移动办公配置指导SSL VPN和Windows AD.docx
- 文档编号:29104268
- 上传时间:2023-07-20
- 格式:DOCX
- 页数:55
- 大小:3.74MB
移动办公配置指导SSL VPN和Windows AD.docx
《移动办公配置指导SSL VPN和Windows AD.docx》由会员分享,可在线阅读,更多相关《移动办公配置指导SSL VPN和Windows AD.docx(55页珍藏版)》请在冰豆网上搜索。
移动办公配置指导SSLVPN和WindowsAD
目录
1介绍1-1
2SSLVPN网关配置2-1
3EIA配置3-11
4第三方服务器配置4-15
4.1.1域服务器配置4-16
4.1.2远程应用服务器配置4-16
4.1.3远程桌面服务器配置4-24
5EMO服务器配置5-24
5.1.1在EMO中增加域服务器5-25
5.1.2在EMO中增加应用服务器5-25
5.1.3在EMO中增加桌面服务器5-27
5.1.4在EMO中增加存储服务器5-29
5.1.5在EMO中增加资源分类5-30
5.1.6在EMO中发布远程应用5-31
5.1.7在EMO中增加共享桌面5-33
5.1.8在EMO中增加个人桌面5-34
5.1.9在EMO中增加存储目录5-35
5.1.10在EMO中增加本地资源5-36
5.1.11在EMO中增加本地资源版本5-39
5.1.12在EMO中增加办公策略5-40
5.1.13在EMO中增加终端策略5-42
5.1.14在EMO中增加用户5-44
5.1.15在EMO中增加用户授权5-45
6客户端接入6-46
1介绍
智能管理中心的移动办公管理组件(EndpointMobileOffice,简称EMO)给用户提供远程办公的功能。
本文档将分别介绍EMO中本地用户授权和域用户授权两中组网环境中EMO的配置方法。
在EMO与WindowsAD联动的环境中,如图1-1所示,网络操作员需要配置域服务器、应用服务器、桌面服务器和存储服务器等,然后把这些第三方服务器加入到EMO中,使之为用户提供远程资源。
下面将介绍第三方服务器和EMO服务器的配置过程。
图1-1EMO组网环境
2SSLVPN网关配置
1.添加域
注意:
有的SSLVPN设备只能存在单域,如F100E网关设备;有的SSLVPN网关则可以新建多个域,如软件版本为SECBLADESSLVPN-CMW340-E7130的SecbladeSSLVPN网关。
下面以可以创建多个域的SSLVPN网关为例说明网关的配置过程。
(1)在浏览器中输入SSLVPN网关的Web访问地址http:
//1.2.1.56/admin,打开Web登录页面。
输入正确的用户名/密码,并选择登录到root域,如图2-1所示。
单击<登录>按钮,页面进入SSLVPNManagementPlatform页面。
图2-1SSLVPN网关Web登录界面
(2)在SSLVPNManagementPlatform页面左侧的导航树中选择“SSLVPN>域管理>域策略”菜单项,页面进入域策略管理页面,如图2-2所示。
单击<创建>按钮,打开创建域页面。
图2-1SSLVPN网关创建域策略
(3)在创建域页面输入“域名称”、“默认管理员密码”和“最大在线用户数”,如图2-3所示。
参数设置完成后,单击<应用>按钮,创建域完成,如图2-4所示。
图2-1SSLVPN网关配置域策略
图2-2SSLVPN网关域策略添加成功
(4)在左侧导航树中选择“SSLVPN>域管理>配置管理”菜单项,进入配置管理页面。
单击<保存>按钮,保存网关当前的配置,如图2-5所示。
图2-1SSLVPN网关配置保存
(5)配置保存成功后,点击右上角的“退出”链接,系统退出SSLVPNManagementPlatform,如图2-6所示。
图2-1SSLVPN网关配置保存退出
2.在域中创建资源及资源组
(1)在SSLVPN网关的Web登录页面,在“登录到”下拉框中选择vpnDomain,然后输入用户名和密码,如图2-7所示。
输入完成后,单击<登录>按钮,进入vpnDomain域管理页面。
图2-1SSLVPN网关登录域
(2)在左侧导航树中选择“SSLVPN>资源管理>IP网络”菜单项,页面进入全局配置页面,如图2-8所示。
设置起始IP、结束IP、子网掩码和网关地址,如果SSLVPNIP网络具有DNS服务器,还需要配置DNS地址(最多可以配置两个DNS地址,如果配置两个DNS,中间需要使用分号隔开)。
上述参数配置完成后,单击<应用>按钮。
图2-1SSLVPNIP网络全局配置
(3)点击“主机配置”页面,单击<创建>按钮,进入配置主机访问资源页面,如图2-9所示。
设置资源名称、目的地址、资源掩码(目的地址/资源掩码是指允许PC版SSLVPN客户端访问的网络,如果有多个允许访问的网络,都需要在这里增加,注意:
每增加一条目的地址/资源掩码,都需要单击一次<添加>按钮)。
最后单击<应用>按钮。
图2-1配置主机访问资源
设置完成后,页面将会显示刚刚配置的IP网络资源,如图2-10所示。
。
图2-2IP网络资源
(4)在左侧导航树中选择“SSLVPN>资源管理>移动接入”菜单项,进入远程应用列表页面,如图2-11所示。
单击<创建>按钮,页面进入创建远程应用资源页面。
图2-1SSLVPN网关创建远程应用资源
(5)创建四个远程应用资源区域,分别对应于EMO服务器的IP地址、远程应用服务器的IP地址、共享桌面服务器的IP地址、个人桌面服务器的IP地址。
每条资源输入名称、IP地址、端口号(默认3389)。
配置完成后,单击<应用>按钮创建资源完成。
配置过程如图2-12、图2-13、图2-14和图2-15所示。
图2-1远程应用资源——EMO服务器
与EMO服务器交互,必须要创建名称为EMOserver9058资源,端口号为:
9058,IP地址为EMO服务器的IP地址。
图2-2远程应用资源——应用服务器
图2-3远程应用资源——共享桌面服务器
图2-4远程应用资源——个人桌面服务器
(6)在左侧导航树中选择“SSLVPN>资源管理>资源组”菜单项,页面进入资源组列表页面,如图2-16所示。
单击<创建>按钮,打开创建资源组页面。
图2-1SSLVPN网关创建资源组
(7)在创建资源组区域输入资源组的名称;在分配资源区域为资源组添加资源。
将资源列表中的RemoteAppServer(1.2.2.121)、ShareDesktopServer(1.2.2.123)、PrivateDesktopServer(1.2.2.121)、EMOserver9058(1.2.2.40)、SSLVPNNetwork添加到该资源组中。
配置完成后,单击<应用>按钮(如图2-17),创建资源组完成,如图2-18所示。
图2-1SSLVPN网关配置资源组
图2-2SSLVPN网关创建资源组成功
3.在域中创建用户组
(1)在左侧导航树中选择“SSLVPN>用户管理>用户组”菜单项,页面进入用户组列表页面,如图2-19所示。
单击<创建>按钮,打开创建用户组页面。
图2-1SSLVPN网关用户组
(2)在创建用户组区域,输入用户组的名称。
在配置资源组区域,为用户组添加已创建的资源组,将资源组列表中的ResourseGroup添加到该用户组。
设置完成后,单击<应用>按钮,如图2-20所示。
用户组创建完成。
图2-1SSLVPN网关添加资源组到用户组
4.配置域认证策略
(1)在左侧导航树中选择“SSLVPN>域管理>认证策略”菜单项,进入认证策略页面如图2-19所示。
图2-1认证策略配置
(2)选择RADIUS认证页签,进入RADIUS认证配置页面。
(3)配置主服务器地址、共享密钥、用户名格式等信息,并选择启用配置设置完成后,单击<应用>按钮,如图2-20所示。
图2-1RADIUS认证策略
3EIA配置
1.增加接入设备
增加接入设备是为了建立SSLVPN网关和EIA服务器之间的联动关系。
增加接入设备的方法如下:
(1)选择“用户”页签。
单击导航树中的“接入策略管理>接入设备管理>接入设备配置”菜单项,进入接入设备配置页面。
(2)在接入设备列表中,单击<增加>按钮,进入增加接入设备页面。
增加接入设备有两种方法:
∙在设备列表中单击<选择>按钮从iMC平台中选择设备
∙在设备列表中单击<手工增加>按钮,手工配置接入设备。
在该页面配置与SSLVPN侧相同的共享密钥expert,并使用<手动增加>按钮,增加SSLVPN网关。
图3-1增加加入设备
(3)单击<确定>按钮,增加接入设备完成。
2.增加接入策略
在接入策略中需要将SSLVPN中创建的用户组下发给用户。
配置方法如下:
(1)在页面上方的页签中,选择“用户>接入策略管理>接入策略管理”菜单项,进入接入策略管理页面。
(2)单击<增加>按钮,进入增加接入策略页面。
∙输入接入策略的名称emo接入策略;
∙将下发用户组配置为UserGroup(UserGroup即在SSLVPN中创建的用户组)。
图3-1增加接入策略
(3)单击<确定>按钮,增加接入策略完成。
3.增加接入服务
接入服务是对用户进行认证授权的各种策略的集合。
本配置指导中不对用户进行任何接入场景的控制,因此只增加一个简单的接入服务即可。
增加接入服务的方法如下:
(1)选择“用户>接入策略管理>接入服务管理”菜单项,进入接入服务管理页面。
(2)在接入服务列表中,单击<增加>按钮,进入增加接入服务页面。
∙输入服务名称emo;
∙选择已配置的“emo接入策略”为缺省接入策略;
∙选择“由EMO服务器授权”为缺省移动办公策略;
图3-1增加接入服务
(3)单击<确定>按钮,增加接入服务完成。
4.增加接入用户
接入用户是用户接入网络时使用的身份证,包含帐号名、密码和使用的服务等信息。
增加接入用户的方法如下:
(1)选择“用户”页签。
单击导航树中的“接入用户管理>接入用户”菜单项,进入接入用户管理页面。
(2)在接入用户列表中,单击<增加>按钮,进入增加接入用户页面。
∙在iMC平台中选择emo用户;
∙输入帐号名s06627,并配置帐号密码;
∙选择已配置的接入服务“emo”。
图3-1增加接入用户
(3)单击<确定>按钮,接入用户增加完成。
4第三方服务器配置
第三方移动办公服务器包括域服务器、远程应用服务器、远程桌面服务器和存储服务器,其中域服务器和远程桌面服务器必须部署,其它服务器可根据需求选择性部署。
目前EMO服务器仅支持WindowsServer2008R2和WindowsServer2012版本的服务器。
∙域服务器:
主要用于管理域用户;
∙远程应用服务器:
为域用户提供能够远程访问的基于Windows的应用程序;
∙远程桌面服务器:
为域用户提供能够远程访问的整个Windows桌面。
远程桌面服务器又分为个人桌面服务器和共享桌面服务器桌面,二者在配置上没有任何差别,只是在EMO授权的时候有所不同,个人桌面服务器只能授权给某一域用户,共享桌面服务器可授权给多个域用户和域用户组。
∙存储服务器:
为域用户提供存储目录。
∙为了EMO服务器能正常地控制域用户的访问权限,建议将域服务器、远程应用服务器、远程桌面服务器和存储服务器部署在不同的物理服务器中。
∙域服务器、远程应用服务器、远程桌面服务器和存储服务器必须同属于一个域。
∙在远程应用/桌面服务器上,用户应先安装远程桌面服务组件,然后再安装各类应用。
∙远程应用/桌面服务器的输入法默认设为英文。
4.1.1域服务器配置
域服务器中用户必须安装ActiveDirectory域服务和DNS服务器。
具体安装过程请参见微软相关的资料。
4.1.2远程应用服务器配置
远程应用服务器给用户提供可远程访问的应用程序资源。
在应用服务器中用户必须安装远程桌面服务和基于Windows的程序,远程桌面服务能够使用户远程访问基于Windows的应用程序。
以下分别以WindowsServer2008R2和WindowsServer2012为例说明应用服务器的配置。
在WindowsServer2012上安装远程桌面服务前,必须先将该服务器加入到域中,以域用户登录,然后再安装远程桌面服务。
因此在WindowsServer2012上安装远程桌面服务前,必须先安装配置域服务器。
1.在WindowsServer2008R2上安装远程桌面服务
(1)打开服务器管理器,在左侧导航树中右键点击“角色”菜单项,在弹出的菜单中选择“添加角色”项,如图4-1所示。
打开添加角色的窗口。
图4-1服务管理器
(2)在添加角色向导窗口中,勾选远程桌面服务的复选框,选择远程桌面服务,如图4-2所示。
图4-1添加远程桌面服务
(3)单击<下一步>按钮,开始选择角色服务。
勾选远程桌面会话主机的复选框,选择远程桌面会话主机。
如果用户向微软购买了远程桌面授权服务,操作员还需要再勾选远程桌面授权的复选框,如图4-3所示。
图4-1安装远程桌面会话主机
(4)单击<下一步>按钮,配置远程桌面会话主机的身份验证方法。
在该页面单击<不需要使用网络级别身份验证>单选按钮,配置不对远程桌面主会话的主机进行网络级别身份验证,如图4-4所示。
图4-1选择身份验证方法
(5)单击<下一步>按钮,配置可以访问此服务器的用户或用户组,如图4-5所示。
单击<添加>按钮,添加允许连接的用户或用户组到RemoteDesktopUsers组中。
远程应用服务器只允许RemoteDesktopUsers组中的用户或用户组远程连接。
此项是可选项,即操作员也可以在本地用户和组中配置允许访问此RD服务器的用户或用户组。
图4-1添加允许连接的用户或用户组
(6)单击<下一步>按钮,进入确认安装选择页面。
在该页面单击<安装>按钮,开始安装远程桌面服务角色,安装完成后,重新启动该服务器。
2.在WindowsServer2012上安装远程桌面服务
(1)打开服务器管理器,选择“管理>>添加角色和功能”,打开添加角色和功能向导,单击<下一步>按钮,如图4-6所示。
图4-1添加角色和功能向导
(2)选中“远程桌面服务安装”,单击<下一步>按钮,如图4-7所示。
图4-1选择安装类型
(3)选中“快速启动”,单击<下一步>按钮,如图4-8所示。
图4-1选择部署类型
(4)选中“基于会话的桌面部署”,单击<下一步>按钮,如图4-9所示。
图4-1选择部署方案
(5)单击<下一步>按钮,如图4-10所示。
图4-1选择服务器
(6)选中“需要时自动启动目标服务器”,单击<部署>按钮,如图4-11所示。
图4-1部署前确认
(7)开始安装远程桌面服务部署方案,如图4-12所示。
图4-1查看部署进度
(8)安装成功后,单击<关闭>按钮,完成安装,如图4-13所示。
图4-1部署成功
(9)通过“服务器管理器>>远程桌面服务”,可以查看刚刚安装的远程桌面服务、会话集合、RemoteApp程序,如图4-14所示。
图4-1查看已安装的RemoteApp程序
3.安装应用程序
微软建议,先装远程桌面服务,然后安装应用程序,最后发布远程应用。
远程桌面服务安装完成后,才可以安装各种应用程序。
注意事项:
∙逐个安装移动办公使用的应用程序时,如Office、Lotusnotes、IE等,有些应用程序会询问是“仅限当前用户使用”还是“供所有用户使用”,请选择“供所有用户使用”。
∙为了避免与终端输入法产生冲突,WindowsServer中默认输入法应设置为英文。
4.1.3远程桌面服务器配置
远程桌面服务器将共享桌面发布到终端,给终端用户展示一个完整的Windows桌面。
远程桌面服务器的配置过程与应用服务器的配置过程基本相同,除了安装远程桌面服务和应用程序外,还需要再配置“断开会话的保留时间”和“空闲会话的保留时间”。
“断开会话的保留时间”和“空闲会话的保留时间”的具体配置请参考“EMO环境配置FAQ”文档。
安装远程桌面服务的详细步骤请参见4.1.2远程应用服务器配置。
5EMO服务器配置
下面介绍与UAM联动的EMO服务器的配置。
在EMO服务器配置之前,需要执行以下操作:
∙在域服务器、远程应用服务器、远程桌面服务器和存储服务器中执行emoTool.bat脚本文件;
∙检查iMC服务器中Powershell的版本号。
如果版本在已部署EMO的情况下,Powershell的版本号低于3.0,则需要将iMC服务的运行用户修改为.\administrator;否则直接将Powershell升级到3.0或以上版本。
如果Powershell版本号是3.0或以上,则不需要任何操作。
详细信息请参见“EMO环境配置FAQ”。
5.1.1在EMO中增加域服务器
(1)在页面上方的页签中,选择“用户>移动办公管理>系统参数>域服务器配置”菜单项,进入域服务器列表页面,如图5-1所示。
图5-1域服务器管理
(2)在域服务器列表中单击<增加>按钮,进入增加域服务器页面。
(3)在增加域服务器页面,如图5-2所示。
输入服务器名称、域名等相关信息。
图5-1增加域服务器
(4)单击<检测>按钮,系统提示连接成功信息。
(5)单击<确定>按钮,增加域服务器完成。
5.1.2在EMO中增加应用服务器
(1)在页面上方的页签中,选择“用户>移动办公管理>资源管理>服务器管理”菜单项,进入应用服务器列表页面,如图5-3所示。
图5-1应用服务器管理
(2)在应用服务器列表中单击<增加>按钮,进入增加应用服务器页面。
(3)在增加应用服务器页面,如图5-4所示。
输入服务器名称、IP地址或计算机全称等相关信息,
图5-1增加应用服务器
(4)单击<确定>按钮,增加应用服务器完成。
如果使用WindowsServer2012作为应用服务器,则管理员必须配置为具有远程桌面服务管理权限的域用户。
5.1.3在EMO中增加桌面服务器
(1)在页面上方的页签中,选择“用户>移动办公管理>资源管理>服务器管理”菜单项,进入桌面服务器列表页面,如图5-5所示。
图5-1桌面服务器管理
(2)在桌面服务器列表中单击<增加>按钮,打开增加桌面服务器页面。
(3)在增加桌面服务器页面,如图5-6所示。
输入服务器名称、IP地址或计算机全称等相关信息,
图5-1增加共享桌面服务器
(4)单击<确定>按钮,增加共享桌面服务器完成。
(5)在增加桌面服务器页面,如图5-7所示。
输入服务器名称、IP地址或计算机全称等相关信息,
图5-1增加个人桌面服务器
(6)单击<确定>按钮,增加个人桌面服务器完成。
增加个人桌面服务器时,如果不配置管理员登录名和管理员密码,则需要用户手动到远程桌面服务器中进行远程设置和用户账号设置。
5.1.4在EMO中增加存储服务器
(1)在页面上方的页签中,选择“用户>移动办公管理>资源管理>服务器管理”菜单项,进入存储服务器列表页面,如图5-8所示。
图5-1存储服务器管理
(2)在存储服务器列表中单击<增加>按钮,打开增加存储服务器页面。
(3)在增加存储服务器页面,如图5-9所示。
输入服务器名称、IP地址或计算机全称等相关信息,
图5-1增加存储服务器
(4)单击<确定>按钮,增加存储服务器完成。
如果使用WindowsServer2012作为存储服务器,则管理员必须是administrators群组下的域用户。
5.1.5在EMO中增加资源分类
增加办公、学习、娱乐和远程桌面等资源分类。
(1)在页面上方的页签中,选择“用户>移动办公管理>资源管理>资源分类”菜单项,进入资源分类列表页面,如图5-10所示。
图5-1资源分类列表页面
(2)在资源分类列表页面中单击<增加>按钮,弹出增加资源分类窗口。
(3)输入分类名称和描述性信息,如图5-11所示。
图5-1增加资源分类
(4)单击<确定>按钮,增加资源分类完成。
以该方法分别增加办公、学习、娱乐和远程桌面等资源分类。
“其他”是系统默认的分类,不可被删除、修改和排序。
5.1.6在EMO中发布远程应用
(1)在页面上方的页签中,选择“用户>移动办公管理>资源管理>远程资源”菜单项,进入远程应用列表页面,如图5-12所示。
图5-1远程应用管理
(2)在远程应用列表中单击<增加>按钮,打开增加远程应用页面。
(3)在增加远程应用页面,如图5-13所示。
输入资源名称、选择资源分类等相关信息,选择需要发布的应用,如图5-14所示。
选择需要发布应用的服务器,如图5-15所示。
图5-1增加远程应用
图5-2选择远程应用
图5-3选择发布应用的服务器
(4)应用服务器设置完成后,单击<确定>按钮,发布应用完成。
5.1.7在EMO中增加共享桌面
(1)在页面上方的页签中,选择“用户>移动办公管理>资源管理>远程资源”菜单项,进入共享桌面列表页面,如图5-16所示。
图5-1共享桌面
(2)在共享桌面列表中单击<增加>按钮,打开增加共享桌面页面。
(3)在增加共享桌面页面,如图5-17所示。
输入资源名称、描述等相关信息,单击<增加>按钮选择发布的共享桌面服务器,如图5-18所示。
图5-1增加共享桌面
图5-2选择共享桌面服务器
(4)共享桌面服务器设置完成后,单击<确定>按钮,增加共享桌面完成。
5.1.8在EMO中增加个人桌面
(1)在页面上方的页签中,选择“用户>移动办公管理>资源管理>远程资源”菜单项,进入个人桌面列表页面,如图5-19所示。
增加个人桌面时候,必须先增加个人桌面分类。
在个人桌面列表中单击<个人桌面分类>链接,进入个人桌面分类管理页面,如图5-20所示。
图5-1个人桌面
图5-2个人桌面分类
(2)在个人桌面分类列表中单击<增加>按钮,打开增加个人桌面分类页面。
(3)在增加个人桌面分类页面,如图5-21所示。
输入分类名称,单击<确定>按钮,增加个人桌面分类完成。
图5-1增加个人桌面分类
(4)在个人桌面列表中,如图5-19所示。
单击<增加>按钮,进入增加个人桌面页面。
(5)在增加个人桌面页面,如图5-22所示。
选择用户和个人桌面服务器,以及所属的个人桌面分类。
图5-1增加个人桌面
(6)单击<确定>按钮,增加个人桌面完成。
5.1.9在EMO中增加存储目录
(1)在页面上方的页签中,选择“用户>移动办公管理>资源管理>远程资源”菜单项,进入存储目录列表页面,如图5-23所示。
图5-1存储目录
(2)在存储目录列表中单击<增加>按钮,进入增加存储目录页面。
(3)在增加个人存储目录时,组网类型分为独立的网络存储和共享的本地存储,不同的组网类型需要配置的信息也不同,如图5-24或图5
- 配套讲稿:
如PPT文件的首页显示word图标,表示该PPT已包含配套word讲稿。双击word图标可打开word文档。
- 特殊限制:
部分文档作品中含有的国旗、国徽等图片,仅作为作品整体效果示例展示,禁止商用。设计者仅对作品中独创性部分享有著作权。
- 关 键 词:
- 移动办公配置指导SSL VPN和Windows AD 移动 办公 配置 指导 SSL VPN Windows