Wednesday , 21 August 2019
Home » Tự học Quản trị mạng » Tổng hợp » MCSA 2012 Remote Desktop Service

MCSA 2012 Remote Desktop Service

Chuẩn bị:

máy DC: 2012may1

computer member domain: 2012may2

Remote Desktop Service

Hệ thống gồm có các server và client.

Tình huống 1

Admin đang ngồi trên client 1, muốn kết nối đến các server để cấu hình thì dùng chức năng  Remote Desktop kết nối đến các server. Đây là chế độ thứ nhất gọi là Administration Mode: được thiết kế để các quản trị viên cấu hình trên các server

Đặc điểm:

+ Tích hợp sẵn trong server (free)

+ Mặc định cho phép tối đa 2 kết nối đồng thời .

Tình huống 2

User muốn sử dụng bộ Microsoft office. Ta có thể cài từng máy ( mua license từng máy thì quá đắt). Ta có thể cài trên server, và cho phép user sử dụng chương trình ngay trên server ( mua license office, license cho các kết nối sử dụng office). Chế độ mà user sử dụng office trên server gọi là Application Mode. Giải pháp này được xem là giải pháp ảo hóa ứng dụng

Đặc điểm:

+ Cài đặt thêm các Role Service, free 120 ngày, phải mua license

+ Số kết nối phụ thuộc vào license ( mua license cho Remote Desktop và license cho số lượng kết nối)

Ngoài ra, giải pháp ảo hóa người dùng ( Virtual Desktop Infrastructure) cũng sử dụng Remote Desktop Service (có từ server 2008R2 trở lên)

Ở bài này, mình sẽ trình bày về Administration Mode trong RDS.

Ghi chú:

Remote Desktop Service (RDS) từ win 2008 SP2 trở về sau có tên là Terminal Service. Nó chỉ được đổi thành  RDS từ 2008R2.

Cách triển khai Remote Desktop (Administration Mode) :

Trên Server

run -> sysdm.cpl -> tab Remote

Mặc định hệ thống không cho phép các kết nối từ xa.

Ta chọn Allow remote connections to this computer

RDS 1

Ta thấy có option: Allow connections only from….. : chỉ cho phép các máy tính sử dụng cớ chế NLA remote vào hệ thống

Network Level Authentication (NLA). Chứng thực ở cấp độ Network. Như đã biết, mô hình OSI gồm 7 lớp (Application, Presentation, Session, Transport, Network, Data Link, Physical). Khi server tiếp nhận kết nối, thông tin sẽ chuyển từ layer 1 sang layer 7 ( Remote Desktop protocol nằm ở layer 7).

Khi client thiết lập kết nối đến, giao tiếp được với remote desktop protocol rồi tức là lúc đó phiên làm việc đã bắt đầu. Sau đó RDP mới gởi yêu cầu tới hệ thống để chứng thực user. Nếu chứng thực thành công thì RDP mới bắt đầu hoạt động. Đây là cách hoạt động khi không có NLA ( kết nối sau đó mới chứng thực).

Đến thời server 2008, nhận thấy những hacker có thể lợi dụng việc kết nối sau đó mới chứng thực để tấn công Denial Of Service: kết nối liên tục để làm cho RDP bận liên tục, từ chối tiệp nhận những kết nối hợp lệ. Cơ chế để NLA giải quyết chuyện này như sau:  Khi kết nối đến layer Network thì hoạt động chứng thực đã được yêu cầu, vì thế lúc đó RDP chưa can thiệp  => không thể DOS được RDP.

NLA chỉ khả thi khi server là 2008 và client là XP SP3 trở lên ( XP SP3 phải cấu hình thêm registry)

Chọn Select user để add user ta muốn cho remote vào server

Hoặc có thể add user đó vào group Remote Desktop Users (Trong Local Users and Groups của máy đó). Đẻ add user vào group Remote Desktop Users trên Local cho nhiều máy, thì ta có thể cấu hình Restricted Group Policy trong gpmc.msc (thay vì phải vào từng máy add)

Ta add [email protected] vào

 RDS-2

 RDS-3

Ghi chú:

–  RDP sử dụng TCP port 3389

–  Cần chú ý các policy sau:

+ Allow log on through Remote Desktop Service (mặc định cho phép group: Administrators và Remote Desktop Users)(1)

+ Deny log on through Remote Desktop Service

+ Account: Limit local account use of blank passwords to console logon only.

(nếu cấu hình trên DC thì vào OU Domain Controller chỉnh GPO như chúng ta đã biết)

– Ở các server thường: mặc định là admin được kết nối RDS.

– Ở Domain Controller: mặc định không có đối tượng nào được remote (kể cả admin, muốn cho remote phải vào chỉnh Policy (1) trong Default Domain Controller Policy).

– Firewall sẽ tự động mở port khi có kết nối Remote Desktop.

Test:

KT1 đăng nhập rồi: run -> mstsc (remote desktop connection), điền thông tin user, password

 RDS-7

RDS-8

RDS-9

Từ Server 2012 trở lên thì công cụ Remote Desktop Service Manager không tồn tại. Vậy nếu ta muốn tắt phiên làm việc từ xa của 1 user thì làm như sau.

Mở Task manager -> Tab User -> Disconnect ( làm trực tiếp trên máy bị remote)

RDS 10

Mình xin kết thúc bài Remote Desktop Service. Cảm ơn các bạn theo dõi.

Lượt xem (1212)

About Mai Đình Lực

Mai Đình Lực

Xem thêm

mohinh-juniper

Cấu hình mô hình mạng thực tế với thiết bị Juniper

  Tiếp tục với các bài viết cơ bản trên thiết bị Juniper, hôm nay …

Để lại bình luận:

Loading Facebook Comments ...

Leave a Reply

Your email address will not be published. Required fields are marked *