Главная Virtualization, Без рубрики Лаборатория домашней виртуализации (Часть 4): Software (Удаленный доступ)
  • Лаборатория домашней виртуализации (Часть 4): Software (Удаленный доступ)

    Итак,  мы успешно собрали и настроили роль Hyper-V  и, если необходимо,  RemoteFX (об этом можно прочитать в 3х предыдущих частях, ссылки в ресурсах в конце статьи).

    Перейдем к технологиям удалённого доступа. Перечислим их с некоторыми комментариями.

    1. Если дома стоит маршрутизатор,  который позволяет поднимать входящие VPN соединения, то существует проблема, что в некоторых  местах порты доступа по VPN закрыты.  А маршрутизатор, который стоит дома и заворачивает vpn пакеты в 443 port (SSL), стоит бессовестно дорого.  

    2. Классические VPN , включая SSTP, не сильно нам интересны, хотя тоже возможны. Причем встроенные VPN, кроме  SSTP, не могут использовать 443 порт, а SSTP требователен к инфраструктуре сертификатов. Для интересующихся http://www.techdays.ru/videos/2217.html .

    3. Direct Access – сильно громоздкая инфраструктура  для одного соединения.  Для интересующихся http://blogs.technet.com/b/abeshkov/archive/2009/06/28/direct-access.aspx

    4. Зайти по протоколу  RDP на сервер в принципе тоже  вариант, но опять проблема с открытыми портами.

    5. Remote Desktop Gateway на первый взгляд удовлетворяет нашим требованиям.  Работа по 443 порту с не сильно сложным использованием сертификатов, в отличие от SSTP . Будем использовать это решение для доступа к нашей хостовой машине. Оно не громоздко и работает по 80/443 портам,  которые,  как правило,  везде открыты. Вот его мы и будем рассматривать.

    Красивое DNS имя – это не просто имя. Представьте себе,  придя на презентацию, вы на проекторе в браузере будете набирать 123.124.125.126  – это не впечатляет.  Или, например, есть возможность  набрать virtualhost.myname.com  – это, безусловно, выглядит солиднее, но за это нужно платить.  Регистрация персонального DNS домена второго уровня –  за деньги и получить реальный IP адрес у провайдера (некоторые провайдеры дают ip адрес бесплатно). Аренду DNS сервера не рассматриваем. Существует и  другой путь: имя будет вида virtualhost.dyndns.com, которое можно бесплатно зарегистрировать на http://www.dyndns.com/  , получив имя, логин и пароль . Как правило , признаком хорошего тона  является не включать компьютер напрямую в сеть оператора, а использовать различные недорогие роутеры Dlink,Zyxel,NetGear (в общем, список вы можете продолжить сами). На большинстве роутеров есть поддержка DynDns , там можно прописать имя, логин и пароль. При выходе в сеть роутер будет регистрировать свои ip адрес DynDns.  Остаётся только назначить переброс портов (443 и другие, в зависимости от задач) на роутере на постоянный ip адрес хостового компьютера. Причем для работы Remote Desktop Gateway необходимо, чтобы DNS имя компьютера, по которому обращаемся к нему,  снаружи совпадало с именем в самоподписанном сертификате с генерированным во время установки  Remote Desktop Gateway. Но есть и другой путь:  записать  строку с именем компьютера и его ip адрес в файл C:\Windows\System32\drivers\etc\hosts  .

    Теперь перейдем к установке  Remote Desktop Gateway на хостовой машине.

    Делаем следующее: запускаем Server Manager.  Выбираем Roles и Add Roles, запускается мастер, в нем выбираем роль (Remote Desktop Gateway). Нажимаем Next. Если уже установлена роль Remote Desktop Services, то тогда  Add Role Services. Выбираем Remote Desktop Gateway.Нам предлагают установить Internet Information Services (IIS) 7.5 и Network Policy Server (NPS), мы соглашаемся. Далее нас спросят о сертификате, мы выберем самоподписанный сертификат (Create a self-signed certificate for ssl encryption). Далее предложат создать политику Create authorization policies , выбираем Now. Далее идет выбор группы пользователей, кто может соединяться через Gateway, оставим по умолчанию группу Administrators. Выбор аутентификации оставим по умолчанию Password, так как мы не будем использовать смарткарту. Перейдем далее к политике   Remote Desktop resource authorization policies  (RD RAP) и выберем параметр, разрешающий подсоединяться с любого компьютера Allow user to connect to any computer on the network . Далее оставим выбранные по умолчанию настройки для  Network Policy Server (NPS) и Internet Information Services (IIS) 7.5. Установка завершена. Мы установили Remote Desktop Gateway.

    Теперь разрешим удаленный доступ к этому компьютеру. Идем Start -Computer  в контекстном меню Properties. Далее выбираем  Advanced system settings, на закладке Remote включаем разрешение удаленного доступа Allow connection from computers any version Remote Desktop. Теперь  идем в командную строку и запускаем MMC  меню Add/Remove Snap-in  и выбираем оснастку Certificates , далее она спросит,  чем будем управлять, и мы выберем локальный компьютер Local Computer. Далее откроем оснастку и перейдем  в  Personal/Certificates и выбираем наш свежесгенерированный сертификат и сделаем его экспорт. Параметры экспорта оставим по умолчанию. Не экспортируем частный ключ Do Not export the private key. Оставляем формат по умолчанию DER encoded binary X.509, и сохраняем экспортируемый сертификат в виде файла.

    Теперь переносим файл, на сменный носитель или по сети на ноутбук. Там запускаем mmc , выбираем оснастку Сертификаты (Текущий пользователь). Открываем ее и переходим  в Доверительные корневые центры сертификации/Сертификаты, выбираем импорт  и импортируем наш сертификат, экспортированный с сервера. Далее запускаем mstsc.exe или Пуск/Все программы/Стандартные/ Подключение к удаленному рабочему столу. На закладке Общие вводим имя удаленного компьютера  virtualhost.dyndns.com . Переходим на закладку Подключение,  выбираем Параметры и выбираем Автоматически выбирать параметры шлюза удаленных рабочих столов. На момент тестирования в локальной сети используем параметр Использовать следующие параметры шлюза рабочих столов и вводим имя шлюза. А также снимаем галочку  Не использовать север шлюза удаленных рабочих столов в локальной сети. Если эту галочку не снять, то в локальной сети ноутбук будет соединяться с сервером по протоколу  RDP, а нам надо по SSL (443). Проверяем и устанавливаем соединение.

    Ресурсы

    http://technet.microsoft.com/en-us/library/dd560672(WS.10).aspx

    http://www.microsoft.com/downloads/en/details.aspx?FamilyID=6D146124-E850-4CEC-9EFA-33A5225E155D&amp%3Bdisplaylang=en

    Лаборатория домашней виртуализации Часть 1: Hardware

     http://itband.ru/2011/01/part1_hardware_home/

    Лаборатория домашней виртуализации (Часть 2): Sofrtware

      http://itband.ru/2011/01/part2_software_home/  

    3 Лаборатория домашней Часть 3. Virtualization Software (RemoteFX и перенаправление USB) http://itband.ru/2011/02/part3_software_home_remotefx/     .

    Для тех, кто не любит читать.

    http://www.techdays.ru/videos/1430.html

    Комаров Михаил

    MVP

Комментарии

  1. После этого – “Красивое DNS имя — это не просто имя. Представьте себе, придя на презентацию, вы на проекторе в браузере будете набирать 123.124.125.126 – это не впечатляет. Или, например, есть возможность набрать virtualhost.myname.com – это, безусловно, выглядит солиднее, но за это нужно платить” читать перестал. Баловство ИМХО.

  2. Особенно когда имя сертификата не совпадает с именем обращения, тогда народ и пляшет с бубном.Так, что DNS имя не просто ценный мех 🙂

  3. ну а *.dns_name не покатит ?

  4. Добрый день. Не могу импортировать сертификат на клиенте в “Доверенные корневые сертификаты”. ПИшет: “Импорт не выполнен по одной из следующих причин: хранилище доступно только для чтения, в нём нет свободного места или произошла ошибка при открытии хранилища.”
    Запускаю под админом, ничего не меняется. Пробовал на другом компьютере, и тоже самое. В чём может быть проблема?

  5. 1.Скорее всего проблема наверно параметрах экспорта сертификата, что то вы выбрали лишнее, например закрытый ключ.
    2.Проверьте групповые политики:
    конфигурация компьютераконфигурация windowsпараметры безопасностиполитики открытого ключапараметры подтверждения пути сертификата.
    На вкладках “Хранилища” и “Доверенные издатели” могут быть настроены политики, запрещающие простым пользователям (или даже локальным админам) добавлять корневые сертификаты в хранилище доверенных корневых ЦС.

  6. Вы не правы. Могу отстоять свою позицию.

    —–
    Шопинг в лимассоле | http://apartamento.agency/