Druga strona sieci

Dynamiczny rozwój rynku komputerów przenośnych, sieci telefonii komórkowej oraz Internetu przyczynia się do zanikania sztywnych więzi pracowników z miejscem pracy. W połączeniu z odpowiednim zapleczem sprzętowym technologie zdalnego dostępu wbudowane w system Small Business Server 2003 zapewniają kontakt z zasobami firmy niemal z każdego miejsca.


Dynamiczny rozwój rynku komputerów przenośnych, sieci telefonii komórkowej oraz Internetu przyczynia się do zanikania sztywnych więzi pracowników z miejscem pracy. W połączeniu z odpowiednim zapleczem sprzętowym technologie zdalnego dostępu wbudowane w system Small Business Server 2003 zapewniają kontakt z zasobami firmy niemal z każdego miejsca.

Dostęp do plików, baz danych oraz komputerów był do niedawna zagwarantowany wyłącznie z sieci lokalnej przedsiębiorstwa. Jest to bezpieczne, ale mało elastyczne. Wielu pracowników musi sięgać do danych z "drugiej strony" sieci, z domu, hotelu, lotniska czy siedziby klienta. System SBS 2003 jest otwarty na potrzeby użytkowników oraz administratorów sieci. Dla administratora podstawą efektywnego działania jest możliwość zdalnego monitorowania oraz rekonfiguracji systemu. Usługi terminalowe wbudowane w platformę systemu SBS - Windows Server 2003 - na pewno mu w tym pomogą.

Zdalny pulpit

Serwer SBS 2003 automatycznie uruchamia i konfiguruje usługę Zdalny pulpit. W czasie instalacji system tworzy także grupę zabezpieczeń SBS Remote Users. Jej członkowie otrzymują uprawnienia do łączenia się z pulpitem serwera.

Serwer SBS 2003 automatycznie uruchamia i konfiguruje usługę Zdalny pulpit. W czasie instalacji system tworzy także grupę zabezpieczeń SBS Remote Users. Jej członkowie otrzymują uprawnienia do łączenia się z pulpitem serwera.

Usługi terminalowe systemu Windows Server 2003 mogą działać w dwóch trybach, administracji oraz aplikacji. Zadaniem trybu administracji jest umożliwienie zdalnego zarządzania systemem operacyjnym. W trybie administracji jednocześnie podłączonych do serwera może być maksymalnie dwóch użytkowników. Tryb aplikacji jest przeznaczony do firm, które zamierzają wykorzystać Windows Server 2003 jako serwer usług terminalowych. Zostaną na nim zainstalowane aplikacje biznesowe, a komputery użytkowników będą pełniły funkcję tzw. cienkiego klienta. Cienki klient przenosi na serwer całą odpowiedzialność za przetwarzanie informacji, stacja lokalna dostarcza ekranu i klawiatury. Tryb aplikacji, w przeciwieństwie do trybu administracji, wymaga dodatkowych licencji. Windows Server 2003 zawarty w pakiecie SBS 2003 nie może być uruchomiony w trybie aplikacji. Gdyby firma chciała skorzystać z usług terminalowych w tym trybie, musi skonfigurować dodatkowy serwer.

Karta Sesje we właściwościach kont użytkowników. Na tej karcie można ustawić parametry połączenia między klientem a serwerem usług terminalowych. Domyślnie serwer nie kończy sesji Zdalnego pulpitu nawet wtedy, gdy jest ona całkowicie bezczynna. Zalecane jest ustawienie limitów sesji w globalnych ustawieniach protokołu RDP-Tcp lub właściwościach poszczególnych kont.

Karta Sesje we właściwościach kont użytkowników. Na tej karcie można ustawić parametry połączenia między klientem a serwerem usług terminalowych. Domyślnie serwer nie kończy sesji Zdalnego pulpitu nawet wtedy, gdy jest ona całkowicie bezczynna. Zalecane jest ustawienie limitów sesji w globalnych ustawieniach protokołu RDP-Tcp lub właściwościach poszczególnych kont.

W czasie instalacji systemu SBS 2003 serwer jest automatycznie konfigurowany do działania z usługą Pulpit zdalny, będącą w istocie serwerem usług terminalowych pracującym w trybie administracji. Instalator pakietu wykonuje za administratora całą niezbędną konfigurację. Po zakończeniu instalacji można natychmiast korzystać ze zdalnego zarządzania. Pulpit zdalny włącza się we właściwościach folderu Mój komputer. Na karcie Zdalny znajdują się dwie sekcje: Pomoc zdalna i Pulpit zdalny. Mimo zbliżonej nazwy są to całkowicie inne usługi. Zaznaczenie opcji Pomoc zdalna umożliwi wysyłanie z serwera SBS próśb o pomoc techniczną do administratora sieci. Pomoc zdalna jest najczęściej włączana i wykorzystywana w stacjach roboczych w sieci LAN. SBS w czasie instalacji nie uruchamia tej usługi. Obszar ustawień Pulpitu zdalnego ma tylko jedno pole wyboru, które tym razem jest automatycznie zaznaczone. Oprócz pola wyboru jest jeszcze przycisk Wybierz użytkowników zdalnych. Po naciśnięciu go system wyświetla listę kont mogących się łączyć z serwerem przez usługę Zdalny pulpit. Serwer domyślnie zezwala na dostęp grupie zabezpieczeń Remote Operators. Domyślnie należy do niej inna grupa zabezpieczeń systemu SBS, Domain Power Users. Oznacza to, że użytkownicy dodani to tej grupy będą mogli zdalnie administrować serwerem. Zmiana członkostwa grup jest przeprowadzana ręcznie lub za pomocą jednego z kreatorów pakietu SBS.

Karta Ogólne właściwości protokołu RDP-Tcp. Globalne ustawienia komunikacji usług terminalowych są konfigurowane we właściwościach protokołu RDP-Tcp. Odnajdziemy je w folderze Zarządzanie usługami terminalowymi. Karta Ogólne pozwala na skonfigurowanie podwyższonego poziomu bezpieczeństwa połączenia klient-serwer przez wzajemne uwierzytelnienie oparte na protokole TLS.

Karta Ogólne właściwości protokołu RDP-Tcp. Globalne ustawienia komunikacji usług terminalowych są konfigurowane we właściwościach protokołu RDP-Tcp. Odnajdziemy je w folderze Zarządzanie usługami terminalowymi. Karta Ogólne pozwala na skonfigurowanie podwyższonego poziomu bezpieczeństwa połączenia klient-serwer przez wzajemne uwierzytelnienie oparte na protokole TLS.

Konfiguracja użytkowników mogących zarządzać serwerem przez Zdalny pulpit to kilka kliknięć. Nowe konto klienta systemu SBS jest tworzone za pomocą kreatora Dodaj użytkownika. W jednym z okien kreatora określamy szablon, na podstawie, którego tworzony jest klient sieci. Jeśli wybierzemy Power User Template, użytkownik będzie uprawniony do korzystania z Pulpitu zdalnego. Gdy konto zostało założone wcześniej, wtedy w celu umożliwienia zdalnej administracji należy uruchomić Kreator zmieniania uprawnień. W drugim oknie wybieramy szablon Power User Template, a następnie wskazujemy, które konto ma odziedziczyć jego parametry. Łatwiejszy sposób to zaznaczenie obiektu w folderze Użytkownicy i wybranie skrótu Dodaj użytkownika do grupy. W nowym oknie dialogowym wpisujemy nazwę Remote Operators i naciskamy OK. Jeśli nie popełniliśmy błędu, system wyświetli komunikat "Operacja dodaj do grupy została zakończona pomyślnie". Warto pamiętać, że ze względu na bezpieczeństwo pakietu SBS zdalny dostęp do serwera należy ograniczyć do jednego, specjalnie w tym celu utworzonego konta, które nie powinno być członkiem grupy administratorzy. Po uruchomieniu Zdalnego pulpitu na uprawnieniach standardowego użytkownika wszelkie konsole administracyjne należy uruchamiać za pomocą opcji menu podręcznego: Uruchom jako.

Formularz żądania certyfikatu dla serwera SBS. W celu wygenerowania certyfikatu dla serwera można skorzystać z lokalnej witryny Certsrv. System tworzy witrynę w czasie instalacji usług certyfikatów. W formularzu dostępnym na serwerze WWWW należy przygotować wniosek o wystawienie certyfikatu dla serwera SBS 2003.

Formularz żądania certyfikatu dla serwera SBS. W celu wygenerowania certyfikatu dla serwera można skorzystać z lokalnej witryny Certsrv. System tworzy witrynę w czasie instalacji usług certyfikatów. W formularzu dostępnym na serwerze WWWW należy przygotować wniosek o wystawienie certyfikatu dla serwera SBS 2003.

Active Directory umożliwia określenie wielu zaawansowanych parametrów klientów korzystających z usług terminalowych. Po zaznaczeniu konta w folderze Użytkownicy i uruchomieniu skrótu Zmień właściwości użytkownika system wyświetla okno z kilkunastoma kartami konfiguracyjnymi. Cztery dotyczą parametrów korzystania z usług terminalowych: Środowisko, Sesje, Zdalne sterowanie oraz Profil usług terminalowych. Większość ustawień znajduje zastosowanie, gdy usługi terminalowe pracują w trybie aplikacji. Można wówczas przypisywać użytkownikom profile, foldery domowe, konfigurować automatyczne uruchamianie programów po zalogowaniu lub administrować zdalnie podłączonymi klientami. Na potrzeby Zdalnego pulpitu można wykorzystać jedynie kilka parametrów. Część z nich jest umieszczona w karcie Sesje. Każde podłączenie terminalowe do systemu SBS alokuje pamięć RAM oraz zasoby serwera. Warto zadbać o to, aby zostały zwolnione wtedy, gdy przy długim okresie bezczynności nie są wykorzystywane. Po przejściu do karty Sesje można wskazać, jak długo system ma utrzymywać aktywne połączenie, jak postępować w razie zerwania łączności oraz skąd podłączyć się powtórnie. Konfigurując opcje sesji, warto zauważyć, że system wyróżnia dwa sposoby reagowania na problemy: zakończenie sesji oraz odłączenie konta od sesji. Zakończenie sesji zwalnia zaalokowane zasoby serwera SBS, natomiast odłączenie od sesji sprawia, że system nie kończy procesu i czeka na powtórne podłączenie. Ustawienie odpowiednich przedziałów czasowych może zwiększyć wydajność serwera.

Okno konfiguracji Zapory systemu Windows Server 2003. Po zainstalowaniu i skonfigurowaniu połączeń serwera SBS 2003 firewall może blokować dostęp do usług terminalowych. Zdalne zarządzanie będzie możliwe po zaznaczeniu opcji Usługi terminalowe w oknie Konfiguracja usług kreatora konfigurowania poczty e-mail i połączenia internetowego.

Okno konfiguracji Zapory systemu Windows Server 2003. Po zainstalowaniu i skonfigurowaniu połączeń serwera SBS 2003 firewall może blokować dostęp do usług terminalowych. Zdalne zarządzanie będzie możliwe po zaznaczeniu opcji Usługi terminalowe w oknie Konfiguracja usług kreatora konfigurowania poczty e-mail i połączenia internetowego.

Oprócz ustawień wprowadzanych we właściwościach każdego z kont użytkowników parametry usług terminalowych można konfigurować w specjalnej przystawce administracyjnej. W grupie zaawansowanych narzędzi administracyjnych konsoli Zarządzanie serwerem jest folder Konfiguracja usług terminalowych. W jego właściwościach administrator systemu SBS może określać szczegółowe parametry pracy Zdalnego pulpitu. Po uruchomieniu przystawki widoczne są dwa foldery: Połączenia i Ustawienia serwera. Zaznaczenie folderu Ustawienia serwera, wyświetla globalne parametry pracy usług terminalowych, m.in. usuwanie folderów tymczasowych po zakończeniu sesji, używanie folderów tymczasowych do każdej nowej sesji, wyłączenie technologii Active Desktop lub ograniczanie połączeń użytkowników do jednej sesji. Parametry Licencjonowanie i Zgodność uprawnień nie podlegają modyfikacji w systemie SBS 2003, ponieważ są związane z pracą serwera w trybie aplikacji. Wiele ciekawych ustawień znajduje się w folderze Połączenia. Po zaznaczeniu go i przejściu do właściwości połączenia RDP-Tcp administrator może określać parametry pracy protokołu RDP (Remote Desktop Protocol). Protokół ten jest wykorzystywany do obsługi połączeń między klientem a serwerem usług terminalowych. Jego zaletą jest optymalizacja komunikacji pod kątem wyświetlania przesłanych obiektów interfejsu graficznego oraz powrotnego przekazywania danych wprowadzanych przez mysz i klawiaturę. Właściwości RDP-Tcp zgromadzone są na ośmiu kartach konfiguracyjnych.

Reguła ISA 2004 zezwalająca na komunikację przez Zdalny pulpit. Zaznaczenie pola wyboru opcji Usługi terminalowe w Kreatorze poczty e-mail i połączenia internetowego wprowadza odpowiednie ustawienia do serwera ISA 2004. Za umożliwienie dostępu przez Zdalny pulpit odpowiadają zasady: SBS RDP Server Access Rule oraz SBS RDP Outbound Access Rule.

Reguła ISA 2004 zezwalająca na komunikację przez Zdalny pulpit. Zaznaczenie pola wyboru opcji Usługi terminalowe w Kreatorze poczty e-mail i połączenia internetowego wprowadza odpowiednie ustawienia do serwera ISA 2004. Za umożliwienie dostępu przez Zdalny pulpit odpowiadają zasady: SBS RDP Server Access Rule oraz SBS RDP Outbound Access Rule.

Pierwszą jest wyświetlana we właściwościach RDP karta Ogólne. Jej najważniejsze parametry są związane z zabezpieczeniami. Dotyczą poziomu szyfrowania komunikacji oraz wyboru warstwy zabezpieczeń. Ustawienie opcji Warstwa zabezpieczeń RDP pozwala na szyfrowanie ruchu sieciowego, ale nie na wzajemne uwierzytelnienie klienta i serwera. Najbezpieczniejszym sposobem komunikacji jest wybranie warstwy Negocjowanie. Opcja ta wymaga wcześniejszego wygenerowania certyfikatu przez urząd certyfikacji systemu Windows Server 2003 lub nabycia go od komercyjnej firmy. Procedura generowania własnego certyfikatu jest opisana w ramce. Jeśli serwer ma certyfikat, z listy Warstwa zabezpieczeń wybieramy opcję Negocjowanie. Aby podnieść poziom szyfrowania danych, można wybrać opcję Wysoki z listy Poziom szyfrowania. Certyfikat używany przez serwer wskazuje się po kliknięciu przycisku Edytuj. Z listy certyfikatów wybieramy wygenerowany dokument cyfrowy i klikamy OK.

Kolejne karty właściwości protokołu RDP - jest m.in. znana z ustawień użytkownika karta Sesje - określa dodatkowe parametry komunikacji. Ustawienia wprowadzone na tym poziomie będą obejmować wszystkich użytkowników korzystających z połączeń przez Zdalny pulpit.

Menedżer usług terminalowych. Przystawka ta służy do zarządzania oraz monitorowania użytkowników usługi Zdalny pulpit i jest umieszczona w Narzędziach administracyjnych. Pozwala obserwować, kto jest połączony z serwerem, kiedy się zalogował oraz jakie uruchomił procesy.

Menedżer usług terminalowych. Przystawka ta służy do zarządzania oraz monitorowania użytkowników usługi Zdalny pulpit i jest umieszczona w Narzędziach administracyjnych. Pozwala obserwować, kto jest połączony z serwerem, kiedy się zalogował oraz jakie uruchomił procesy.

Po zainstalowaniu systemu SBS możliwe są połączenia przez Zdalny pulpit ze stacji klientów sieci lokalnej do serwera Windows Server 2003. Prawdziwe zalety usług terminalowych są widoczne dopiero wtedy, gdy systemem można zarządzać z sieci rozległej. Komunikację od strony Internetu blokuje Zapora systemu Windows Server 2003 lub serwer ISA 2004. Aby umożliwić zdalne zarządzanie, należy zmienić ustawienia firewalla. Najprościej skorzystać z Kreatora konfigurowania poczty e-mail i połączenia internetowego. Po uruchomieniu go pomijamy ustawienia typu połączenia i przechodzimy do okna parametrów Zapory systemu SBS 2003. W oknie Konfiguracja usług zaznaczamy pole wyboru opcji Usługi terminalowe. Kolejne parametry nie wymagają modyfikacji. Naciśnięcie przycisku Zakończ spowoduje zmianę ustawień serwera. Jeśli SBS pracuje na komputerze wyposażonym w jedną kartę sieciową, gdzie za ochronę sieci odpowiada zapora sprzętowa, warto wiedzieć, że Zdalny pulpit domyślnie korzysta z portu TCP 3389. Dostęp do serwera będzie możliwy tylko wtedy, gdy wprowadzimy odpowiednie ustawienia w firewallu sprzętowym.

Okno klienta RDP. Połączenie ze zdalnym pulpitem serwera jest wyjątkowo proste. W pole Komputer wystarczy wpisać adres IP lub nazwę DNS systemu, w którym pracuje SBS 2003. Jeśli dostawca usług internetowych przydziela adres IP dynamicznie, zalecane jest skorzystanie z darmowej lub płatnej usługi dynamicznego DNS-u.

Okno klienta RDP. Połączenie ze zdalnym pulpitem serwera jest wyjątkowo proste. W pole Komputer wystarczy wpisać adres IP lub nazwę DNS systemu, w którym pracuje SBS 2003. Jeśli dostawca usług internetowych przydziela adres IP dynamicznie, zalecane jest skorzystanie z darmowej lub płatnej usługi dynamicznego DNS-u.

Do monitorowania połączeń przez usługi terminalowe służy Menedżer usług terminalowych. W przeciwieństwie do większości przystawek systemu SBS nie odnajdziemy go w konsoli Zarządzanie serwerem, ale w folderze Narzędzia administracyjne. Po uruchomieniu menedżera system wyświetla listę aktualnych połączeń z serwerem SBS. Informacje o połączeniach znajdziemy na trzech kartach: Użytkownicy, Sesje oraz Procesy. Dzięki nim można m.in. ustalić, jakie aplikacje uruchomił użytkownik zdalny oraz kiedy nastąpiło zalogowanie do serwera. Po zaznaczeniu połączenia można wysłać komunikat do użytkownika zdalnego lub przerwać jego sesję - służą do tego odpowiednie ikony na pasku narzędzi.

Konfiguracja klienta usług terminalowych

Klienci usług terminalowych łączą się z serwerem za pomocą odpowiedniego oprogramowania. Przede wszystkim należy ustawić połączenie z Internetem. Po uzyskaniu połączenia, trzeba sięgnąć do klienta usług terminalowych.

W komputerach pracujących pod kontrolą Windows XP Professional, aplikacja, która umożliwia pracę ze Zdalnym pulpitem, jest standardowym składnikiem systemu. Program Podłączanie pulpitu zdalnego (mstsc.exe) odnajdziemy w sekcji Komunikacja w akcesoriach systemu. W wypadku klientów korzystających z wcześniejszych systemów operacyjnych aplikację należy zainstalować ręcznie, SBS 2003 automatycznie udostępnia odpowiednie oprogramowanie. W celu instalacji aplikacji trzeba podłączyć się do udziału \\Nazwa_serwera\ tsclient, przejść do folderu Win32 i uruchomić program Setup. To samo zaleca się w wypadku Windows XP, ponieważ serwer SBS 2003 zawiera nowszą wersję klienta usług terminalowych. Oprogramowanie to umożliwia, omawiane kilka akapitów wcześniej, korzystanie z bezpiecznej komunikacji przez TLS. W czasie instalacji klient usług terminalowych jest umieszczany w menu Programy.

Nazwa DNS

intranet.idg.pl Dostęp do witryny Intranetowej firmy

remote.idg.pl Dostęp do portalu Remote Web Workspace

vpn.idg.pl Dostęp do serwera przez Wirtualne sieci prywatne

idg.pl Dostęp do witryny Web firmy (jeśli została zainstalowana na serwerze SBS 2003)

www.idg.pl Dostęp do witryny Web firmy (jeśli została zainstalowana na serwerze SBS 2003)

ftp.idg.pl Dostęp do serwera FTP

rdp.idg.pl Dostęp do serwera przez usługi terminalowe

Proponowane nazwy stosowane przy komunikacji z zasobami firmy z sieci zewnętrznej. Jeśli nazwy domeny internetowej są utrzymywane przez serwer usługodawcy internetowego, należy zwrócić się do niego z prośbą o wprowadzenie do systemu DNS odpowiednich rekordów. Wymienione nazwy będą wykorzystywane nie tylko w przeglądarce internetowej, ale także w znacznej grupie narzędzi konfiguracyjnych systemu SBS 2003.