H3C SecPath运维审计系统配置指南

图109实时监控页面示意图H3CSecPath运维审计系统配置指南前言H3CSecPath运维审计系统典型配置案例集共包括10个文档，介绍了运维审计系统常用的典型配置举例，包含组网需求、配置步骤等内容。前言部分包含如下内容：·读者对象·本书约定·资料获取方式·技术支持·资料意见反馈读者对象本手册主要适用于如下工程师：·网络规划人员·现场技术支持与维护人员·负责网络配置和维护的网络管理员本书约定1.命令行格式约定 格 式 意 义 粗体 命令行关键字（命令中保持不变、必须照输的部分）采用加粗字体 表 关于同志近三年现实表现材料材料类招标技术评分表图表与交易pdf视力表打印pdf用图表说话 pdf 示。 斜体 命令行参数（命令中必须由实际值进行替代的部分）采用斜体表示。 [] 表示用“[]”括起来的部分在命令配置时是可选的。 {x|y|...} 表示从多个选项中仅选取一个。 [x|y|...] 表示从多个选项中选取一个或者不选。 {x|y|...}* 表示从多个选项中至少选取一个。 [x|y|...]* 表示从多个选项中选取一个、多个或者不选。 &<1-n> 表示符号&前面的参数可以重复输入1～n次。 # 由“#”号开始的行表示为注释行。2.图形界面格式约定 格 式 意 义 <> 带尖括号“<>”表示按钮名，如“单击<确定>按钮”。 [] 带方括号“[]”表示窗口名、菜单名和数据表，如“弹出[新建用户]窗口”。3.各类标志本书还采用各种醒目标志来表示在操作过程中应该特别注意的地方，这些标志的意义如下： 该标志后的注释需给予格外关注，不当的操作可能会对人身造成伤害。 提醒操作中应注意的事项，不当的操作可能会导致数据丢失或者设备损坏。 为确保设备配置成功或者正常工作而需要特别关注的操作或信息。 对操作内容的描述进行必要的补充和说明。 配置、操作、或使用设备的技巧、小窍门。4.图标约定本书使用的图标及其含义如下： 该图标及其相关描述文字代表一般网络设备，如路由器、交换机、防火墙等。 该图标及其相关描述文字代表一般意义下的路由器，以及其他运行了路由协议的设备。 该图标及其相关描述文字代表二、三层以太网交换机，以及运行了二层协议的设备。 该图标及其相关描述文字代表无线控制器、无线控制器业务板和有线无线一体化交换机的无线控制引擎设备。 该图标及其相关描述文字代表无线接入点设备。 T 该图标及其相关描述文字代表无线终结 单元 初级会计实务单元训练题天津单元检测卷六年级下册数学单元教学设计框架单元教学设计的基本步骤主题单元教学设计 。 T 该图标及其相关描述文字代表无线终结者。 该图标及其相关描述文字代表无线Mesh设备。 该图标代表发散的无线射频信号。 该图标代表点到点的无线射频信号。 该图标及其相关描述文字代表防火墙、UTM、多业务安全网关、负载均衡等安全设备。多级菜单用“/”隔开。如[文件/新建/文件夹]多级菜单表示[文件]菜单下的[新建]子菜单下的[文件夹]菜单项。/5.端口编号示例约定本手册中出现的端口编号仅作示例，并不代表设备上实际具有此编号的端口，实际使用中请以设备上存在的端口编号为准。该图标及其相关描述文字代表防火墙插卡、负载均衡插卡、NetStream插卡、SSLVPN插卡、IPS插卡、ACG插卡等安全插卡。目录1AD域认证典型配置举例 11.1简介 11.2配置前提 11.3注意事项 11.4OU模式的认证典型配置举例 61.4.1适用产品和版本 61.4.2配置思路 61.4.3配置步骤 61.4.4验证配置 81.5CN模式的认证典型配置举例 121.5.1适用产品和版本 121.5.2配置思路 131.5.3配置步骤 131.5.4验证配置 151AD域认证典型配置举例1.1简介本章介绍运维审计系统的AD域认证配置。AD是ActiveDirectory（活动目录）的简称，也叫域服务（DS）。ADDS提供分布式数据库，该数据库存储和管理有关网络资源和来自支持目录的应用程序及应用程序特定数据的信息。管理员可以使用ADDS将网络元素，如用户、计算机和其他设备整理到层次内嵌结构，内嵌层次结构包括AD林、林中的域以及每个域中的组织单位（OU）和容器（CN）。运行ADDS的服务器称为域控制器，在服务器中可以创建用户和资源管理的可伸缩、安全及可管理的基础机构，并可以提供对启用目录的应用程序。1.2配置前提准备配置环境：·AD域服务器。·AD域信息：域名、域账户和密码、端口、IP、OU/CN等。·运维审计系统与AD域服务器协议可达。·区分OU或CN。在AD域服务器中，单击域名即可显示“类型”。图1AD域管理界面示意图1.3注意事项如果同步失败，则有2种原因造成的：1、子OU或父OU设置不对，2、默认AD域服务器只允许同步1000个用户以下。4步骤1进入AD域服务中。步骤2在[开始/运行]中输入“ntdsutil”；进入CMD界面。图2CMD示意图步骤3输入“ldappolicies”后，回车。如何修改允许同步超过1000个AD域用户？步骤4输入“connections”后，回车。步骤5再次输入“connecttodomainbaoleijiyu.com”之后，回车。图4CMD示意图图3CMD示意图步骤6提示连接成功之后，输入“quit”后，回车。步骤7再输入“showvalues”回车之后，可以查看AD域的策略信息。可以看到maxpagesize显示的数量默认是1000个。图5CMD示意图步骤8输入“setmaxpagesizeto2000”回车后，即可将同步用户的数量进行修改。然后使用showvalues查看即将修改的数量。图6CMD示意图步骤9输入“commitchanges”回车后即可生效。再使用showvalues查看已修改的数量。图7CMD示意图5步骤10输入“quit”退出配置界面。图8CMD示意图1.4OU模式的认证典型配置举例1.4.1适用产品和版本适用于运维审计系统所有型号。1.4.2配置思路·配置DNS；·配置AD认证；·同步AD域用户；·使用AD域用户、AD域密码、验证码登录。1.4.3配置步骤1.准备OU信息#准备需要同步OU及OU里的用户。#例如：客户想同步北京分公司下的信息中心这个部门里的用户。那么应该准备的basedn是：ou=信息中心,ou=北京分公司,ou=XX集团,dc=baoleijiyu,dc=com6·OU和DC可以是大写，也可以是小写。·逗号必须为英文逗号。·名称必须严格按照真实的AD域中的名称编写，大写就是大写，小写就是小写。图9示例图2.配置DNS#进入[系统/系统配置/网络配置/DNS信息]页面，编辑DNS的IP为AD域服务器的IP。图10DNS配置页面示意图7·DNS的IP为AD域服务器的IP。·用于解析域名。3.配置AD认证#进入[系统/系统配置/认证配置/远程认证]页面。#设置AD域服务器的IP、端口、BaseDN、域名、账户和密码。#单击<保存>后即可。图11AD域认证配置页面示意图1.4.4验证配置1.测试是否配置成功#配置完成AD域认证之后，可以单击<测试连接>可以验证堡垒机能连通AD域服务器。132.同步AD域用户#进入[用户/用户管理/更多操作/同步用户]页面中。图12AD域认证配置页面示意图#单击<同步用户>之后，页面上方会提示“已同步X个用户”。图13同步用户页面示意图#返回[用户/用户管理]页面中，可以查看到已同步成功的用户。图14同步用户页面示意图3.使用AD域用户、AD域密码、验证码登录#使用AD域用户名和密码登录运维审计系统。图16系统登录页面示意图1.5CN模式的认证典型配置举例1.5.1适用产品和版本适用于运维审计系统所有型号。图15用户管理页面示意图1.5.2配置思路·配置DNS；·配置AD认证；·同步AD域用户；·使用AD域用户、AD域密码、验证码登录。1.5.3配置步骤1.准备CN信息#准备CN的目的是为例确定客户想要同步哪个CN里的用户。#例如：客户想同步Users里的用户；那么应该准备的basedn是：cn=Users,dc=baoleijiyu,dc=com·CN和DC可以是大写，也可以是小写。·逗号必须为英文逗号。·名称必须严格按照真实的AD域中的名称编写，大写就是大写，小写就是小写。图17示例图2.配置DNS#进入[系统/系统配置/网络配置/DNS配置]页面，编辑DNS的IP为AD域服务器的IP。图18DNS配置页面示意图·DNS的IP为AD域服务器的IP。·用于解析域名。3.配置AD认证#进入[系统/系统配置/认证配置/远程认证]页面。#设置AD域服务器的IP、端口、BaseDN、域名、账户和密码。#单击<保存>后即可。161.5.4验证配置1.测试是否配置成功#配置完成AD域认证之后，可以单击<测试连接>可以验证设备能连通AD域服务器。图19AD域认证配置页面示意图2.同步AD域用户#进入[用户/用户管理/更多操作/同步用户]页面中。图20AD域认证配置页面示意图#单击<同步用户>之后，页面上方会提示“已同步X个用户”。图21同步用户页面示意图#返回[用户/用户管理]页面中，可以查看到已同步成功的用户。图22同步用户页面示意图3.使用AD域用户、AD域密码、验证码登录#使用AD域用户名和密码登录运维审计系统。图24系统登录页面示意图图23用户管理页面示意图目录1简介 12配置前提 13注意事项 24配置举例 64.1适用产品和版本 64.2配置思路 64.3配置步骤 64.3.1准备LDAP信息 64.3.2配置DNS 74.3.3配置LDAP认证 84.4验证配置 94.4.1测试是否配置成功 94.4.2同步LDAP用户 104.4.3使用LDAP用户、LDAP用户的密码、验证码登录 121简介本章介绍运维审计系统的LDAP认证配置。LDAP是轻量目录访问协议，英文全称是LightweightDirectoryAccessProtocol，一般都简称为LDAP。2配置前提本文档不严格与具体软、硬件版本对应，如果使用过程中与产品实际情况有差异，请以设备实际情况为准。本文档中的配置均是在实验室环境下进行的配置和验证，配置前设备的所有参数均采用出厂时的缺省配置。如果您已经对设备进行了配置，为了保证配置效果，请确认现有配置和以下举例中的配置不冲突。准备配置环境：·LDAP服务器。·LDAP信息：域名、用户名、密码、端口、IP、OU/O/DC、过滤器等。·运维审计系统与LDAP服务器的端口可达。·区分LDAP用户属性是“OU”还是“O”？可以利用一些LDAP管理工具，管理LDAP信息。在管理工具的界面中显示LDAP及用户信息。133注意事项如果同步失败，则有2种原因造成的：1、OU或O设置不对；2、一般专业的LDAP服务器都带有objectClass对象类，objectClass对象类中包含了LDAP用户信息。如何设置查找LDAP用户所属objectClass对象类呢？（说明：以测试环境中的objectClass对象类，仅供参考！）步骤1利用LDAP管理工具登录LDAP服务器。步骤2进入工具界面中。图1LDAP管理工具界面示意图步骤3找到objectClass对象类。图2LDAP管理工具示意图步骤4找到LDAP用户所属的objectClass对象类中的子类。图3LDAP管理工具示意图步骤5在运维审计系统中配置LDAP认证信息时，需要配置过滤器：(&(objectClass=account))。图4LDAP管理工具示意图4配置举例4.1适用产品和版本适用于运维审计系统所有型号。4.2配置思路·配置DNS；·配置LDAP认证服务器信息；·同步LDAP用户；·使用LDAP用户、LDAP用户的密码、验证码登录运维审计系统。4.3配置步骤4.3.1准备LDAP信息#准备需要同步LDAP服务器信息。#例如：客户有个LDAP服务器，如下图。#那么应该准备的basedn是：ou=People,dc=example,dc=com图5运维审计系统的LDAP认证配置示意图·OU和DC不区分大小写。·逗号必须为英文逗号。·名称必须严格按照真实的LDAP中的名称信息，大写就是大写，小写就是小写。图6示例图4.3.2配置DNS#进入[系统/系统配置/网络配置/DNS信息]页面，编辑DNS的IP为LDAP服务器的IP。·DNS的IP为LDAP服务器的IP。·用于解析域名。4.3.3配置LDAP认证#进入[系统/系统配置/认证配置/远程认证]页面。#设置LDAP服务器的IP、端口、BaseDN、域名、账户、密码、过滤器。#单击<保存>后即可。图7DNS配置页面示意图4.4验证配置4.4.1测试是否配置成功#配置完成LDAP认证之后，可以单击<测试连接>可以验证堡垒机能连通LDAP服务器。图8远程认证配置页面示意图4.4.2同步LDAP用户#进入[用户/用户管理/更多操作/同步用户]页面中。#单击<同步用户>之后，页面上方会提示“已同步X个用户”。图9AD域认证配置页面示意图#返回[用户/用户管理]页面中，可以查看到已同步成功的用户。图10同步用户页面示意图4.4.3使用LDAP用户、LDAP用户的密码、验证码登录#使用LDAP服务器的用户名和密码登录运维审计系统。图11用户管理页面示意图图12系统登录页面示意图目录1简介 12配置前提 12.1.1已将主机添加至运维审计系统中 12.1.2支持字符客户端环境 12.1.3仅支持以下协议的主机 13注意事项 14配置举例 14.1.1场景说明 14.1.2适用产品和版本 14.1.3配置思路 14.1.4配置步骤 24.1.5验证配置 71简介本章介绍运维审计系统的SSH网关透明登录运维配置。SSH网关透明登录运维是指运维人员利用终端的openSSH环境可以通过常用的字符工具实现直接登录目标字符主机，并且运维审计系统可以进行管理和审计。2配置前提2.1.1已将主机添加至运维审计系统中·确保主机IP及账户添加至运维审计系统中·确保主机已授权给运维用户2.1.2支持字符客户端环境·支持OpenSSH环境·支持苹果、安卓、linux、unix作为字符终端2.1.3仅支持以下协议的主机SSH，如：linux/unix、交换机、路由器。3注意事项·仅限支持SSH协议的主机；·必须确保运维审计系统与SSH协议的主机可达，终端与运维审计系统的60022端口可达。4配置举例4.1.1场景说明·运维环境：苹果系统（或Linux/unix系统）·目标主机：linux·运维审计系统。4.1.2适用产品和版本适用于运维审计系统所有型号。4.1.3配置思路·在苹果电脑中生成SSH公私钥。·在主机中添加公钥key。1·在运维审计系统中给当前用户添加公钥内容。·在运维审计系统中下载“openssh代理配置文件”。·将运维代理配置文件下载至苹果系统中，并执行代理配置文件。·然后使用ssh命令登录目标主机。·检查是否被审计。4.1.4配置步骤1.在苹果电脑中生成SSH公私钥对（如果本地已有SSH公私钥，则跳过此步骤）#在苹果电脑字符终端界面中，进入~/.ssh/目录下。#执行“ssh-keygen-tdsa”命令生成公私钥对，默认回车即可。图1生成ssh公私钥对示例图22.将Linux主机中添加公钥key（如果主机中已有公钥或者不想在主机放公钥，则跳过此步骤）#将公钥文件(id_dsa.pub)上传到服务器，将其内容添加到~/.ssh/目录下的authorized_keys文件（如没有该目录名和文件名，必须手工线创建好）。#然后使用如下命令：“echo–n>>authorized_keys&&catid_dsa.pub>>authorized_keys”。#再使用如下命令，进行赋权限：“chmod0600authorized_keys”。3.在运维审计系统中当前用户添加公钥内容#把公钥key的内容复制-粘贴至运维审计系统的用户中。图2运维审计系统的用户添加公钥内容页面示例图4.下载“代理配置文件”#进入[运维/主机运维/运维下载]中，下载“openssh代理配置下载”文件。图3主机运维页面示例图#下载完成之后，将脚本放至苹果系统中。85.执行“代理配置文件”#在苹果系统字符终端界面中，执行命令“shusmssh_install.sh”。#然后按照提示输入对应的运维审计系统的用户名、IP:端口号。#因为前面启用了SSH公私钥方式登录运维审计系统，所以这里不会提示输入运维审计系统用户的密码。图4苹果系统的终端界面示例图6.登录目标主机#在终端界面中，执行命令：~/.ssh/usm/usmssh进去bash环境。图6苹果系统的终端界面示意图#在终端界面中，执行命令格式：ssh主机账户@主机IP-p端口图5苹果系统的终端界面示意图7.使用SCP命令传输文件#进入运维审计系统的bash环境，在终端界面中，执行命令格式：scp文件路径主机账户@主机IP-p端口:目标目录路径图7苹果系统的终端界面示意图4.1.5验证配置#进入[运维/实时监控]页面中，可以看到正在运维中的主机。图9实时监控页面示意图#进入[审计/会话审计]页面中，可以看到已传输的会话日志，单击“播放”即可查看。图8苹果系统的终端界面示意图图10SCP会话审计页面示意图目录1应用中心介绍 1-11.1支持Windowsserver2008的版本 1-11.2RemoteApp应用发布介绍 1-11.3RemoteApp对终端的要求 1-11.4应用中心授权许可介绍 1-12安装前的准备 2-12.1注意事项 2-12.2RDS授权码 2-13应用中心安装步骤 3-13.1安装远程桌面服务（必须步骤） 3-13.2应用中心激活授权（如果是测试客户，可忽略此操作） 3-173.2.1激活应用中心 3-173.2.2安装应用中心授权许可证 3-283.3调整应用中心的策略（必须步骤） 3-393.3.1调整本地组策略 3-393.3.2设置RD授权模式 3-453.3.3允许用户在初始连接时启动列出和未列出的程序 3-493.3.4关闭windows防火墙 3-513.3.5关闭IE增强的安全配置 3-523.3.6开启远程桌面 3-543.3.7关闭屏幕保护 3-563.3.8启用屏幕保护程序超时 3-594运维审计系统与应用中心结合使用 4-604.1在应用中心中安装相关的工具 4-604.1.1安装客户端工具 4-604.1.2安装应用加载器 4-604.2RemoteApp管理器中发布“应用加载器” 4-614.3添加“应用中心” 4-14.3.1在主机管理中添加“应用中心” 4-14.3.2在应用管理中添加“应用中心” 4-34.4在运维审计系统中使用应用发布 4-5i4.4.1发布plsql 4-54.4.1发布IE代填 4-74.4.2将应用授权给运维员 4-94.4.3运维员对应用运维 4-9ii1应用中心介绍应用中心由windowsserver2008服务器平台搭建的。应用中心用于安装应用程序，并能通过RemoteApp服务发布应用程序。1.1支持Windowsserver2008的版本WindowsServer2008StandardWindowsServer2008EnterpriseWindowsServer2008Datacenter1.2RemoteApp应用发布介绍RemoteApp是微软在WindowsServer2008之后，在其系统中集成的一项服务功能，使用户可以通过远程桌面访问远端的桌面与程序，客户端本机无须安装应用程序的情况下也能正常使用远端发布的各种的桌面与应用。1.3RemoteApp对终端的要求由于是采用RDP协议访问应用中心提供的应用程序，所以对终端平台有以下要求：(1)终端操作系统必须为windows操作系统。(2)windows的RDP版本至少6.1版本。(3)如果终端操作系统为windowsXP或windowsserver2003，请检查RDP版本，如果版本过低请升级RDP版本。1.4应用中心授权许可介绍应用中心授权许可证是用于对windowsserver2008的远程桌面服务（RDS）进行授权许可，只有正确RDS授权许可成功之后，运维审计系统访问应用中心的远程桌面服务就没有时间限制；未进行RDS授权许可的应用中心只有120天的使用有效期。1-12安装前的准备安装应用中心需要准备的工作。2.1注意事项为了确保应用中心配置成功，请遵从以下的注意事项：(1)Windowsserver2008可以直接在本服务器配置里安装RemoteApp服务。(2)Windowsserver2008可以安装在物理设备里，也可以安装在虚拟机里。(3)准备好windowsserver2008操作系统，使用正确的产品ID激活windowsserver2008；否则会影响应用中心的正常使用。2.2RDS授权码想要长期使用应用中心，须配备一套RDS授权码。如下图：图1RDS授权码示意图示意图中的“父级 计划 项目进度计划表范例计划下载计划下载计划下载课程教学计划下载 ”号码和“开放式许可证详细信息”号码是一组无效的示例号码；请勿使用！否则应用中心授权失败。RDS授权码可以向运维审计系统供应商采购，也可以直接向微软销售渠道采购。2-1默认windows的RDS安装好之后，有120天的有效试用期，足以满足测试试用。在章节的RDS授权码会在第“3.2应用中心授权”中使用到。2-23应用中心安装步骤本章节以WindowsServer2008R2Enterprise的配置为例。3.1安装远程桌面服务（必须步骤）步骤1在windowsserver2008系统中，进入[服务器管理器/角色]窗口。图2服务器管理器示意图步骤2单击<添加角色>，进入添加角色向导窗口。3-67步骤3单击<下一步>进入选择服务器角色窗口，勾选“远程桌面服务”。图3添加角色向导示意图步骤4单击<下一步>进入远程桌面服务窗口。图4选择服务器角色示意图步骤5单击<下一步>进入选择角色服务窗口，勾选“远程桌面会话主机”和“远程桌面授权”服务。图5远程桌面服务简介示意图步骤6单击<下一步>进入应用程序兼容性窗口。图6选择角色服务示意图步骤7单击<下一步>进入身份验证方法窗口，选择“不需要使用网络级别身份验证”。图7应用程序兼容性提示示意图步骤8单击<下一步>进入授权模式窗口，选择“以后配置”。图8选择身份验证方法示意图步骤9单击<下一步>进入用户组窗口，可在“用户或用户组”框添加允许远程访问的用户或用户组。图9选择授权模式示意图步骤10单击<下一步>进入客户端体验窗口，不选择任何功能项。图10添加用户组示意图步骤11单击<下一步>进入RD授权配置窗口，不选择任何功能项。图11选择客户端体验示意图步骤12单击<下一步>进入确认窗口图12RD授权配置界面示意图步骤13单击<安装>进入安装进度窗口。图13确认安装选择示意图步骤14等待安装进度完成后，自动进入安装结果窗口，并提示需要重启服务器才能完成安装过程。图14安装进度示意图步骤15单击<关闭>后自动提示“是否希望立即重新启动”。图15安装结果示意图步骤16单击<是>后，系统自动重新启动。步骤17登录系统后，系统自动继续执行配置进度。图16是否需要重启提示示意图步骤18自动完成安装结果，单击<关闭>即可。图17安装进度示意图3.2应用中心激活授权（如果是测试客户，可忽略此操作）3.2.1激活应用中心步骤1进入[控制面板/系统和安全/管理工具/远程桌面服务]界面中。图18安装成功提示示意图步骤2双击<远程桌面授权管理器>进入RD授权管理器界面，右击计算机名称。图19远程桌面服务管理界面示意图步骤3单击<激活服务器>进入服务器激活向导界面。图20RD授权管理器示意图步骤4单击<下一步>进入连接方法界面，本手册以“Web浏览器”的连接方法为例。图21服务器激活向导示意图表1连接方法说明 连接方法 描述 自动连接（推荐） 使用此方法的前提是要确保应用中心能连通互联网，否则无法进行授权许可。 Web浏览器 此方法适用于应用中心无法连通互联网，但需要进行授权许可。找一台能连通互联网的windows电脑，在浏览器中输入https://activate.microsoft.com，进入远程桌面服务器授权页面进行授权许可。 电话 此方法适用于通过微软的服务热线进行电话授权许可，此方法比较繁琐，需要提供各种详细信息。步骤5单击<下一步>进入许可证服务器激活界面。图22选择连接方法示意图表2服务器激活条件说明 激活条件 描述 远程桌面授权网站 https://activate.microsoft.com 产品ID 操作系统的产品ID，服务器激活向导界面会自动识别本操作系统的产品ID。 许可证服务器ID 许可证服务器ID是由产品ID生成的，有了许可证服务器ID才能许可证服务器激活成功。步骤6使用一台可以连通互联网的电脑，在浏览器中输入https://activate.microsoft.com进入RDS授权页面，选择“启用许可证服务器”。图23许可证服务器激活示意图步骤7单击<下一步>进入RDS信息填写页面，输入应用中心的产品ID、公司名称、国家(地区)。图24RDS授权页面示意图表3RDS授权信息说明 填写项 描述 产品ID 将服务器激活向导界面的产品ID填写进去。如需查看产品ID，请右击应用中心里的“计算机”，单击<属性>进入系统属性界面查看。 公司 填写使用用户单位的名称。 国家(地区) 选择应用中心所在国家或地区。步骤8单击<下一步>进入RDS授权信息确认页面。图25RDS授权页面示意图步骤9单击<下一步>RDS授权一个许可证服务器ID，将其复制并保存好。图26RDS授权页面示意图步骤10返回到应用中心里的[服务器激活向导]界面，输入RDS授权页面生成的许可证服务器ID。图27RDS授权页面示意图步骤11单击<下一步>进入正在完成服务器激活向导界面。图28许可证服务器激活示意图步骤12如果单击<下一步>则直接进入许可证安装向导界面，如3.2.2图31。如果单击<取消>则直接退出服务器激活向导界面。3.2.2安装应用中心授权许可证步骤1在[RD授权管理器]中右击计算机名称。图29完成服务器激活向导示意图步骤2单击<安装许可证>进入许可证安装向导界面。图30RD授权管理器示意图步骤3单击<下一步>进入获取客户端许可证密钥包界面。图31许可证安装向导示意图表4获取客户端许可证密钥包条件说明 获取条件 描述 远程桌面授权网站 https://activate.microsoft.com 许可证服务器ID 许可证安装向导界面会自动识别本操作系统的许可证服务器ID。 许可证密钥包ID 许可证密钥包ID是由许可证服务器ID、父级计划和开放式许可证详细信息的号码共同生成的。在步骤6中会用到应用中心授权许可证中的父级计划和开放式许可证详细信息的号码。步骤4使用一台可以连通互联网的电脑，在浏览器中输入https://activate.microsoft.com进入RDS授权页面，选择“安装客户端访问许可证”。图32获取客户端许可证密钥包界面示意图步骤5单击<下一步>进入RDS授权信息填写页面，输入正确的许可证服务器ID，在许可证程序里选择“开放式许可证”，填写公司名称，选择正确的国家(地区)。图33RDS授权页面示意图表5RDS授权信息说明 填写项 描述 许可证服务器ID 将获取客户端许可证密钥包界面的许可证服务器ID填写进去。 许可证程序 选择“开放式许可证”。 公司 填写使用用户单位的名称。 国家(地区) 选择应用中心所在国家或地区。步骤6单击<下一步>进入RDS授权许可证信息填写页面，选择“windowsserver2008R2每设备CAL或windwosserver2008TS每设备CAL”，填写正确的RDS授权数量、授权号码、许可证号码。图34RDS授权页面示意图表6RDS授权信息说明 填写项 描述 许可证服务器ID 将获取客户端许可证密钥包界面的许可证服务器ID，此处不需要填写。 产品类型 请选择“windowsserver2008R2每设备CAL或windwosserver2008TS每设备CAL”的RD授权模式。 数量 填写RDS对应的数量，数量自定义，可以根据堡垒机的资产数量填写数量。 许可证程序 开放式许可证 授权号码 根据应用中心授权许可证中提供的“父级计划”号码填写。 许可证号码 根据应用中心授权许可证中提供的“开放式许可证详细信息”号码填写。步骤7单击<下一步>进入RDS授权信息确认页面。图35RDS授权页面示意图步骤8单击<下一步>RDS授权一个许可证密钥包ID号，将其复制并保存好。图36RDS授权页面示意图步骤9返回至获取客户端许可证密钥包界面，输入RDS授权页面生成的许可证密钥包ID。图37RDS授权页面示意图步骤10单击<下一步>进入正常完成许可证安装向导界面。图38服务器激活向导示意图步骤11单击<完成>后即可在RD授权管理器界面中看到已成功授权，并且已经变成绿色的勾勾。图39完成许可证安装向导示意图3.3调整应用中心的策略（必须步骤）3.3.1调整本地组策略步骤1在运行窗口中输入“gpedit.msc”。图41运行窗口示意图步骤2单击<确定>进入[计算机配置/管理 模板 个人简介word模板免费下载关于员工迟到处罚通告模板康奈尔office模板下载康奈尔 笔记本 模板 下载软件方案模板免费下载 /windows组件/远程桌面服务/远程桌面会话主机/连接]界面。图40RD授权管理器示意图步骤3双击<将远程桌面服务用户限制到单独的远程桌面服务会话>，在配置界面中选择“已禁用”。图42本地组策略示意图步骤4单击<确定>即可。步骤5双击<限制连接的数量>，在配置界面中选择“已启用”，并设置允许的RD最大连接数为“999999”。图43策略配置示意图步骤6单击<确定>即可。步骤7双击<允许用户使用远程桌面服务进行远程连接>，在配置界面中选择“已启用”。图44策略配置示意图步骤8单击<确定>即可。步骤9进入[计算机配置/管理模板/windows组件/远程桌面服务/远程桌面会话主机/会话时间限制]界面。图45策略配置示意图步骤10双击<设置已中断会话的时间限制>，在配置界面中选择“已启用”，并设置结束已断开连接的会话为“1分钟”。图46本地组策略示意图步骤11单击<确定>即可。3.3.2设置RD授权模式步骤1进入[控制面板/系统和安全/管理工具/远程桌面服务]界面。图47策略配置示意图步骤2双击<远程桌面会话主机配置>进入配置界面。图49授权诊断示意图步骤3双击<远程桌面授权服务器>进入配置属性界面，选择“每设备”模式。图48远程桌面服务项示意图步骤4单击<添加>进入添加许可证服务器界面，将本地服务器添加到指定的许可证服务器中。图51添加许可证服务器示意图图50授权属性示意图步骤5单击<确定>即可返回配置属性界面。图52授权属性示意图步骤6单击<确定>后提示已更改系统注册表的配置。图53远程桌面会话主机配置提示示意图步骤7单击<确定>接口生效，并可以查到配置界面已指定。步骤8单击<授权诊断>可以看到“授权诊断信息-警告”中为空，表示授权设置正常。图55授权诊断示意图3.3.3允许用户在初始连接时启动列出和未列出的程序步骤1进入[控制面板/系统和安全/管理工具/远程桌面服务]界面。图54授权诊断示意图步骤2双击<RemoteApp管理器>进入配置界面。图57RemoteApp管理器示意图步骤3单击<RD会话主机服务器配置更改>进入设置界面，选择“允许用户在初始连接时启动列出和未列出的程序”。图56远程桌面服务项示意图步骤4单击<确定>即可。3.3.4关闭windows防火墙步骤1进入[控制面板/系统和安全/windows防火墙/自定义设置]界面，关闭windows防火墙。图58RemoteApp部署设置示意图步骤2单击<确定>即可。3.3.5关闭IE增强的安全配置步骤1进入[服务器管理器]界面。图59Windows防火墙设置示意图步骤2单击<配置IESEC>进入IE增强的安全配置界面，将管理员和用户禁用。图60服务器管理器示意图3.3.6开启远程桌面步骤1右击计算机，单击<属性>进入系统属性界面。图61IE增强的安全配置示意图步骤2单击<远程设置>进入远程桌面配置窗口，选择“允许运行任意版本远程桌面的计算机连接(较不安全)”。图62系统属性示意图步骤3单击<确定>即可。3.3.7关闭屏幕保护步骤1进入“控制面板”中，找到“个性化”。图63远程桌面设置示意图步骤2双击<个性化>后，进入管理界面，找到“屏幕保护程序”。图64控制面板示意图步骤3双击<屏幕保护程序>后，弹出设置窗口，在“屏幕保护程序”下拉框中选择“(无)”。图65个性化设置示意图步骤4单击<确定>即可。步骤5最后，重启应用中心！3.3.8启用屏幕保护程序超时步骤1在运行窗口中输入“gpedit.msc”。步骤2在本地组策略中，进入[用户配置/管理模板/控制面板/个性化]菜单管理页面。如果没有[个性化]菜单项，那就找[显示]菜单项。步骤3找到“屏幕保护程序超时”配置项，编辑为“已启用”，并且将“启用屏幕保护程序之前等待的秒数”设置为“0”秒。图66屏幕保护程序设置示意图4运维审计系统与应用中心结合使用用于统一对应用程序进行管理和审计。4.1在应用中心中安装相关的工具4.1.1安装客户端工具在应用中心中安装需要使用的客户端工具。如：plsql、sqlplus、SQLservermanagementstudio、MySQLQueryBrowser、VMwarevSphereClient等。安装好之后，确保能找到可执行程序的绝对路径，在发布应用的时候，需要填写这些客户端工具的路径。4.1.2安装应用加载器步骤1进入运维审计系统的管理界面，在界面右上角单击>按钮，进入“工具下载”页面。图67屏幕保护程序超时设置示意图步骤2在“应用加载器”后面，双击<本地下载>将应用加载器下载下来，并上传至应用中心中。步骤3然后在应用中心中默认安装即可。图69应用加载器安装过程示意图4.2RemoteApp管理器中发布“应用加载器”步骤1在应用中心中打开RemoteApp管理器，在窗口中添加RemoteApp程序。图68工具下载页面示意图步骤2单击<添加RemoteApp程序>进入RemoteApp向导界面。图70RemoteApp管理器界面示意图步骤3单击<下一步>进入应用选择界面，通过“浏览”进行查找到“应用加载器”。图71RemoteApp向导示意图步骤4单击<下一步>提示正在添加此应用程序。图72RemoteApp向导示意图步骤5单击<完成>后即可发布成功。图73RemoteApp管理器示意图步骤6右击已发布的“应用加载器”的属性。步骤7单击<属性>进入属性配置界面，选择“允许任何命令行参数”。图74RemoteApp管理器示意图步骤8单击<确定>后弹出提示窗口。图76RemoteApp向导示意图步骤9单击<是>返回管理器界面。图75RemoteApp属性示意图4.3添加“应用中心”4.3.1在主机管理中添加“应用中心”步骤1进入运维审计系统中的[资产/主机管理]页面。图77主机管理页面示意图步骤2单击<添加主机>进入配置页面，填写应用中心的IP和名称、选择所属部门。图78添加主机页面示意图步骤3单击<创建主机>后提示主机已创建。4-10步骤4单击提示信息页面里的IP地址，进入主机帐户管理页面。图80主机账户管理页面示意图步骤5单击<添加主机帐户>弹出新建主机帐户窗口，添加RDP协议、自动登录、帐户和密码。图79成功添加主机示意图步骤6单击<创建主机账户>即可。4.3.2在应用管理中添加“应用中心”步骤1进入[资产/应用管理]页面中。图1应用管理页面示意图如果首次使用该功能，则须先添加应用中心。在页面中会提示“还没有应用中心，请先在应用中心管理页面添加一台应用中心”，否则无法进行应用发布。图81新建主机帐户页面示意图图2应用中心管理页面示意图步骤3单击<添加应用服务器>进入选择主机列表，勾选已经安装好remoteapp的应用中心。图3主机列表页面示意图步骤4单击<确定>后即可添加成功，并自动返回应用中心管理页面。步骤2单击<应用服务器>进入配置页面。4.4在运维审计系统中使用应用发布以下以发布plsql和IE代填为例。4.4.1发布plsql步骤1进入[资产/应用管理]页面中图5应用管理页面示意图已经添加了应用中心之后，在页面中就不会提示：“还没有应用中心，请先在应用管理页面添加一台应用中心”。步骤2单击页面右上角的<新建应用>，进入新建应用页面，选择应用中心账户、添加应用名称、选择应用类型、添加应用路径、数据库名、数据库账户、数据库密码等。图4应用中心管理页面示意图表7功能选项说明 选项 说明 应用加载器 用于运维人员能正常调用应用发布程序。 应用中心账户 选择已经添加好的应用中心及账户。 应用名称 填写应用发布的名称，用于运维人员能辨别目标对象。 应用类型 选择需要发布的应用类型，如果无法找到对应的应用程序，则请自定义。 路径 填写应用中心中对应的应用程序的绝对路径。 目标地址 目标资产的管理IP。 数据库名 如果是数据库服务器有库名，则需要填写对应的库名。例如oracle的实例名 登录账户 目标资产的管理账户。 登录密码 目标资产账户的密码。 图标 可以选择对应的程序图标。步骤3单击<创建应用>即可添加成功。图6应用中心管理页面示意图4.4.2发布IE代填步骤1进入[资产/应用管理]页面中。图7应用中心管理页面示意图已经添加了应用中心之后，在页面中就不会提示：“还没有应用中心，请先在应用中心管理页面添加一台应用中心”。步骤2单击页面右上角的<新建应用>，进入新建应用页面，选择应用中心账户、添加应用名称、选择应用类型、目标地址、登录账户、登录密码。表8功能选项说明 选项 说明 应用加载器 用于确保运维人员能正常调用应用发布程序。 应用中心账户 选择已经添加好的应用中心及账户。 应用名称 填写应用发布的名称，用于运维人员能辨别目标对象。 应用类型 选择需要发布的应用类型，如果无法找到对应的应用程序，则请自定义。 目标地址 目标资产的管理IP。 登录账户 目标资产的管理账户。 登录密码 目标资产账户的密码。步骤3单击<创建应用>即可添加成功，返回应用管理页面中可以看到已经创建好的应用。图8应用中心管理页面示意图4.4.3将应用授权给运维员管理员在[授权/运维授权]页面中将应用授权给相关的运维员。图10运维授权页面示意图4.4.4运维员对应用运维步骤1进入[运维/主机管理/应用运维]页面中，在运维之前，请确保本地PC安装好了单点登录器。图9应用中心管理页面示意图步骤2在plsql工具后面，单击<登录>即可登录成功。图12应用运维页面示意图步骤3在web系统后面，单击<登录>即可登录成功。图13应用运维页面示意图图11应用运维页面示意图目录1应用服务器介绍 1-11.1支持Windowsserver2012的版本 1-11.2RemoteApp应用发布介绍 1-11.3RemoteApp对终端的要求 1-12安装前的准备 2-12.1注意事项 2-12.2关于RDS授权许可证 2-13Windowsserver2012的RemoteApp安装步骤 3-13.1Windowsserver2012加入AD域 3-13.2安装远程桌面服务 3-43.3远程桌面授权 3-173.4调整应用服务器的策略 3-383.4.1调整本地组策略 3-383.4.2关闭windows防火墙 3-433.4.3关闭IE增强的安全配置 3-443.4.4设置RD授权模式 3-453.4.5开启远程桌面 3-493.5安装RemoteApp服务 3-513.6发布RemoteApp程序 3-60i1应用服务器介绍应用服务器由windowsserver2012服务器平台搭建的。应用服务器用于安装应用程序，并能通过RemoteApp服务发布应用程序。1.1支持Windowsserver2012的版本WindowsServer2012StandardWindowsServer2012R2Standard1.2RemoteApp应用发布介绍RemoteApp是微软在WindowsServer2008之后，在其系统中集成的一项服务功能，使用户可以通过远程桌面访问远端的桌面与程序，客户端本机无须安装系统与应用程序的情况下也能正常使用远端发布的各种的桌面与应用。而在Windows2012中RemoteApp已经成为微软桌面虚拟化架构的重要组成部分之一。1.3RemoteApp对终端的要求由于是采用RDP协议访问应用服务器提供的应用程序，所以对终端平台有以下要求：(1)终端操作系统必须为windows操作系统。(2)windows的RDP版本至少6.1版本。(3)如果终端操作系统为windowsXP或windowsserver2003，请检查RDP版本，如果版本过低请升级RDP版本。1-12安装前的准备Windowsserver2012和Windowsserver2008的安装步骤不同。2.1注意事项为了确保配置RDS和RemoteApp服务安装成功，请遵从以下的注意事项：(1)Windowsserver2012必须加入AD域控器中才可安装RemoteApp服务，否则无法安装RemoteApp服务。（表示客户环境里必须有AD域服务器！）(2)Windowsserver2012不能同时作RemoteApp服务器和AD域服务器。(3)Windowsserver2000/2003不支持RemoteApp服务。(4)Windowsserver服务器可以是物理设备，也可以是虚拟机。(5)准备好windowsserver2012操作系统，并且将产品ID激活成正版。2.2关于RDS授权许可证(1)请购买好RDS授权许可证。(2)RDS授权许可证类型分多种，得到许可证号码后，请确认许可证的类型。(3)在本手册的“远程桌面授权”章节中会用到许可证类型和号码。2-13Windowsserver2012的RemoteApp安装步骤本章节以WindowsServer2012R2Standard的配置为例。客户环境里必须有自己的AD域服务器，否则无法安装remoteapp服务，以下图中的AD域是测试环境的，仅供参考！3.1Windowsserver2012加入AD域步骤1右击“这台电脑”，单击<属性>进入[系统]管理界面。图1系统管理界面步骤2单击<更改配置>进入[系统属性]界面。3-1步骤3单击<更改>进入[计算机名/域更改]界面，修改计算机名称、域名。图2系统属性界面3-67步骤4单击<确定>后，提示输入域帐户和密码。图3计算机名/域更改界面步骤5单击<确定>后，提示加入域成功。图5域更改成功界面步骤6单击<确定>后重启计算机即可。3.2安装远程桌面服务步骤1重启系统后，请使用AD域帐户和密码登录系统。图4Windows安全界面步骤2进入[服务器管理器/仪表板]界面。图7服务器管理器/仪表板界面步骤3单击<添加角色和功能>进入“添加角色和功能向导”界面。图6使用AD域帐户和密码登录系统步骤4单击<下一步>进入安装类型界面，选择&ldq