступ к RDG и RDSH. Второй флажок позволяет пользователям локальной сети подключаться, минуя RDG-сервер. Так как находящиеся в локальной сети пользователи не нуждаются в дополнительной защите, предоставляемой RDG-сервером, выбор этого флажка позволяет им подключаться к RDSH напрямую. Убедитесь, что установлены оба флажка и щелкните OK.
Конфигурирования параметров RDG на RDSH-сервере Заключительный этап нашего примера — создание файла подключения к Outlook для пользователей. Для этого щелкните Outlook RemoteApp и выберите Create .rdp File, после чего щелкните Next и Finish. В папке C:\Program Files\Packaged Programs появится файл с расширением .rdp, который можно раздавать пользователям. Чтобы подключиться к Outlook через интернет, пользователям будет достаточно дважды щелкнуть файл и ввести свои учетные данные.
Еще одно сообщение и еще один сертификат
Завершив настройку и дважды щелкнув RDP-файл подключения к Outlook, вы увидите сообщение об ошибке (рис. 4). С технической точки зрения это не ошибка, хотя это сообщение часто смущает пользователей. Оно требует дополнительной проверки подлинности RDP-файла клиентом удаленного рабочего стола перед запуском этого файла. Оно требует дополнительной проверки подлинности RDP-файла клиентом удаленного рабочего стола перед запуском этого файла. Как и раньше, вопрос решается путем подписания RDP-файла сертификатом, причем это может быть тот же сертификат, что использовался при установке RDG.
Рис. 4 Сообщение об ошибке клиента удаленного рабочего стола, сообщающее о необходимости еще одного публичного SSL-сертификата на каждом RDSH-сервере
Чтобы избавиться от сообщения об ошибках, установите сертификат RDG в личное хранилище сертификатов RDSH-сервера, затем вернитесь к узлу RemoteApp Manager в Диспетчере серверов. Щелкните кнопку Change рядом с Digital Signature Settings. В открывшемся окне установите флажок Sign with a digital certificate и щелкните кнопку Change. Если вы правильно установили сертификат в личном хранилище локального компьютера, сертификат будет указан в списке. После этого пересоздайте RDP-файл для Outlook.
В результате сообщение об ошибке превратиться в вопрос о том, доверяете ли пользователь издателю этой программы RemoteApp. Если пользователь согласен, ему достаточно щелкнуть кнопку Connect, перед этим он может установить флажок, чтобы данное сообщение больше не появлялось.
Вот, собственно, и вся инструкция по предоставлению доступа из Интернета ко внутренней программе Outlook размером чуть менее 2 тысяч слов. Явно, что в RDS есть существенно больше вариантов конфигурирования и защиты среды. Но этот простой пример — просто начало на вашем большом пути к повсеместному и безопасному доступу к приложениям.