案例说明:
Myhat公司最近在西安搭了一个分点,由于公司在ERP上使用的是同一套系统,之前一直是使用×××来连的.最近因为公司需要减少相关的费用决定使用其他方式来实现远程访问.
应用分析:
因为金融危机,公司决定在网络应用方式减少相关的费用.因为公司大部分费用是用于×××上,公司×××主要是使用SDH的方式來實現的,大家知道SDH一般都很贵的!所以,就从它下手吧!
因为×××主要是用于分点对总部的访问,总部对分部的访问同乎为0,所以我们只需要让分点能够访问到我们总部就行了.按照这个思想,觉得使用微软的终端服务器可以实现这个需求!
通过终端服务器,我们可以实现多个用户并发访问!并且可以清晰的管理用户的会话,通過放棄SDH,公司決定從普通的ADSL方式實現總部與分部間的訪問。
实验环境:
1.拓补如图
相关说明:
1.终端服务器系统使用windows server 2003 R2企业版
2.利用花生壳获取终端服务器的免费域名为admingroup.vicp.net
3.如果你确定需要使用IE访问的话,那么终端服务器需要有固定的公网IP(动态IP经博主测试,无法登入系统,只能打开WEB登陆界面.估计是由于动态解析供应商做了相关的限制吧)
来自湖北和西安的用户通过网络直接连到我们的终端服务器,直接使用上面的ERP软件.相信这可能是部分公司目前正在使用的拓补吧!
好的.现在我们来看看如何实现Terminal Server的安装部署吧!
Terminal Server的安装部署
需要这安装以下组件(当你需要安装WEB方式 时,你就需要安装万维网服务)
如果你希望从远程方式管理你的服务器,你就需要把下面这个也勾上!
哈哈,终端服务器授权我就不多说了!非安装不可的嘛!
按照这个步骤走吧!
当然是要选择完整安全模式
在这里我们需要选择终端服务需要对哪些进行授权,是设备还是用户.我想只要你的授权许可证允许或是足够多,你选哪个都一样!在这里我就对用户进行授权吧!
将这台服务器指定为许可证服务器(许可证服务器主要是对用户或是设备进行授权的)
OK,终于完成了组件的安装!
现在我们来看看:终端管理服务器
现在博主给你看一下,博主测试使用的域名(哈,只在晚上开放)这个域名还没有申请,那我就多搞几个,反正放哪里也是没人用,况且只有一个字母之差,忘记了好也找嘛!有关域名的申请在此就不多说了,到花生壳网站注册一个不到5分钟!
当然光是这样,远程用户仍无法登入!我们还需要在路由上映射相关的端口!ADSL直连用户除外!如果你的网络里有ISA,你需要发布RDP服务器!
更改路由器设定:
哈哈,我们使用的是TP-Link402路由器,大部分家用都会选这个!那就来设定吧!无论哪种路由器,方法都是将相应的端口映射到相应的计算机上!
配置一下虚拟服务器(映射80,6060,3389)
再设定一下DMZ区吧,这样利于外部用户的快速访问:
现在我们使用MSTSC远程桌面连接连过去看看吧!
打开IE输入http://admingroup.vicp.net/tsweb(内网测试OK,估计使用公网IP同样也行)
OK,远程的远程Web使用平台搭建成功,去试试吧!
OK,现在我们做了这么多,是啊!平台是搭建好了,可是如何来保障它是安全的呢?除了给他配置相应的防护软件以外,我们还需要修改终端服务器的相关端口.
我们都知道终端服务器的相关端口为3389,现在很多黑客工具都会对这个端口进行扫描,所以我们需要更改这个端口,不让有恶意企图的人知道我们在跑什么服务!至少让他要花费一翻功夫吧!
在互联网上有不少教大家如何来手动改这个端口,今天博主给大家带来一个脚本!当然声明一下:这个脚本不是我写的,作者嘛,脚本上已经标明了.我就不多说了,在此非常感谢他提供了这么好的脚本!(附件提供下载哟)
'*BY r05e
'*改变终端服务端口号
'**********************************************
Set WshShell=CreateObject("W..Shell")
Function Imput()
imputport=InputBox("请输入一个端口号,注意:这个端口号目前不能被其它程序使用,否则会影响终端服务"," 更改终端端口号", "3389", 100, 100)
If imputport<>"" Then
If IsNumeric(imputport) Then
WshShell.RegWrite "HKLM\SYSTEM\CurrentControlSet\Control\Terminal Server\Wds\rdpwd\Tds\tcp\PortNumber",imputport,"REG_DWORD"
WshShell.RegWrite "HKLM\SYSTEM\CurrentControlSet\Control\Terminal Server\WinStations\RDP-Tcp\PortNumber",imputport,"REG_DWORD"
w..echo "操作成功"
Else w..echo "输入出错,请重新输入"
Imput()
End If
Else w..echo "操作已经取消"
End If
End Function
Imput()
set WshShell=nothing
现在博主就给大家演示一下吧!
打开这个脚本(你需要有管理员权限哟)
现在我将其改为9023
完成这个动作之后,我们就要改路由器上的端口映射了.贴张图吧!
为了让其生效,我们重启我们的服务器.现在我们再来访问一下:
OK,端口更改成功!
不要忘记哟:
你修改了终端服务器的默认端口号,此时你需要修改路由器上的映射哟!
后话:
使用MSTSC远程连接到终端服务器成功!
使用IE方式,虽然我们看到了这个登陆画面,但是经过测试,会出现找不到相应的服务器,这是博主在这个实验中略感郁闷的地方!有关这个博主继续测试中.OK,1点了,博主要也休息了!
相关建议:
1.使用IE主要是针对windows 2000客户端了,因为这个问题不是不存在,所有在此建议大家可以建一个批处理让客户端可以自行COPY运行MSTSC所需要的两个文件,然后让他们执行就可以了!哈哈!相关问题可以在博客上讨论!
2.如果你们公司对安全性要求比较高的话,那么你最好同时启用证书!