Počítače Okna Internet
Rozšířit
Domov

Rdp přihlášení pomocí osobního certifikátu. Zabezpečení připojení RDP pomocí SSL. Jak se připojit ke vzdálené ploše

Network Layer Security (SSL) RDP bohužel není široce přijímáno správci systému, kteří preferují zabezpečení terminálových připojení jiným způsobem. Možná je to způsobeno zdánlivou složitostí metody, ale není tomu tak tento materiál zvážíme, jak takovou ochranu jednoduše a bez obtíží zorganizovat.

Jaké jsou výhody zabezpečení RDP pomocí SSL? Za prvé, silné šifrování kanálu, autentizace serveru na základě certifikátu a autentizace uživatele na úrovni sítě. Poslední jmenovaná funkce je k dispozici počínaje Windows Server 2008. Ověřování na úrovni sítě zlepšuje zabezpečení terminálového serveru tím, že jej ověřuje před zahájením relace.

Autentizace na úrovni sítě se provádí před připojením ke vzdálené ploše a zobrazením přihlašovací obrazovky, což snižuje zatížení serveru a výrazně zvyšuje jeho ochranu před narušiteli a malware a také snižuje pravděpodobnost útoků odmítnutí služby.

Chcete-li plně využít všech možností RDP přes SSL, musí klientské počítače běžet pod Ovládání Windows XP SP3, Windows Vista nebo Windows 7 a použijte klienta RDP verze 6.0 nebo novější.

Na pomocí Windows Server 2003 SP1 a novější, bude k dispozici šifrování kanálu SSL (TLS 1.0) a ověřování serveru, klientské počítače musí mít klienta RDP verze 5.2 nebo novější.

V našem článku se budeme zabývat nastavením terminálového serveru založeného na Windows Server 2008 R2, nicméně vše výše uvedené bude platit pro Windows Server 2003 (kromě chybějících funkcí).

Pro úspěšnou realizaci toto rozhodnutí ve vaší síti musí být funkční certifikační autorita, jejíž konfiguraci jsme probírali v. Chcete-li důvěřovat certifikátům vydaným těmito CA na terminálovém serveru, musíte do úložiště nainstalovat certifikát CA (nebo řetězec certifikátů).

Poté musíte požádat o certifikát pravosti serveru s následujícími parametry:

Název – celé jméno terminálového serveru (tj. server.domena.com, pokud server patří do domény domain.com)

  • Typ certifikátu - Certifikát pro ověření serveru
  • Nainstalujte doplněk Vytvořte novou sadu klíčů
  • CSP - Poskytovatel kryptografie Microsoft RSA SChannel.
  • Zaškrtněte políčko Označit klíč jako exportovatelný.
  • Pro Enterprise CA zaškrtněte políčko Použití místní úložiště počítač pro certifikát... (Tato možnost není k dispozici v samostatné CA.)

Odešlete žádost certifikační autoritě a nainstalujte vydaný certifikát. Tento certifikát musí být nainstalován v místním úložišti počítače, jinak jej nemůže používat Terminálové služby. Chcete-li to zkontrolovat, spusťte konzolu MMC (Start - Spustit - mmc) a přidejte snímek Certifikáty(Soubor – Přidat nebo odebrat modul snap-in) pro účet počítač.

V kořenovém adresáři konzoly vyberte kliknout Zobrazit - Možnosti a nastavte režim zobrazení Uspořádejte certifikáty podle účelu... Vydaný certifikát musí být ve skupině Ověření serveru.

Pokud jste certifikát obdrželi pomocí izolované (samostatné) CA (síť nemá doménovou strukturu), bude standardně nainstalován do úložiště uživatelských účtů a budete muset provést řadu dalších kroků.

Otevřít internet Explorer- Možnosti internetu - Obsah - Certifikáty, vydaný certifikát musí být nainstalován v obchodě Osobní.

Exportujte to. Při exportu zadejte následující možnosti:

  • Ano, exportovat soukromý klíč
  • Po úspěšném exportu odeberte soukromý klíč

Poté certifikát odeberte z toto úložiště... V mžiku Certifikáty ( místní počítač) Vyberte sekci Ověření serveru, Klikněte na to klikněte pravým tlačítkem myši myši Všechny úkoly - Import a importujte certifikát.

Teď v Správa – Služby vzdálené plochy otevřít Konfigurace hostitele relace vzdálené plochy(ve Windows Server 2003, Správa – Konfigurace terminálových služeb).

Vyberte požadované připojení a otevřete jeho vlastnosti. Úplně dole klikněte na tlačítko Vybrat a vyberte certifikát získaný v předchozím kroku (ve Windows Server 2003 toto okno vypadá poněkud jinak).

Po výběru certifikátu zadejte zbývající vlastnosti:

  • Úroveň zabezpečení SSL
  • Úroveň šifrování Vysoký nebo FIPS-kompatibilní
  • Zaškrtněte políčko Povolit připojení pouze z počítačů...(není k dispozici v systému Windows Server 2003)

Uložte zadané parametry, tím je konfigurace serveru dokončena.

Na klientském počítači vytvořte připojení ke vzdálené ploše a jako adresu použijte plně kvalifikovaný název serveru, jak je uvedeno v certifikátu. Otevřete vlastnosti připojení a na kartě Připojení - Ověření serveru nainstalovat možnost Varovat.

Aby tento počítač důvěřoval certifikátům vydaným naší certifikační autoritou, nezapomeňte si na něj v obchodě nainstalovat certifikát CA Důvěryhodné kořenové certifikační úřady.

Ve Windows 7 (při použití klienta RDP verze 7) musí být tento certifikát nainstalován v úložišti počítačový účet Chcete-li to provést, importujte jej přes snap Certifikáty (místní počítač) v konzole MCC stejným způsobem jako výše. V opačném případě nebude připojení možné a zobrazí se následující chyba:

Po instalaci certifikátu CA se můžete pokusit připojit. Pamatujte, že před vytvořením relace RDP budete vyzváni k zadání uživatelského jména a hesla. Pokud je připojení úspěšné, věnujte pozornost visacímu zámku v záhlaví okna, který označuje práci přes SSL. Kliknutím na něj zobrazíte informace o certifikátu.

A nakonec kapka masti v soudku medu. Terminál služby Windows nevíte, jak ověřit připojující se klienty, takže pokud taková potřeba nastane, měli byste použít další metody ochrany, jako je tunel SSH nebo IPSec VPN.

Krátce: umožňuje nakonfigurovat dvoufaktorovou autentizaci pro přístup k terminálovému serveru. Pomocí nástroje MS Remote Desktop Connection nebo Remote Desktop Web Connection umožňuje snadné připojení ke vzdálené ploše pomocí USB klíče (tokenu).

Jak funguje přihlašovací klíč Rohos se vzdálenou plochou.

Přihlašovací klíč Rohos integruje se do procesu autorizace Terminálových služeb systému Windows a přidává do stávající infrastruktury řízení přístupu k systému vrstvu dvoufaktorové autentizace. Po konfiguraci přihlašovacího klíče Rohos se uživatelé budou moci přihlásit ke vzdálené ploše buď pouze pomocí klíče USB, nebo pomocí klíče USB a hesla.

Výhody ochrany terminálového serveru.

  • Metoda umožňuje omezit vzdálený přístup pro některé uživatele nebo seznam uživatelů.
  • Tito uživatelé musí pokaždé vložit USB klíč nebo zadat OTP kód.
  • Každý klíč je jedinečný a nelze s ním manipulovat
  • Při konfiguraci není nutné připojovat USB klíč přímo k serveru.
  • Program nemusíte instalovat na každý počítač, ze kterého přistupujete k *.
  • Administrátor musí pouze předem nakonfigurovat a dát uživateli USB klíč pro přístup.

Zvýšený zabezpečení přes elektronikuUSB klíč nebo jednorázová hesla:

  • Heslo Windows + USB klíč jako SafeNet, eToken, iKey, ePass a další s podporou PKCS # 11.
  • Heslo Windows + USB flash disk.
  • Heslo Windows + OTP kód přijatý SMS na mobilní telefon uživatel.
  • Heslo okna + kód OTP s programy Google Authenticator nainstalovaný na smartphonu uživatele.
  • Pouze šifrované heslo na USB klíči.
  • elektronický USB klíč + PIN kód klíče;
  • elektronický klíč USB + PIN kód klíče + heslo Windows;

Než začnete konfigurovat přihlašovací klíč Rohos, musíte se rozhodnout:

  • jaký typ USB-klíče bude použit pro autorizaci;
  • jaký typ ověřování chcete použít:
    1) dvoufaktorový = USB klíč + heslo Windows,
    2) jednofaktorový = USB-Dongle (zahrnuje také možnost USB-Dongle + Dongle PIN, pokud je k dispozici),
    3) USB klíč používejte pouze na lokálním PC. V tomto případě nebude terminálový server kontrolovat přítomnost USB klíče na klientovi.
Metoda ověřování na terminálovém serveru Typ klíče USB Instalace softwaru Rohos Logon Key na klienta a terminálový server
Zákazník Windows Vista / 7/8 Server TS Windows Server 2008/2012
1) Dvoufaktorové ověření (USB klíč a heslo Windows). USB tokeny (PKCS # 11)
  • Chytré karty
  • Google Authenticator
  • Yubikey
  • USB fleška*
2) Jednofaktorové ověření (pouze klíč USB) USB flash disk
USB tokeny (PKCS # 11)
Chytré karty ++ 3)
3) USB dongle se používá pro pohodlí. Terminálový server nekontroluje přítomnost klíče USB. Jakýkoli typ USB dongle

* V případě použití USB flash disku jako přístupový klíč musí být na klientském počítači nainstalován jeden ze dvou programů: buď program nebo. V procesu vytváření klíče na serveru se zkopíruje jednotka USB, která zajistí, že se disk USB použije jako klíč pro připojení ke vzdálené ploše. Tuto přenosnou komponentu lze provozovat na jiných pracovních stanicích používaných pro vzdálené připojení k serveru.

Poté, co se rozhodnete pro typ USB-klíče a metodu dvoufaktorové autentizace, můžete začít instalovat Rohos Logon Key.

Typy USB klíčů a technologie vhodné pro autentizaci přes Vzdálenou plochu s programem Rohos Logon Key:

  1. Chytré karty, Java karty (Mifare 1K)
  2. Tokeny založené na PKCS11. Například SafeNet eToken, Securetoken ST3 / 4, senseLock trueToken, RuToken, uaToken, iKey.
  3. Yubikey a tokeny OTP, jako je Google Authenticator
  4. USB flash disky. V tomto případě se po vytvoření klíče USB disk zkopíruje přenosný komponent programy.

Kroky pro přípravu připojení pomocí Rohos Logon Key:

1. Nainstaluj program Přihlašovací klíč Rohos na terminálovém serveru... V nastavení programu zadejte typ USB klíče.

2. Nainstalujte balíček Rohos Management Tools k počítači, ze kterého bude přistupovat ke vzdálené ploše za účelem vytvoření klíčů.

3. Generování klíčů pro přístup přes RDC:

Připojte svůj budoucí USB klíč k místnímu počítači. Připojte se k terminálovému serveru přes RDC. V nastavení programu Vzdálená plocha uveďte, které místní zdroje ( USB disky nebo čipové karty) musí být poskytnuty vzdálenému počítači.

Spusťte program Přihlašovací klíč Rohos na terminálovém serveru. Použijte příkaz Nastavte klíč, specifikujte uživatele, pro kterého klíč vytváříte a případně zadejte jeho heslo.

Komentář: Některé typy USB klíčů lze vytvořit v programu Správce USB klíčů z balíčku Nástroje pro správu Rohos... Tento balíček je nainstalován na počítači správce. Po vytvoření všech klíčů v tomto programu je třeba exportovat jejich seznam na terminálový server. ... Ve stejném programu je tlačítko, které zkopíruje program na USB disk.

4. Konfigurace přihlašovacího klíče Rohos na terminálovém serveru:

Po vytvoření všech klíčů můžete posílit zabezpečení serveru tím, že některým uživatelům zakážete přístup k němu bez klíče USB. Otevřete seznam nastavení přihlašovacího klíče Rohos Povolit přístup pouze pomocí klíče USB.

Možnosti výběru:

  • Žádný
    Všichni uživatelé se mohou přihlásit pomocí hesla nebo pomocí USB klíče. Toto nastavení se nedoporučuje pro terminálový server.
  • Pro každého uživatele
    Tato možnost je stejná jako stará možnost Povolit přihlášení pouze pomocí USB klíče... Všichni uživatelé jsou povinni k přihlášení nebo odemknutí systému Windows použít klíč USB.
  • Pro uvedené uživatele
    Pouze uživatelé ze seznamu musí k přihlášení používat USB klíč. Všichni ostatní uživatelé se mohou přihlásit pomocí hesla. Seznam se vytvoří automaticky při vytvoření USB klíče pro uživatele. Do tohoto seznamu se zadává uživatelské jméno z USB klíče. Seznam uživatelů a klíčů lze navíc importovat z jiného počítače. To samozřejmě může udělat pouze administrátor.
  • Pro uživatelskou skupinu 'rohos' v Active Directory
    Každý uživatel ze skupiny rohos musí používat USB klíč.
    Pozornost: uživatelská skupina rohos musí být vytvořen správcem služby Active Directory.
  • Pro přihlášení ke vzdálené ploše
    Místní uživatelé se mohou přihlásit buď pomocí hardwarového klíče, nebo bez něj. Vzdálené přihlášení je možné pouze pomocí USB klíče. Tato možnost je ideální pro zvýšení bezpečnosti terminálového serveru.
  • Pro přihlášení ke vzdálené ploše mimo LAN
    Uživatelé v místní síti se mohou přihlásit k terminálovému serveru bez klíče... Pouze uživatelé, kteří se přihlašují přes telefonické připojení, připojení DSL a další sítě, musí používat klíče USB.

Připojení ke vzdálené ploše

Po připojení se nám zobrazí takové dialogové okno identifikace sítě.

Vyberte uživatelské jméno a zadejte heslo pro účet TS.

Pokud je heslo úspěšně ověřeno, je navázáno připojení ke vzdálené ploše. V této fázi Rohos Logon Key zkontroluje přítomnost USB klíče uživatele.

Přihlašovací klíč Rohos může zastavit přístup, pokud není připojen USB klíč:

V případě použití tokenu s jednorázovým heslem se zobrazí okno pro jeho zadání.

Přenosný přihlašovací klíč Rohos

Program vám pomůže, pokud používáte USB flash disk, ale nemůžete nebo nechcete instalovat ani na místní počítač Přihlašovací klíč Rohos, ani Nástroje pro správu Rohos... Tato komponenta se automaticky zkopíruje na USB flash disk během vytváření klíče na terminálovém serveru. Navíc jej lze získat spuštěním programu Správce USB klíčů Pro licence- pro přístup přes vzdálenou plochu k síťovému počítači (nikoli terminálovému serveru) a také pro použití v doméně.

  • Serverová licence- s speciálně navrženo pro terminálový server (Windows 2003, 2008, 2012 s přístupem přes vzdálenou plochu)

    • Vyzkoušejte přihlašovací klíč Rohos je zdarma do 15 dnů. Přihlašovací klíč Rohos.

    Po uplynutí této doby bude program také fungovat, ale připomene vám registraci.

    Alexandr Antipov

    Tento článek poskytuje přehled o tom, jak funguje transparentní autorizační technologie Single Sign-On a poskytovatel služeb zabezpečení pověření (CredSSP). Zvažuje se způsob konfigurace klientské a serverové části.


    Jednou z hlavních nepříjemností pro uživatele při spouštění vzdálené plochy nebo aplikace publikované na terminálovém serveru je nutnost zadávat své přihlašovací údaje. Dříve se k řešení tohoto problému používal mechanismus pro ukládání přihlašovacích údajů v nastavení klienta vzdálené plochy. ale tudy má několik podstatných nevýhod. Pokud bylo například heslo pravidelně měněno, bylo nutné jej změnit ručně v nastavení terminálového klienta.

    V tomto ohledu bylo pro zjednodušení práce se vzdálenou plochou ve Windows Server 2008 možné využít technologii transparentní autorizace Single Sign-on (SSO). Díky němu může uživatel při přihlašování na terminálový server použít jím zadané přihlašovací údaje při přihlašování do svého lokálního počítače, ze kterého se spouští klient vzdálené plochy.

    Tento článek poskytuje přehled o tom, jak funguje transparentní autorizační technologie Single Sign-On a poskytovatel služeb zabezpečení pověření (CredSSP). Zvažuje se způsob konfigurace klientské a serverové části. Pokrývá také řadu praktických problémů souvisejících s transparentní autorizací pro Služby vzdálené plochy.

    Teoretické informace

    Technologie SSO umožňuje ukládat přihlašovací údaje uživatele a automaticky je přenášet při připojení k terminálovému serveru. Pomocí skupinových zásad můžete definovat servery, pro které bude tato metoda autorizace použita. V tomto případě pro všechny ostatní terminálové servery bude přihlášení provedeno tradičním způsobem: zadáním uživatelského jména a hesla.

    Transparentní mechanismy autorizace se poprvé objevily v systémech Windows Server 2008 a Windows Vista. díky novému poskytovateli zabezpečení CredSSP. Přenesl pověření uložená v mezipaměti přes zabezpečený kanál (pomocí Transport Layer Security (TLS)). Následně společnost Microsoft vydala odpovídající aktualizace pro Windows XP SP3.

    Pojďme se na to podívat blíže. CredSSP lze použít v následujících scénářích:

    • pro Network Layer Authentication (NLA), umožňující rozpoznání uživatele před úplným navázáním připojení;
    • pro SSO uložením přihlašovacích údajů uživatele a jejich předáním terminálu.

    Při obnově relace v rámci farmy CredSSP urychluje proces navazování spojení, protože terminálový server definuje uživatele bez navazování plnohodnotného spojení (analogicky s NLA).

    Proces ověřování se řídí následujícím algoritmem:

    1. Klient zahájí vytvoření zabezpečeného kanálu se serverem pomocí TLS. Server mu zašle svůj certifikát obsahující jméno, certifikační autoritu a veřejný klíč. Certifikát serveru může být podepsán sám sebou.
    2. Mezi serverem a klientem je vytvořena relace. Je pro něj vytvořen odpovídající klíč, který se bude dále podílet na šifrování. CredSSP používá protokol SPNEGO (Simple and Protected Negotiate) k vzájemné autentizaci serveru a klienta, aby si každý mohl důvěřovat. Tento mechanismus umožňuje klientovi a serveru zvolit mechanismus ověřování (například Kerberos nebo NTLM).
    3. K ochraně proti odposlechu klient a server zašifrují certifikát serveru pomocí klíče relace a předávají si jej navzájem.
    4. Pokud se výsledky výměny a původní certifikát shodují, CredSSP na klientovi odešle přihlašovací údaje uživatele na server.

    Přenos přihlašovacích údajů tedy probíhá šifrovaným kanálem s ochranou proti zachycení.

    Přizpůsobení

    Poskytovatel bezpečnostních služeb CredSSP je součástí operačního systému a je součástí systému Windows Vista, Windows Server 2008, Windows 7, Windows Server 2008 R2. Případně ji lze nainstalovat jako samostatnou aktualizaci na Windows XP SP3. Tento proces je podrobně popsán v článku „Popis poskytovatele podpory zabezpečení pověření (CredSSP) v systému Windows XP Service Pack 3“. Chcete-li nainstalovat a povolit CredSSP v systému Windows XP SP3, postupujte takto.

    1. Spusťte editor registru regedit a přejděte do větve: HKEY_LOCAL_MACHINE \ SYSTEM \ CurrentControlSet \ Control \ Lsa.

    2. Přidejte hodnotu tspkg na klíč BezpečnostníBalíčky

    3. Jít doprotivětevregistru: HKEY_LOCAL_MACHINE \ SYSTEM \ CurrentControlSet \ Control \ SecurityProviders.

    4. Přidejte hodnotu credssp.dll na klíč Poskytovatelé zabezpečení(ostatní hodnoty tohoto klíče by měly zůstat nezměněny).

    Po povolení CredSSP je třeba nakonfigurovat jeho použití pomocí zásad skupiny nebo jejich odpovídajících klíčů registru. Chcete-li nakonfigurovat jednotné přihlašování na klientských počítačích, použijte zásady skupiny z části:

    Konfigurace počítače \ Šablony pro správu \ Systém \ Delegování pověření.

    PROTI Ruské jazykové verze operačních systémech to vypadá takto (obr. 1).

    Rýže. 1. Řízení přenosů pověření pomocí zásad skupiny

    Chcete-li používat jednotné přihlašování, musíte povolit zásady:

    Povolit přenos výchozích přihlašovacích údajů.

    Po zapnutí byste navíc měli nastavit, pro které servery se bude tento způsob autorizace používat. Chcete-li to provést, postupujte takto.

    V okně úpravy zásad (obr. 2) klikněte na " Ukázat»

    Rýže. 2. Okno Upravit skupinová politika

    Přidejte seznam terminálových serverů (obr. 3).

    Rýže. 3. Přidání terminálového serveru pro transparentní autorizaci

    Řádek pro přidání serveru má následující formát:

    TERMSRV / název serveru.

    Servery můžete také definovat podle masky domény. V tomto případě se řádek změní na:

    TERMSRV / *. Název_domény.

    Pokud není možné použít zásady skupiny, lze odpovídající nastavení nastavit pomocí editoru registru. Například pro Nastavení Windows XP Sp3 může používat následující soubor registru:

    Editor registru systému Windows verze 5.00

    "Bezpečnostní balíčky" = hex (7): 6b, 00,65,00,72,00,62,00,65,00,72,00,6f, 00,73,00,00, \

    00.6d, 00.73.00.76.00.31.00.5f, 00.30.00.00.00.73.00.63.00.68.00.61.00.6e, 00, \

    6e, 00.65.00.6c, 00.00.00.77.00.64.00.69.00.67.00.65.00.73.00.74.00.00.00.74, \

    00,73,00,70,00,6b, 00,67,00,00,00,00,00

    "SecurityProviders" = "msapsspc.dll, schannel.dll, digest.dll, msnsspc.dll, credssp.dll"

    "AllowDefaultCredentials" = dword: 00000001

    "ConcatenateDefaults_AllowDefault" = dword: 00000001

    "1" = "termsrv / *. Mydomain.com"

    Zde nahraďte mydomain.com názvem domény. V tomto případě při plném připojení k terminálovým serverům doménové jméno(například termserver1.mydomain.com) bude použita transparentní autorizace.

    Chcete-li použít technologii jednotného přihlášení na terminálovém serveru, musíte provést následující kroky.

    1. Otevřete Konzolu konfigurace Terminálové služby ( tsconfig.msc).
    2. V sekci připojení přejděte na vlastnosti RDP-Tcp.
    3. Na kartě „ Všeobecné"Nastavit úroveň zabezpečení" Dohoda"nebo" SSL (TLS 1.0)“ (obr. 4).

    Rýže. 4. Konfigurace úrovně zabezpečení na terminálovém serveru

    Tím je konfigurace klientské a serverové části dokončena.

    Praktické informace

    V této části se budeme zabývat omezeními používání transparentní autorizační technologie a problémy, které mohou při jejím používání nastat.

    • Technologie Single Sign-On funguje pouze při připojení z počítačů s operačním systémem, který není Windows XP SP3 nebo starší. Počítače s operačním sálem lze využít jako terminálový server. systém Windows Vista, Windows Server 2008, Windows 7 a Windows Server 2008 R2.
    • Pokud terminálový server, ke kterému se připojujete, nelze ověřit pomocí certifikátu Kerberos nebo SSL, jednotné přihlašování nebude fungovat. Toto omezení lze obejít zásadou:
      Povolit delegování výchozích pověření s ověřením serveru "Pouze NTLM".
    • Algoritmus pro povolení a konfiguraci této skupinové zásady je podobný výše uvedenému. Soubor registru odpovídající tomuto nastavení je následující.

    "AllowDefCredentialsWhenNTLMOnly" = dword: 00000001

    "ConcatenateDefaults_AllowDefNTLMOnly" = dword: 00000001

    "1" = "termsrv / *. Mydomain.com"

    Autentizace tímto způsobem je méně bezpečná než použití certifikátů nebo Kerberos.

    • Pokud jsou přihlašovací údaje pro server uloženy v nastavení terminálového klienta, mají vyšší prioritu než aktuální přihlašovací údaje.
    • Single Sign-On funguje pouze při použití doménových účtů.
    • Pokud připojení k terminálovému serveru probíhá přes bránu TS, v některých případech může mít nastavení serveru brány TS přednost před nastavením jednotného přihlášení terminálového klienta.
    • Pokud je terminálový server nakonfigurován tak, aby pokaždé požadoval zadání uživatelských pověření, jednotné přihlašování nebude fungovat.
    • Technologie transparentní autorizace funguje pouze s hesly. Pokud používáte čipové karty, nebude to fungovat.

    Pro správná práce SSO na Windows XP SP se doporučuje nainstalovat dvě opravy z KB953760: "Když povolíte jednotné přihlašování pro terminálový server z klientského počítače se systémem Windows XP SP3, budete při přihlášení k terminálovému serveru stále vyzváni k zadání uživatelských pověření."

    V některých případech je možná situace, kdy transparentní autorizační technologie může nebo nemusí fungovat na stejném terminálovém klientovi, v závislosti na profilu připojujícího se uživatele. Problém je vyřešen opětovným vytvořením uživatelského profilu. Pokud je to příliš časově náročné, můžete vyzkoušet radu z diskuze: „RemoteApp Single Sign On (SSO) z klienta Windows 7“ na fórech Microsoft Technet. Zejména se doporučuje provést reset Nastavení internetu Explorer nebo pro něj schválit odpovídající doplněk.

    Dalším velkým omezením jednotného přihlášení je to, že nefunguje při spouštění publikovaných aplikací prostřednictvím TS Web Access. V tomto případě je uživatel nucen zadat přihlašovací údaje dvakrát: při vstupu do webového rozhraní a při autorizaci na terminálovém serveru.

    Ve Windows Server 2008 R2 se situace změnila k lepšímu. Více detailní informace další informace o tom můžete získat v článku: „Zavedení jednotného webového přihlášení pro připojení k aplikacím RemoteApp a Desktop“ “.

    Závěr

    Článek pojednává o technologii transparentní autorizace na terminálových serverech Single Sign-On. Jeho použití umožňuje zkrátit čas, který uživatel stráví přihlašováním k terminálovému serveru a spouštěním vzdálených aplikací. Navíc s jeho pomocí stačí zadat přihlašovací údaje jednou na vstupu do místního počítače a poté je použít při připojení k terminálovým serverům domény. Mechanismus předávání přihlašovacích údajů je zcela bezpečný a konfigurace strany serveru a klienta je extrémně jednoduchá.

    Existují případy, kdy při použití protokolu RDP (Remote Desktop Protocol) nejsou programy nainstalované v systémové liště viditelné nebo se chyby a upozornění jednoduše nezobrazují. Aby se rozhodlo tento problém, můžete se připojit k terminálovému serveru v režimu konzoly prostřednictvím stejného RDP.

    Remote Desktop Protocol (Remote Desktop Protocol) nebo RDP je technologie pro vzdálené připojení k počítači (serveru) pro přímé ovládání prostřednictvím místní síť nebo internet. O této technologii jsem již mluvil ve video tutoriálu “ Připojení k počítači přes vzdálenou plochu ».

    Použití jakýchkoli programů pro vzdálenou správu pro přímé připojení k ploše není vždy vhodné, například když je připojení nestabilní nebo je omezená doba relace. V tomto článku vám tedy povíme o jednoduché věci, kterou možná někteří kolegové nevěděli.

    Pokud používáte klienta Windows Remote Desktop (RDP) jako prostředek pro připojení k počítači se systémem Windows Server 2003/2008/2012 se službou Terminal Server, máte možnost se připojit ke konzole serveru. Pomocí této možnosti se můžete přihlásit k serveru, jako byste seděli přímo před ním, a nevytvářet nové relace přes internetové připojení... Faktem je, že při vzdálené instalaci některých programů mohou nastat problémy, které vám to neumožní z terminálové relace, takže se musíte přihlásit k serveru přes konzolu.

    Povolení vzdáleného přístupu na vašem počítači.

    Aby bylo možné nakonfigurovat vzdálený přístup na cílovém počítači, musí vlastník nebo správce postupovat podle těchto kroků (Tento počítač \ Vlastnosti \ Nastavení vzdáleného přístupu \ Vzdálený přístup \ Povolit připojení z počítačů s jakoukoli verzí Vzdálené plochy).

    Pokud chcete do svého počítače povolit pouze určité uživatele nebo skupiny uživatelů ve vaší síti, musíte zaškrtnout políčko „Povolit připojení z počítačů se vzdálenou plochou s ověřováním na úrovni sítě (doporučeno)“.

    Jak se připojujete ke vzdálené ploše?

    To je samozřejmě standardní Nástroje Windows (Start \ Všechny programy \ Příslušenství \ Připojení ke vzdálené ploše)

    Nebo přes příkaz Vykonat (Vyhrát+ R) a zadejte příkaz mstsc... Je konec rychlý způsob a používají ho hlavně administrátoři a vývojáři softwaru, protože často se musíte připojit ke vzdáleným serverům.

    Jak se připojíte ke konzole vzdálené plochy?

    Chcete-li to provést, v okně, které se objeví, zadáme příkaz:

    Windows Server 2003 a Windows XP: mstsc / konzole

    Windows Server 2008/2012 a Windows 7/8 / 8.1: mstsc / admin

    Zadejte název terminálového serveru nebo počítače.

    A zadáme přihlašovací údaje uživatele, který má práva pro vzdálené připojení.

    Vzhledem k tomu, že RDP ve výchozím nastavení vytváří virtuální konzolu, připojení se neprovádí k samotné relaci, ale přímo ke konzoli (hlavní konzole-myš / klávesnice).

    Jaký je rozdíl mezi jednoduché připojení ke vzdálené ploše a připojení ke konzoli?

    Připojení přes konzoli je dostupné pouze administrátorům a ve skutečnosti je ekvivalentní běžnému přihlášení do systému. Zatímco jednoduché připojení přes rdp je terminálová relace, resp software který odolává běhu pod terminálovou relací, může docela dobře fungovat pod konzolí.

    V prvním případě se paralelně se stávající vytvoří nová relace (mstsc). V druhém případě je připojení provedeno na váš desktop (v rámci terminálových licencí).



    Nenašli jste odpověď na svou otázku? Podívejte se sem
    Architektura distribuovaného řídicího systému založeného na rekonfigurovatelném multi-pipeline výpočetním prostředí L-NetArchitektura distribuovaného řídicího systému založeného na rekonfigurovatelném multi-pipeline výpočetním prostředí L-Net „transparentní“ distribuované systémy souborů
    Stránka pro odesílání e-mailů Vyplňte soubor relay_recipients adresami z Active DirectoryStránka pro odesílání e-mailů Vyplňte soubor relay_recipients adresami z Active Directory
    Chybějící jazyková lišta ve Windows - co dělat?Chybějící jazyková lišta ve Windows - co dělat?