Как настроить Remote Desktop Gateway

Что такое Remote Desktop Gateway

Remote Desktop Gateway - Cервис Windows Server для доступа к ресурсам, у которых нет выхода в интернет, через защищенный канал связи по протоколу HTTPS. В сценарии пользователи из группы Administrators получат доступ к тестовой виртуальной машине с использованием самоподписанного сертификата.

 

RD Gateway предоставляет множество преимуществ:

 

  • шлюз позволяет удаленным пользователям подключаться к внутренним сетевым ресурсам через Интернет, используя зашифрованное соединение, без необходимости подключения виртуальных частных сетей (VPN);
  • шлюз предоставляет комплексную конфигурацию безопасности, которая позволяет контролировать доступ к определенным внутренним сетевым ресурсам;
  • шлюз обеспечивает одноточечное RDP-соединение и не позволяет удаленным пользователям получать доступ ко всем внутренним сетевым ресурсам;
  • шлюз позволяет подключаться к внутренним сетевым ресурсам, которые размещаются за брандмауэрами в частных сетях и между NAT;
  • консоль диспетчера шлюза позволяет настраивать политики авторизации для определения условий, которые должны быть выполнены для удаленных пользователей при подключении к внутренним сетевым ресурсам. Например, можно указать: кто может подключаться к сетевым ресурсам и к каким сетевым ресурсам (группам серверов), должны ли клиентские компьютеры быть членами групп безопасности Active Directory, разрешено ли перенаправление устройства и диска;
  • консоль диспетчера шлюза предоставляет инструменты, которые помогут отслеживать состояние шлюза. Используя диспетчер, вы можете указать события (например, неудачные попытки подключения к серверу шлюза служб терминалов), которые вы хотите отслеживать для целей аудита.
  •  
  • Для подключения через шлюз ваш сервер должен входить в домен Active Directory, настройка шлюза может выполняться на любом сервере в домене от имени администратора домена.
  •  

Установка роли

 

Откройте Диспетчер серверов и выберите пункт Add roles and features.

 

Server Manager

 

 

В качестве типа установки укажите Role-based or feature-based installation.

 

Installation Type

 

 

Выберите ваш сервер из пула.

 

Server Selection

 

В следующем окне нужно выбрать Remote Desktop Services.

 

Server Roles

 

Далее вы увидите краткую информацию о роли.

 

RDP

 

Далее добавьте сервис Remote Desktop Gateway.

 

Role Services

 

Для работы этого сервиса необходим IIS и дополнительные административные инструменты, они будут предложены автоматически, если не были установлены ранее.

 

Выбрать роли

 

Добавьте следующие функции.

 

Добавить функции

 

Установите все выбранные компоненты на VPS с помощью кнопки Install.

 

Confirmation

 

Создание политики авторизации подключения и ресурсов

 

Чтобы открыть Remote Desktop Gateway Manager, в Диспетчере серверов выберите Tools и в открывшемся списке Remote Desktop Services - Remote Desktop Gateway Manager.

 

Tools - Remote Desktop Service

 

Перед вами откроется менеджер шлюза.

 

RD Gateway Manager

 

Для создания политик авторизации в древовидной структуре откройте RD Gateway Manager → <Имя сервера> → Policies → Connection Authorization Policies. В вертикальном меню Actions справа выберите Create New Policy → Wizard.

 

Создание политик авторизации

 

В открывшемся окне выберите Create RD CAP and RD RAP (recommended), чтобы с помощью одного процесса настроить обе политики.

 

Выбор типа авторизации

 

Введите удобное имя для политики авторизации подключения.

Имя RD CAP

На следующем шаге выберите наиболее удобный метод аутентификации: пароль или smartcard. Далее добавьте группы пользователей которые смогут подключаться к этому RD Gateway серверу, для это нажмите Add Group.

Добавить группу

Выберите нужную группу, например администраторов домена или контроллеры домена. Выполнить поиск можно с помощью кнопки Check Names.

Проверить имя

После добавления групп можно переходить к следующему действию.

Выбор требований

Выберите устройства и ресурсы удаленной сессии, которые будут доступны клиентам использующие шлюз.

Выбор устройств удаленной сети

Выберите нужные для вас значения таймаутов: времени простоя и времени работы сессии.

Таймауты

Перепроверьте выбранные настройки.

RD CAP Summary

Далее вы перейдете к настройке политики авторизации ресурсов. Введите удобное имя политики.

Имя RD RAP

Также добавьте группы пользователей, которые смогут подключаться к сетевым ресурсам.

Группы пользователей

Выберите группу, содержащую серверы, на которых указанные группы пользователей могли бы работать с удаленным рабочим столом. Для этого нажмите Browse.

Сетевые ресурсы

В этом примере используется встроенная группа под названием Domain Controllers. Вы можете создавать дополнительные группы, содержащие серверы, которые связаны или принадлежат к определенным отделам или сотрудникам. Таким образом, на предыдущих шагах вы можете назначать группы на основе потребностей пользователей и разрешать им доступ только к определенным серверам.

Выбор группы

Убедитесь, что добавлена нужная группа.

Сетевые ресурсы

Если порт по умолчанию удаленного рабочего стола на серверах был изменен, используйте эту страницу для указания порта. В противном случае выберите разрешение подключения только к порту 3389.

Выбор порта

Проверьте указанные настройки для политики.

Проверка настройки RD RAP

Далее отобразится результат создания политик.

Политики успешно созданы

После создания политик менеджер будет выглядеть следующим образом.

RD Gateway Manager

Установка SSL-сертификата

 

Для шлюза удаленного рабочего стола должен быть установлен SSL-сертификат. Чтобы установить SSL-сертификат, щелкните имя сервера удаленного рабочего стола в консоли управления удаленным рабочим столом и выберите View or modify certificate properties.

Просмотреть настройки сертификата

Возможно 3 способа импорта сертификатов:

  • создание самоподписанного сертификата и его импорт;
  • импорт ранее загруженного сертификата (самоподписанного или стороннего);
  • загрузка стороннего сертификата (например, Comodo) и его импорт;

Выберите подходящий вам способ, в нашем примере мы рассмотрим первый случай с генерацией и импортом самоподписанного сертификата.

Вкладка SSL Certificate

Введите имя сертификата и его расположение на сервере. Нажмите OK.

Имя сертификата и расположение

Сертификат будет сгенерирован.

Сертификат успешно создан

В результате отобразится - кому, кем и до какого числа выдан ssl-сертификат. Нажмите Apply для сохранения изменений.

Вкладка SSL Certificate

Теперь самоподписанный SSL-сертификат успешно установлен на TCP-порт 443 (порт SSL по умолчанию).

RD Gateway Manager

В целях безопасности рекомендуется изменить порт SSL для шлюза удаленных рабочих столов на другой номер. Обычно компании делают это, чтобы попытаться обмануть хакеров, которые могут ориентироваться на стандартный порт 443.

Чтобы изменить номер порта для шлюза RD, щелкните правой кнопкой мыши имя сервера и выберите свойства в консоли управления удаленным рабочим столом (Action - Properties).

Действия - Настройки

Измените значение HTTP-порта на любое удобное значение и сохраните изменения.

Вкладка Transport Settings

Подтвердите изменения, нажав Yes.

Нажмите Да

Подключение через шлюз

Для подключения откройте стандартное приложение Windows Подключение к удаленному рабочему столу (mstsc.exe). На вкладке Дополнительно нажмите на кнопку Параметры.

Параметры

В открывшемся окне выберите Использовать следующие параметры сервера шлюза удаленных рабочих столов. Введите имя сервера в следующем формате и нажмите OK:
rdgateway.<ваш домен>:<порт>

Параметры сервера  шлюза удаленных рабочих столов

На вкладке Общие в поле Компьютер введите домен, в поле Пользователь имя пользователя и нажмите Подключить. При необходимости можете сохранить параметры входа.

Примечание: пользователь должен иметь права подключения через шлюз, которые были настроены ранее.

Параметры входа

Введите пароль от учетной записи.

Введите учетные данные

В результате будет произведено подключение к удаленному рабочему столу через шлюз RD Gateway.

 

  • 1 Пользователи нашли это полезным

Помог ли вам данный ответ?

Ищете что-то другое?

mhost.by