亚洲免费av电影一区二区三区,日韩爱爱视频,51精品视频一区二区三区,91视频爱爱,日韩欧美在线播放视频,中文字幕少妇AV,亚洲电影中文字幕,久久久久亚洲av成人网址,久久综合视频网站,国产在线不卡免费播放

        ?

        工作組環(huán)境配置RDS證書

        2017-11-08 10:39:10
        網(wǎng)絡(luò)安全和信息化 2017年12期
        關(guān)鍵詞:遠程桌面工作組頁面

        使 用RDS(Remote Desktop Service,遠程桌面服務(wù))服務(wù),可以實現(xiàn)最基本的遠程控制操作,讓網(wǎng)管員可以輕松實現(xiàn)遠控操作。RDS可以為每個遠控用戶提供獨立的操作進。實際上,在Windows Server 2012中,RDS服務(wù)屬于微軟桌面虛擬化的基礎(chǔ)技術(shù),并由此實現(xiàn)了桌面虛擬化和應(yīng)用程序虛擬化,因此,RDS和RemoteAPP以及VDI是存在緊密聯(lián)系的。RDS服務(wù)可以在工作組或者域環(huán)境下運作,但是在兩種環(huán)境中,證書的配置是存在很大不同的。

        與RDS服務(wù)相關(guān)的組件

        為了更好地使用RDS服務(wù),這里先簡單介紹一下RDS服務(wù)的相關(guān)組件。在Windows Server 2012中,RDS服務(wù)是由RD Web訪問、RD網(wǎng)關(guān)、RD授權(quán)、RD連接代理、RD虛擬化主機、RD會話主機等組件構(gòu)成,其中的RD會話主機指的是承載應(yīng)用程序或者遠程桌面程序的服務(wù)器,RD連接代理可以記錄客戶端的連接信息,RD Web訪問組件可以提供一個訪問接口,RD網(wǎng)關(guān)其實是一個反向代理。

        在多臺RD會話主機的場景中,當(dāng)客戶端訪問某臺RD會話主機上的程序時,如果出現(xiàn)中途異常斷開的情況,該用戶再次連接時,RD代理服務(wù)器會從自身的數(shù)據(jù)庫中查找該用戶上次的連接信息,將其自動導(dǎo)向之前連接的RD會話主機。這樣,可以保證該客戶端可以繼續(xù)操作RemoteAPP程序。在Windows Server 2012中已經(jīng)取消了直接讓客戶端連接到RD會話主機的模式,只允許用戶通過RD Web訪問這一接口,來訪問RemoteAPP程序或者VDI遠程桌面。

        在默認情況下,客戶端通過TCP 3389端口來訪問遠程桌面。存在多臺會話主機的情況下,客戶端會先訪問RD Web節(jié)后,之后再轉(zhuǎn)向目標(biāo)RD會話主機。這就出現(xiàn)了一個問題,即單個3389端口處理多個Remote APP程序的映射比較繁瑣。RD網(wǎng)關(guān)的出現(xiàn),有效解決了該問題,當(dāng)客戶端訪問RemoteAPP程序時。首先連接RD網(wǎng)關(guān),之后由其引導(dǎo)用戶連接到合適的RD會話主機,讓用戶順利訪問RemoteAPP程序,并由其處理客戶端和RD 會話主機的映射關(guān)系。當(dāng)然,這會使用到TCP 443等端口。

        工作組環(huán)境中RDS證書問題

        在RDS服務(wù)中,證書是一個非常重要的對象。使用證書有兩個目的,不僅可以對用戶的遠程登錄進行認證,而且可以對數(shù)據(jù)的傳輸進行加密。對于RDS服務(wù)器來說,希望客戶端執(zhí)行的是安全的連接。在工作組環(huán)境中,即RDS服務(wù)器和客戶端是獨立的,當(dāng)客戶端執(zhí)行“mstsc.exe”程序,輸入RDS服務(wù)器地址,連接完成后,在遠程桌面連接窗口中會顯示“無法驗證此遠程計算機的身份,是否仍要連接?”的提示,說明證書來自不信任的證書驗證機構(gòu)。

        以上情況說明,RDS服務(wù)器會創(chuàng)建自簽名證書,但自簽名證書默認是不受信任的,即在工作組環(huán)境中,證書的安全實際上沒有得到有效保證。但在域環(huán)境中情況則截然不同。例如,在域環(huán)境中,當(dāng)客戶端登錄RDS服務(wù)器時,卻不會出現(xiàn)無法驗證連接者身份的警告窗口,在遠程桌面窗口頂部點擊鎖型按鈕,在彈出窗口中顯示“已使用Kerberos驗證遠程計算機的身份”信息。Kerberos是Windows活動目錄架構(gòu)中用于身份驗證的加密協(xié)議,這說明該RDS連接是安全的。

        申請所需證書

        如何在工作組環(huán)境中也能實現(xiàn)安全連接呢?在域中某服務(wù)器(例如名為“CAsrv“”)上打開服務(wù)器管理器,點擊“添加角色和功能”項,在向?qū)Ы缑嬷械慕巧斜碇羞x擇“Active Directory證書服務(wù)”項,在下一步窗口中選擇“證書頒發(fā)機構(gòu)”和“證書頒發(fā)機構(gòu)Web注冊”項,當(dāng)安裝該角色后,按照向?qū)崾具M行AD證書服務(wù)的配置操作,例如,修改CA的公用名稱等,一般來說采取默認值即可。打開證書頒發(fā)機構(gòu)窗口,在左側(cè)選擇CA公用名稱,在其屬性窗口中的“擴展”面板中選擇以“https://”起始的一行,選擇“包括在CRL中。客戶端用它來尋找增量的位置”,“包含在頒發(fā)的證書的CDP擴展中”,“包含在已發(fā)布的CRL的IDP擴展中”項,點擊應(yīng)用按鈕,重啟AD證書服務(wù)。

        在左側(cè)的“吊銷的證書”項的右鍵菜單上點擊“所有任務(wù)→吊銷發(fā)布”項,點擊確定按鈕。在RDS服務(wù)器上打開瀏覽器,訪問“http://CAsrv.xxx.com/certsrv”,輸入合適的域賬戶名和密碼,在歡迎頁面中點擊“下載CA證書,證書鏈或CRL”鏈接,在打開頁面中點擊“下載證書鏈”鏈接,將后綴為“.p7b”的文件保存到本地,假設(shè)為名“xinren.p7b”,這是一張信任證書。

        信任根證書頒發(fā)機構(gòu)

        打開MMC控制臺,點擊“Ctrl+M”鍵,在打開窗口左側(cè)選擇“證書”項,點擊添加按鈕,選擇“計算機賬戶”項,在控制臺左側(cè)選擇“證書→受信任的證書頒發(fā)機構(gòu)→證書”項,在右鍵菜單上點擊“所有任務(wù)→導(dǎo)入”項,在向?qū)Ы缑嬷羞x擇上述“xinren.p7b”文件,依次點擊“下一步”和“完成”按鈕,將其添加到收信人的根證書頒發(fā)機構(gòu)列表中。在客戶端執(zhí)行同樣的操作,使其信任根證書頒發(fā)機構(gòu)。當(dāng)信任了證書頒發(fā)機構(gòu)后,接下來需要申請證書。

        在RDS服務(wù)器安裝好IIS之后,在IIS管理器中打開服務(wù)器證書窗口,因為是在工作組環(huán)境中申請證書,所以點擊“創(chuàng)建證書申請”鏈接,在操作向?qū)Вㄈ鐖D1)中輸入證書的通用名稱(輸入 RDS主機名)、組織、組織單元、城市/地點、省/市/自治區(qū)、國家/地區(qū)等信息,點擊“下一步”按鈕,選擇加密服務(wù)提供程序和位長信息,一般來說保持默認即可。在下一步窗口中點擊瀏覽按鈕,選擇申請文件保存路徑,點擊“完成”按鈕,就得到了所需的申請文件。這其實是一個文本文件,使用記事本可以查看其內(nèi)容,并將其內(nèi)容完整復(fù)制到剪切板中。

        創(chuàng)建證書操作

        之后打開瀏覽器,訪問“http://CAsrv.xxx.com/certsrv”,在彈出頁面中點擊“申請證書”鏈接,之后點擊“高級證書申請”鏈接,在打開頁面中點擊“使用Base64編碼的CMC或PKCS#10文件提交 一個證書,或使用Base64編碼的PKCS#7續(xù)訂證書申請”鏈接,在打開頁面中的“保存的申請”欄中粘貼申請文件內(nèi)容,在“證書模板”列表中選擇“Web服務(wù)器”。點擊“提交”按鈕,在證書已頒發(fā)頁面中點擊“下載證書”鏈接,將證書文件下載到本地。之后,在IIS管理器中的“服務(wù)器證書”窗口右側(cè)點擊“完成證書申請”鏈接,在彈出窗口中的“包含證書頒發(fā)機構(gòu)相應(yīng)的文件名”欄點擊“瀏覽”按鈕,選擇上述證書文件,設(shè)置易于記憶的名稱,選擇證書存儲位置,點擊“確定”按鈕,就完成了該證書的創(chuàng)建操作。

        圖1 申請證書

        圖2 查看證書的指紋信息

        對證書進行綁定

        如何將該證書綁定到RDS服務(wù)上呢?這需要使用命令行實現(xiàn)。打開申請到的證書的屬性窗口,在“詳細信息”面板(如圖2)中點擊“指紋”項,可以看到指紋信息。在CMD窗口中執(zhí)行“wmic /namespace:\rootcimv2TerminalServices PATH Win32_TSGeneralSetting Set SSLCertificateSHA1Hash="xxxxxxxxx"”命令,當(dāng)出現(xiàn)“屬性更細成功”的提示,說明完成證書的綁定操作。其中的“xxxxxxxxx”表示證書的指紋信息。這樣,在工作組環(huán)境中,當(dāng)客戶端連接RDS服務(wù)器時,就可以利用該證書實現(xiàn)安全連接了。

        客戶端需要使用RDS服務(wù)器名進行連接,才可以依靠證書實現(xiàn)安全連接??梢栽诳蛻舳舜蜷_“C:WindowsSystem32DriversEtc”目錄,編輯其中的“hosts”文件,在其中添加RDS名稱和IP對應(yīng)關(guān)系,實現(xiàn)簡單的DNS解析功能,就可以使用RDS名稱連接RDS服務(wù)器了。但是,如果使用RDS服務(wù)器的IP進行連接,就會出現(xiàn)上述無法信任的問題。因為證書是和RDS主機名綁定的,這是證書的特點之一。應(yīng)該說同域環(huán)境相比,在工作組中環(huán)境中配置和管理證書是比較繁瑣的。

        猜你喜歡
        遠程桌面工作組頁面
        大狗熊在睡覺
        刷新生活的頁面
        肖幼率工作組赴戴家湖涵指導(dǎo)搶險
        治淮(2020年8期)2020-09-22 06:25:46
        實戰(zhàn)Windows Server 2008 R2遠程桌面服務(wù)
        32個工作組印跡 >
        中國民政(2017年13期)2017-08-01 00:07:27
        安裝遠程桌面服務(wù)
        為Windows 2012指定授權(quán)服務(wù)器
        監(jiān)控遠程用戶行為
        磁縣政協(xié)專題聽取委員工作組2015年工作匯報
        鄉(xiāng)音(2016年2期)2016-02-26 20:38:40
        百項能效標(biāo)準(zhǔn)推進工程聯(lián)合工作組會議在京召開
        国产尤物精品福利视频| 日韩午夜三级在线视频| 深夜黄色刺激影片在线免费观看 | 偷拍夫妻视频一区二区| 亚洲乳大丰满中文字幕| 亚洲av永久无码国产精品久久| 午夜亚洲国产理论片亚洲2020| 亚洲av激情久久精品人| 射进去av一区二区三区| 久久天堂一区二区三区av| 欧美人伦禁忌dvd放荡欲情| 藏春阁福利视频| 无码专区无码专区视频网址| 亚洲女同性恋激情网站| 日产一区二区三区免费看| 少妇高潮一区二区三区99| 法国啄木乌av片在线播放| 亚洲成熟丰满熟妇高潮XXXXX| 人妻少妇中文字幕久久hd高清| 国产激情视频免费在线观看| 曰欧一片内射vα在线影院| 5级做人爱c视版免费视频| 日本一极品久久99精品| 久久久人妻一区二区三区蜜桃d| 婷婷四虎东京热无码群交双飞视频| 天美传媒一区二区| 无码中文av有码中文av| 国产精品99久久精品女同| 日韩肥臀人妻中文字幕一区| 日本做受120秒免费视频| 藏春阁福利视频| 经典女同一区二区三区| 内射爆草少妇精品视频| 久久久久久欧美精品se一二三四| 亚洲av无码av制服丝袜在线| 大屁股少妇一区二区无码| 天堂av国产一区二区熟女人妻| 国产亚洲精品一区二区无| 成人免费看www网址入口| 天天插天天干天天操| 中文字幕精品一区二区三区av|