วิธีการกำหนดค่าเซิร์ฟเวอร์เทอร์มินัล Windows Server 2003 จะใช้ TLS สำหรับการรับรองความถูกต้องของเซิร์ฟเวอร์

การแปลบทความ การแปลบทความ
หมายเลขบทความ (Article ID): 895433 - ผลิตภัณฑ์ที่เกี่ยวข้องในบทความนี้
ขยายทั้งหมด | ยุบทั้งหมด

เนื้อหาบนหน้านี้

สรุป

คุณสามารถเชื่อมต่อกับคอมพิวเตอร์ระยะไกลที่กำลังเรียกใช้บริการเทอร์มินัลของ Microsoft Windows โดยใช้การเชื่อมต่อโพรโทคอลการใช้เดสก์ท็อประยะไกล ชนิดของการเชื่อมต่อนี้มีการเข้ารหัสลับข้อมูลที่ส่งระหว่างเซิร์ฟเวอร์เทอร์มินัลและคอมพิวเตอร์ไคลเอนต์ อย่างไรก็ตาม ชนิดของการเชื่อมต่อนี้ไม่ได้ให้การรับรองความถูกต้องสำหรับเซิร์ฟเวอร์เทอร์มินัล คุณอาจต้องตรวจสอบว่าการรับรองความถูกว่า เซิร์ฟเวอร์ของเทอร์มินัลจะได้อย่างถูกต้องต้องก่อนที่คุณเชื่อมต่อเข้ามา เมื่อต้องการทำเช่นนี้ ตั้งค่าคอนฟิกเซิร์ฟเวอร์ของเทอร์มินัลการใช้การขนส่งเลเยอร์ความปลอดภัย (TLS) เพื่อการพิสูจน์ตัวจริงของเซิร์ฟเวอร์เทอร์มินัล และเข้ารหัสลับข้อมูลที่ส่งระหว่างเซิร์ฟเวอร์เทอร์มินัลและคอมพิวเตอร์ไคลเอนต์

เมื่อต้องการตั้งค่าคอนฟิกการเชื่อมต่อ TLS คุณต้องกำหนดค่าเซิร์ฟเวอร์เทอร์มินัลและคอมพิวเตอร์ไคลเอนต์ เมื่อต้องการกำหนดค่าเซิร์ฟเวอร์เทอร์มินัล คุณต้องดำเนินการทั้งสองตอนต่อไปนี้:
  • คุณต้องติดตั้งใบรับรองที่ถูกต้องบนเซิร์ฟเวอร์เทอร์มินัล
  • คุณต้องกำหนดค่าการตั้งค่าการรับรองความถูกต้อง โดยใช้เครื่องมือตั้งค่าคอนฟิกบริการเทอร์มินัล
เมื่อต้องการกำหนดค่าคอมพิวเตอร์ไคลเอนต์ คุณต้องดำเนินการทั้งสองตอนต่อไปนี้:
  • คุณต้องกำหนดค่าคอมพิวเตอร์ไคลเอนต์เพื่อรับรองที่ออกใบรับรองของเซิร์ฟเวอร์เทอร์มินัลรากที่เชื่อถือ
  • คุณต้องกำหนดค่าการตั้งค่าการรับรองความถูกต้องสำหรับการเชื่อมต่อระยะไกล โดยใช้โปรแกรมการเชื่อมต่อเดสก์ท็อประยะไกล หรือการปรับเปลี่ยนรีจิสทรี

คำแนะนำ

สิ่งสำคัญ นี้ส่วน วิธีการ หรืองานประกอบด้วยขั้นตอนที่บอกให้คุณทราบวิธีการปรับเปลี่ยนรีจิสทรี อย่างไรก็ตาม ปัญหาร้ายแรงอาจเกิดขึ้นหากคุณปรับเปลี่ยนรีจิสทรีอย่างไม่ถูกต้อง ดังนั้น ตรวจสอบให้แน่ใจว่า คุณทำตามขั้นตอนเหล่านี้อย่างระมัดระวัง สำหรับการป้องกันเพิ่มเติม สำรองรีจิสทรีก่อนที่คุณปรับเปลี่ยน แล้ว คุณสามารถคืนค่ารีจิสทรีหากเกิดปัญหา สำหรับข้อมูลเพิ่มเติมเกี่ยวกับวิธีการสำรอง และคืนค่ารีจิสทรี คลิกหมายเลขบทความต่อไปนี้เพื่อดูบทความในฐานความรู้ของ Microsoft:
322756 วิธีการสำรอง และคืนค่ารีจิสทรีใน Windows


ถ้าคุณใช้โพรโทคอลเดสก์ท็อประยะไกล (RDP) เพื่อเชื่อมต่อกับเซิร์ฟเวอร์เทอร์มินัล RDP ให้การเข้ารหัสลับข้อมูล แต่จะไม่มีการรับรองความถูกต้อง ดังนั้น คุณไม่สามารถตรวจสอบข้อมูลประจำตัวของเซิร์ฟเวอร์เทอร์มินัล คุณสามารถใช้ Microsoft Windows Server 2003 Service Pack 1 (SP1) ร่วมกับขนส่งเลเยอร์ความปลอดภัย (TLS) เวอร์ชั่น 1.0 เพื่อช่วยเพิ่มความปลอดภัยของเซิร์ฟเวอร์เทอร์มินัล โดยใช้ TLS สำหรับการรับรองความถูกต้องของเซิร์ฟเวอร์ และ การสื่อสารเซิร์ฟเวอร์เทอร์มินัลการเข้ารหัสลับ

บทความนี้อธิบายวิธีการกำหนดค่า Windows Server 2003 SP1 เมื่อต้องใช้ TLS 1.0 สำหรับการรับรองความถูกต้องของเซิร์ฟเวอร์การติดต่อสื่อสารเซิร์ฟเวอร์เทอร์มินัลการเข้ารหัสลับ

ข้อกำหนดเบื้องต้นในการกำหนดค่าการรับรองความถูกต้องของเซิร์ฟเวอร์

โดยค่าเริ่มต้น เซิร์ฟเวอร์เทอร์มินัลใช้การเข้ารหัสลับ RDP ดั้งเดิม และพิสูจน์ตัวจริงของเซิร์ฟเวอร์ เมื่อ ต้องใช้ TLS สำหรับการรับรองความถูกต้องของเซิร์ฟเวอร์ และ การสื่อสารเซิร์ฟเวอร์เทอร์มินัลการเข้ารหัสลับ คุณต้องกำหนดค่าคอมพิวเตอร์เซิร์ฟเวอร์และคอมพิวเตอร์ไคลเอนต์ได้อย่างถูกต้อง

ข้อกำหนดเบื้องต้นของเซิร์ฟเวอร์

สำหรับการตรวจสอบ TLS การทำงานอย่างถูกต้อง นัลเซิร์ฟเวอร์ของคุณต้องตรงกับทั้งสองที่กำหนดต่อไปนี้:
  • เซิร์ฟเวอร์เทอร์มินัลคุณต้องเรียกใช้ Windows Server 2003 SP1
  • คุณต้องได้รับใบรับรองของเซิร์ฟเวอร์เทอร์มินัล เมื่อต้องการขอรับใบรับรอง ใช้หนึ่งในวิธีต่อไปนี้:
    • เยี่ยมชมเว็บไซต์สำหรับหน่วยงานจัดเก็บใบรับรองของคุณหรือไม่ ตัวอย่างเช่น แวะไปที่ http://servername/certsrv
    • เรียกใช้ตัวช่วยสร้างการร้องขอใบรับรอง Windows Server 2003 หรือใน Windows 2000 Server ใบรับรองขอ Wizard
    • การขอรับใบรับรองจากหน่วยงานใบรับรองของบุคคลสาม และจากนั้น ติดตั้งใบรับรองด้วยตนเอง
หมายเหตุ ถ้าคุณต้องการขอรับใบรับรอง โดยใช้หน้าเว็บบริการใบรับรองของ Microsoft หรือ โดยใช้ตัวช่วยสร้างการร้องขอใบรับรอง เป็น infrastructure คีย์สาธารณะ (PKI) ต้องถูกกำหนดค่าอย่างถูกต้องกับปัญหาที่เข้ากันได้กับ SSL รับรองไปยังเซิร์ฟเวอร์เทอร์มินัล แต่ละใบต้องถูกกำหนดค่าเป็นดังนี้:
  • ใบรับรองต้องมีใบรับรองของคอมพิวเตอร์
  • ต้องตามวัตถุประสงค์ของใบรับรองสำหรับการรับรองความถูกต้องของเซิร์ฟเวอร์
  • ใบรับรองต้องมีคีย์ส่วนตัวที่สอดคล้องกัน
  • ต้องเก็บใบรับรองในเก็บใบรับรองบัญชีคอมพิวเตอร์บนเซิร์ฟเวอร์เทอร์มินัล

    หมายเหตุ คุณสามารถดูร้านค้านี้ โดยใช้สแน็ปอิน Microsoft Management Console (MMC) รับรอง
  • ใบรับรองต้องมีผู้ให้บริการการเข้ารหัสลับ (CSP) ที่สามารถใช้สำหรับโพรโทคอล TLS ตัวอย่าง ใบรับรองต้องใช้ตัวให้บริการที่มีการเข้ารหัสลับเช่น SChannel RSA จาก Microsoft สำหรับผู้ให้บริการเข้ารหัสลับ สำหรับข้อมูลเพิ่มเติมเกี่ยวกับผู้ให้บริการที่เข้ารหัสลับของ Microsoft แวะไปที่เว็บไซต์ต่อไปนี้ของ Microsoft:
    http://msdn2.microsoft.com/en-us/library/aa386983.aspx

ข้อกำหนดเบื้องต้นไคลเอนต์

สำหรับการตรวจสอบ TLS การทำงานอย่างถูกต้อง ของคอมพิวเตอร์ไคลเอ็นต์บริการเทอร์มินัลจำเป็นต้องมีดังต่อไปนี้:
  • คอมพิวเตอร์ไคลเอนต์ต้องเรียกใช้ Microsoft Windows 2000 หรือ Microsoft Windows XP
  • ต้องสามารถปรับรุ่นคอมพิวเตอร์ไคลเอนต์เมื่อต้องใช้โปรแกรมสำหรับไคลเอ็นต์ RDP 5.2 โปรแกรมไคลเอ็นต์ RDP 5.2 จะมาพร้อมกับ Windows Server 2003 SP1 คุณสามารถติดตั้งแพคเกจการเชื่อมต่อเดสก์ท็อประยะไกลฝั่งไคลเอ็นต์นี้ได้ โดยการใช้แฟ้ม %SYSTEMROOT%\System32\Clients\Tsclient\Win32\Msrdpcli.msi แฟ้ม Msrdpcli.msi ที่อยู่บนเซิร์ฟเวอร์เทอร์มินัลที่ใช้ Windows Server 2003 ถ้าคุณติดตั้งแฟ้มนี้จากเซิร์ฟเวอร์เทอร์มินัล มีการติดตั้งการเชื่อมต่อเดสก์ท็อประยะไกลรุ่น RDP 5.2 ในโฟลเดอร์บนเดสก์ท็อป files\Remote %SYSTEMDRIVE%\Program บนคอมพิวเตอร์ปลายทาง สำหรับข้อมูลเพิ่มเติมเกี่ยวกับแบบระยะไกลบนเดสก์ท็อปเชื่อมต่อสำหรับ Windows Server 2003 แวะไปที่เว็บไซต์ต่อไปนี้ของ Microsoft:
    http://www.microsoft.com/downloads/details.aspx?familyid=CC148041-577F-4201-B62C-D71ADC98ADB1&displaylang=en
  • คอมพิวเตอร์ไคลเอนต์ต้องเชื่อถือใบรับรองของใบรับรองของเซิร์ฟเวอร์เทอร์มินัลราก ดังนั้น คอมพิวเตอร์ไคลเอนต์ต้องมีใบรับรองของใบรับรองในโฟลเดอร์ที่เชื่อถือใบรับรองรับรองหลักของคอมพิวเตอร์ไคลเอนต์ คุณสามารถแสดงโฟลเดอร์นี้ โดยใช้สแน็ปอินของใบรับรอง

เมื่อต้องการกำหนดค่าเซิร์ฟเวอร์เทอร์มินัล

เมื่อต้องการตั้งค่าคอนฟิกเซิร์ฟเวอร์ของเทอร์มินัลสำหรับการรับรองความถูกต้องของ TLS ทำตามขั้นตอนเหล่านี้:

ขั้นตอนที่ 1: ขอใบรับรองคอมพิวเตอร์

ถ้าคุณยังไม่มีใบรับรองของคอมพิวเตอร์ที่ตรงกับความต้องการที่ระบุไว้ในแบบ "ข้อกำหนดเบื้องต้นในการกำหนดค่าการรับรองความถูกต้องของเซิร์ฟเวอร์"ส่วน การขอรับ และติดตั้ง เมื่อต้องการทำเช่นนี้ ใช้วิธีการใดวิธีการหนึ่งในวิธีต่อไปนี้

วิธีที่ 1: โดยการใช้เว็บไซต์สำหรับหน่วยงานจัดเก็บใบรับรองของคุณ
ขั้นตอนต่อไปนี้อธิบายวิธีการขอรับใบรับรองจาก Windows Server 2003 แบบสแตนด์อโลนรับรอง นอกจากนี้คุณยังสามารถร้องขอใบรับรองจากหน่วยงานจัดเก็บใบรับรอง Windows 2000 นอกจากนี้ คุณต้องมีอ่านสิทธิ์และการอนุญาต Enroll ในแฟ้มแม่แบบใบรับรองเพื่อการร้องขอใบรับรองเสร็จเรียบร้อยแล้ว ใช้วิธีนี้ถ้าหนึ่งหรือมากกว่ามีเงื่อนไขใด ๆ ต่อไปนี้เป็นจริง:
  • คุณต้องการขอรับใบรับรองจากใบรับรองแบบสแตนด์อโลน
  • คุณต้องการขอรับใบรับรองตามแม่แบบใบรับรองที่ถูกกำหนดค่าให้รับชื่อเรื่องจากหัวเรื่อง นั้น
  • คุณต้องการขอรับใบรับรองที่ต้องการอนุมัติของผู้ดูแลก่อนที่จะออกใบรับรอง
เมื่อต้องการขอรับใบรับรอง ทำตามขั้นตอนเหล่านี้:
  1. เริ่มการทำงานของ Microsoft Internet Explorer และเข้า เยี่ยมชม http://servername/certsrvที่ servername คือชื่อของเซิร์ฟเวอร์ของคุณที่กำลังเรียกใช้ Microsoft Certificate Services
  2. ภายใต้ เลือกภารกิจคลิก ร้องขอใบรับรอง.
  3. คลิก ร้องขอใบรับรองขั้นสูงแล้ว คลิก สร้าง และส่งการร้องขอให้ CA นี้.
  4. พิมพ์ข้อมูลการระบุของคุณลงในกล่องภายใต้ ข้อมูลการระบุแล้ว คลิก ใบรับรองการรับรองความถูกต้องของเซิร์ฟเวอร์ ในการ ชนิดของใบรับรองที่จำเป็น รายการ
  5. ปล่อยให้ สร้างชุดคีย์ใหม่ เลือกตัวเลือก และคลิก SChannnel Microsoft RSA ผู้ให้บริการการเข้ารหัสลับ ในการ CSP รายการ

    หมายเหตุ ผู้ให้บริการบริการการเข้ารหัสลับนี้สนับสนุน derivation คีย์สำหรับโพรโทคอลที่ SSL2, PCT1, SSL3 และ TLS1
  6. ปล่อยให้ อัตราแลกเปลี่ยน เลือกตัวเลือกถัดไป การใช้คีย์. อ็อพชันนี้บ่งชี้ว่า สามารถใช้คีย์ส่วนตัวเพื่อเปิดใช้งานการแลกเปลี่ยนข้อมูลที่เป็นความลับ
  7. คลิกเพื่อเลือกนั้น คีย์การทำเครื่องหมายเป็นสามารถส่งออกได้ กล่องกาเครื่องหมาย เมื่อคุณทำเช่นนี้ คุณสามารถบันทึกคีย์สาธารณะและคีย์ส่วนตัวไปยังไฟล์ pkcs # #12 ดังนั้น คุณสามารถคัดลอกใบรับรองนี้กับคอมพิวเตอร์เครื่องอื่น
  8. คลิกเพื่อเลือกนั้น เก็บใบรับรองในเก็บใบรับรองของเครื่องคอมพิวเตอร์ กล่องกาเครื่องหมาย และจากนั้น คลิก ส่ง.

    สิ่งสำคัญ สำหรับการตรวจสอบ TLS ไปยังฟังก์ชัน คุณต้องเก็บใบรับรองในเก็บใบรับรองของเครื่องคอมพิวเตอร์
  9. ถ้าคุณได้รับการ ใบรับรองที่ออกใช้ เว็บเพจ คลิก การติดตั้งใบรับรองนี้. ถ้าคุณได้รับการ ใบรับรองที่ค้างอยู่ เว็บเพจ คุณต้องรอจนกว่าผู้ดูแลระบบอนุมัติคำขอใบรับรอง ในสถานการณ์นี้ คุณต้องเยี่ยมชมไซต์เว็บบริการใบรับรองเพื่อขอรับ และติดตั้งใบรับรองนี้อีกครั้ง
วิธีที่ 2: โดยใช้ตัวช่วยสร้างการร้องขอใบรับรอง
ขั้นตอนต่อไปนี้อธิบายวิธีการขอรับใบรับรองจากหน่วยงานออกใบรับรอง Windows Server 2003 นอกจากนี้คุณยังสามารถร้องขอใบรับรองจากหน่วยงานจัดเก็บใบรับรอง Windows 2000 นอกจากนี้ คุณต้องมีอ่านสิทธิ์และการอนุญาต Enroll ในแฟ้มแม่แบบใบรับรองเพื่อการร้องขอใบรับรองเสร็จเรียบร้อยแล้ว ใช้วิธีนี้ถ้าหนึ่งหรือมากกว่ามีเงื่อนไขใด ๆ ต่อไปนี้เป็นจริง:
  • คุณต้องการร้องขอใบรับรองจากรับรองระดับองค์กร
  • คุณต้องการร้องขอใบรับรองที่ยึดตามแม่แบบที่ชื่อเรื่องที่ถูกสร้างขึ้น โดย Windows
  • คุณต้องการขอรับใบรับรองที่ไม่ต้องการอนุมัติผู้ดูแลก่อนที่จะออกใบรับรอง
เมื่อต้องการขอรับใบรับรอง ทำตามขั้นตอนเหล่านี้:
  1. คลิก เริ่มคลิก เรียกใช้ชนิด mmcแล้ว คลิก ตกลง.
  2. ในการ แฟ้ม เมนู คลิก เพิ่ม/เอาออกสแนปอิน.
  3. คลิก เพิ่มคลิก ใบรับรองแล้ว คลิก เพิ่ม.
  4. คลิก บัญชีคอมพิวเตอร์แล้ว คลิก ถัดไป.
  5. ถ้าคุณต้องการเพิ่มใบรับรองไปยังคอมพิวเตอร์ท้องถิ่น ภายในเครื่องคอมพิวเตอร์. ถ้าคุณต้องการเพิ่มใบรับรองไปยังคอมพิวเตอร์ระยะไกล คลิก คอมพิวเตอร์เครื่องอื่นและจากนั้น พิมพ์ชื่อของคอมพิวเตอร์เครื่องนั้นระยะไกลในการ คอมพิวเตอร์เครื่องอื่น กล่อง
  6. คลิก เสร็จสิ้น.
  7. ในการ เพิ่มสแนปอินแบบสแตนด์อโลน กล่องโต้ตอบ คลิก ปิดแล้ว คลิก ตกลง ในการ เพิ่ม/เอาออกสแนปอิน กล่องโต้ตอบ
  8. ภายใต้ รากของคอนโซลคลิก ใบรับรอง (ภายในเครื่องคอมพิวเตอร์).

    หมายเหตุ ถ้าคุณกำหนดค่าใบรับรอง MMC สแน็ปอินการจัดการคอมพิวเตอร์ระยะไกล คลิก (ใบรับรองservername) แทน ใบรับรอง (ภายในเครื่องคอมพิวเตอร์).
  9. ในการ มุมมอง เมนู คลิก ตัวเลือก.
  10. ในการ ตัวเลือกมุมมอง กล่องโต้ตอบ คลิก วัตถุประสงค์ของใบรับรองแล้ว คลิก ตกลง.
  11. ในบานหน้าต่างด้านขวา คลิกขวา เซิร์ฟเวอร์การรับรองความถูกต้องชี้ไปที่ งานทั้งหมดแล้ว คลิก คำขอใบรับรองใหม่.
  12. ในตัวช่วยรับรองขอสร้างที่เริ่มต้น คลิก ถัดไป.
  13. ในการ ชนิดของใบรับรอง รายการ คลิก เซิร์ฟเวอร์การรับรองความถูกต้องคลิกเพื่อเลือกนั้น ขั้นสูง กล่องกาเครื่องหมาย และจากนั้น คลิก ถัดไป.
  14. ในการ ผู้ให้บริการการเข้ารหัสลับ รายการ คลิก SChannel Microsoft RSA ผู้ให้บริการการเข้ารหัสลับ.

    หมายเหตุ ผู้ให้บริการบริการการเข้ารหัสลับนี้สนับสนุน derivation คีย์สำหรับโพรโทคอลที่ SSL2, PCT1, SSL3 และ TLS1
  15. ในการ ความยาวของคีย์ รายการ การปล่อยให้ตัวเลือกการเริ่มต้นของ 1024 เลือก หรือคลิกความยาวของรหัสที่คุณต้องการใช้
  16. คลิกเพื่อเลือกนั้น ทำเครื่องหมายคีย์นี้เป็นที่สามารถส่งออกได้ กล่องกาเครื่องหมาย เมื่อคุณทำเช่นนี้ คุณสามารถบันทึกคีย์สาธารณะและคีย์ส่วนตัวไปยังไฟล์ pkcs # #12 ดังนั้น คุณสามารถคัดลอกใบรับรองนี้กับคอมพิวเตอร์เครื่องอื่น
  17. ถ้าคุณต้องการเปิดใช้งาน "อย่างแน่นหนาป้องกันคีย์ส่วนตัว" คลิกเพื่อเลือกนั้น การเปิดใช้งานการป้องกันคีย์ส่วนตัวที่รัดกุม กล่องกาเครื่องหมาย
  18. คลิก ถัดไปพิมพ์ชื่อของหน่วยงานจัดเก็บใบรับรองของคุณในการ CA กล่อง คลิก ถัดไปพิมพ์ชื่อสำหรับใบรับรองนี้ในการ ชื่อที่จำง่าย กล่อง คลิก ถัดไปแล้ว คลิก เสร็จสิ้น.
วิธีที่ 3: โดยการใช้การรับรองของบุคคลสาม
ขอรับ และติดตั้งใบรับรองจากหน่วยงานใบรับรองของบริษัทอื่น

ขั้นตอนที่ 2: การตั้งค่าคอนฟิก TLS การรับรองความถูกต้องและการเข้ารหัสลับ

คุณสามารถกำหนดค่าการตั้งค่าการเข้ารหัสลับบนเซิร์ฟเวอร์เทอร์มินัล โดยใช้'นโยบายกลุ่ม' อย่างไรก็ตาม คุณไม่สามารถใช้'นโยบายกลุ่ม'เพื่อตั้งค่าคอนฟิกการตั้งค่าการรับรองความถูกต้องบนเซิร์ฟเวอร์เทอร์มินัล ดังนั้น ส่วนนี้อธิบายวิธีการกำหนดค่าการรับรองความถูกต้องและการเข้ารหัสลับ โดยใช้เครื่องมือตั้งค่าคอนฟิกบริการเทอร์มินัล สำหรับ TLS ให้ทำงานได้อย่างถูกต้องบนเซิร์ฟเวอร์เทอร์มินัล คุณต้องกำหนดค่ารายการต่อไปนี้ทั้งหมดในการ ทั่วไป แท็บของแบบ คุณสมบัติ-RDP Tcp กล่องโต้ตอบ:
  • คุณต้องเลือกใบรับรองที่ตรงกับความต้องการที่ระบุไว้ในแบบ "ข้อกำหนดเบื้องต้นของเซิร์ฟเวอร์"ส่วน
  • คุณต้องการตั้งค่านี้ เลเยอร์ความปลอดภัย ค่า เจรจา หรือถึง SSL.
  • คุณต้องการตั้งค่านี้ ระดับการเข้ารหัสลับ ค่า สูงหรือคุณต้องเปิดใช้งานการสหพันธ์ข้อมูลประมวลผลมาตรฐาน (FIPS) -เข้ากันได้ของการเข้ารหัสลับ

    หมายเหตุ นอกจากนี้คุณยังสามารถเปิดใช้การเข้ารหัสลับ FIPS เข้ากันได้ โดยใช้'นโยบายกลุ่ม' อย่างไรก็ตาม คุณไม่สามารถเปิดใช้งาน TLS โดยใช้'นโยบายกลุ่ม'
หมายเหตุ ถ้าคุณเปิดใช้งาน TLS การรับรองความถูกต้องในฟาร์มไดเรกทอรีของเซสชัน คุณต้องกำหนดค่าการตั้งค่าต่อไปนี้อย่างใดอย่างหนึ่งบนแต่ละเซิร์ฟเวอร์ที่เป็นสมาชิกของฟาร์มเซสชันไดเรกทอรี:
  • ตั้งค่านี้ เลเยอร์ความปลอดภัย ค่า SSL.
  • ตั้งค่านี้ เลเยอร์ความปลอดภัย ค่า เจรจา. ถ้าคุณตั้งค่านี้ เลเยอร์ความปลอดภัย เมื่อต้องการ เจรจา, TLS การรับรองความถูกต้องถูกเปิดใช้งานเฉพาะถ้าคอมพิวเตอร์แบบไคลเอ็นต์ที่สนับสนุน TLS การรับรองความถูกต้อง
เมื่อต้องการตั้งค่าคอนฟิก TLS การรับรองความถูกต้องและการเข้ารหัสลับบนเซิร์ฟเวอร์ ทำตามขั้นตอนเหล่านี้:
  1. เริ่มใช้เครื่องมือการตั้งค่าคอนฟิกบริการเทอร์มินัล เมื่อต้องการทำเช่นนี้ คลิก เริ่มชี้ไปที่ เครื่องมือการจัดการแล้ว คลิก การกำหนดค่าบริการเทอร์มินัล.
  2. ในบานหน้าต่างด้านซ้าย คลิก การเชื่อมต่อ.
  3. ในบานหน้าต่างด้านขวา ให้คลิกขวาการเชื่อมต่อที่คุณต้องการตั้งค่าคอนฟิก และจากนั้น คลิก คุณสมบัติ.
  4. ในการ ทั่วไป แท็บ คลิก แก้ไข ถัดไปเพื่อ ใบรับรอง.
  5. ในการ เลือกใบรับรอง กล่องโต้ตอบกล่อง คลิกใบรับรองที่คุณต้องการใช้

    หมายเหตุเซิร์ฟเวอร์การรับรองความถูกต้อง ต้องปรากฏอยู่ในนั้น ได้ตามวัตถุประสงค์ คอลัมน์สำหรับใบรับรองนี้ นอกจากนี้ ใบรับรองนี้ต้องมีใบรับรอง X.509 ด้วยคีย์ส่วนตัวที่สอดคล้องกัน เมื่อต้องการตรวจสอบว่า ใบรับรองมีคีย์ส่วนตัว คลิก ดูใบรับรอง. เนื้อหาข้อความต่อไปนี้ปรากฏขึ้นที่ด้านล่างของข้อมูลใบรับรอง:
    คุณมีคีย์ส่วนตัวที่สอดคล้องกับใบรับรองนี้
    คลิก ตกลง.
  6. คลิก ตกลง.
  7. ในการ เลเยอร์ความปลอดภัย รายการ คลิกหนึ่งในตัวเลือกต่อไปนี้:
    • เจรจา: วิธีการรักษาความปลอดภัยนี้ใช้ TLS 1.0 เพื่อพิสูจน์ตัวจริงของเซิร์ฟเวอร์ถ้าได้รับการสนับสนุน TLS ถ้าไม่มีสนับสนุน TLS จะไม่มีรับรองเซิร์ฟเวอร์
    • เลเยอร์ความปลอดภัย RDP: วิธีการรักษาความปลอดภัยนี้ใช้การเข้ารหัสลับของโพรโทคอลการใช้เดสก์ท็อประยะไกลเพื่อช่วยในการสื่อสารที่ปลอดภัยระหว่างคอมพิวเตอร์ไคลเอนต์และเซิร์ฟเวอร์ ถ้าคุณเลือกการตั้งค่านี้ จะไม่มีรับรองเซิร์ฟเวอร์
    • SSL: วิธีการรักษาความปลอดภัยนี้จำเป็นต้องใช้ TLS 1.0 ไปยังเซิร์ฟเวอร์การรับรองความถูกต้อง ถ้าไม่มีสนับสนุน TLS คุณไม่สามารถสร้างการเชื่อมต่อไปยังเซิร์ฟเวอร์ วิธีนี้ใช้ได้เฉพาะถ้าคุณเลือกใบรับรองที่ถูกต้อง
    หมายเหตุ ถ้าคุณคลิก เจรจา หรือ SSL ในการ เลเยอร์ความปลอดภัย รายการ คุณต้องยังกำหนดค่าหนึ่งต่อไปนี้:
    • กำหนดระดับการเข้ารหัสลับ สูง.
    • กำหนดค่าการเข้ารหัสลับ FIPS เข้ากันได้
  8. ในการ ระดับการเข้ารหัสลับ รายการ คลิกหนึ่งในตัวเลือกต่อไปนี้:
    • FIPS เข้ากันได้: ถ้าคุณใช้การตั้งค่านี้ หรือ ถ้าคุณตั้งค่านี้ การเข้ารหัสของระบบ: ใช้ FIPS อัลกอริทึมเข้ากันได้สำหรับการเข้า รหัส เซ็นชื่อ ตัวเลือก โดยการใช้ Group Policy ข้อมูลถูกเข้ารหัส และถอดรหัสลับระหว่างคอมพิวเตอร์ไคลเอนต์และเซิร์ฟเวอร์ที่มีอัลกอริทึมการเข้ารหัสลับ-140 1 FIPS โดยใช้โมดูลที่เข้ารหัสลับของ Microsoft
    • สูง ถ้าคุณใช้การตั้งค่านี้ ข้อมูลที่ส่งระหว่างคอมพิวเตอร์ไคลเอนต์และเซิร์ฟเวอร์ ถูกเข้ารหัสลับ โดยใช้การเข้ารหัสลับ 128 บิต
    • เข้ากันได้ของไคลเอ็นต์ ถ้าคุณใช้การตั้งค่านี้ ข้อมูลที่ส่งระหว่างคอมพิวเตอร์ไคลเอนต์ และจากนั้นเซิร์ฟเวอร์ ถูกเข้ารหัสลับ โดยใช้ความแรงของคีย์สูงสุดที่ได้รับการสนับสนุน โดยไคลเอ็นต์คอมพิวเตอร์
    • ต่ำ ถ้าคุณใช้การตั้งค่านี้ ข้อมูลที่ส่งระหว่างคอมพิวเตอร์ไคลเอนต์และเซิร์ฟเวอร์ ถูกเข้ารหัสลับ โดยใช้การเข้ารหัสลับ 56 บิต

      หมายเหตุ ตัวเลือกนี้จะไม่พร้อมใช้งานเมื่อคุณคลิก SSL ในการ เลเยอร์ความปลอดภัย รายการ
  9. คลิกเพื่อเลือกนั้น ใช้อินเทอร์เฟซการเข้าสู่ระบบ Windows มาตรฐาน กล่องกาเครื่องหมายเพื่อระบุว่า ผู้ใช้เข้าสู่ระบบเซิร์ฟเวอร์เทอร์มินัล ด้วยการพิมพ์ข้อมูลประจำตัวของตนเองในกล่องโต้ตอบการเข้าสู่ระบบ Windows Start
  10. คลิก ตกลง.
หมายเหตุ
  • เมื่อต้องการตั้งค่าคอนฟิกตัวเลือกเหล่านี้ คุณต้องเป็นสมาชิกของกลุ่มผู้ดูแลระบบบนคอมพิวเตอร์เฉพาะที่ หรือคุณต้องการมอบหมายสิทธิ์เหมาะสม ถ้าคอมพิวเตอร์ที่เป็นสมาชิกของโดเมน สมาชิกของกลุ่มรักษาความปลอดภัย Domain Admins มีสิทธิ์เพียงพอที่จะทำตามขั้นตอนเหล่านี้
  • ระดับการเข้ารหัสลับที่คุณตั้งค่าคอนฟิก โดยใช้'นโยบายกลุ่ม'แทนตัวเลือกการตั้งค่าคอนฟิกที่คุณตั้งค่า โดยใช้เครื่องมือตั้งค่าคอนฟิกบริการเทอร์มินัล นอกจากนี้ ถ้าคุณเปิดใช้งานนั้น การเข้ารหัสของระบบ: ใช้ FIPS อัลกอริทึมเข้ากันได้สำหรับการเข้า รหัส เซ็นชื่อ นโยบาย การ การเข้ารหัสของระบบ: ใช้ FIPS อัลกอริทึมเข้ากันได้สำหรับการเข้า รหัส เซ็นชื่อ แทนนโยบาย ชุดการเข้ารหัสลับการเชื่อมต่อไคลเอ็นต์ ระดับการตั้งค่า'นโยบายกลุ่ม'
  • เมื่อคุณเปลี่ยนระดับการเข้ารหัสลับ ระดับการเข้ารหัสลับใหม่ที่คุณตั้งค่าคอนฟิกจะมีผลในครั้งถัดไปที่ผู้ใช้เข้าสู่ระบบ ถ้าคุณต้องการให้ระดับการเข้ารหัสลับหลาย ติดตั้งอะแดปเตอร์ของเครือข่ายที่หลาย และกำหนดค่าอะแดปเตอร์ของเครือข่ายแต่ละกับระดับการเข้ารหัสลับ

เมื่อต้องการกำหนดค่าคอมพิวเตอร์ไคลเอนต์

เมื่อต้องการกำหนดค่าคอมพิวเตอร์ไคลเอนต์สำหรับการรับรองความถูกต้องของ TLS ทำตามขั้นตอนเหล่านี้:

ขั้นตอนที่ 1: ขอใบรับรองคอมพิวเตอร์

  1. เริ่มโปรแกรม Internet Explorer และเข้า เยี่ยมชม http://servername/certsrv
  2. คลิก ดาวน์โหลดเป็น CA ใบรับรอง ห่วงโซ่ใบรับรอง หรือ CRL.
  3. คลิก การติดตั้งสายของใบรับรอง CA นี้ เมื่อต้องการกำหนดค่าคอมพิวเตอร์ไคลเอนต์ของคุณเชื่อถือใบรับรองทั้งหมดที่ออก โดยหน่วยงานจัดเก็บใบรับรองนี้
  4. คลิก ใช่ หากคุณได้รับพร้อมท์เพื่อเพิ่มใบรับรองจากไซต์เว็บหน่วยงานจัดเก็บใบรับรอง
  5. หลังจากที่คุณได้รับข้อความแสดงข้อความต่อไปนี้ ออกจาก Internet Explorer:
    ห่วงโซ่ใบรับรอง CA ได้ถูกติดตั้งเสร็จเรียบร้อยแล้ว
หมายเหตุ
  • คุณไม่จำเป็นต้องล็อกอินไปยังคอมพิวเตอร์ที่มีสิทธิ์ของผู้ดูแลระบบเพื่อดำเนินการนี้
  • คุณติดตั้งแบบลูกโซ่ใบรับรอง CA เพื่อให้แน่ใจว่า คอมพิวเตอร์ไคลเอนต์ที่รากของใบรับรองของเซิร์ฟเวอร์เทอร์มินัลที่เชื่อถือ ซึ่งหมายความ ว่า ใบรับรอง root CA ที่ออกใบรับรองของเซิร์ฟเวอร์เทอร์มินัลที่จัดเก็บไว้ในที่เก็บใบรับรองที่เชื่อถือได้รับรองหลักในเครื่องคอมพิวเตอร์ของคอมพิวเตอร์ไคลเอนต์ อาร์กิวเมนต์นี้จำเป็นสำหรับ TLS ที่จะใช้สำหรับการรับรองความถูกต้องของเซิร์ฟเวอร์เมื่อคอมพิวเตอร์ไคลเอนต์ที่เชื่อมต่อไปยังเซิร์ฟเวอร์เทอร์มินัล
  • คุณสามารถใช้ได้ การติดตั้งสายของใบรับรอง CA นี้ ตัวเลือกเพื่อสร้างความน่าเชื่อถือในการรับรองรองได้ถ้าคุณยังไม่ได้ใบรับรอง root CA ในที่เก็บใบรับรองของคุณ

ขั้นตอนที่ 2: กำหนดค่าการรับรองความถูกต้องบนคอมพิวเตอร์ไคลเอนต์

เมื่อต้องการกำหนดค่าการรับรองความถูกต้องบนคอมพิวเตอร์ไคลเอนต์ ใช้วิธีการใดวิธีการหนึ่งในวิธีต่อไปนี้
วิธีที่ 1: โดยใช้การเชื่อมต่อเดสก์ท็อประยะไกล
  1. เริ่มต้นการเชื่อมต่อเดสก์ท็อประยะไกล
  2. คลิก ตัวเลือกแล้ว คลิก รักษาความปลอดภัย แท็บ

    หมายเหตุ ที่ รักษาความปลอดภัย แท็บปรากฏขึ้นถ้าคุณติดตั้งการเชื่อมต่อเดสก์ท็อประยะไกลรุ่น Windows Server 2003 SP1
  3. ในการ รับรองความถูกต้อง รายการ คลิกหนึ่งในตัวเลือกต่อไปนี้:
    • ไม่มีการรับรองความถูกต้อง: นี่คือตัวเลือกเริ่มต้น ถ้าคุณเลือกตัวเลือกนี้ จะไม่มีรับรองเซิร์ฟเวอร์เทอร์มินัล
    • ความพยายามในการรับรองความถูกต้อง: หากคุณเลือกตัวเลือกนี้ และ ถ้าได้รับการสนับสนุน และได้ถูกกำหนดค่า TLS, TLS 1.0 จะใช้เพื่อการพิสูจน์ตัวจริงของเซิร์ฟเวอร์เทอร์มินัล

      ถ้าคุณคลิก ความพยายามในการรับรองความถูกต้องคุณสามารถเลือกที่จะดำเนินการเชื่อมต่อบริการเทอร์มินัล โดยไม่มีการรับรองความถูกต้องของ TLS ถ้าข้อผิดพลาดการรับรองความถูกต้องต่อไปนี้อย่างใดอย่างหนึ่งเกิดขึ้น:
      • ใบรับรองเซิร์ฟเวอร์จะหมดอายุแล้ว
      • ใบรับรองเซิร์ฟเวอร์ไม่ได้ออก โดยรากที่เชื่อถือใบรับรอง
      • ชื่อในใบรับรองไม่ตรงกับชื่อของคอมพิวเตอร์ไคลเอนต์
      การเชื่อมต่อบริการเทอร์มินัลล้มเหลวในการทำให้เกิดข้อผิดพลาดในการรับรองความถูกต้องอื่น ๆ
  4. จำเป็นต้องมีการรับรองความถูกต้อง: ถ้าคุณคลิกตัวเลือกนี้ TLS จะต้องการพิสูจน์ตัวจริงของเซิร์ฟเวอร์เทอร์มินัล ถ้าไม่มีสนับสนุน TLS หรือ TLS ไม่ได้รับการกำหนดค่าอย่างถูกต้อง ความพยายามในการเชื่อมต่อไม่สำเร็จ ตัวเลือกนี้จะพร้อมใช้งานสำหรับคอมพิวเตอร์ไคลเอนต์ที่เชื่อมต่อกับเซิร์ฟเวอร์เทอร์มินัลที่กำลังเรียกใช้ Windows Server 2003 SP1 เท่านั้น
หมายเหตุ คุณไม่จำเป็นต้องมีสิทธิ์ระดับผู้ดูแลเมื่อต้องการตั้งค่าคอนฟิกการเชื่อมต่อเดสก์ท็อประยะไกล นอกจากนี้ หลังจากที่คุณกำหนดค่าการเชื่อมต่อนี้ คุณสามารถบันทึกการเปลี่ยนแปลงเป็นแฟ้มเดสก์ท็อประยะไกล (.rdp) เมื่อต้องการกำหนดค่าคอมพิวเตอร์ไคลเอนต์อื่นเพื่อใช้การตั้งค่าความปลอดภัยที่คุณได้กำหนดค่า กระจายแฟ้ม.rdp ให้คอมพิวเตอร์เหล่านั้น

แฟ้ม.rdp ประกอบด้วยข้อมูลทั้งหมดสำหรับการเชื่อมต่อไปยังเซิร์ฟเวอร์เทอร์มินัล ซึ่งรวมถึงการตั้งค่าความปลอดภัยที่คุณตั้งค่าคอนฟิกในนั้น รักษาความปลอดภัย แท็บ คุณสามารถกำหนดเองของคุณเชื่อมต่อไปยังเซิร์ฟเวอร์เทอร์มินัลเฉพาะได้ ด้วยการสร้างแฟ้ม.rdp ต่าง ๆ ที่สอดคล้องกับการตั้งค่าที่คุณต้องการใช้เมื่อคุณเชื่อมต่อกับเซิร์ฟเวอร์เทอร์มินัลนั้น นอกจากนี้ คุณสามารถเปลี่ยนแปลงแฟ้ม.rdp โดยใช้ตัวแก้ไขใด ๆ ข้อความ เช่น Notepad เมื่อต้องการปรับเปลี่ยนการตั้งค่าการรักษาความปลอดภัยของแฟ้ม.rdp โดยใช้แผ่นจดบันทึก ทำตามขั้นตอนเหล่านี้:
  1. หาตำแหน่งที่ตั้งที่คุณต้องการแก้ไขแฟ้ม.rdp และเปิด โดยใช้แผ่นจดบันทึก
  2. ค้นหาบรรทัดระดับการรับรองความถูกต้องในแฟ้ม RDP
  3. ตั้งค่าระดับการรับรองความถูกต้องกับค่าใดค่าหนึ่งในค่าต่อไปนี้:
    • 0 ค่านี้สอดคล้องกับ "ไม่พิสูจน์ตัวจริง"
    • 1 ค่านี้สอดคล้องกับ "ต้องรับรองความถูกต้อง"
    • 2 ค่านี้สอดคล้องกับ "ความพยายามในการรับรอง"
    ตัวอย่างเช่น การกำหนดค่าการเชื่อมต่อเดสก์ท็อประระยะไกลให้ใช้การรับรองความถูกต้อง พิมพ์ ระดับการรับรองความถูกต้อง: i:1.
  4. บันทึกการเปลี่ยนแปลงไปยังแฟ้ม และจากนั้น ออกจาก Notepad
วิธีที่ 2: โดยใช้ตัวแก้ไขรีจิสทรี
  1. คลิก เริ่มคลิก เรียกใช้ชนิด regeditแล้ว คลิก ตกลง.
  2. ใช้วิธีการอย่างใดอย่างหนึ่งในวิธีต่อไปนี้:
    • เมื่อต้องการปรับเปลี่ยนการตั้งค่ารีจิสทรีสำหรับผู้ใช้ทั้งหมดที่เข้าสู่ระบบคอมพิวเตอร์ ค้นหา และคลิ กที่คีย์ย่อยของรีจิสทรีต่อไปนี้:
      ไคลเอ็นต์เซิร์ฟเวอร์ HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Terminal
    • เมื่อต้องการปรับเปลี่ยนการตั้งค่ารีจิสทรีสำหรับผู้ใช้สู่ระบบในปัจจุบันเท่านั้น ค้นหา และคลิ กที่คีย์ย่อยของรีจิสทรีต่อไปนี้:
      ไคลเอ็นต์เซิร์ฟเวอร์ HKEY_CURRENT_USER\Software\Microsoft\Terminal
  3. ในการ แก้ไข เมนู ชี้ไปที่ ใหม่แล้ว คลิก ค่า DWORD.
  4. ในการ ค่าใหม่ #1 กล่อง ชนิด AuthenticationLevelOverrideแล้ว กด ENTER
  5. คลิกขวา AuthenticationLevelOverrideแล้ว คลิก ปรับเปลี่ยน.
  6. ในการ ข้อมูลค่า กล่อง พิมพ์ค่าต่อไปนี้อย่างใดอย่างหนึ่ง และจากนั้น คลิก ตกลง:
    • 0 พิมพ์ค่านี้เพื่อกำหนดค่าระดับการรับรองความถูกต้องของ "ไม่พิสูจน์ตัวจริง"
    • 1 พิมพ์ค่านี้เพื่อกำหนดค่าระดับการรับรองความถูกต้องของ "ต้องรับรองความถูกต้อง"
    • 2 พิมพ์ค่านี้เพื่อกำหนดค่าระดับการรับรองความถูกต้องของ "ความพยายามในการรับรอง"
สำหรับข้อมูลเพิ่มเติมเกี่ยวกับระดับการรับรองความถูกต้องเหล่านี้ ให้ดู "วิธีที่ 1: โดยใช้การเชื่อมต่อเดสก์ท็อประยะไกล"ส่วน

หมายเหตุ
  • ถ้าคุณได้กำหนดค่าระดับการรับรองความถูกต้อง โดยใช้รีจิสทรี ผู้ใช้ที่กำลังเข้าสู่ระบบคอมพิวเตอร์ไคลเอนต์ไม่สามารถปรับเปลี่ยนการตั้งค่าการรับรองความถูกต้อง
  • ระดับการรับรองความถูกต้องที่คุณตั้งค่า โดยใช้คีย์ย่อยของรีจิสทรีไคลเอ็นต์เซิร์ฟเวอร์ HKEY_CURRENT_USER\Software\Microsoft\Terminal แทนระดับการรับรองความถูกต้องที่อาจถูกกำหนดค่าในคีย์ย่อยรีจิสทรีของไคลเอ็นต์เซิร์ฟเวอร์ HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Terminal

ข้อมูลอ้างอิง

สำหรับข้อมูลเพิ่มเติมเกี่ยวกับหัวข้อที่เกี่ยวข้อง แวะไปที่เว็บไซต์ต่อไปนี้ของ Microsoft:
http://www.microsoft.com/windowsserver2003/technologies/terminalservices/default.mspx

http://technet2.microsoft.com/WindowsServer/en/Library/9d47b6a2-3216-45fc-9bb8-41a7d89e42d11033.mspx

http://technet2.microsoft.com/windowsserver/en/library/590FCC3E-C54F-48B7-95F2-45EE2255FC111033.mspx

http://technet2.microsoft.com/windowsserver/en/library/32AACFE8-83AF-4676-A45C-75483545A9781033.mspx

คุณสมบัติ

หมายเลขบทความ (Article ID): 895433 - รีวิวครั้งสุดท้าย: 5 พฤศจิกายน 2555 - Revision: 4.0
ใช้กับ
  • Microsoft Windows Server 2003 Enterprise Edition
  • Microsoft Windows Server 2003 Standard Edition
  • Microsoft Windows Server 2003 Web Edition
  • Microsoft Windows Server 2003 Datacenter Edition
  • Microsoft Windows Server 2003, Datacenter Edition for Itanium-Based Systems
  • Microsoft Windows Server 2003, Enterprise Edition for Itanium-based Systems
Keywords: 
kbtermserv kbhowtomaster kbmt KB895433 KbMtth
แปลโดยคอมพิวเตอร์
ข้อมูลสำคัญ: บทความนี้แปลโดยซอฟต์แวร์การแปลด้วยคอมพิวเตอร์ของ Microsoft แทนที่จะเป็นนักแปลที่เป็นบุคคล Microsoft มีบทความที่แปลโดยนักแปลและบทความที่แปลด้วยคอมพิวเตอร์ เพื่อให้คุณสามารถเข้าถึงบทความทั้งหมดในฐานความรู้ของเรา ในภาษาของคุณเอง อย่างไรก็ตาม บทความที่แปลด้วยคอมพิวเตอร์นั้นอาจมีข้อบกพร่อง โดยอาจมีข้อผิดพลาดในคำศัพท์ รูปแบบการใช้ภาษาและไวยากรณ์ เช่นเดียวกับกรณีที่ชาวต่างชาติพูดผิดเมื่อพูดภาษาของคุณ Microsoft ไม่มีส่วนรับผิดชอบต่อความคลาดเคลื่อน ความผิดพลาดหรือความเสียหายที่เกิดจากการแปลเนื้อหาผิดพลาด หรือการใช้บทแปลของลูกค้า และ Microsoft มีการปรับปรุงซอฟต์แวร์การแปลด้วยคอมพิวเตอร์อยู่เป็นประจำ
ต่อไปนี้เป็นฉบับภาษาอังกฤษของบทความนี้:895433

ให้ข้อเสนอแนะ

 

Contact us for more help

Contact us for more help
Connect with Answer Desk for expert help.
Get more support from smallbusiness.support.microsoft.com