Встановлення шлюзу шлюзу віддаленого робочого столу на сервері Windows

Віддалений шлюз робочого столу Це одна з служб віддалених служб настільних комп'ютерів у Windows Server для організації безпечного доступу від Інтернету до служб робочого столу та опублікованої RemoteApp через HTTPS Gateway. Сервер з роллю RD Gateway виступає посередником між зовнішніми клієнтами та послугами RDS, розгорнутими всередині. При використанні RDGW користувачам не потрібно налаштувати VPN для підключення до RDS в корпоративній мережі. Для підключення використовується стандартне клієнтське дистанційне настільне з'єднання (MSTSC.exe). У цій статті ми розглядаємо процес розгортання шлюзу шлюзу віддаленого настільного на Windows Server 2019 (інструкція застосовна для Windows Server 2022/2016 та 2012 R2).

Зміст:

• Встановлення ролі RDS-Gateway у Windows Server
• Налаштування політики доступу до шлюзу RDS
• SSL SSL SSL для шлюзу віддаленого робочого столу
• Клієнт RDP Налаштування для підключення шлюзу шлюзу RD

Встановлення ролі RDS-Gateway у Windows Server

Служба шлюзу віддалених настільних комп'ютерів не є обов'язковим компонентом ферми RDS, тому його потрібно встановити окремо. У більшості випадків рекомендується використовувати окремий сервер для розгортання RDGW або ви можете поєднати його з RDWeb.

Передбачається, що ваша мережа вже розгорнута за допомогою Catalogs Active Directory та RDS Servers Farm.

Ви можете встановити роль Віддалений шлюз робочого столу Через менеджер серверів (додайте ролі та функції -> Роль сервера -> Послуги віддаленого робочого столу) або використання PowerShell.

При встановленні сервісу RDGW сервер IIS та роль NPS (сервер мережевої політики) також встановлюються.

Переконайтесь, що роль RDS-Gateway встановлена:

Get-windowsfeature rds*

Або встановіть роль у Windows Server за допомогою команди Install-WindowsFeature:

Встановити -windowsfeature rds -gateway -includeallsubfeature -inkludemanagementtools

Створіть групи доступу в Active Directory за допомогою консолі ADUC або за допомогою PowerShell:

• RdgwextUsers - група користувачів, яким дозволяється автентувати на RDGW;
• Rdgwexternaladmins - група для доступу до термінальних серверів через RDGW;
• MSK-RDS-FARM-SHOTE включає всіх хостів брокера RDSH та RD Conneciton, які ви хочете, щоб ви могли підключитися через шлюз віддаленого робочого столу.

Налаштування політики доступу до шлюзу RDS

Консоль використовується для управління політиками та доступу до правил для RDGW RD Manager Manager (Tsgateway.MSC). Тут потрібно налаштувати два типи політиків:

• Політика дозволу на зв’язок (RD CAP) - Визначте, кому дозволено увійти на шлюз RDS;
• Політика авторизації ресурсів (RD RAP)- Визначте, кому та які ресурси (комп'ютери) внутрішньої мережі дозволяють підключитися через RDGW.

Спочатку створити політику RD CAP:

1. Розширити політику -> Політика авторизації з'єднання та виберіть Створити новий пункт меню політики -> Майстер;
2. Вкажіть назву політики (rdgwextUsers);
3. Виберіть тип аутентифікації (за паролем та/або смарт -карткою), вкажіть групу користувачів, яким дозволяється автентувати на RDGW;
4. У вікні «Увімкнути або відключити» для перенаправлення пристрою ви можете вказати, які пристрої дозволяють кидати сеанс у RDP (обмінний буфер, принтер, локальні колеса тощо.D.);
5. Далі ви можете налаштувати Timauts для сеансів RDP;
6. Підтвердити створення політики.

Ви також можете створити політику доступу до клієнта RDGW за допомогою PowerShell:

Імпорт -модуль -Name remotedesktopservices
Новий -item -path 'rds: \ stocewayserver \ cap' -name 'rdgwalllolololololololololowt -cap' -usergroups rdgwextusers -authmethod '1'

Потім створіть реп -політику RD:

1. На консолі Manager Gateway RD виберіть політику -> Політика авторизації ресурсів та виберіть елемент меню «Створити новий меню політики» -> Майстер;
2. Вкажіть назву політики: rdgwexternaladmins;
3. Вкажіть назву групи, яка дозволяється підключитися до внутрішніх ресурсів RDS;
4. На вкладці Мережеві ресурси вам потрібно вказати, які RDS-сервери дозволяють підключитися до зовнішніх користувачів (MSK-RDS-Farm);
5. Далі вкажіть порти, дозволені для підключення. Рекомендується відкрити лише стандартний порт RDP 3389. Але ви можете відкрити додаткові порти;
6. Політика готова.

Правило репу також можна створити за допомогою PowerShell:
Новий -ite -path rds: \ stocewayserver \ rap -name dailyextadadminminminminminminminminminminmorups [email protected] -computergrouptype 1 -computergroup msk -rds [email protected]

SSL SSL SSL для шлюзу віддаленого робочого столу

Щоб захистити підключення до шлюзу RDS, вам потрібно встановити на ньому сертифікат. Оптимально використовувати комерційний сертифікат, виданий зовнішнім сертифікаційним центром. Можна використовувати безкоштовний сертифікат SSL Letcrypt (встановлення сертифікату Encrypt на IIS для шлюзу віддаленого робочого столу). Ви також можете скористатися самооціненим сертифікатом SSL Windows, але тут пам’ятайте, що зовнішні клієнти повинні обов'язково довіряти такому сертифікаті. Якщо клієнт не довіряє сертифікату на сервері RDGW, він не зможе підключитися до шлюзу (сертифікати SSL, які мають бути імпортовані вручну або через GPO) .

Ім'я теми (CN) або Сертифікат альтернативного імені теми повинно містити назву DNS сервера RDGW, яке буде використовуватися для підключення зовнішніми клієнтами (доступні з Інтернету).

1. Відкрийте властивості сервера RDGW на консолі шлюзу RD та перейдіть на вкладку сертифіката SSL;
2. У цьому прикладі ми використовуємо самооцінений сертифікат. Виберіть Створити самооцінений сертифікат -> Створити та імпортувати сертифікат;
3. Вкажіть ім'я сертифіката (цей DNS буде використаний вашими клієнтами для підключення до RDGW) та каталогу, в якому потрібно зберегти сертифікат (цей сертифікат повинен бути розширений на клієнтів);

Windows Server 2019 для підключення до Rdgateway використовував такі порти:

• Httpport (за замовчуванням) - 443/TCP
• Udpport (за замовчуванням) - 3391/UDP (Використання протоколу транспорту UDP не є необхідним, але його підтримка може значно покращити продуктивність тунелю та якість зображення на сеансі RDP)

Не забудьте відкрити (скинути) ці порти на вашому хості RDGW на мережевому обладнанні.

Відкрийте консоль менеджера RDGW і переконайтесь, що немає помилок та всіх зелених балів.

Клієнт RDP Налаштування для підключення шлюзу шлюзу RD

Тепер ви можете налаштувати клієнт «Віддалений настільний підключення» для підключення віддалених настільних комп'ютерів до внутрішніх хостів RDS.

Якщо ви використовуєте сертифікат Sappered на RDGW, вам потрібно розмістити його на довірених кореневих сертифікатах (надійних авторів сертифікації) на клієнта. См. Стаття про оновлення кореневих сертифікатів у Windows.

1. Запустіть клієнта MSTSC.Екзе ;
2. На вкладці Загальний Вкажіть ім'я RDSH хоста, RDS ферми або комп'ютера, до якого ви хочете підключитися через RDP (ви також можете вказати ім'я користувача та використовувати збережені облікові записи для з'єднання RDP);
3. Потім перейдіть на вкладку Просунутий і натисніть кнопку Налаштування У розділі Connect з будь -якого місця (налаштування налаштувань для підключення через шлюз віддаленого настільного столу, коли я працюю віддалено);
4. Виберіть опцію Використовуйте налаштування сервера шлюзу Thuse RD, Вкажіть зовнішнє ім'я DNS, для якого доступний ваш сервер RDGW (я нагадую, що це ім'я повинно бути вказано в сертифікаті).Якщо ви використовуєте не стандартний порт для RDGW, він повинен бути вказаний після імені сервера через кишку, наприклад: GW.Winitpro.RU: 4443;
5. Щоб клієнт не вимагав пароля двічі під час з'єднання, увімкніть опцію Використовуйте мої облікові дані шлюзу RD для віддаленого комп'ютера;
6. Натисніть кнопку Підключення та введіть пароль для підключення до сервера RDGW у вікні облікових даних сервера RD Servway;
7. Клієнт повинен встановити з'єднання з хостом RDS/RDP у вашій локальній мережі;
8. Запустіть консоль Manager Gateway RD, перейдіть до розділу моніторингу та перевірте, чи відображається ваш клієнт у списку.

Якщо ви використовуєте утиліту RDCMAN для з'єднань RDP, параметри шлюзу RD можна встановити на вкладці Розетка шлюзів. Увімкніть опцію Використовуйте сервер шлюзу TS і вкажіть параметри з'єднання.

Ви можете відстежувати успішне та невдале з'єднання користувачів через RDGW за допомогою подій журналів додатків та послуг -> Microsoft -> Microsoft -Windows -TerminalServices -Gateway -> Операції.

Аналізуючи з'єднання RDP на серверах, ці журнали дозволяють зрозуміти, хто, коли і де він підключений.
З успішним підключенням користувача через RDGW, подія з ідентифікатором події 205 з джерела TerminalService-Gateway з’явиться в журналі

Користувач "winitpro \ kbuldogov", на клієнтському комп'ютері "xx.Xx.Xx.Xx ", успішно підключений до віддаленого сервера" MSK-RDSMAN.Winitpro.ru "Використання проксі -сервера UDP. Використовуваний метод аутентифікації був: "Фей -файл".

Якщо ви хочете запустити RemoteApp через RD Gateway, вам потрібно додати *.Файл RDP RemoteApp Next Lines:

Gatewayhostname: s: gw.Winitpro.RU GatewayUsageMethod: i: 1

У цій статті ми показали, як налаштувати роль шлюзу віддаленого робочого столу на сервері Windows для реалізації безпечного віддаленого доступу до вашої мережі за допомогою RDP через HTTPS.