Настройка сервера терминалов на Windows Server 2012 R2. Настройка сервера windows server 2018


Настройка OpenVPV-сервера на Windows Server

Представляю подробную инструкцию по OpenVPN на Windows server 2012 c уровнем шифрования OpenSSL.  А также как подключить клиентов к созданной виртуальной частной сети. Здесь подробно описаны все параметры.

OpenVPN — открытая реализация технологии VPN — Virtual Private Network, которая предназначена для создания виртуальных частных сетей между группой территориально удаленных узлов поверх открытого канала интернет. OpenVPN подходит для таких задач, как безопасное удаленное сетевое подключение к серверу без открытия интернет-доступа к нему, как будто вы подключаетесь к хосту в своей локальной сети. Безопасность соединения достигается шифрованием OpenSSL.

Установка OpenVPN на сервер

Зайдите в систему от имени Администратора. Кто не знает как активировать учетную запись Администратора читайте тут.Скачайте и установите актуальную версию OpenVPN. Запустите установщик, убедитесь что на третьем шаге мастера установки выбраны все компоненты для установки.

OpenVPN установливаем в директорию по-умолчанию «C:\Program Files\OpenVPN».

Разрешаем добавление виртуального сетевого адаптера TAP в ответ на соответствующий запрос и дожидаемся завершения установки.

Генерация ключей (PKI) центра сертификации, сервера, клиента

Для управления парами «ключ/сертификат» всех узлов создаваемой частной сети используется утилита easy-rsa, работающая через командную строку.

Переходим в папку установки OpenVPN и создаем папки ssl и ccd.Заходим в папку easy-rsa. Там есть файл vars.bat.sample, копируем его и переименовываем в vars.bat.

cd \cd C:\Program Files\OpenVPN\easy-rsacopy vars.bat.sample vars.bat

Открываем файл vars.bat. для редактирования, например, в программе Notepad++.Перед FOR вводим rem, а перед set «PATH=%PATH%;C:\Program Files\OpenVPN\bin» удаляем rem.А также правим следующие строки:set KEY_DIR=keys //каталог, куда будут генерироваться сертификты;set DH_KEY_SIZE=2048 //длина ключа Диффи Хельманаset KEY_SIZE=2048 //длина личного ключаset KEY_COUNTRY=RU //Код страны, RU для Россииset KEY_PROVINCE=Moscow //Регион страныset KEY_CITY=Moscow //Городset KEY_ORG=Organization //Название организации или ФИОset [email protected] //Адрес вашей почтыset KEY_CN=server //Общее имяset KEY_OU=server //имяset KEY_NAME=server.domain.ru //Имя сервера. Желательно, чтобы соответствовал полному имени VPN-сервераset PKCS11_MODULE_PATH=DMOSK //путь к модулю pkcs#11, можно не менятьset PKCS11_PIN=12345678 //ПИН-код к смарт-карте, можно не менятьПроверяем, что в файле openssl-1.0.0.cnf параметр default_days (срок жизни сертификата) имеет значение 3650 или то, которое вам нужно.Очищаем старые данныеvars.batclean-all.batНе закрывая командную строку, проверяем, что в папке C:\Program Files\OpenVPN\easy-rsa\keys появились файлы index.txt и serial.Создаем ключ HMAC для дополнительной защиты от DoS-атак и флуда.openvpn --genkey --secret %KEY_DIR%\ta.keyНе закрывая командную строку, проверяем, что в папке C:\Program Files\OpenVPN\easy-rsa\keys появился файл ta.key.Генерируем ключ Диффи Хельмана (процесс достаточно длительный).build-dh.batНе закрывая командную строку, проверяем, что в папке C:\Program Files\OpenVPN\easy-rsa\keys появился файл dh3048.pemГенерируем сертификатbuild-ca.batНа все запросы нажимаем Enter.Не закрывая командную строку, проверяем, что в папке C:\Program Files\OpenVPN\easy-rsa\keys появились файлы ca.crt и ca.key.Генерируем сертификат для сервера:build-key-server.bat serverГде server — имя сертификата. Можно ввести другое. На все запросы нажимаем Enter. В конце подтверждаем два раза корректность информации вводом y.Не закрывая командную строку, проверяем, что в папке C:\Program Files\OpenVPN\easy-rsa\keys появились файлы server.crt, server.key и server.csr.Создаем пользовательский сертификат removecrt для последующего создания файла crl.pem, который отвечает за проверку и последующий отзыв сертификатов. Можно обойтись и без него, но тогда нельзя будет отозвать сертификат пользователя. Так что лучше это сделать.build-key removecrtНажимаем Enter, пока не появятся вопросы Common Name и Name. При их появлении вводим название нашего сертификата — removecrt. Завершаем вводом y два раза.Не закрывая командную строку, проверяем, что в папке C:\Program Files\OpenVPN\easy-rsa\keys появились файлы removecrt.crt, removecrt.key и removecrt.csr.Далее вводим команду которая отвечает за отзыв сертификата и создает файл crl.pemrevoke-full removecrtНе закрывая командную строку, проверяем, что в папке C:\Program Files\OpenVPN\easy-rsa\keys появился файл crl.pemСоздаем сертификат пользователяbuild-key userгде user — имя пользователя. Для каждого пользователя надо создавать свой сертификат, поэтому желательно давать осмысленные имена. Также напоминаю, что при появлении запроса Common Name и Name надо вводить название нашего сертификата user.Не закрывая командную строку, проверяем, что в папке C:\Program Files\OpenVPN\easy-rsa\keys появились файлы user.crt, user.key и user.csr.Есть второй способ создания сертификата пользователя. в этом случае меньше файлов надо передавать пользователю, но при подключении надо будет вводить пароль.Вводим командуbuild-key-pkcs12 userНажимаем Enter пока не появится запрос Export Password. Здесь вводим пароль пользователя, например 777777. Данный пароль будет назначен сертификату user.p12, который должен появиться в папке C:\Program Files\OpenVPN\easy-rsa\keys. Учтите, что и файлы конфигурации клиента будут разные. Но об этом позднее.На этом генерация ключей закончена.Из папки C:\Program Files\OpenVPN\easy-rsa\keys копируем в папку C:\Program Files\OpenVPN\ssl которую мы создали ранее следующие файлы:

  1. ca.crt
  2. server.crt
  3. server.key
  4. dh3048.pem
  5. ta.key

Также рекомендую для каждого пользователя создать свою папку и поместить туда следующие файлы:Для первого варианта

  1. ca.crt
  2. user.crt
  3. user.key
  4. ta.key

Для второго варианта

  1. user.p12
  2. ta.key

Настройка сервера

Переходим к настройке сервера VPN. Создаем файл конфигурации. В папке C:\Program Files\OpenVPN\sample-config есть образцы файлов конфигурации. Возьмем их за основу. Копируем файл server.ovpn в папку C:\Program Files\OpenVPN\config.Открываем его в Notepad++. И исправляем:port 1194 //Номер порта на котором будем слушать. Замечание см. нижеproto udp //Указываем протокол для подключения.dev tun //Создаем маршрутизируемый IP туннель.ca "C:\\Program Files\\OpenVPN\\ssl\\ca.crt" //Указываем путь к доверенному сертификату.cert "C:\\Program Files\\OpenVPN\\ssl\\Server.crt" //Указываем путь к сертификату сервера.key "C:\\Program Files\\OpenVPN\\ssl\\Server.key" //Указываем путь к ключу сервера.dh "C:\\Program Files\\OpenVPN\\ssl\\dh3048.pem" //Указываем путь к ключю Диффи Хельманаserver 172.16.32.0 255.255.255.0 //Указываем адресацию сети.ifconfig-pool-persist "C:\\Program Files\\OpenVPN\\ccd\\ipp.txt" //Указываем файл с описанием сетей между клиентом и сервером.client-config-dir "C:\\Program Files\\OpenVPN\\ccd" //Указываем каталог с описаниями конфигураций каждого из клиентов.client-to-client //Разрешаем общаться клиентам внутри тоннеля.keepalive 10 120tls-auth "C:\\Program Files\\OpenVPN\\ssl\\ta.key" 0 //Указываем путь к ключу безопасности и устанавливаем параметр сервера 0cipher AES-256-CBC //Указываем алгоритм шифрования должен быть одинаковый клиент/сервер.comp-lzo //Включаем сжатие.persist-key //Указываем не пересчитавать файлы ключей при перезапуске туннеля.persist-tunstatus "C:\\Program Files\\OpenVPN\\log\\logopenvpn-status.log" //Указываем путь к логу со статусом.log "C:\\Program Files\\OpenVPN\\log\\openvpn.log" //Указываем путь к логу.verb 3crl-verify "C:\\Program Files\\OpenVPN\\easy-rsa\\keys\\crl.pem" //Указывает сверку по отозванным сертификатам.Остальное не меняем. Сохраняем, закрываем.Теперь замечание по поводу номера порта. Если вы собираетесь использовать нестандартный порт, то необходимо открыть этот порт в Брандмауэре Windows по протоколу UDP для входящих и исходящих подключений. А также убедиться, что у провайдера этот порт тоже открыт.Теперь переходим Панель управления → Администрирование → Службы и находим OpenVPNService. Нажимаем правой кнопкой мыши и выбираем Свойства. Устанавливаем Тип запуска — Автоматически. Нажимаем Запустить, затем ОК. Закрываем все окна. На рабочем столе запускаем OpenVPN GUI.Сервер VPN запущен. В случае появления ошибок смотрите логи в папке C:\Program Files\OpenVPN\log.

Настройка клиента

Настройку клиента начинаем с того, что копируем с компьютера-сервера на компьютер-клиент следующие файлы:

  • Файлы ключей и сертификатов в соответствии с вариантами их создания, как указано выше.
  • Файл установщика, так как программа одинаковая как для сервера, так и для клиента. Отличия только в файлах конфигурации.

Запускаем установку OpenVPN. Все компоненты оставляем как есть, путь установки тоже по умолчанию. Установка TAP-адаптера — да.Переходим в папку установки OpenVPN и создаем папку ssl. в нее копируем файлы ключей и сертификатов для данного клиента.Возвращаемся в каталог установки и из папки C:\Program Files\OpenVPN\sample-config копируем файл client.ovpn в папку C:\Program Files\OpenVPN\config.Открываем его в Notepad++. И исправляем:client //Указываем чтобы клиент забирал информацию о маршрутизации с сервера.dev tun //Создаем маршрутизируемый IP туннель.proto udp //Указываем протокол для подключения.remote X.X.X.X 1194 //Указываем IP аддрес сервера с портом.persist-key //Указываем не пересчитавать файлы ключей при перезапуске туннеля.persist-tunca "C:\\Program Files\\OpenVPN\\ssl\\ca.crt" //Указываем путь к доверенному сертификату.cert "C:\\Program Files\\OpenVPN\\ssl\\user.crt" //Указываем путь к сертификату сервера.key "C:\\Program Files\\OpenVPN\\ssl\\user.key" //Указываем путь к ключу сервера.tls-auth "C:\\Program Files\\OpenVPN\\ssl\\ta.key" 1 //Указываем путь к ключу безопасности и устанавливаем параметр клиента 1cipher AES-256-CBC //Указываем алгоритм шифрования должен быть одинаковый клиент/сервер.comp-lzo //Включаем сжатие.verb 3

Не забываем изменить user на имя которое вы присвоили данному клиенту.Сохраняем. Запускаем OpenVPN GUI на рабочем столе обязательно от имени администратора. Нажимаем правой кнопкой по появившемуся в трее значку и выбираем «Подключиться»:Появится следующее окно.Теперь можно проверить соединение ping.На этом пока все. Дополнительную настройку OpenVPN см здесь.

www.varia-nt.ru

Настройка имеющегося файлового сервера в качестве сервера содержимого

  • 10.04.2018
  • Время чтения: 2 мин

В этой статье

Область применения: Windows Server (канал точками годовой), Windows Server 2016Applies To: Windows Server (Semi-Annual Channel), Windows Server 2016

Эту процедуру можно использовать для установки BranchCache для сетевых файлов службы роли для роли сервера файловых служб на компьютере под управлением Windows Server 2016.You can use this procedure to install the BranchCache for Network Files role service of the File Services server role on a computer running Windows Server 2016.

Членство в группе Администраторы, или эквивалентной группе минимальным требованием для выполнения этой процедуры.Membership in Administrators, or equivalent is the minimum required to perform this procedure.

Примечание

Для выполнения этой процедуры с помощью Windows PowerShell, запустите Windows PowerShell с правами администратора, введите следующие команды в командной строке Windows PowerShell и нажмите клавишу ВВОД.To perform this procedure by using Windows PowerShell, run Windows PowerShell as an Administrator, type the following commands at the Windows PowerShell prompt, and then press ENTER.

Install-WindowsFeature FS-BranchCache -IncludeManagementTools

Чтобы установить службу роли дедупликации данных, введите следующую команду и нажмите клавишу ВВОД.To install the Data Deduplication role service, type the following command, and then press ENTER.

Install-WindowsFeature FS-Data-Deduplication -IncludeManagementTools

Для установки службы роли BranchCache для сетевых файлов службы ролиTo install the BranchCache for Network Files role service

  1. В диспетчере серверов щелкните управление, а затем нажмите кнопку Добавить роли и компоненты.In Server Manager, click Manage, and then click Add Roles and Features. Откроется мастер добавления ролей и компонентов.The Add Roles and Features wizard opens. Нажмите кнопку Далее.Click Next.

  2. В Выбор типа установки, убедитесь, что Установка на основе ролей или компонентов установлен, а затем нажмите кнопку Далее.In Select installation type, ensure that Role-based or feature-based installation is selected, and then click Next.

  3. В Выбор целевого сервера, убедитесь, что выбран правильный сервер и нажмите кнопку Далее.In Select destination server, ensure that the correct server is selected, and then click Next.

  4. В Выбор ролей серверав ролей, обратите внимание, что службы файлов и хранилища уже установлена роль; Нажмите кнопку со стрелкой влево имя роли, чтобы развернуть Выбор служб ролей и нажмите стрелку слева от файл и iSCSI служб.In Select server roles, in Roles, note that the File And Storage Services role is already installed; click the arrow to the left of the role name to expand the selection of role services, and then click the arrow to the left of File and iSCSI Services.

  5. Установите флажок для BranchCache для сетевых файлов.Select the check box for BranchCache for Network Files.

    Совет

    Если вы еще не сделано, рекомендуется также установите флажок для дедупликации данных.If you have not already done so, it is recommended that you also select the check box for Data Deduplication.

    Нажмите кнопку Далее.Click Next.

  6. В выберите компоненты, нажмите кнопку Далее.In Select features, click Next.

  7. В подтверждение выбранных элементов для установки, просмотрите выбранные параметры и нажмите кнопку установить.In Confirm installation selections, review your selections, and then click Install. Ход выполнения установки области отображается во время установки.The Installation progress pane is displayed during installation. По завершении установки нажмите кнопку закрыть.When installation is complete, click Close.

docs.microsoft.com

Настройка терминального сервера Windows Server 2012 R2 +Лицензирование

Начнём с установки служб и компонентов

  • Запускаем Диспетчер серверов. Его можно запустить с ярлыка на панели задач, или же выполнив команду servermanager.exe (Для этого необходимо нажать комбинацию клавиш Win + R, в появившемся окне в поле «Открыть» (Open) написать имя команды и нажать «ОК» ).
  • В меню, в верхнем правом углу, выбираем «Управление» (Manage) — «Добавить роли и компоненты» (Add Roles and Features) .
  • Запустится «Мастер добавления ролей и компонентов» (Add Roles and Features Wizard). Нажимаем «Далее» (Next) на начальной странице
  • Оставляем переключатель на «Установка ролей и компонентов» (Role-based or features-based installation) и снова жмем «Далее» (Next) .
  • Выбираем тот сервер из пула серверов, на который будет установлена служба терминалов. В моем примере это данный локальный сервер. Нажимаем «Далее» (Next) .
  • Отмечаем роль «Службы удаленных рабочих столов» (Remote Desktop Services) в списке ролей и жмем «Далее» (Next) .
  • Компоненты оставляем в том виде, в котором они есть. Ничего не отмечая жмем «Далее» (Next) .
  • Читаем описание службы удаленных рабочих столов и нажимаем «Далее» (Next) .
  • Теперь необходимо выбрать устанавливаемые службы ролей. Как минимум нам пригодится «Лицензирование удаленных рабочих столов» (Remote Desktop Licensing) (также соглашаемся на установку дополнительных компонент нажав на «Добавить компоненты» (Add Features) в появившемся мастере) и «Узел сеансов удаленных рабочих столов» (Remote Desktop Session Host) (опять соглашаемся на установку дополнительных компонент нажав на «Добавить компоненты» (Add Features) в открывшемся окне). Отметив необходимы службы ролей, нажимаем «Далее» (Next) .
  • Все параметры установки роли определены. На последней странице установим флаг «Автоматический перезапуск конечного сервера, если требуется» (Restart the destination server automatically if required) , подтвердим выбор нажав «Да» (Yes) в появившемся окне и нажмем «Установить» (Install) для запуска установки службы.
  • Если все прошло хорошо, после перезагрузки, увидим сообщение об успешной установке всех выбранных служб и компонент. Нажимаем «Закрыть» (Close) для завершения работы мастера.

Определение сервера лицензирования для службы удаленных рабочих столов

  • Теперь запустим «Средство диагностики лицензирования удаленных рабочих столов» (RD Licensing Diagnoser) . Сделать это можно из диспетчера серверов, выбрав в правом верхнем меню «Средства» (Tools) — «Terminal Services» — «Средство диагностики лицензирования удаленных рабочих столов» (RD Licensing Diagnoser) .
  • Здесь мы видим, что доступных лицензий пока нет, т. к. не задан режим лицензирования для сервера узла сеансов удаленных рабочих столов.
  • Сервер лицензирования указывается теперь в локальных групповых политиках. Для запуска редактора выполним команду gpedit.msc.
  • Откроется редактор локальной групповой политики. В дереве слева раскроем вкладки:«Конфигурация компьютера» (Computer Configuration)«Административные шаблоны» (Administrative Templates)«Компоненты Windows» (Windows Components)«Службы удаленных рабочих столов» (Remote Desktop Services)«Узел сеансов удаленных рабочих столов» (Remote Desktop Session Host)«Лицензирование» (Licensing)Откроем параметры «Использовать указанные серверы лицензирования удаленных рабочих столов» (Use the specified Remote Desktop license servers) , кликнув 2 раза по соответствующей строке.
  • В окне редактирования параметров политики, переставим переключатель в «Включено» (Enabled) . Затем необходимо определить сервер лицензирования для службы удаленных рабочих столов. В моем примере сервер лицензирования находится на этом же физическом сервере. Указываем сетевое имя или IP-адрес сервера лицензий и нажимаем «ОК» .
  • Далее меняем параметры политики «Задать режим лицензирования удаленных рабочих столов» (Set the Remote licensing mode) . Также устанавливаем переключатель в «Включено» (Enabled) и указываем режим лицензирования для сервера узла сеансов удаленных рабочих столов. Возможны 2 варианта:«На пользователя» (Per User)«На устройство» (Per Device)

Для того, чтобы разобраться чем отличаются эти режимы, рассмотрим простой пример. Предположим, у Вас есть 5 лицензий. При режиме «На устройство» вы можете создать неограниченное число пользователей на сервере, которые смогут подключаться через удаленный рабочий стол только с 5 компьютеров, на которых установлены эти лицензии. Если выбрать режим «На пользователя», то зайти на сервер смогут только 5 выбранных пользователей, независимо с какого устройства они подключаются.

  • Выбираем тот режим, который наиболее подходит для ваших нужд и нажимаем «ОК» .
  • Изменив вышеперечисленные политики, закрываем редактор.
  • Возвращаемся в оснастку «Средство диагностики лицензирования удаленных рабочих столов» (RD Licensing Diagnoser) и видим новую ошибку, указывающую на то, что сервер лицензирования указан, но не включен.
  • Для запуска сервера лицензирования переходим в «Диспетчер лицензирования удаленных рабочих столов» (RD Licensing Manager) . Найти его можно в диспетчере серверов, вкладка «Средства» (Tools) — «Terminal Services» — «Диспетчер лицензирования удаленных рабочих столов» (Remote Desktop Licensing Manager) .
  • Здесь найдем наш сервер лицензирования, со статусом «Не активирован» (Not Activated) . Для активации кликаем по нему правой кнопкой мыши и в контекстном меню выбираем «Активировать сервер» (Activate Server)
  • Запустится Мастер активации сервера. Жмем «Далее» (Next) на первой странице мастера.
  • Выбираем метод подключения «В браузере веб-страниц»
  • Получаем код продукта который нам понадобится для активации
  • Далее переходи на узел лицензирования удаленных рабочих столов: https://activate.microsoft.com/
  • Выбираем “Активизация сервера лицензий” и жмем далее, на следующем экране вводим код продукта полученный ранее, организацию и любую страну или регион. И жмем далее.
  • Если все сделано правильно, то мы получим необходимый код сервера лецензирования

Получение клиентских лицензий

  • После ввода кода сервера лецензирования появится окно, нужно поставить галку напротив “Запустить мастер установки лицензий”
  • Переходим на уже знакомый нам узел лицензирования Microsoft, где на этот раз выбираем Установить клиентские лицензии доступа и нажимаем далее.
  • Снова заполнить поля, помеченные (*) теми же данными, что и первый раз. Вставляем License Server ID, в качестве программы лицензирования (License Program) выбираем Enterprise agreement (иначе не получите лицензии)
  • Выбираем нужные нам лицензии и их количество (можно большое количество). Нужный сервер 2003/2008/2012 лицензии на клиента или на компюьтер и т.д.Обязательно соглашение Enterprise agreement, один из данных номеров 6565792, 5296992, 3325596, 4965437, 4526017 или ищем в интернете который подойдет…
  • Ну вот мы и получили нужные нам клиентские лицензии. Собственно, теперь мы имеем полноценный активированный сервер терминалов.

xakinfo.ru

"Настройка безопасности RDP Windows Server 2016" заблокирована Настройка безопасности RDP Windows Server 2016 Сайт Кузеванова Александра

Далее будут рассмотрены пять мер, позволяющих существенно повысить безопасность RDP в Windows 2016. В статье предполагается, что сервер терминалов уже прошел предварительную настройку и работает. Все скриншоты соответствуют Windows Server 2016.

Смена стандартного порта Remote Desktop Protocol

Начнем со стандартной меры — смены стандартного порта Windows 2016 RDP, что позволит предотвратить атаку всем известных портов (well-known ports).Настройку порта можно осуществить с помощью реестра — HKEY_LOCAL_MACHINE\System\CurrentControlSet\Control\TerminalServer\WinStations\RDP-Tcp\PortNumber.

Рис. 1. Смена порта RDP в Windows Server 2016 с помощью редактора реестра

После этого запустите Брандмауэр Windows и на боковой панели слева выберите Дополнительные параметры. Далее — Правила для входящих соединений и нажмите кнопку Создать правило (на панели справа)

Рис. 2. Правила для входящих подключений

В появившемся окне выберите Для порта и нажмите кнопку Далее. Затем выберите Определенные локальные порты и введите порт, указанный при редактировании реестра (рис. 3). В следующем окне мастера нужно выбрать Разрешить подключение(рис. 4).

Рис. 3. Задаем новый порт

Рис. 4. Разрешаем подключение

Собственно, на этом настройка завершена. Отключитесь от сервера и установите новое соединение. Не забудьте в настройках RDP-клиента Windows Server 2016 указать новый порт: IP-адрес_сервера: порт.

Блокируем учетные записи с пустым паролем

Усилить RDP безопасность можно, запретив windows server подключаться учетным записям с пустым паролем. Для этого нужно включить политику безопасности «Учетные записи: разрешить использование пустых паролей только при консольном входе»:

  1. Откройте локальную политику безопасности (нажмите Win + R и введите команду secpol.msc)
  2. Перейдите в раздел Локальные политики, Параметры безопасности
  3. Дважды щелкните на нужной нам политике и убедитесь, что для нее задано значение Включен (рис. 5).

Рис. 5. Включение политики безопасности в Windows 2016 RDP «Учетные записи: разрешить использование пустых паролей только при консольном входе»

Настраиваем политику блокировки

Основная проблема в том, что по умолчанию Windows-server (даже 2016!) не защищен от брутфорса, поэтому безопасность RDP в Windows 2016 пребывает не на очень высоком уровне. При наличии какого-либо сервиса, в частности, FTP, вас могут брутфорсить, пока не получат доступ к системе, перебирая огромное множество логинов и паролей. Именно поэтому необходима настройка временной блокировки пользователя после нескольких неудачных попыток.

Необходимый набор правил и настроек называется Политика блокировки учетной записи (Account Lockout Policy). Пока вы еще не закрыли окно Локальная политика безопасности, перейдите в раздел Политики учетных записей, Политика блокировки учетной записи. Установите Пороговое значение блокировки — 5 (максимум 5 неудачных попыток входа), Продолжительность блокировки учетной записи — 30 (на 30 минут учетная запись будет заблокирована после 5 неудачных попыток входа).

Рис. 6. Настройка политики блокировки учетной записи

Настройка службы шлюза служб терминалов

Служба «Шлюз TS (служб удаленных рабочих столов)» Windows Server 2016 разрешает сторонним пользователям реализовывать удаленное подключение к терминальным серверам и другим машинам частной сети с активированным протоколом удаленного рабочего стола. Служба обеспечивает RDP безопасность подключений за счет использования протокола HTTPS/SSL, что позволяет не заниматься настройкой VPN для шифрования трафика.

Служба позволяет контролировать доступ к машинам, устанавливая правила авторизации и требования к удаленным пользователям. Администратор сможет контролировать пользователей, которые могут подключаться к внутренним сетевым ресурсам, сетевые ресурсы, к которым могут подключаться пользователи, определять, должны ли клиентские компьютеры быть членами групп Active Directory и др.

Порядок действий для установки службы «Шлюз ТS»:

  1. Откройте Диспетчер серверов и на главной его странице нажмите ссылку Добавить роли и компоненты
  2. Нажмите Далее, а затем выберите Установка ролей или компонентов.
  3. Выберите ваш сервер из пула серверов
  4. Выберите Службы удаленных рабочих столов и нажмите Далее несколько раз, пока не достигнете страницы Выбор служб ролей
  5. Выберите службы ролей Шлюз удаленных рабочих столов (рис. 7)
  6. Нажмите кнопку Добавить компоненты
  7. Нажимайте Далее для завершения процедуры установки. Когда все будет готово для установки выбранных компонентов, нажмите кнопку Установить (рис. 8).

Рис. 7. Установка службы ролей

Рис. 8. Все готово для установки

Далее нужно создать сертификат для шлюза служб удаленных рабочих столов. Запустите Диспетчер служб IIS, выберите пункт Сертификаты сервера. На панели справа выберите Создать сертификат домена. Введите необходимые сведения (рис. 11).

Рис. 9. Диспетчер служб IIS

Рис. 10. Выберите Создать сертификат домена

Рис. 11. Информация о сертификате

Далее нужно выбрать центр сертификации, который подпишет сертификат, и нажать кнопку Готово. Сертификат появится в списке сертификатов.

Следующий шаг — настройка шлюза TS на использование сертификата. Вернитесь к Диспетчеру серверов и, используя меню Средства, запустите Диспетчер шлюза удаленных рабочих столов. Обратите внимание, что есть одна ошибка — Сертификат сервера еще не установлен или не выбран. Собственно, все, что остается сделать — нажать ссылку рядом Просмотр и изменение свойств сертификата и выбрать ранее созданный сертификат, нажав кнопку Импорт сертификата (рис. 13). В этом окне также можно создать самозаверяющийся сертификат.

Рис. 12. Диспетчер шлюза удаленных рабочих столов

Рис. 13. Выбор сертификата SSL

Используем протокол SSL/TLS для защиты RDP

Если соединение с RDP-сервером реализовывается не через VPN, для обеспечения защиты подключений рекомендуется активировать SSL/TLS-туннелирование соединения.

Опцию RDP через TLS можно активировать через набор правил и настроек защиты сервера удаленных рабочих столов. Введите команду gpedit.msc и перейдите в раздел Конфигурация компьютера, Административные шаблоны, Компоненты Windows, Службы удаленных рабочих столов, Узел сеансов удаленных рабочих столов, Безопасность. Откройте политику Требовать использования специального уровня безопасности для удаленных подключений по протоколу RDP. Выберите значение Включено и выберите уровень безопасности SSL (рис. 14).

Рис. 14. Включение RDP через TLS

На этом настройка безопасности RDP Windows server 2016 закончена.

kuzevanov.ru

Настройка сервера печати windows server 2012 R2

Добрый день уважаемые читатели блога сегодня мы с вами разберем вопрос, как производится настройка сервера печати windows server 2012 R2. Мы с вами уже устанавливали сервер печати в Windows Server 2008 r2 и эта статья чем, то на нее похожа. Думаю для начинающих системных администраторов она окажется полезной в организации новой инфраструктуры и имеющей немного улучшенный функционал, все вопросы по данной теме я жду в комментариях, готов максимально развернуто на них ответить.

Что такое сервер печати

Как вы понимаете это сервер или виртуальная машина, на которой стоит роль и с помощью нее идет централизованное администрирование и распространение принтеров на устройства и пользователей в локальной сети. Ниже представлен пример, как это выглядит.

 

Сервер печати windows server 2012

Приступим к настройке, делать я это буду на контроллере домена так как данный функционал совсем не нагружает сервак, первым делом вам необходимо открыть Диспетчер сервера и в правом верхнем углу нажать Управление > Добавить роли и компоненты, в 2012 да и в 2008 r2, все ставилось через данные мастера.

У вас откроется мастер добавления ролей и компонентов, на первом окне можете ничего не читать, там одна вода, жмем далее.

Оставляем выбор на Установка ролей и компонентов, так как мы будем ставить на один сервак

Выбираем сервер для инсталляции.

ставим галку на против Слыжбы печати и документов и жмем далее.

Дополнительных компонентов ставить не нужно, так что этот шаг просто пропускаем.

На этом шаге мастер вам расскажет более подробно про сервер сетевой печати, если интересно, то почитайте.

Теперь у вас на выбор будет 4 галки

  • Сервер печати > ее выбирает, так как наша роль
  • Печать через интернет > тут как бы все понятно из названия
  • Сервер распределенного сканирования
  • Службы LPD > Для Linux платформ

Все жмем установить.

Процесс довольно таки быстрый.

Обратите внимание, что по завершению вас не попросят перезагружаться.

все роль установилась, открываем Средства в диспетчере сервера и далее Управление печатью.

Продолжаем делать наш сервер печати windows server 2012. В открывшейся оснастке mmc откройте Серверы печати > далее ваш > Принтеры. Как видите у вас только стандартный Microsoft XPS принтер. Логично, что вам нужно поставить все ваши сетевые принтеры. У меня в сети настроена пачка сетевых принтеров HP LaserJet 400 MFP M425dn

Открываем панель управления > Устройства и принтеры. Жмем вверху Добавление принтера.

В открывшемся окне, будет произведен поиск доступных принтеров в Active directory. если у вас ничего не нашло, то жмем Нужный принтер отсутствует в списке.

Теперь настройка сервера печати windows попросит вас добавить локальный или сетевой принтер от имени администратора.

Выбираем добавить принтер по его TCP/IP адресу или имени. Советую всегда использовать dns имена и не привязываться к ip адресам.

Задаем:

  • Тип устройства > Устройство TCP / IP
  • Имя или Ip адрес > DNS имя
  • Имя порта > что угодно понятное вам, у меня это расположение в офисе

Теперь будет произведена установка драйвера, можете поставить свой, но мне достаточно было использовать рекомендуемый.

И зададим имя, по которому его смогут искать.

Указываем есть ли до него общий доступ или нет.

Вот так вот выглядит мой список,

Откройте теперь проводник и введите \\имя вашего сервера и вы получите список всех принтеров что на нем есть.

Щелкаем по любому из них двойным кликом и начнется установка.

Все как видите у меня появился нужный мне сетевой принтер.

в следующей статье я вам расскажу как эти принтеры можно назначить с помощью групповых политик, так как в ручную можно поставить когда требуется единовременно или одному человеку, а вот если мы говорим про отделы, то тут GP просто не заменима.

pyatilistnik.org

Как настроить Hyper-V на Windows Server 2012 R2?

TrueConf Server поддерживает возможность запуска на виртуальной машине, хотя это сложная процедура и мы не рекомендуем её неопытным пользователям — настройка корректной работы виртуальной машины бывает порой довольно сложным делом.

В этой инструкции мы покажем пример настройки виртуализатора Hyper-V на сервере Windows Server 2012 R2.

Данная статья носит исключительно ознакомительный характер и не гарантирует непременную и полную работу сервера после выполнения инструкции.Техническая поддержка TrueConf не консультирует пользователей по вопросам настройки виртуальных машин и запуска TrueConf Server на них. Виртуальная машина — это внешняя система, работа которой не зависит от приложения TrueConf, и её настройка и поддержка целиком лежат на плечах пользователя.

Виртуализатор Hyper-V из нашего примера является средством аппаратной виртуализации, то есть использует для виртуализации специальную процессорную архитектуру. Соответственно, на некоторых процессорах, где этой архитектуры нет, его запуск невозможен.

Чтобы проверить, поддерживает ли ваше оборудование аппаратную виртуализацию, откройте консоль Windows PowerShell, введите systeminfo.exe и нажмите Enter.

Введённая команда выведет на экран консоли длинный список текущих настроек системы. Из всего этого списка нас интересует только последний абзац, где пункт «Виртуализация включена во встроенном ПО» должен быть отмечен пометкой «Да».

Если соответствующий пункт не отмечен пометкой «Да», то установка Hyper-V на вашу систему невозможна.

Откройте диспетчер серверов. В меню сверху выберите Управление > Добавить роли и компоненты.

Выбор сервера

В появившемся мастере добавления ролей и компонент нужно на панели слева выбрать пункт Выбор сервера и выберите нужный сервер. Если он там один, то, соответственно, ничего делать не нужно.

Роли сервера

Далее перейдите в меню Роли сервера (опять через панель слева). Поставьте флажок рядом с надписью Hyper-V. После этого автоматически откроется окно в котором нужно включить флажок Включить средства управления (если применимо). После этого нажимайте кнопку Добавить компоненты.

Компоненты

После этого в меню Компоненты отметьте необходимые для работы Hyper-V флажки:

  • cредства удалённого администрирования сервера;
  • cредства администрирования ролей;
  • cредства упраления Hyper-V (2 пункта);

Виртуальные коммутаторы

Для того, чтобы виртуальная машина могла взаимодействовать с сетью, нужно наладить связь между ней и физическим устройством, обеспечивающим выход в сеть. Перейдите в меню Виртуальные коммутаторы и отметьте сетевой адаптер, который вы хотите для этого использовать.

Хранилища по умолчанию

В пункте Хранилища по умолчанию нужно выбрать папки для расположения по умолчанию файлов виртуальных жестких дисков и файлов конфигурации виртуальной машины. Для этого нужно создать две отдельные папки. Рекомендуется предварительно отформатировать диск, на котором они находятся.

Подтверждения

В меню Подтверждения отметьте флажок Автоматический перезапуск конечного сервера, если требуется.

После этого нажмите кнопку Установить внизу и дождитесь окончания установки.

После нескольких перезагрузок и входа в систему мастер добавления ролей и компонентов сообщит об окончании установки. После этого можно нажать кнопку Закрыть.

Откройте диспетчер Hyper-V. На правой панели выберите пункт Создать > Виртуальная машина.

Имя виртуальной машины

Появится мастер создания виртуальной машины. Нажав один раз кнопку Далее, вы перейдёте к этапу установки Укажите имя и местонахождение (список этапов и текущий этап обозначаются в левой части окна). Здесь в соответствующем поле нужно указать имя виртуальной машины.

Выбор поколения

В следующем пункте нужно выбрать поколение виртуальной машины. В нашем примере мы использовали Windows 7, которой соответствует первое поколение.

Выделяемая память

После этого нужно определить количество выделяемой памяти. Мы рекомендуем выделять не менее 1 Гб, то есть 1024 Кб.

Настройка сети

В разделе Настройка сети нужно выбрать тот виртуальный коммутатор, который мы выбрали при добавлении компоненты в меню Виртуальный коммутатор (см. столбец Описание на соответствующей картинке из шага 1).

Виртуальный жёсткий диск

Далее потребуется создать или выбрать уже имеющийся виртуальный жёсткий диск. В нашем примере мы создаём новый жёсткий диск размером 40 Гб.

Источник установки операционной системы

На следующей панели нужно выбрать способ установки операционной системы. В нашем случае мы устанавливали её с DVD-диска.

В последнем меню, Сводка, ничего заполнять не нужно. Просто нажмите Готово и ждите окончания настройки виртуальной машины.

После окончания настройки вы вернётесь в диспетчер Hyper-V. Там в правом меню в группе кнопок вашей виртуальной машины (в нашем примере, напомним, она называется vm1) нажмите Подключить.

В открывшемся после этого окне должна появится надпись «Виртуальная машина выключена». Соответственно, вам нужно её включить. Для этого в меню окна нажмите Действия > Пуск.

Если вы точно следовали инструкции и указали корректный носитель или .iso образ с дистрибутивом системы, машина запустится и начнётся штатная установка Windows.

После успешной настройки виртуальной машины остаётся только установить на неё TrueConf Server и начать использование. Пользуясь нашей инструкцией, вы сможете сделать это за 15 минут.

trueconf.ru

Настройка сервера терминалов на Windows Server 2012 R2

Подробная инструкция со скриншотами для настройка сервера терминалов на Windows Server 2012 R2

Начиная с Windows Server 2012 службу терминалов переделали. Теперь для возможности подключения к клиентской сессии нужно чтобы была установлена ​​роль Active Directory и операционная система была Windows Server 2012 R2. После настройки подключаться к терминальным сессий могут только пользователи, имеющие права Администратора сервера.

Установление роли Active Directory

Устанавливаем Active Directory

1. Открываем Диспетчер серверов и в меню Управление выбираем Добавить роли и компоненты.

Рисунок 1

2. В следующем окне нажимаем Далее.

Рисунок 2

3. Выбираем пункт Установка ролей и компонентов.

Рисунок 3

4. Выбираем пункт Выберите сервер из пула серверов. Если у вас несколько серверов то нужно выбрать тот сервер, на котором будем разворачивать Active Directory.

Рисунок 4

5. Выбираем Доменные службы Active Directory.

6. Выбираем Добавить компоненты и в трех следующих окнах нажимаем Далее.

7. Нажимаем Установить.

8. Откроется окно с ходом установки.

9. Нажимаем кнопку Закрыть.

Настройка домена Active Directory

После установки роли Active Directory нужно создать домен.

1. В Диспетчере серверов в Уведомлениях появится знак желтого треугольника внутри которого восклицательный знак. Нажимаем на значок Уведомления и выбираем Повысить роль этого сервера до уровня контроллера домена.

2. Для создания нового домена выбираем Добавить новый лес и вписываем Имя корневого домена.

3. Указываем Пароль для режима восстановления служб каталогов (DSRM).

4. В следующих пяти окнах нажимаем Далее. 5. В следующем окне нажимаем на кнопку Установить.

6. Запустится установки. После установки сервер автоматически перезагрузится.

Установление роли удаленных рабочих столов

1. Повторяем шаги которые показаны на рисунке 1 и 2.2. Выбираем пункт Установка служб удаленных рабочих столов.

3. Выбираем Стандартное развертывание.

4. Выбираем Развертывание рабочих столов на основе сеансов.

5. Нажимаем Далее.

6. С пула серверов выбираем нужный нам сервер, нажимаем на кнопку > чтобы он переместился в правое окно и нажимаем на кнопку Далее.

7. Ставим галочку напротив пункта Установить службу роли веб-доступа к удаленным рабочим столам на сервере посредника подключений к удаленного рабочему столу и нажимаем Далее.

8. С пула серверов выбираем нужный нам сервер, нажимаем на кнопку > чтобы он переместился в правое окно и нажимаем на кнопку Далее.

9. Ставим галочку напротив пункта Автоматически перезапуск конечный сервер и нажимаем кнопку Развернуть.

10. Откроется окно с ходом выполнения. После установки сервер автоматически перезагрузится.

11. После перезагрузки сервера откройте Диспетчер серверов, появится окно с началом установки роли удаленных рабочих столов.

12. После завершения установки нажмите на кнопку Закрыть.

Создание коллекции пользователей удаленных рабочих столов и подключения к ним

1. Открываем Диспетчер серверов и выбираем Службы удалленных рабочих столов.

2. Выбираем пункт Коллекции.

3. В правом верхнем углу нажимаем на кнопку Задачи и выбираем Создать коллекцию сеансов.

4. Нажимаем Далее.

5. Вводим Имя коллекции и Описание.

6. С пула серверов выбираем нужный нам сервер, нажимаем на кнопку > чтобы он переместился в правое окно и нажимаем на кнопку Далее.

7. При необходимости нажав на кнопку Добавить можно добавить группу пользователей которая будет иметь право подключаться к серверу по протоколу RDP или нажав на кнопку Удалить удалить группу.

8. Снимаем галочку с пункта Включить диски профилей пользователей.

9. Нажимаем на кнопку Создать.

10. После окончания нажимаем на кнопку Закрыть.

11. После выполнения этих действий у нас появится коллекция с именем, которое вы задали.

12. Нажав на соответствующую коллекцию откроется окно управления коллекцией.

13. В пункте Свойства нажимаем на кнопку Задачи и выбираем Изменить свойства.

14. Для того, чтобы можно было подключаться из устаревших клиентов RDP, таких которые в ОС Windows XP, выбираем пункт Безопасность и снимаем галочку напротив пункта Разрешить подключаться только с компьтеров, на которых работает удаленный рабочий стол с проверкой подлинности на уровне сети. Нажимаем ОК.

15. В правом окне Подключения будут отображаться все пользователи, которые работают на сервере по протоколу RDP.

16. Нажав ПКМ по пользователю можно выбрать следующие варианты:
  • Отключится — отключить сеанс пользователя
  • Отправить сообщение — отправить сообщение пользователю
  • Теневая копия — подключиться к сеансу пользователя в режиме просмотра или в режиме управления сеансом пользователя
  • Выйти — Завершить сеанс пользователя

Установка Диспетчера лицензирования

Для того, чтобы добавить лицензии для подключения по RDP нужно установить и настроить Диспетчер лицензирования удаленных рабочих столов.

После установки службы удаленного рабочего стола автоматически устанавливаются временные лицензии, которые позволяют пользоваться сервером удаленного рабочего стола 120 дней. После 120 дней доступ на сервер без установки дополнительных лицензий будет закрыт.

1. Повторяем операции, которые отображаются на рисунке 1-4. В списке доступных ролей сервера разворачиваем роль Служба удаленных рабочих столов и ставим галочку напротив пункта Лицензирование удаленных рабочих столов.

2. Выбираем Добавить компоненты. Нажимаем в двух следующих окнах Далее.

3. Нажимаем Установить.

4. После окончания операции нажимаем Закрыть.

5. В Диспетчере серверов нажимаем на кнопку Средства, выбираем Terminal Services и нажимаем на Диспетчер лицензирования удаленных рабочих столов.

6. В открывшемся окне открылось нажимаем ПКМ на соответствующем сервере и выбираем Активировать сервер.

7. Нажимаем Далее.

8. Нажимаем Далее.

9. Заполняем поля Имя, Фамилия, Организация, Страна соответствующими данными и нажимаем Далее.

10. При необходимости заполняем поля в следующем окне и нажимаем на кнопку Далее.

11. После завершения активации появится следующее окно. Если вы будете устанавливать лицензии то оставьте установленной галочку напротив пункта Запустить мастер установки лицензий. 12. После выполненных операций в Диспетчере лицензирования удаленных рабочих столов нажмите ПКМ по серверу и выберите Проверить настройку.

13. В следующем окне нажимаем на кнопку Добавить в группу.

14. В следующем окне нас предупредят что эту операцию нужно выполнять с правами Администратора домена. Нажимаем Продолжить.

15. В настпуних двух окнах нажмите ОК.

16. Перезагружаем сервер. После перезагрузки открыв окно с пунктом 12 если все прошло удачно то получим следующее окно.

17. Для установки лицензий RDP подключений нужно в диспетчере сервера лицензирования нажимаем ПКМ на сервере и выбираем Установить лицензии.

geeksway.ru