1、部署终端服务网关SID-安全标识符,任意一个域用户的 SID 号是由域的 ID+用户的 ID 号共同组成,如下所示: S-1-5-21-3698344474-843673033-3679835876-SID-安全标识符,任意一个域用户的 SID 号是由域的 ID+用户的 ID 号共同组成,如下所示:S-1-5-21-3698344474-843673033-3679835876-下面我说几个可以查看 SID 号的命令:(1)whoami /user 查看当前用户的 SID (2)whoami /all 查看当前用户的 SID 及所属组的 SID。(3)getsid dc1 jam dc2 ja
2、m 查看指定用户的 SID。这个工具需要安装 03的支持工具方可使用。(4)psgetsid tom (第三方工具,需要下载)(5)利用 dsget user 来完成注意这条命令的使用,必须写用户的 DN 名实验环境:一台运行 Windows Server 2008 且名称为 Server1 的计算机,它是 N 域的域控制器一台运行 Windows Server 2008 且名称为 Server2 的计算机,它是 N 域的成员服务器。Server2 上安装了“终端服务器”角色服务3 个域管理员账户,名称分别为:Admin1,Admin2,Admin3安装和配置 TS 网关一、练习 1:添加“T
3、S 网关”角色服务在本实验中,将在 Server2 上安装“TS 网关”角色服务1)使用域管理员账户从 Server2 上登陆 NOS.Com2)打开服务管理器3)在“服务管理器 ”控制台的结构中,展开 “角色”节点,然后选择 “终端服务”4)在详细内容窗格的“ 角色服务 ”区域,单击“添加角色服务”“。添加角色服务向导”会打开5)在“添加角色服务向导” 的“选择角色服务”页面中,选中 “TS 网关”复选框,此时可能会弹出“ 添加角色服务 ”对话框,并询问是否添加 TS 网关所需要的角色服务6)如果弹出“ 添加角色服务 ”对话框,单击“添加必需的角色服务”7)在“添加角色服务向导” 的“选择角
4、色服务”页面中,单击 “下一步”8)在“选择 SSL 加密的服务器身份验证证书”页面中,阅读所有文字信息,此时,在生产环境中需要指定一个从受信任的 CA 获得的服务身份验证证书,在测试环境中,可以指定一个自签名证书。9)选择“为 SSL 加密创建自签名证书”选项,然后单击 “下一步”10) 在“为 TS 网关创建授权策略”页面中,阅读所有文字信息,保持“创建授权策略”的默认选项,然后单击“ 下一步”11) 在“选择可以通过 TS 网关连接的用户组”页面中,阅读所有的文字信息,然后单击“下一步 ”12) 在“为 TS 网关创建 TS CAP”页面中,阅读所有的文字信息,保证“密码”复选框被选中,
5、然后单击“下一步”13) 在“为 TS 网关创建 TS CAP”页面中,阅读所有的文字信息,然后选中“允许用户连接到网络上的任何计算机” 选项, “下一步”14) 在“网络策略和访问服务” 页面中,阅读所有的文字信息,然后单击 “下一步”15) 在“选择角色服务” 页面中,阅读所有的文字信息, “下一步”16) 在“Web 服务器(IIS) ”页面中,阅读所有的文字信息, “下一步”17) 在“选择角色服务” 页面中, “下一步”18) 在“确认安装选择” 页面中,检查安装选择, “安装”在安装所选的角色服务时,会出现“ 安装进度”页面。安装完成后,会出现 “安装结果”页面。19) 在“安装结
6、果 ”页面中,单击 “关闭”二、 练习 2:创建一个证书控制台来管理证书在本实验中,将在 Server1 和 Server2 上创建控制台,并通过他们来管理证书。1)使用管理员账户登录 Server12)在“开始”菜单的“开始搜索”栏中输入 MMC,然后按回车键3)在“文件”菜单中,单击 “添加/删除管理单元”4)在“添加/删除管理单元” 窗口中,选中管理单元列表中的“ 证书”项,然后单击“添加”5)在“证书管理单元 ”页面中,选择 “计算机账户”,然后单击 “下一步”6)在“选择计算机 ”页面中,单击 “完成”7)在“添加或删除管理单元” 窗口中,单击“确定”8)使用“文件 ”菜单中的“保存
7、”命令将该控制台保存到默认路径( “管理工具”目录) ,并命名为“ 证书 MMC”9)在 Server2 上重新执行步骤 1-8。:三、导出服务器证书在本实验中,将 server2 上的自签名证书导出到“文档”目录中,然后将其复制到Server1 中1)打开 Server2 的“证书 MMC”控制台,如果已经在“ 管理工具”目录中保存了该控制台,那么可以在“ 开始菜单 ”中“单击”“所有程序”|“管理工具”| 证书MMC2)在 Server2 的证书 MMC 控制台中的结构树中,定位到“ 证书(本地计算机) ”“个人”“证书 ”,当选中“证书” 文件夹时,详细细关窗格中小出现“S”的证书,该证
8、书是由 颁发的。它是在练习1 中所创建的自签名证书。3)右击证书“S”,在快捷菜单中选择“ 所有任务”,然后单击“导出”,出现“证书服务 ”向导。4)在“证书服务 ”向导的欢迎页面中,阅读所有的文字信息,然后单击“下一步”。5)在“导出私钥 ”页面中,保持默认选项,然后单击“下一步”。6)在“导出文件格式 ”页面中,保持默认选项,然后单击“下一步”。7)在“要导出的文件 ”页面中,单击 “浏览”按钮。8)在“另存为 ”对话框的“文件名”文本框中输入 Server2cert,然后将文件保存到“文档”目录中。9)在“要导出的文件 ”页面中,单击 “下一步”10) 在“正在完成证书向导” 页面中,
9、检查要导出的证书名称和路径,然后单击“完成”。11) 弹出的“ 证书导向向导 ”对话框中显示:导出成功。单击 “确定”12) 使用任何选择的方法,将 Server2 中的 Server2cert.cert 文件复制到Server1,然后进行练习 4。例如,可以使用 USB 闪存设备将该文件从Server2 移动到 Server1,或者也可以共享 Server1 的文件夹,通过网络共享来复制文件。四、 练习 4:导入服务证书在本练习中,将把从 Server2 中导出的证书导入到 Server1 中的受信任的根证书授权存储区。(1) 打开 Server1 的 Certificates MMC 控制
10、台,如果已经在“管理工具” 目录中保存了该控制台,那么可以在“开始菜单” 中单击“ 所有程序”| “管理工具”| Certificates MMC(2) 在 Server1 的 Certificates MMC 控制台的结构中,定位到 “证书(本地计算机) ”“收信任的根证书办法机构”“ 证书”。(3) 右击“ 证书” 文件夹,在快捷菜单中选择 “所有任务”,然后单击“ 导入”,出现“证书导入向导 ”(4) 在“证书导入向导 ”的欢迎页面中,阅读所有文字信息,然后单击 “下一步”,出现“打开 ”窗口。(5) 在“要导入的文件 ”页面中,单击“浏览”按钮,出现 “打开”窗口(6) 通过窗口中的目
11、录结构树,找到并选择练习 3 中复制到 Server1 上的Server2cert.cer 文件副本,然后单击“ 打开”(7) 在“要导入的文件 ”页面中,保持默认的选项,然后单击 “下一步”(8) 在“证书存储 ”页面中,保持默认选项,然后单击“下一步”(9) 在“正在完成证书导入向导” 页面中,单击“完成”(10)弹出“ 证书导入向导 ”对话框,单击“确定”五、 练习 5:通过“”远程桌面连接来连接 TS 网关在本练习中,通过 Server2 上的 TS 网关组件,将配置 RDC,使其能够连接 Server2 上的终端服务组件。(1) 使用域管理员账户登录 Server1,打开“远程桌面连
12、接 ”(2) 在“远程桌面连接 ”窗口中,单击“选项”按钮以展开该窗口。(3) 选择“ 高级” 选项卡。(4) 在“从任意位置连接” 区域中,单击“设置”按钮,出现 “TS 网关服务器设置”对话框(5) 在“连接 ”设置区域中,选择 “使用这些 TS 网关服务器设置” 。 “自动检测TS 网关服务器设置”选项会向组策略询问合适的设置。(6) 在“服务器名 ”文本框中输入 S(或者输入 IP 地址)(7) 在“登录方法 ”下拉列表框中,选择 “询问密码(NTLM) ”(8) 清除“ 跳过本地地址的 TS 网关服务器”复选框。(9) 确保“ 将我的 TS 网关凭据用于远程计算机”复选框是选中的,然
13、后单击“确定” 。(10)在“远程桌面窗口 ”中,选择“常规”选项卡。(11)在“计算机 ”文本框中输入或选择 (12)在“用户名 ”文本框中输入域管理员的凭据(13)单击“ 连接” ,出现 “Windows 安全”对话框(14)阅读“Windows 安全”对话框中所有的文字信息。注意,所提供的凭据将被用于连接 TS 网关和远程终端服务器。(15)输入域管理员的凭据,然后单击“确定” ,通过 TS 网关建立了到Server2 的终端服务连接(16)使用其他的域管理员账户(不是之前在 Server1de RDC 中使用的域管理员账户)从 Server2 登录到 (17)在 Server2 的“开始”菜单中,单击“管理工具 ”|“终端服务”|“TS 网关管理器”,打开 TS 网关管理器(18)在“TS 网关管理器”控制台的结构树中,选择目录“Server2(本地) ”“监视”。在中间( “监视” )窗格中,可以看到 Server1 发起的连接。通过TS 网关,连接被成功地中断。
