كيفية تكوين ملقم محطة طرفية Windows Server 2003 لاستخدام TLS مصادقة الملقم

ملخص

يمكنك الاتصال بكمبيوتر بعيد يقوم بتشغيل الخدمات الطرفية ل Microsoft Windows باستخدام اتصال "بروتوكول سطح المكتب البعيد". يوفر هذا النوع من الاتصال تشفير البيانات التي يتم إرسالها بين ملقم المحطة الطرفية والكمبيوتر العميل. ومع ذلك، لا يوفر هذا النوع من الاتصال المصادقة لملقم المحطة الطرفية. قد تحتاج إلى التأكد من مصادقة ملقم المحطة الطرفية بشكل صحيح قبل أن يمكنك الاتصال بها. للقيام بذلك، تكوين ملقم المحطة الطرفية استخدام أمان طبقة النقل (TLS) لمصادقة ملقم المحطة الطرفية وتشفير البيانات التي يتم إرسالها بين ملقم المحطة الطرفية والكمبيوتر العميل.

لتكوين اتصال TLS، يجب تكوين كل ملقم المحطة الطرفية والكمبيوتر العميل. لتكوين ملقم المحطة الطرفية، يجب تنفيذ كل من الخطوات التالية:
  • يجب تثبيت شهادة صالحة على ملقم المحطة الطرفية.
  • يجب تكوين إعدادات المصادقة باستخدام الأداة '"تكوين الخدمات الطرفية".
لتكوين جهاز الكمبيوتر العميل، يجب تنفيذ كل من الخطوات التالية:
  • يجب تكوين الكمبيوتر العميل الثقة جذر "المرجع المصدق" الذي أصدر شهادة ملقم المحطة الطرفية.
  • يجب تكوين إعدادات المصادقة للاتصال عن بعد باستخدام برنامج "الاتصال بسطح المكتب البعيد" أو من خلال تعديل التسجيل.

مقدمة

هام: يحتوي هذا المقطع أو الأسلوب أو المهمة على الخطوات التي توضح كيفية تعديل التسجيل. ومع ذلك، قد تحدث مشكلات خطيرة إذا قمت بتعديل التسجيل بشكل غير صحيح. لذلك، تأكد من اتباع الخطوات التالية بعناية. للحماية الإضافية، قم بعمل نسخة احتياطية للسجل قبل تعديله. بعد ذلك، يمكنك استعادة السجل في حالة حدوث مشكلة. لمزيد من المعلومات حول كيفية عمل نسخة احتياطية من السجل واستعادته، انقر فوق رقم المقالة التالية لعرضها في "قاعدة معارف Microsoft":
322756 كيفية عمل نسخة احتياطية من السجل واستعادته في نظام التشغيل Windows


إذا كنت تستخدم بروتوكول سطح المكتب البعيد (RDP) للاتصال بملقم محطة طرفية، RDP يوفر تشفير البيانات ولكن لا توفر المصادقة. ولذلك، لا يمكن التحقق من هوية ملقم المحطة الطرفية. يمكنك استخدام Microsoft Windows Server 2003 الخدمة service Pack 1 (SP1) جنبا إلى جنب مع الإصدار 1.0 من أمان طبقة النقل (TLS) للمساعدة في زيادة أمان ملقم المحطة الطرفية باستخدام TLS لمصادقة الخادم وتشفير الاتصالات ملقم المحطة الطرفية.

توضح هذه المقالة كيفية تكوين Windows Server 2003 SP1 باستخدام TLS 1.0 لمصادقة الخادم لتشفير الاتصالات ملقم المحطة الطرفية.

العودة إلى أعلى

المتطلبات الأساسية لتكوين مصادقة الملقم

بشكل افتراضي، يستخدم تشفير RDP الأصلية Terminal Server وﻻ يقوم بمصادقة الملقم. لاستخدام TLS لخادم المصادقة وتشفير الاتصالات ملقم المحطة الطرفية، يجب تكوين كل كمبيوتر الملقم والكمبيوتر العميل بشكل صحيح.

العودة إلى أعلى

متطلبات الملقم

لمصادقة TLS للعمل بشكل صحيح، يجب أن تفي الملقم الطرفي كل من المتطلبات التالية:
  • يجب تشغيل ملقم المحطة الطرفية في Windows Server 2003 SP1.
  • يجب الحصول على شهادة لملقم المحطة الطرفية. للحصول على شهادة، استخدم إحدى الطرق التالية:
    • قم بزيارة موقع ويب للمرجع المصدق. على سبيل المثال، قم بزيارة http://servername/certsrv.
    • تشغيل معالج طلب شهادة Windows Server 2003 أو معالج طلب شهادة ملقم Windows 2000.
    • الحصول على شهادة من مرجع مصدق من جهة خارجية ومن ثم تثبيت الشهادة يدوياً.
ملاحظة: إذا أردت الحصول على شهادة باستخدام صفحة ويب لخدمات شهادات Microsoft أو باستخدام "معالج طلب شهادة"، يجب تكوين بنية مفتاح عام (PKI) بشكل صحيح لشهادات X.509 الإصدار متوافق مع SSL بملقم المحطة الطرفية. يجب تكوين كل شهادة كما يلي:
  • يجب أن تكون الشهادة شهادة كمبيوتر.
  • يجب أن يكون الغرض المحدد للشهادة لمصادقة الخادم.
  • يجب أن يكون لديك الشهادة مفتاح خاص المطابق.
  • يجب تخزين ثيسيرتيفيكاتي في مخزن الشهادات حساب الكمبيوتر على ملقم المحطة الطرفية.

    ملاحظة: يمكنك عرض هذا المخزن باستخدام الأداة الإضافية الشهادات في وحدة التحكم بالإدارة ل Microsoft (MMC).
  • يجب أن تحتوي الشهادة موفر خدمة تشفير (CSP) التي يمكن استخدامها لبروتوكول TLS. على سبيل المثال، يجب استخدام الشهادة موفر خدمة تشفير مثل موفر التشفير القناة RSA Microsoft. لمزيد من المعلومات حول موفري خدمة التشفير ل Microsoft، قم بزيارة موقع Microsoft التالي على الويب:
العودة إلى أعلى

متطلبات العميل

لمصادقة TLS للعمل بشكل صحيح، يجب أن تفي الكمبيوتر عميل "خدمات المحطة الطرفية" المتطلبات التالية:
  • يجب تشغيل الكمبيوتر العميل Microsoft Windows 2000 أو نظام التشغيل Microsoft Windows XP.
  • يجب ترقية جهاز الكمبيوتر العميل استخدام البرنامج العميل RDP 5.2. البرنامج العميل RDP 5.2 تم تضمينه مع نظام التشغيل Windows Server 2003 SP1. يمكنك تثبيت هذه الحزمة العميل "الاتصال بسطح المكتب البعيد" باستخدام ملف %SYSTEMROOT%\System32\Clients\Tsclient\Win32\Msrdpcli.msi. يوجد ملف Msrdpcli.msi على ملقمات المحطة الطرفية المستندة إلى Windows Server 2003. إذا قمت بتثبيت هذا الملف من ملقم المحطة الطرفية، يتم تثبيت إصدار RDP 5.2 "اتصال" سطح المكتب "البعيد" في مجلد سطح المكتب البعيد %SYSTEMDRIVE%\Program على الكمبيوتر الوجهة. لمزيد من المعلومات حول البعيد سطح المكتب الاتصال ل Windows Server 2003، قم بزيارة موقع Microsoft التالي على الويب:
  • يجب أن كمبيوتر العميل الثقة جذر "المرجع المصدق" شهادة ملقم المحطة الطرفية. ولذلك، يجب أن يكون الكمبيوتر العميل شهادة "المرجع المصدق" في مجلد "المراجع المصدقة الشهادات الجذر الموثوق بها" للكمبيوتر العميل. يمكنك عرض هذا المجلد باستخدام الأداة الإضافية "الشهادات".
العودة إلى أعلى

لتكوين ملقم المحطة الطرفية

لتكوين ملقم المحطة الطرفية لمصادقة TLS، اتبع الخطوات التالية:

الخطوة 1: تطلب شهادة للكمبيوتر

إذا كان ليس لديك شهادة كمبيوتر يلبي المتطلبات الموضحة في قسم "المتطلبات المسبقة لتكوين مصادقة الخادم"، الحصول على وتثبيت واحدة. للقيام بذلك، استخدم إحدى الطرق التالية.

العودة إلى أعلى
الطريقة الأولى: باستخدام موقع ويب للمرجع المصدق
تصف الخطوات التالية كيفية الحصول على شهادة من "مرجع مصدق" مستقل في Windows Server 2003. يمكنك أيضا طلب شهادة من المرجع المصدق ل Windows 2000. بالإضافة إلى ذلك، يجب قراءة الأذونات وأذونات التسجيل في ملف قالب الشهادة لطلب شهادة بنجاح. استخدم هذه الطريقة إذا كان واحد أو أكثر من الشروط التالية صحيحاً:
  • تحتاج إلى الحصول على شهادة من مرجع مصدق مستقل.
  • تحتاج إلى الحصول على شهادة استناداً إلى قالب شهادة الذي تم تكوينه للحصول على اسم الموضوع من الموضوع.
  • تحتاج إلى الحصول على شهادة يتطلب موافقة المسؤول قبل إصدار الشهادة.
للحصول على شهادة، اتبع الخطوات التالية:
  1. بدء تشغيل برنامج Microsoft Internet Explorer، ثم قم بزيارة http://servername/certsrv، حيث أن servername هو اسم الملقم الذي يقوم بتشغيل خدمات شهادة Microsoft.
  2. تحت اختر مهمة، انقر فوق طلب شهادة.
  3. انقر فوق طلب شهادة متقدمة، وفوق إنشاء وإرسال طلب إلى المرجع المصدق CA هذا.
  4. اكتب معلومات التعريف الخاصة بك في المربعات الموجودة أسفل تحديد المعلوماتومن ثم انقر فوق شهادة مصادقة الملقم في القائمة نوع الشهادة المطلوب .
  5. اترك تحديد الخيار تعيين إنشاء مفتاح جديد , وفوق موفر التشفير شاننيل RSA Microsoft في القائمة CSP .

    ملاحظة: يدعم موفر خدمة التشفير اشتقاق المفتاح لبروتوكولات SSL2 PCT1، SSL3 و TLS1.
  6. اترك الخيار الصرف المحدد إلى جانب استخدام المفتاح. يشير هذا الخيار إلى أنه يمكن استخدام المفتاح الخاص لتمكين تبادل المعلومات الهامة.
  7. انقر لتحديد خانة الاختيار وضع علامة المفاتيح على أنها قابلة للتصدير . عند القيام بذلك، يمكنك حفظ المفتاح العام والمفتاح الخاص في ملف PKCS #12. لذلك، يمكنك نسخ هذه الشهادة إلى كمبيوتر آخر.
  8. انقر لتحديد خانة الاختيار تخزين الشهادة في مخزن الشهادات في الكمبيوتر المحلي ، ومن ثم انقر فوق إرسال.

    هام: لمصادقة TLS للدالة، يجب تخزين الشهادة في مخزن الشهادات في الكمبيوتر المحلي.
  9. في حالة ظهور صفحة ويب إصدار الشهادة ، انقر فوق تثبيت هذه الشهادة. في حالة ظهور صفحة ويب تعليق الشهادة ، يجب الانتظار حتى يوافق مسؤول طلب الشهادة. في هذا السيناريو، يجب زيارة موقع "ويب لخدمات الشهادات" للحصول على وتثبيت هذه الشهادة مرة أخرى.
العودة إلى أعلى
الطريقة الثانية: باستخدام "معالج طلب شهادة"
تصف الخطوات التالية كيفية الحصول على شهادة من مرجع مصدق Windows Server 2003. يمكنك أيضا طلب شهادة من المرجع المصدق ل Windows 2000. بالإضافة إلى ذلك، يجب قراءة الأذونات وأذونات التسجيل في ملف قالب الشهادة لطلب شهادة بنجاح. استخدم هذه الطريقة إذا كان واحد أو أكثر من الشروط التالية صحيحاً:
  • تحتاج إلى طلب شهادة من "المرجع المصدق للمؤسسة".
  • تحتاج إلى طلب شهادة استناداً إلى قالب حيث يتم إنشاء اسم الموضوع من قبل Windows.
  • تحتاج إلى الحصول على شهادة لا يتطلب موافقة المسؤول قبل إصدار الشهادة.
للحصول على شهادة، اتبع الخطوات التالية:
  1. انقر فوق ابدأ، ثم انقر فوق تشغيل، واكتب mmc ثم انقر فوق موافق.
  2. من القائمة ملف ، انقر فوق إضافة/إزالة أداة إضافية.
  3. انقر فوق إضافة، انقر فوق الشهادات، ومن ثم انقر فوق إضافة.
  4. انقر فوق حساب الكمبيوتر، ومن ثم انقر فوق التالي.
  5. إذا كنت تريد إضافة شهادة إلى الكمبيوتر المحلي، انقر فوق الكمبيوتر المحلي. إذا كنت تريد إضافة شهادة إلى كمبيوتر بعيد، انقر فوق كمبيوتر آخر، وثم اكتب اسم الكمبيوتر البعيد في المربع كمبيوتر آخر .
  6. انقر فوق إنهاء.
  7. في مربع الحوار إضافة أداة إضافية مستقلة ، انقر فوق إغلاق، ومن ثم انقر فوق "موافق" في مربع الحوار إضافة/إزالة أداة إضافية .
  8. ضمن جذر وحدة التحكم، انقر فوق الشهادات (الكمبيوتر المحلي).

    ملاحظة: إذا قمت بتكوين MMC الشهادات الأداة الإضافية لإدارة كمبيوتر بعيد، انقر فوق الشهادات (اسم الملقم) بدلاً من الشهادات (الكمبيوتر المحلي).
  9. من القائمة عرض ، انقر فوق خيارات.
  10. في مربع الحوار خيارات العرض ، انقر فوق الغرض من الشهادة، ومن ثم انقر فوق موافق.
  11. في الجزء الأيسر، انقر بالزر الأيمن مصادقة الملقم، أشر إلى كافة المهام، ومن ثم انقر فوق طلب شهادة جديدة.
  12. في "معالج طلب شهادة" الذي يبدأ به، انقر فوق التالي.
  13. في القائمة أنواع الشهادات ، انقر فوق مصادقة الملقم، انقر لتحديد خانة الاختيار خيارات متقدمة ، وثم انقر فوق التالي.
  14. في قائمة موفري خدمة التشفير ، انقر فوق موفر التشفير القناة RSA Microsoft.

    ملاحظة: يدعم موفر خدمة التشفير اشتقاق المفتاح لبروتوكولات SSL2 PCT1، SSL3 و TLS1.
  15. اترك الخيار الافتراضي من 1024 تحديد طول مفتاح القائمة، أو انقر فوق طول المفتاح الذي تريد استخدامه.
  16. انقر لتحديد خانة الاختيار وضع علامة هذا المفتاح على أنه قابل للتصدير . عند القيام بذلك، يمكنك حفظ المفتاح العام والمفتاح الخاص في ملف PKCS #12. لذلك، يمكنك نسخ هذه الشهادة إلى كمبيوتر آخر.
  17. إذا كنت تريد تمكين "حماية المفتاح الخاص الشديدة"، انقر لتحديد خانة الاختيار تمكين الحماية الشديدة للمفتاح الخاص .
  18. انقر فوق التالي، اكتب اسم "المرجع المصدق" الخاص بك في مربع المرجع المصدق ، انقر فوق التالي، اكتب اسماً لهذه الشهادة في المربع اسم مألوف ، انقر فوق التالي، وثم انقر فوق إنهاء.
العودة إلى أعلى
الطريقة الثالثة: باستخدام مرجع مصدق من جهة خارجية
الحصول على وتثبيت شهادة من مرجع مصدق من جهة خارجية.

العودة إلى أعلى

خطوة 2: تكوين التشفير والمصادقة TLS

يمكنك تكوين إعدادات التشفير على ملقم المحطة الطرفية باستخدام "نهج المجموعة". ومع ذلك، لا يمكنك استخدام "نهج المجموعة" لتكوين إعدادات المصادقة على ملقم المحطة الطرفية. ولذلك، يصف هذا القسم كيفية تكوين المصادقة والتشفير باستخدام الأداة '"تكوين الخدمات الطرفية". ل TLS ليعمل بشكل صحيح على خادم المحطة طرفية، يجب تكوين كافة العناصر التالية في علامة التبويب عام من مربع الحوار خصائص RDP Tcp :
  • يجب تحديد شهادة تفي بالمتطلبات المذكورة في قسم "المتطلبات المسبقة الخادم".
  • عليك تعيين قيمة طبقة الأمان إلى مفاوضة أو SSL.
  • عليك تعيين قيمة مستوى التشفير إلى مرتفعأو يجب تمكين المعلومات معالجة مقياس الفيدرالي (FIPS)-متوافق مع التشفير.

    ملاحظة: يمكنك أيضا تمكين التشفير المتوافق مع FIPS باستخدام "نهج المجموعة". ومع ذلك، لا يمكنك تمكين TLS باستخدام "نهج المجموعة".
ملاحظة: إذا تم تمكين مصادقة TLS في مزرعة دليل جلسة عمل، يجب تكوين أحد الإعدادات التالية على كل من الملقمات الأعضاء المزرعة دليل جلسة العمل:
  • تعيين قيمة طبقة الأمان إلى SSL.
  • تعيين قيمة طبقة الأمان إلى مفاوضة. إذا قمت بتعيين طبقة الأمان إلى مفاوضة، يتم تمكين مصادقة TLS فقط إذا كان الكمبيوتر العميل يدعم مصادقة TLS.
لتكوين التشفير والمصادقة TLS على الملقم، اتبع الخطوات التالية:
  1. بدء تشغيل أداة "تكوين الخدمات الطرفية". للقيام بذلك، انقر فوق ابدأوأشر إلى أدوات إدارية، وثم انقر فوق تكوين الخدمات الطرفية.
  2. في الجزء الأيمن، انقر فوق " الاتصالات".
  3. في الجزء الأيسر، انقر نقراً مزدوجاً فوق الاتصال الذي تريد تكوينه، ومن ثم انقر فوق خصائص.
  4. في التبويب عام ، انقر فوق تحرير إلى جانب الشهادة.
  5. في مربع الحوار تحديد شهادة ، انقر فوق الشهادة التي تريد استخدامها.

    ملاحظة: مصادقة الخادم يجب أن تظهر في العمود مخصص الغرض لهذه الشهادة. بالإضافة إلى ذلك، يجب أن تكون هذه الشهادة شهادة X.509 باستخدام مفتاح خاص المطابق. لتحديد ما إذا كانت الشهادة بمفتاح خاص، انقر فوق عرض الشهادة. يظهر نص الرسالة التالية أسفل معلومات الشهادة:
    لديك مفتاح خاص الذي يتوافق مع هذه الشهادة.
    انقر فوق موافق.
  6. انقر فوق موافق.
  7. في القائمة أمان الطبقة ، انقر فوق أحد الخيارات التالية:
    • التفاوض: يستخدم هذا الأسلوب الأمن TLS 1.0 لمصادقة الملقم إذا لم يتم اعتماد TLS. إذا لم يتم اعتماد TLS، لا يتم مصادقة الملقم.
    • طبقة أمان RDP: يستخدم هذا الأسلوب الأمان تشفير "بروتوكول سطح المكتب البعيد" للمساعدة في تأمين الاتصالات بين الكمبيوتر العميل والخادم. إذا قمت بتحديد هذا الإعداد، لا يتم مصادقة الملقم.
    • SSL: تتطلب هذه الطريقة الأمان TLS 1.0 مصادقة الملقم. إذا لم يتم اعتماد TLS، لا يمكن تأسيس اتصال بالملقم. يتوفر هذا الأسلوب فقط إذا قمت بتحديد شهادة صالحة.
    ملاحظة: إذا نقرت فوق مفاوضة أو SSL في قائمة طبقة الأمان ، يجب أيضا تكوين أحد الإجراءات التالية:
    • تعيين مستوى التشفير إلى عالي.
    • تكوين التشفير المتوافق مع FIPS.
  8. في قائمة مستوى التشفير ، انقر فوق أحد الخيارات التالية:
    • المتوافقة مع FIPS: إذا كنت تستخدم هذا الإعداد، أو إذا قمت بتعيين تشفير النظام: استخدام المتوافقة مع fips من أجل التشفير, والتجزئة، والتوقيع الخيار باستخدام "نهج المجموعة"، بيانات مشفرة وفك تشفيرها بين الكمبيوتر العميل والخادم الذي يحتوي خوارزميات FIPS 140-1 التشفير باستخدام وحدات التشفير ل Microsoft.
    • عالية إذا كنت تستخدم هذا الإعداد، يتم تشفير البيانات المرسلة بين الكمبيوتر العميل والملقم باستخدام تشفير 128 بت.
    • متوافق مع العميل إذا كنت تستخدم هذا الإعداد، يتم تشفير البيانات المرسلة بين الكمبيوتر العميل والملقم ثم باستخدام الحد الأقصى قوة المفتاح معتمد من قبل الكمبيوتر العميل.
    • منخفض إذا كنت تستخدم هذا الإعداد، يتم تشفير البيانات المرسلة بين الكمبيوتر العميل والملقم باستخدام تشفير 56 بت.

      ملاحظة: لا يتوفر هذا الخيار عند النقر فوق SSL في قائمة طبقة الأمان .
  9. انقر لتحديد خانة الاختيار تسجيل الدخول باستخدام Windows القياسي واجهة لتحديد أن المستخدمين تسجيل الدخول إلى ملقم المحطة الطرفية بكتابة بيانات الاعتماد الخاصة بهم في مربع الحوار تسجيل الدخول إلى Windows الافتراضي.
  10. انقر فوق موافق.
ملاحظة:
  • لتكوين هذه الخيارات، يجب أن تكون عضوا من مجموعة المسؤولين على الكمبيوتر المحلي أو يجب أن يكون تفويض الحقوق المناسبة. إذا كان الكمبيوتر منضماً إلى مجال، الأعضاء في مجموعة Domain Admins الأمان الأذونات الكافية لاتباع هذه الخطوات.
  • تجاوز مستويات التشفير التي يمكنك تكوينها باستخدام "نهج المجموعة" خيارات التكوين التي قمت بتعيينها باستخدام الأداة '"تكوين الخدمات الطرفية". بالإضافة إلى ذلك، إذا قمت بتمكين تشفير النظام: استخدام المتوافقة مع fips من أجل التشفير, والتجزئة، والتوقيع السياسة، تشفير النظام: استخدام المتوافقة مع fips من أجل التشفير, والتجزئة، والتوقيع نهج يتجاوز إعداد مجموعة تشفير اتصال عميل "نهج المجموعة" مستوى.
  • عندما تقوم بتغيير مستوى التشفير، مستوى التشفير الجديدة التي قمت بتكوين ساري المفعول في المرة التالية التي يتم تسجيل دخول مستخدم. إذا كنت تحتاج إلى عدة مستويات التشفير، تثبيت محولات شبكة اتصال متعددة، ثم قم بتكوين كل محول شبكة اتصال مع مستوى تشفير مختلفة.
العودة إلى أعلى

لتكوين جهاز الكمبيوتر العميل

لتكوين جهاز الكمبيوتر العميل للمصادقة TLS، اتبع الخطوات التالية:

الخطوة 1: تطلب شهادة للكمبيوتر

  1. بدء تشغيل Internet Explorer، ثم قم بزيارة http://servername/certsrv.
  2. انقر فوق تحميل شهادة المرجع المصدق أو سلسلة شهادات, أو CRL.
  3. انقر فوق تثبيت سلسلة شهادات المرجع المصدق هذا لتكوين جهاز الكمبيوتر العميل للوثوق بالشهادات التي تم إصدارها من قبل المرجع المصدق.
  4. انقر فوق نعم إذا تم مطالبتك بإضافة الشهادات من موقع "ويب المرجع المصدق".
  5. بعد ظهور الرسالة التالية، قم بإنهاء برنامج Internet Explorer:
    تم بنجاح تثبيت سلسلة شهادات المرجع المصدق.
ملاحظة:
  • ليس لديك لتسجيل الدخول إلى الكمبيوتر الذي لديه امتيازات إدارية لإجراء هذه العملية.
  • تثبيت سلسلة شهادات المرجع المصدق للتأكد من أن أجهزة الكمبيوتر العميلة الثقة جذر شهادة ملقم المحطة الطرفية. وهذا يعني أنه يتم تخزين الشهادة الجذر CA الذي أصدر شهادة ملقم المحطة الطرفية في مخزن شهادات "المراجع المصدقة الجذر الموثوق بها" الكمبيوتر المحلي للكمبيوتر العميل. هذا مطلوب ل TLS استخدامه لمصادقة الملقم عند الاتصال بملقم المحطة الطرفية أجهزة الكمبيوتر العميلة.
  • يمكنك استخدام خيار تثبيت هذه سلسلة شهادات المرجع المصدق لتأسيس الثقة في مرجع مصدق ثانوي إذا لا تملك حاليا شهادة المرجع المصدق الجذر في مخزن الشهادات الخاص بك.
العودة إلى أعلى

خطوة 2: تكوين المصادقة على كمبيوتر عميل

لتكوين مصادقة على كمبيوتر عميل، استخدم إحدى الطرق التالية.
الطريقة الأولى: باستخدام "اتصال سطح المكتب البعيد"
  1. بدء تشغيل "اتصال سطح المكتب البعيد".
  2. انقر فوق خيارات، ومن ثم انقر فوق علامة التبويب أمان .

    ملاحظة: يظهر التبويب أمان إذا قمت بتثبيت إصدار Windows Server 2003 SP1 "اتصال" سطح المكتب "البعيد".
  3. في القائمة المصادقة ، انقر فوق أحد الخيارات التالية:
    • لا توجد مصادقة: هذا هو الخيار الافتراضي. إذا قمت بتحديد هذا الخيار، لا يتم مصادقة ملقم المحطة الطرفية.
    • محاولة المصادقة: إذا قمت بتحديد هذا الخيار وإذا TLS معتمد وتكوينها بشكل صحيح، يتم استخدام TLS 1.0 مصادقة ملقم المحطة الطرفية.

      إذا نقرت فوق محاولة المصادقة، فيمكنك متابعة الاتصال "الخدمات الطرفية" بدون مصادقة TLS في حالة حدوث أحد الأخطاء المصادقة التالية:
      • انتهت مدة صلاحية شهادة الملقم.
      • شهادة الملقم ليست صادرة عن مرجع مصدق جذر موثوق به.
      • لا يطابق الاسم الموجود في الشهادة اسم الكمبيوتر العميل.
      تتسبب أخطاء المصادقة الأخرى اتصال "الخدمات الطرفية" الفشل.
  4. تتطلب مصادقة: إذا نقرت فوق هذا الخيار، TLS مطلوب مصادقة ملقم المحطة الطرفية. إذا لم يتم اعتماد TLS، أو إذا لم يتم تكوين TLS بشكل صحيح، محاولة الاتصال غير ناجح. يتوفر هذا الخيار فقط لأجهزة الكمبيوتر العميلة الاتصال بالخوادم الطرفية التي تقوم بتشغيل Windows Server 2003 SP1.
ملاحظة: ليس لديك حقوق إدارية لتكوين "الاتصال بسطح المكتب البعيد". بالإضافة إلى ذلك، بعد تكوين هذا الاتصال، يمكنك حفظ التغييرات كملف "سطح المكتب البعيد" (.rdp). لتكوين أجهزة الكمبيوتر العميل لاستخدام إعدادات الأمان التي تم تكوينها، توزيع ملف.rdp لأجهزة الكمبيوتر هذه.

يتضمن ملف &.rdp& كافة المعلومات للاتصال بملقم المحطة الطرفية. يتضمن هذا إعدادات الأمان التي قمت بتكوين علامة التبويب أمان . يمكنك تخصيص الاتصالات بملقم محطة طرفية معينة عن طريق إنشاء ملفات.rdp المختلفة التي تتوافق مع الإعدادات التي تريد استخدامها عند الاتصال بهذا الملقم الطرفي. بالإضافة إلى ذلك، يمكنك تغيير ملف.rdp باستخدام أي محرر نصوص، مثل "المفكرة". لتعديل إعدادات الأمان لملف.rdp باستخدام "المفكرة"، اتبع الخطوات التالية:
  1. حدد موقع ملف.rdp التي تحتاج إلى تعديل، وفتح باستخدام المفكرة.
  2. حدد موقع السطر مستوى المصادقة في ملف RDP.
  3. تعيين قيمة مستوى المصادقة إلى إحدى القيم التالية:
    • 0 يتوافق مع هذه القيمة إلى "لا مصادقة".
    • 1 يتوافق مع هذه القيمة إلى "تتطلب المصادقة".
    • 2 يتوافق مع هذه القيمة إلى "محاولة المصادقة."
    على سبيل المثال، لتكوين "اتصال سطح المكتب البعيد" لطلب المصادقة، اكتب مستوى المصادقة: i:1.
  4. حفظ التغييرات إلى الملف، ثم قم بإنهاء برنامج "المفكرة".
العودة إلى أعلى
الطريقة الثانية: باستخدام "محرر التسجيل"
  1. انقر فوق ابدأ، ثم انقر فوق تشغيل، اكتب regedit، وثم انقر فوق موافق.
  2. استخدم إحدى الطرق التالية:
    • لتعديل إعدادات التسجيل لكافة المستخدمين الذين يسجلون الدخول إلى الكمبيوتر، حدد موقع ومن ثم انقر فوق مفتاح التسجيل الفرعي التالي:
      عميل ملقم HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Terminal
    • لتعديل إعدادات التسجيل الخاصة بالمستخدم المسجل للدخول حاليا فقط، حدد موقع ثم انقر فوق مفتاح التسجيل الفرعي التالي:
      عميل ملقم HKEY_CURRENT_USER\Software\Microsoft\Terminal
  3. من القائمة تحرير ، أشر إلى جديد، ومن ثم انقر فوق قيمة DWORD.
  4. في المربع قيمة جديدة #1 ، اكتب أوثينتيكاتيونليفيلوفيريدي، ومن ثم اضغط ENTER.
  5. انقر نقراً مزدوجاً فوق أوثينتيكاتيونليفيلوفيريدي، ومن ثم انقر فوق تعديل.
  6. في المربع " بيانات القيمة "، اكتب إحدى القيم التالية ومن ثم انقر فوق موافق:
    • اكتب 0 هذه القيمة تكوين مستوى مصادقة "لا مصادقة".
    • 1 اكتب هذه القيمة تكوين مستوى مصادقة "تتطلب المصادقة".
    • 2 اكتب هذه القيمة تكوين مستوى مصادقة "محاولة المصادقة."
لمزيد من المعلومات حول مستويات مصادقة هذه، راجع "" الطريقة الأولى ": باستخدام" اتصال سطح المكتب البعيد "" المقطع.

ملاحظة:
  • إذا قمت بتكوين مستوى مصادقة باستخدام التسجيل، المستخدمين الذين تم تسجيل دخولهم إلى الكمبيوتر العميل لا يمكن تعديل إعدادات المصادقة.
  • مستوى المصادقة التي قمت بتعيينها باستخدام المفتاح الفرعي للتسجيل عميل ملقم HKEY_CURRENT_USER\Software\Microsoft\Terminal يتجاوز مستوى مصادقة قد يتم تكوين مفتاح التسجيل الفرعي عميل ملقم HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Terminal.
العودة إلى أعلى
خصائص

رقم الموضوع: 895433 - آخر مراجعة: 15‏/01‏/2017 - المراجعة: 1

تعليقات