Chuẩn bị:
máy DC: 2012may1
computer member domain: 2012may2
Remote Desktop Service
Hệ thống gồm có các server và client.
Tình huống 1
Admin đang ngồi trên client 1, muốn kết nối đến các server để cấu hình thì dùng chức năng Remote Desktop kết nối đến các server. Đây là chế độ thứ nhất gọi là Administration Mode: được thiết kế để các quản trị viên cấu hình trên các server
Đặc điểm:
+ Tích hợp sẵn trong server (free)
+ Mặc định cho phép tối đa 2 kết nối đồng thời .
Tình huống 2
User muốn sử dụng bộ Microsoft office. Ta có thể cài từng máy ( mua license từng máy thì quá đắt). Ta có thể cài trên server, và cho phép user sử dụng chương trình ngay trên server ( mua license office, license cho các kết nối sử dụng office). Chế độ mà user sử dụng office trên server gọi là Application Mode. Giải pháp này được xem là giải pháp ảo hóa ứng dụng
Đặc điểm:
+ Cài đặt thêm các Role Service, free 120 ngày, phải mua license
+ Số kết nối phụ thuộc vào license ( mua license cho Remote Desktop và license cho số lượng kết nối)
Ngoài ra, giải pháp ảo hóa người dùng ( Virtual Desktop Infrastructure) cũng sử dụng Remote Desktop Service (có từ server 2008R2 trở lên)
Ở bài này, mình sẽ trình bày về Administration Mode trong RDS.
Ghi chú:
Remote Desktop Service (RDS) từ win 2008 SP2 trở về sau có tên là Terminal Service. Nó chỉ được đổi thành RDS từ 2008R2.
Cách triển khai Remote Desktop (Administration Mode) :
Trên Server
run -> sysdm.cpl -> tab Remote
Mặc định hệ thống không cho phép các kết nối từ xa.
Ta chọn Allow remote connections to this computer
Ta thấy có option: Allow connections only from….. : chỉ cho phép các máy tính sử dụng cớ chế NLA remote vào hệ thống
Network Level Authentication (NLA). Chứng thực ở cấp độ Network. Như đã biết, mô hình OSI gồm 7 lớp (Application, Presentation, Session, Transport, Network, Data Link, Physical). Khi server tiếp nhận kết nối, thông tin sẽ chuyển từ layer 1 sang layer 7 ( Remote Desktop protocol nằm ở layer 7).
Khi client thiết lập kết nối đến, giao tiếp được với remote desktop protocol rồi tức là lúc đó phiên làm việc đã bắt đầu. Sau đó RDP mới gởi yêu cầu tới hệ thống để chứng thực user. Nếu chứng thực thành công thì RDP mới bắt đầu hoạt động. Đây là cách hoạt động khi không có NLA ( kết nối sau đó mới chứng thực).
Đến thời server 2008, nhận thấy những hacker có thể lợi dụng việc kết nối sau đó mới chứng thực để tấn công Denial Of Service: kết nối liên tục để làm cho RDP bận liên tục, từ chối tiệp nhận những kết nối hợp lệ. Cơ chế để NLA giải quyết chuyện này như sau: Khi kết nối đến layer Network thì hoạt động chứng thực đã được yêu cầu, vì thế lúc đó RDP chưa can thiệp => không thể DOS được RDP.
NLA chỉ khả thi khi server là 2008 và client là XP SP3 trở lên ( XP SP3 phải cấu hình thêm registry)
Chọn Select user để add user ta muốn cho remote vào server
Hoặc có thể add user đó vào group Remote Desktop Users (Trong Local Users and Groups của máy đó). Đẻ add user vào group Remote Desktop Users trên Local cho nhiều máy, thì ta có thể cấu hình Restricted Group Policy trong gpmc.msc (thay vì phải vào từng máy add)
Ta add KT1@tuhocmang.local vào
Ghi chú:
– RDP sử dụng TCP port 3389
– Cần chú ý các policy sau:
+ Allow log on through Remote Desktop Service (mặc định cho phép group: Administrators và Remote Desktop Users)(1)
+ Deny log on through Remote Desktop Service
+ Account: Limit local account use of blank passwords to console logon only.
(nếu cấu hình trên DC thì vào OU Domain Controller chỉnh GPO như chúng ta đã biết)
– Ở các server thường: mặc định là admin được kết nối RDS.
– Ở Domain Controller: mặc định không có đối tượng nào được remote (kể cả admin, muốn cho remote phải vào chỉnh Policy (1) trong Default Domain Controller Policy).
– Firewall sẽ tự động mở port khi có kết nối Remote Desktop.
Test:
KT1 đăng nhập rồi: run -> mstsc (remote desktop connection), điền thông tin user, password
Từ Server 2012 trở lên thì công cụ Remote Desktop Service Manager không tồn tại. Vậy nếu ta muốn tắt phiên làm việc từ xa của 1 user thì làm như sau.
Mở Task manager -> Tab User -> Disconnect ( làm trực tiếp trên máy bị remote)
Mình xin kết thúc bài Remote Desktop Service. Cảm ơn các bạn theo dõi.
nguồn: http://tuhocmang.com/
http://www.slideshare.net/laonap166/mcsa-2012-remote-desktop-service
0 Comments