Računala Windows Internet
Proširiti
Dom

Rdp prijava putem osobnog certifikata. Osiguravanje RDP veza pomoću SSL-a. Kako se povezati s udaljenom radnom površinom

Sigurnost mrežnog sloja (SSL) RDP nažalost nije široko prihvaćen od strane administratora sustava koji radije osiguravaju terminalske veze na drugačiji način. Možda je to zbog prividne složenosti metode, ali to nije slučaj ovaj materijal razmotrit ćemo kako jednostavno i bez poteškoća organizirati takvu zaštitu.

Koje su prednosti osiguranja RDP-a sa SSL-om? Prvo, jaka enkripcija kanala, provjera autentičnosti poslužitelja temeljena na certifikatima i provjera autentičnosti korisnika na razini mreže. Potonja značajka dostupna je počevši od Windows Servera 2008. Provjera autentičnosti na razini mreže poboljšava sigurnost terminalskog poslužitelja provjerom autentičnosti prije početka sesije.

Provjera autentičnosti na mrežnoj razini provodi se prije spajanja na udaljenu radnu površinu i prikaza ekrana za prijavu, što smanjuje opterećenje poslužitelja i značajno povećava njegovu zaštitu od uljeza i zlonamjernog softvera a također smanjuje vjerojatnost napada uskraćivanja usluge.

Da biste u potpunosti iskoristili sve mogućnosti RDP-a preko SSL-a, klijentska računala moraju raditi pod Kontrola sustava Windows XP SP3, Windows Vista ili Windows 7 i koristite RDP klijent verziju 6.0 ili noviju.

Na koristeći Windows Server 2003 SP1 i noviji, SSL (TLS 1.0) kanalna enkripcija i autentifikacija poslužitelja bit će dostupni, klijentska računala moraju imati RDP klijentsku verziju 5.2 ili noviju.

U našem članku razmotrit ćemo postavljanje terminalskog poslužitelja temeljenog na Windows Server 2008 R2, međutim, sve gore navedeno vrijedi za Windows Server 2003 (osim značajki koje nedostaju).

Za uspješnu implementaciju ovu odluku na vašoj mreži mora postojati radno tijelo za izdavanje certifikata, o čijoj smo konfiguraciji raspravljali. Da biste vjerovali certifikatima koje su ti CA-ovi izdali na terminalskom poslužitelju, trebate instalirati CA certifikat (ili lanac certifikata) u spremište.

Zatim morate zatražiti poslužiteljski certifikat o autentičnosti sa sljedećim parametrima:

Naziv - puni naziv terminalskog poslužitelja (tj. server.domain.com ako poslužitelj pripada domeni domain.com)

  • Tip certifikata - Certifikat za provjeru autentičnosti poslužitelja
  • Instalirajte opciju Napravite novi set ključeva
  • CSP - Microsoft RSA SCannel Cryptographic Provider.
  • Označite okvir Označite ključ kao izvoziv.
  • Za Enterprise CA potvrdite okvir Koristiti lokalno skladište računalo za certifikat... (Ova opcija nije dostupna u samostalnom CA.)

Podnesite zahtjev certifikacijskom tijelu i instalirajte izdani certifikat. Ovaj certifikat mora biti instaliran u lokalnu pohranu računala, inače ga Terminal Services ne može koristiti. Da biste to provjerili, pokrenite konzolu MMC (Start - Run - mmc) i dodajte snimak Certifikati(Datoteka - Dodaj ili ukloni uskočni dodatak) za račun Računalo.

U korijenu konzole odaberite kliknite Pogled - Opcije i postavite način prikaza Rasporedite certifikate prema namjeni... Izdana potvrda mora biti u grupi Autentifikacija poslužitelja.

Ako ste primili certifikat pomoću izoliranog (samostalnog) CA ​​(mreža nema strukturu domene), tada će se on prema zadanim postavkama instalirati u pohranu korisničkih računa i morat ćete izvršiti niz dodatnih koraka.

Otvoriti Internet Explorer- Internetske mogućnosti - Sadržaj - Certifikati, izdani certifikat mora biti instaliran u trgovini Osobno.

Izvezi ga. Prilikom izvoza navedite sljedeće opcije:

  • Da, izvoz privatni ključ
  • Uklonite privatni ključ nakon uspješnog izvoza

Zatim uklonite certifikat iz ovo spremište... U trenutku Certifikati ( lokalno računalo) Odaberite odjeljak Autentifikacija poslužitelja, kliknite na njega desni klik miševi Svi zadaci - uvoz i uvozi certifikat.

Sada unutra Administracija - usluge udaljene radne površine otvoriti Konfiguracija hosta sesije udaljene radne površine(u sustavu Windows Server 2003, Administracija - Konfiguriranje terminalskih usluga).

Odaberite potrebnu vezu i otvorite njezina svojstva. Na samom dnu kliknite gumb Izaberi i odaberite certifikat dobiven u prethodnom koraku (u sustavu Windows Server 2003 ovaj prozor izgleda nešto drugačije).

Nakon odabira certifikata, navedite ostala svojstva:

  • Sigurnosna razina SSL
  • Razina enkripcije Visoko ili FIPS-kompatibilan
  • Označite okvir Dopusti veze samo s računala...(nije dostupno na Windows Server 2003)

Spremite unesene parametre, čime se dovršava konfiguracija poslužitelja.

Na klijentskom računalu stvorite vezu s udaljenom radnom površinom, koristite potpuno kvalificirani naziv poslužitelja kao što je navedeno u certifikatu kao adresu. Otvorite svojstva veze i na kartici Veza - Autentifikacija poslužitelja instalirati opciju Upozoriti.

Kako bi ovo računalo moglo vjerovati certifikatima koje izdaje naše certifikacijsko tijelo, ne zaboravite na njega instalirati CA certifikat u trgovini Pouzdana tijela za certifikaciju korijena.

U sustavu Windows 7 (kada koristite RDP klijent verzije 7) ovaj certifikat mora biti instaliran u trgovini račun računala, da biste to učinili, uvezite ga kroz snap Certifikati (lokalno računalo) u MCC konzoli, na isti način kao gore. U suprotnom, veza neće biti moguća i dobit ćete sljedeću pogrešku:

Nakon instaliranja CA certifikata, možete se pokušati povezati, imajte na umu da će korisničko ime i lozinka biti zatraženi za unos prije kreiranja RDP sesije. Ako je veza uspješna, obratite pažnju na lokot u naslovu prozora koji označava rad preko SSL-a. Klikom na njega možete vidjeti informacije o certifikatu.

I na kraju, kap masti u buretu meda. Terminal windows usluge ne znaju kako provjeriti autentičnost povezujućih klijenata, pa ako se ukaže takva potreba, trebali biste koristiti dodatne metode zaštite, kao što su SSH tunel ili IPSec VPN.

Kratko: omogućuje vam da konfigurirate dvofaktornu autentifikaciju za pristup terminalskom poslužitelju. Koristeći uslužni program MS Remote Desktop Connection ili Remote Desktop Web Connection, omogućuje vam jednostavno povezivanje s udaljenom radnom površinom pomoću USB ključa (token).

Kako Rohos Logon Key radi s udaljenom radnom površinom.

Rohos ključ za prijavu integrira se u proces autorizacije Windows terminalskih usluga i dodaje sloj provjere autentičnosti s dva faktora postojećoj infrastrukturi kontrole pristupa sustavu. Nakon konfiguriranja Rohos ključa za prijavu, korisnici će se moći prijaviti na udaljenu radnu površinu ili samo s USB ključem ili s USB ključem i lozinkom.

Prednosti zaštite terminalskog poslužitelja.

  • Metoda vam omogućuje da ograničite udaljeni pristup za neke korisnike ili popis korisnika.
  • Takvi korisnici moraju svaki put umetnuti USB ključ ili unijeti OTP kod.
  • Svaki ključ je jedinstven i ne može se mijenjati
  • Nema potrebe za spajanjem USB ključa izravno na poslužitelj kada ga konfigurirate.
  • Ne morate instalirati program na svako računalo s kojeg pristupate *.
  • Administrator samo treba unaprijed konfigurirati i dati korisniku USB ključ za pristup.

Povećana sigurnost putem elektroničkeUSB ključ ili jednokratne lozinke:

  • Windows lozinka + USB ključ kao što su SafeNet, eToken, iKey, ePass i drugi s podrškom za PKCS #11.
  • Windows lozinka + USB flash pogon.
  • Windows lozinka + OTP kod primljen SMS-om na mobitel korisnik.
  • Lozinka za prozor + OTP kod sa Google programi Autentifikator instaliran na pametnom telefonu korisnika.
  • Samo šifrirana lozinka na USB ključu.
  • elektronički USB ključ + PIN kod ključa;
  • elektronički USB ključ + PIN kod ključa + lozinka za Windows;

Prije nego počnete konfigurirati Rohos Logon ključ, morate odlučiti:

  • koja će se vrsta USB ključa koristiti za autorizaciju;
  • koju vrstu provjere autentičnosti želite koristiti:
    1) dvofaktor = USB ključ + Windows lozinka,
    2) jedan faktor = USB-Dongle (ovo također uključuje opciju USB-Dongle + PIN ključa ako je dostupna),
    3) koristite USB ključ samo na lokalnom računalu. U tom slučaju, terminalski poslužitelj neće provjeravati prisutnost USB ključa na klijentu.
Metoda provjere autentičnosti za terminalski poslužitelj Tip USB ključa Instaliranje softvera Rohos Logon Key na klijent i terminalski poslužitelj
kupac Windows Vista / 7/8 TS poslužitelj Windows Server 2008/2012
1) Dvofaktorska provjera autentičnosti (USB ključ i lozinka za Windows). USB tokeni (PKCS # 11)
  • Pametne kartice
  • Google autentifikator
  • Yubikey
  • USB flash pogon*
2) Jednofaktorska autentifikacija (samo USB ključ) USB flash pogon
USB tokeni (PKCS # 11)
Pametne kartice ++ 3)
3) USB ključ se koristi za praktičnost. Terminalni poslužitelj ne provjerava prisutnost USB ključa. Bilo koja vrsta USB ključa

* U slučaju korištenja USB flash pogona kao pristupni ključ na računalo klijenta mora biti instaliran jedan od dva programa: ili program ili. U procesu kreiranja ključa na poslužitelju, USB disk će se kopirati, što osigurava da se USB disk koristi kao ključ za povezivanje s udaljenom radnom površinom. Ova prijenosna komponenta može se pokrenuti na drugim radnim stanicama koje se koriste za daljinsko povezivanje s poslužiteljem.

Nakon što ste se odlučili za vrstu USB-ključa i metodu dvofaktorske autentifikacije, možete početi instalirati Rohos Logon Key.

Vrste USB ključeva i tehnologija prikladnih za autentifikaciju putem udaljene radne površine s programom Rohos Logon Key:

  1. Smart kartice, Java kartice (Mifare 1K)
  2. Tokeni temeljeni na PKCS11. Na primjer SafeNet eToken, Securetoken ST3 / 4, senseLock trueToken, RuToken, uaToken, iKey.
  3. Yubikey i OTP tokeni kao što je Google Authenticator
  4. USB Flash diskovi. U tom slučaju, nakon kreiranja ključa, USB disk će se kopirati prijenosna komponenta programe.

Koraci za pripremu veze pomoću Rohos Logon Key:

1. Instalirajte program Rohos ključ za prijavu na terminalskom poslužitelju... Odredite vrstu USB ključa u postavkama programa.

2. Instalirajte paket Rohos Management Tools na računalo s kojeg će se pristupiti udaljenoj radnoj površini radi stvaranja ključeva.

3. Generiranje ključeva za pristup putem RDC-a:

Spojite svoj budući USB ključ na lokalno računalo. Povežite se na terminalski poslužitelj putem RDC-a. U postavkama programa Udaljena radna površina navedite koji lokalni resursi ( USB diskovi ili pametne kartice) moraju biti dostavljeni udaljenom računalu.

Pokrenite program Rohos ključ za prijavu na terminalskom poslužitelju. Koristite naredbu Postavite ključ, navedite korisnika za kojeg kreirate ključ i po potrebi unesite njegovu lozinku.

Komentar: U programu se mogu kreirati neke vrste USB ključeva Upravitelj USB ključeva iz paketa Rohos alati za upravljanje... Ovaj paket je instaliran na računalu administratora. Nakon kreiranja svih ključeva u ovom programu, morate izvesti njihov popis na terminalski poslužitelj. ... U istom programu nalazi se gumb koji kopira program na USB disk.

4. Konfiguriranje Rohos ključa za prijavu na terminalskom poslužitelju:

Nakon izrade svih ključeva, možete pojačati sigurnost poslužitelja tako što ćete određenim korisnicima zabraniti pristup njemu bez USB ključa. Otvorite popis Rohos Logon Key postavki Dopustite pristup samo s USB ključem.

Opcije izbora:

  • Nijedan
    Svi korisnici se mogu prijaviti pomoću lozinke ili USB ključa. Ova se postavka ne preporučuje za terminalski poslužitelj.
  • Za svakog korisnika
    Ova opcija je ista kao i stara opcija Dopusti prijavu samo putem USB ključa... Svi korisnici moraju koristiti USB ključ za prijavu ili otključavanje Windowsa.
  • Za navedene korisnike
    Samo korisnici s popisa moraju koristiti USB ključ za prijavu. Svi ostali korisnici mogu se prijaviti lozinkom. Popis se kreira automatski kada se kreira USB ključ za korisnika. Korisničko ime s USB ključa se unosi u ovaj popis. Osim toga, popis korisnika i ključeva može se uvesti s drugog računala. Naravno, to može učiniti samo administrator.
  • Za 'rohos' korisničku grupu u Active Directoryju
    Svaki korisnik iz grupe rohos mora koristiti USB ključ.
    Pažnja: korisnička grupa rohos mora kreirati administrator Active Directory.
  • Za prijavu na udaljenu radnu površinu
    Lokalni korisnici mogu se prijaviti ili s ključem ili bez USB ključa. Daljinska prijava je moguća samo s USB ključem. Ova je opcija idealna za povećanje sigurnosti terminalskog poslužitelja.
  • Za prijavu na udaljenu radnu površinu izvan LAN-a
    Korisnici na lokalnoj mreži mogu se prijaviti na terminalski poslužitelj bez ključa... Samo korisnici koji se prijavljuju putem dial-up, DSL veze i drugih mreža moraju koristiti USB ključeve.

Veza s udaljenom radnom površinom

Kada se povežemo, vidjet ćemo takav dijaloški okvir za identifikaciju mreže.

Odaberite korisničko ime i unesite lozinku za TS račun.

Ako je lozinka uspješno provjerena, uspostavlja se veza s udaljenom radnom površinom. U ovoj fazi Rohos Logon Key provjerava prisutnost USB ključa korisnika.

Rohos Logon Key može zaustaviti pristup ako USB ključ nije spojen:

Ako se koristi token s jednokratnom lozinkom, pojavit će se prozor za unos.

Prijenosni Rohos ključ za prijavu

Program će vam pomoći ako ga koristite USB flash pogon, ali ne možete ili ne želite instalirati na svoje lokalno računalo Rohos ključ za prijavu, ni Rohos alati za upravljanje... Ova komponenta se automatski kopira na USB flash pogon tijekom kreiranja ključa na terminalskom poslužitelju. Osim toga, može se dobiti pokretanjem programa Upravitelj USB ključeva Pro licenca- za pristup preko Udaljene radne površine mrežnom računalu (ne terminalnom poslužitelju), kao i za korištenje u domeni.

  • Poslužiteljska licenca- Sa posebno dizajniran za terminalski poslužitelj (Windows 2003, 2008, 2012 s pristupom putem udaljene radne površine)

    • Isprobajte Rohos Logon Key je besplatno u roku od 15 dana. Rohos ključ za prijavu.

    Nakon tog razdoblja, program će također raditi, ali će vas podsjetiti da se registrirate.

    Aleksandar Antipov

    Ovaj članak pruža pregled načina na koji radi transparentna tehnologija autorizacije jedinstvene prijave i pružatelja usluga sigurnosti vjerodajnica (CredSSP). Razmatra se metoda za konfiguriranje dijela klijenta i poslužitelja.


    Jedna od glavnih neugodnosti za korisnika prilikom pokretanja udaljene radne površine ili aplikacije objavljene na terminalskom poslužitelju je potreba da unese svoje vjerodajnice. Ranije je za rješavanje ovog problema korišten mehanizam za pohranu vjerodajnica u postavkama klijenta udaljene radne površine. ali ovuda ima nekoliko značajnih nedostataka. Na primjer, ako se lozinka povremeno mijenjala, bilo je potrebno ručno je promijeniti u postavkama klijenta terminala.

    U tom smislu, kako bi se pojednostavio rad s udaljenom radnom površinom u sustavu Windows Server 2008, postalo je moguće koristiti tehnologiju transparentne autorizacije Single Sign-on (SSO). Zahvaljujući njemu, korisnik prilikom prijave na terminalski poslužitelj može koristiti vjerodajnice koje je unio prilikom prijave na svoje lokalno računalo s kojeg se pokreće klijent udaljene radne površine.

    Ovaj članak pruža pregled načina na koji radi transparentna tehnologija autorizacije jedinstvene prijave i pružatelja usluga sigurnosti vjerodajnica (CredSSP). Razmatra se metoda za konfiguriranje dijela klijenta i poslužitelja. Također pokriva niz praktičnih pitanja vezanih uz transparentnu autorizaciju za usluge udaljene radne površine.

    Teorijske informacije

    SSO tehnologija omogućuje pohranjivanje korisničkih vjerodajnica i njihov automatski prijenos prilikom povezivanja na terminalski poslužitelj. Koristeći pravila grupe, možete definirati poslužitelje za koje će se koristiti ova metoda autorizacije. U tom slučaju, za sve ostale terminalske poslužitelje, prijava će se izvršiti na tradicionalan način: unosom korisničkog imena i lozinke.

    Transparentni mehanizmi autorizacije prvi put su se pojavili u sustavima Windows Server 2008 i Windows Vista. zahvaljujući novom pružatelju sigurnosti CredSSP. Prenio je predmemorirane vjerodajnice preko sigurnog kanala (koristeći sigurnost transportnog sloja (TLS)). Nakon toga, Microsoft je objavio odgovarajuća ažuriranja za Windows XP SP3.

    Pogledajmo ovo pobliže. CredSSP se može koristiti u sljedećim scenarijima:

    • za provjeru autentičnosti mrežnog sloja (NLA), dopuštajući korisniku da bude prepoznat prije nego što se veza u potpunosti uspostavi;
    • za SSO pohranjivanjem korisničkih vjerodajnica i prosljeđivanjem terminalu.

    Prilikom vraćanja sesije unutar farme, CredSSP ubrzava proces uspostavljanja veze, jer terminalski poslužitelj definira korisnika bez uspostavljanja punopravne veze (po analogiji s NLA).

    Proces provjere autentičnosti slijedi sljedeći algoritam:

    1. Klijent inicira uspostavu sigurnog kanala s poslužiteljem koristeći TLS. Poslužitelj mu šalje svoj certifikat koji sadrži naziv, certifikacijsko tijelo i javni ključ. Certifikat poslužitelja može biti samopotpisan.
    2. Uspostavlja se sesija između poslužitelja i klijenta. Za njega se kreira odgovarajući ključ koji će dalje sudjelovati u šifriranju. CredSSP koristi Simple and Protected Negotiate (SPNEGO) protokol za međusobnu provjeru autentičnosti poslužitelja i klijenta tako da svaki može vjerovati jedan drugome. Ovaj mehanizam omogućuje klijentu i poslužitelju da odaberu mehanizam provjere autentičnosti (kao što je Kerberos ili NTLM).
    3. Kako bi se zaštitili od prisluškivanja, klijent i poslužitelj zauzvrat šifriraju poslužiteljski certifikat koristeći ključ sesije i prenose ga jedan drugome.
    4. Ako se rezultati razmjene i izvorni certifikat podudaraju, CredSSP na klijentu šalje korisničke vjerodajnice poslužitelju.

    Dakle, prijenos vjerodajnica odvija se preko šifriranog kanala sa zaštitom od presretanja.

    Prilagodba

    Davatelj sigurnosnih usluga CredSSP dio je operativnog sustava i uključen je u sustave Windows Vista, Windows Server 2008, Windows 7, Windows Server 2008 R2. Alternativno, može se instalirati kao samostalno ažuriranje na Windows XP SP3. Taj je postupak detaljno opisan u članku "Opis pružatelja podrške za sigurnost vjerodajnica (CredSSP) u Windows XP servisnom paketu 3". Da biste instalirali i omogućili CredSSP na Windows XP SP3, slijedite ove korake.

    1. Pokrenite uređivač registra regedit i idite na granu: HKEY_LOCAL_MACHINE \ SYSTEM \ CurrentControlSet \ Control \ Lsa.

    2. Dodajte vrijednost tspkg do ključa SigurnostPaketi

    3. Ićivpodružnicaregistar: HKEY_LOCAL_MACHINE \ SYSTEM \ CurrentControlSet \ Control \ SecurityProviders.

    4. Dodajte vrijednost credsp.dll do ključa Davatelji sigurnosti(ostale vrijednosti ovog ključa treba ostaviti nepromijenjene).

    Nakon što je CredSSP omogućen, morate konfigurirati njegovu upotrebu pomoću pravila grupe ili njihovih odgovarajućih ključeva registra. Da biste konfigurirali SSO na klijentskim računalima, koristite pravila grupe iz odjeljka:

    Konfiguracija računala \ Administrativni predlošci \ Sustav \ Delegiranje vjerodajnica.

    V Verzije na ruskom jeziku operativnim sustavima to izgleda ovako (slika 1).

    Riža. 1. Kontroliranje prijenosa vjerodajnica pomoću pravila grupe

    Da biste koristili SSO, morate omogućiti pravilo:

    Dopusti prijenos zadanih vjerodajnica.

    Osim toga, nakon uključivanja, trebate postaviti za koje će se poslužitelje koristiti ovaj način autorizacije. Da biste to učinili, slijedite ove korake.

    U prozoru za uređivanje pravila (slika 2) kliknite na " Pokazati»

    Riža. 2. Prozor za uređivanje pravila grupe

    Dodajte popis terminalskih poslužitelja (slika 3).

    Riža. 3. Dodavanje terminalskog poslužitelja za transparentnu autorizaciju

    Redak za dodavanje poslužitelja ima sljedeći format:

    TERMSRV / ime poslužitelja.

    Također možete definirati poslužitelje po maski domene. U ovom slučaju, linija postaje:

    TERMSRV / *. Naziv_domene.

    Ako nije moguće koristiti grupna pravila, odgovarajuće postavke mogu se postaviti pomoću uređivača registra. Na primjer, za Postavke sustava Windows XP Sp3 može koristiti sljedeću datoteku registra:

    Windows Registry Editor verzija 5.00

    "Sigurnosni paketi" = hex (7): 6b, 00,65,00,72,00,62,00,65,00,72,00,6f, 00,73,00,00, \

    00.6d, 00.73.00.76.00.31.00.5f, 00.30.00.00.00.73.00.63.00.68.00.61.00.6e, 00, \

    6e, 00.65.00.6c, 00.00.00.77.00.64.00.69.00.67.00.65.00.73.00.74.00.00.00.74, \

    00,73,00,70,00,6b, 00,67,00,00,00,00,00

    "SecurityProviders" = "msapsspc.dll, schannel.dll, digest.dll, msnsspc.dll, credssp.dll"

    "AllowDefaultCredentials" = dword: 00000001

    "ConcatenateDefaults_AllowDefault" = dword: 00000001

    "1" = "termsrv / *. Mydomain.com"

    Ovdje zamijenite mydomain.com imenom domene. U ovom slučaju, pri potpunom povezivanju s terminalskim poslužiteljima naziv domene(na primjer termserver1.mydomain.com) koristit će se transparentna autorizacija.

    Za korištenje tehnologije jednostruke prijave na terminalskom poslužitelju morate izvršiti sljedeće korake.

    1. Otvorite Konfiguracijsku konzolu terminalskih usluga ( tsconfig.msc).
    2. U odjeljku veza idite na svojstva RDP-Tcp.
    3. Na kartici " Su česti"Postavi razinu sigurnosti" Sporazum" ili " SSL (TLS 1.0)"(Slika 4).

    Riža. 4. Konfiguriranje razine sigurnosti na terminalskom poslužitelju

    Time je dovršena konfiguracija dijelova klijenta i poslužitelja.

    Praktične informacije

    U ovom ćemo odjeljku razmotriti ograničenja korištenja transparentne tehnologije autorizacije i probleme koji se mogu pojaviti pri njenom korištenju.

    • Tehnologija jedinstvene prijave funkcionira samo kada se povezujete s računala s operativnim sustavom koji nije Windows XP SP3 ili stariji. Računala s operacijskom salom mogu se koristiti kao terminalski poslužitelj. Windows sustav Vista, Windows Server 2008, Windows 7 i Windows Server 2008 R2.
    • Ako terminalski poslužitelj na koji se povezujete ne može biti autentificiran s Kerberos ili SSL certifikatom, SSO neće raditi. Ovo ograničenje može se zaobići pomoću politike:
      Dopusti delegiranje zadanih vjerodajnica s provjerom autentičnosti poslužitelja "Samo NTLM ".
    • Algoritam za omogućavanje i konfiguriranje ove grupne politike sličan je gore prikazanom. Datoteka registra koja odgovara ovoj postavci je sljedeća.

    "AllowDefCredentialsWhenNTLMOnly" = dword: 00000001

    "ConcatenateDefaults_AllowDefNTLMOnly" = dword: 00000001

    "1" = "termsrv / *. Mydomain.com"

    Autentifikacija je na ovaj način manje sigurna od korištenja certifikata ili Kerberosa.

    • Ako su vjerodajnice spremljene za poslužitelj u postavkama klijenta terminala, tada imaju veći prioritet od trenutnih vjerodajnica.
    • Jedinstvena prijava radi samo kada koristite račune domene.
    • Ako veza s terminalskim poslužiteljem ide kroz TS Gateway, u nekim slučajevima postavke poslužitelja TS Gatewaya mogu imati prednost nad SSO postavkama terminalskog klijenta.
    • Ako je terminalski poslužitelj konfiguriran da svaki put traži korisničke vjerodajnice, SSO neće raditi.
    • Transparentna tehnologija autorizacije radi samo s lozinkama. Ako koristite pametne kartice, to neće raditi.

    Za ispravan rad Preporuča se SSO na Windows XP SP instalirati dva popravka iz KB953760: "Kada omogućite SSO za terminalski poslužitelj s klijentskog računala sa sustavom Windows XP SP3, i dalje ćete biti upitani za korisničke vjerodajnice kada se prijavite na terminalski poslužitelj."

    U nekim slučajevima moguća je situacija kada transparentna tehnologija autorizacije može ili ne mora raditi na istom terminalnom klijentu, ovisno o profilu korisnika koji se povezuje. Problem se rješava ponovnim kreiranjem korisničkog profila. Ako ovo oduzima previše vremena, možete isprobati savjet iz rasprave: "Jedinstvena prijava na RemoteApp (SSO) iz Windows 7 klijenta" na forumima Microsoft Technet. Posebno se preporučuje resetiranje Internet postavke Explorer ili odobrite odgovarajući dodatak za njega.

    Još jedno veliko ograničenje SSO-a je to što ne radi pri pokretanju objavljenih aplikacija putem TS Web Access-a. U tom slučaju, korisnik je prisiljen unijeti vjerodajnice dva puta: prilikom ulaska u web sučelje i prilikom autorizacije na terminalskom poslužitelju.

    Situacija se promijenila na bolje u sustavu Windows Server 2008 R2. Više detaljne informacije više informacija o tome možete dobiti u članku: "Predstavljamo jedinstvenu prijavu na web za veze s udaljenom aplikacijom i radnom površinom" ".

    Zaključak

    U članku se govori o tehnologiji transparentne autorizacije na terminalskim poslužiteljima s jednom prijavom. Njegova uporaba omogućuje vam da smanjite vrijeme koje korisnik troši na prijavu na terminalski poslužitelj i pokretanje udaljenih aplikacija. Osim toga, uz njegovu pomoć, dovoljno je jednom unijeti vjerodajnice na ulazu u lokalno računalo i potom ih koristiti prilikom povezivanja na terminalske poslužitelje domene. Mehanizam za prosljeđivanje vjerodajnica prilično je siguran, a konfiguriranje poslužiteljske i klijentske strane iznimno je jednostavno.

    Postoje slučajevi kada, kada se koristi RDP (Remote Desktop Protocol), programi koji su instalirani u sistemskoj traci nisu vidljivi ili se pogreške i obavijesti jednostavno ne prikazuju. Kako bi se odlučila ovaj problem, možete se spojiti na terminalski poslužitelj u načinu konzole putem istog RDP-a.

    Protokol udaljene radne površine (Remote Desktop Protocol) ili RDP je tehnologija za daljinsko povezivanje s računalom (poslužiteljem) radi izravne kontrole putem lokalna mreža ili internet. Već sam govorio o ovoj tehnologiji u video tutorialu “ Povezivanje s računalom putem udaljene radne površine ».

    Korištenje bilo kojeg programa za udaljenu administraciju za izravno povezivanje s radnom površinom nije uvijek prikladno, na primjer, kada je veza nestabilna ili je vrijeme sesije ograničeno. Stoga ćemo vam u ovom članku ispričati jednostavnu stvar koju neki kolege možda nisu znali.

    Kada koristite Windows Remote Desktop (RDP) klijent kao sredstvo za povezivanje s računalom sa sustavom Windows Server 2003/2008/2012 na kojem je pokrenuta usluga terminalskog poslužitelja, imate mogućnost povezivanja s konzolom poslužitelja. Koristeći ovu opciju, možete se prijaviti na poslužitelj kao da sjedite točno ispred njega, a ne stvarati nove sesije putem Mrežna veza... Činjenica je da se prilikom daljinske instalacije nekih programa mogu pojaviti problemi koji vam neće dopustiti da to učinite iz terminalske sesije, pa se morate prijaviti na poslužitelj putem konzole.

    Omogućavanje udaljenog pristupa na vašem računalu.

    Kako bi konfigurirao udaljeni pristup na ciljnom računalu, vlasnik ili administrator mora slijediti ove korake (Moje računalo \ Svojstva \ Postavke udaljenog pristupa \ Daljinski pristup \ Dopusti veze s računala s bilo kojom verzijom udaljene radne površine).

    Ako želite dopustiti samo određenim korisnicima ili grupama korisnika u vašoj mreži na vašem računalu, tada morate označiti okvir "Dopusti veze s računala na kojima se pokreće udaljena radna površina s provjerom autentičnosti na razini mreže (preporučeno)".

    Kako se povezati s udaljenom radnom površinom?

    Ovo je naravno standardno Windows alati (Start \ Svi programi \ Pribor \ Veza s udaljenom radnom površinom)

    Ili putem naredbe Izvršiti (Pobijediti+ R) i unesite naredbu mstsc... Gotovo je brz način a uglavnom ga koriste administratori i programeri softvera, jer često se morate povezati s udaljenim radnim površinama poslužitelja.

    Kako se povezati s konzolom udaljene radne površine?

    Da bismo to učinili, u prozoru koji se pojavi uvlačimo naredbu:

    Windows Server 2003 i Windows XP: mstsc / konzola

    Windows Server 2008/2012 i Windows 7/8 / 8.1: mstsc / admin

    Unesite naziv terminalskog poslužitelja ili računala.

    I unosimo vjerodajnice korisnika koji ima prava za daljinsko povezivanje.

    Budući da RDP prema zadanim postavkama stvara virtualnu konzolu, veza se ne uspostavlja sa samom sesijom, već izravno s konzolom (glavna konzola-miš / tipkovnica).

    Koja je razlika između jednostavno povezivanje na udaljenu radnu površinu i vezu s konzolom?

    Povezivanje putem konzole dostupno je samo administratorima i zapravo je jednako redovnoj prijavi na sustav. Dok je jednostavna veza putem rdp-a terminalska sesija, odnosno softver koji se opire pokretanju pod terminalskom sesijom može prilično dobro raditi pod konzolom.

    U prvom slučaju, nova sesija (mstsc) se kreira paralelno s postojećom. U drugom slučaju, veza se uspostavlja s vašom radnom površinom (u okviru terminalnih licenci).



    Niste pronašli odgovor na svoje pitanje? Pogledaj ovdje
    Linkedin – što je to i kako vam LinkedIn može pomoći da pronađete posao iz snova Linkedin profesionalna mrežaLinkedin – što je to i kako vam LinkedIn može pomoći da pronađete posao iz snova Linkedin profesionalna mreža
    DDoS zaštita: DDoS GUARD - vaš siguran hostingDDoS zaštita: DDoS GUARD - vaš siguran hosting
    Windows pametni telefoni sada se mogu ažurirati pomoću računalaWindows pametni telefoni sada se mogu ažurirati pomoću računala