Dobrý den. V tomto videu vám ukážu kroky potřebné k nastavení serveru brány vzdálené plochy. Server brány Vzdálené plochy je užitečný, pokud chcete povolit přístup k prostředí Vzdálené plochy uživatelům, kteří se nacházejí mimo podnikovou bránu firewall. Server brány Vzdálené plochy používá protokol SSL k šifrování komunikace mezi klienty a servery Vzdálené plochy.
To je možné díky certifikátu nainstalovanému na serveru služby Brána vzdálené plochy, kterému zařízení koncového uživatele důvěřuje. Další součástí součásti služby Brána vzdálené plochy je služba IIS, která slouží k ověřování. Díky IIS můžeme vytvořit určité zásady, které podrobně definují, kteří uživatelé by měli mít přístup k jakým zdrojům. Ukážu to také později v tomto videu. V této ukázce se předpokládá, že nasazení služby Vzdálená plocha již existuje.
Pokud potřebujete další informace o nastavení základního nebo pokročilého nasazení služby RDS od základů, doporučujeme se podívat na předchozí videa v této sérii. Zde ukážu virtuální počítače, které budu používat. RDSlab-DC je řadič domény. Má také nainstalovanou roli Licencování VP. Všechny ostatní virtuální počítače jsou připojené k doméně hostované v tomto řadiči domény. RDSlab-CB je zprostředkovatel připojení pro nasazení. "SH1" a "SH2" jsou hostitelé relací ve farmě. Tento druhý virtuální počítač jsem pojmenoval "RDSFarm" a je to počítač, který nakonfiguruji jako server brány RDS. Je také hostitelem role Webový přístup ke vzdálené ploše. Prostředí RDS jsem vytvořil pomocí těchto pěti řádků PowerShellu, které jsem zahrnul do popisu videa a které jsem probíral v předchozích videích.
Chcete-li tedy nastavit server služby Brána VP, otevřu konzolu pro virtuální počítač, který je hostitelem role Zprostředkovatele připojení pro nasazení. Otevřete Správce serveru a klikněte na uzel Vzdálená plocha. V části servers se zobrazuje, že pro toto nasazení jsou nakonfigurovány všechny role s výjimkou role Brána VP. To je důvod, proč se tato role zde v části přehledu zobrazuje se zeleným znaménkem plus, což znamená, že čeká na nasazení.
Pokud ji chcete nastavit, nejprve přidáme roli na cílový server. Klikněte na "Spravovat" a poté na "Přidat role a funkce". Vyberte možnost Instalace na základě rolí nebo funkcí, vyberu cílový server pro roli Brána VP v tomto nasazení a poté kliknu na tlačítko Další. Rozbalte "Remote Desktop Services" a zaškrtněte políčko "Remote Desktop Gateway". Kliknutím na "Přidat funkce" nainstalujte požadované součásti, na potvrzovací obrazovce klikněte na "Další" a nakonec na "Nainstalujte". Počkejte na dokončení instalace a poté klikněte na "Zavřít". Pokud ve Správci serveru kliknu na možnost Aktualizovat nasazení, nedojde k žádné změně. Důvodem je to, že binární soubory byly nainstalovány, ale samotné nasazení nebylo nakonfigurováno se serverem brány VP.
Chcete-li to opravit, klikněte na zelené znaménko plus nad bránou VP a spusťte průvodce. Vyberte server, který bude nakonfigurován jako brána VP, přesuňte jej na pravou stranu a klikněte na možnost Next. Tento průvodce vás požádá o konfiguraci certifikátu podepsaného držitelem a zde musím zadat plně kvalifikovaný název domény subjektu uvedeného na tomto certifikátu. Toto však není certifikát, který použiji pro tuto ukázku. Prozatím klikněte na "Další". Kliknutím na tlačítko "Add" potvrdíte přidání k nasazení. Počkejte, až se dokončí instalace role, a pak si všimněte upozornění, že je potřeba nakonfigurovat certifikát, ale prozatím klikněte na zavřít. Opětovná aktualizace nasazení ukazuje, že se teď v části Přehled nasazení nachází server brány VP, klikněte na Úlohy a pak na Upravit vlastnosti nasazení. Všimněte si, že část Brána VP byla automaticky nakonfigurována s některými nastaveními. Klikněte na uzel Certifikáty a všimněte si, že pro webový přístup ke vzdálené ploše ani pro role brány VP není nakonfigurovaný žádný certifikát. Nejprve kliknu na roli Brána VP. Tady je tato možnost pro vytvoření nového certifikátu.
Pro testovací účely je možné použít certifikát podepsaný držitelem, který je zde vytvořen, nebo podobný certifikátu, který byl automaticky vytvořen dříve v průvodci. V této ukázce nakonfiguruji certifikát od důvěryhodné veřejné certifikační autority. Tímto způsobem nemusí být tento certifikát nainstalován v klientských počítačích. Prostě mu budou věřit hned po vybalení z krabice. Zde tedy kliknu na možnost "Vybrat existující certifikát". Potřebuji zadat cestu k certifikátu. Pro tuto ukázku jsem ji zkopíroval do kořenového adresáře jednotky C v řadiči domény. Poté zadám heslo, pod kterým byl uložen, zaškrtnutím zaškrtnu políčko "Povolit" a poté kliknu na "OK". Všimněte si stavu "Ready to apply" na obrazovce konfigurace nasazení.
Klikneme na "Použít". Po chvíli se na obrazovce zobrazí, že operace byla úspěšně dokončena, a sloupec úrovně rozpozná certifikát jako důvěryhodný. Pokud bych použil certifikát podepsaný svým držitelem, zobrazil by se jinak. Použijeme certifikát, ale ten se zobrazí jako nedůvěryhodný a bude nutné jej zkopírovat do klientských počítačů a poté nainstalovat. To je jedna z hlavních výhod používání certifikátu založeného na doméně nebo veřejné certifikační autority, jako je tomu v této ukázce. Kliknutím sem v části View Details se zobrazí předmět certifikátu, což je název hostitele systému Windows virtuálního počítače služby Brána VP. Tyto kroky zopakuji pro roli Přístup k webu VP, aby se stejný certifikát použil pro službu IIS. Poté kliknutím na "OK" ukončete obrazovku konfigurace nasazení.
To je vše, co musíme udělat ve zprostředkovateli připojení. Dalším krokem je konfigurace zásad autorizace připojení a zásad autorizace prostředků. Budu o tom mluvit více, až je vytvořím. Nyní přejdu na virtuální počítač brány vzdálené plochy. Otevřete Správce serveru, klikněte na možnost "Tools", "Remote Desktop Services" a poté na "Remote Desktop Gateway Manager". Nejprve upravíme vlastnosti serveru na kartě Serverová farma. Přidejte tento server služby Brána VP a klikněte na možnost Apply (Použít).
Tato chyba týkající se nástroje pro vyrovnávání zatížení je očekávaná. V této ukázce nevyrovnávám zatížení služby Brána VP, je to pouze jeden server služby Brána VP, takže stačí kliknout na OK a Použít ještě jednou a stav se zobrazí jako OK. Na kartě "SSL Certificate" si mohu prohlížet a provádět změny v konfiguraci certifikátu serveru služby Brána VP, dokonce v případě potřeby vytvořit nový certifikát pro podepsání držitelem. To vše však již bylo nakonfigurováno ve zprostředkovateli připojení, takže kliknu na 'OK' pro opuštění obrazovky vlastností. Na hlavní obrazovce nástroje Správce brány VP rozbalím server a poté možnost Policies.
V tomto kontextu existují dva typy zásad: Zásady autorizace připojení umožňují určit, kdo se může připojit k tomuto serveru brány VPS, zatímco zásady autorizace prostředků umožňují určit, ke kterým serverům nebo počítačům budou mít oprávnění uživatelé přístup. Jednoduše řečeno, jedna zásada je pro to, kdo bude mít přístup, a druhá pro to, k čemu bude mít přístup. Pravým tlačítkem klikněte na "Connection Authorization Policies", poté klikněte na "Create New Policy" a poté na "Wizard". Zásadu můžete vytvořit samostatně, ale já se budu řídit doporučenou možností, což je vytvořit zásady autorizace připojení ke vzdálené ploše i zásady autorizace prostředků vzdálené plochy ve stejném průvodci a kliknout na "Další". Zadejte název programu VP CAP, klikněte na tlačítko "Další", klikněte na "Přidat skupinu" a poté zadejte název skupiny obsahující uživatele, kteří se budou moci připojit. V této ukázce zadám "Domain Users" a poté kliknu na "Next". Ponechám výchozí hodnoty v krocích "Přesměrování zařízení" a "Časový limit relace" kliknutím na "Další" na obou obrazovkách i na obrazovce shrnutí a poté pokračuji v zásadách autorizace prostředků VP. Zadejte název a klikněte na "Další".
Ponechte výchozí nastavení v části "Skupiny uživatelů" a klikněte na "Další". Opět platí, že pokud bych zde na obrazovce Síťový prostředek měl skupinu služby Active Directory obsahující účty počítačů hostitelských serverů relací tohoto nasazení služby Vzdálená plocha, mohl bych zadat. V této ukázce však vyberu možnost "Povolit uživatelům připojit se k libovolnému síťovému prostředku nebo počítači" a poté kliknu na "Další". Ponechám výchozí port 3389 pro komunikaci s hostiteli relace služby Vzdálená plocha a poté kliknu na "Next". Na obrazovce shrnutí klikněte na "Dokončit" a poté klikněte na "Zavřít". V tomto okamžiku je tedy tento server brány vzdálené plochy připraven k umístění za bránu firewall, směrem k uživatelům internetu. Uživatel, který se pokouší připojit k hostitelům relací služby Vzdálená plocha z domova nebo vzdálené kanceláře přes internet, bude muset nejprve projít tímto serverem služby Brána vzdálené plochy.
Na tomto klientském počítači připojeném k internetu prostřednictvím připojení, které je zcela odlišné od propojení serveru služby Brána VP, ukážu, jak by vzdálený uživatel musel nastavit připojení v aplikaci Připojení ke vzdálené ploše. Nejprve zadám název hostitele relace VP. Pamatujme, že tento hostitel relace není z internetu, takže klikněte na tlačítko Zobrazit možnosti, na kartu Upřesnit a na část Připojit odkudkoli. Klikněte na "Nastavení". Klikněte na přepínač Use these Nastavení serveru služby Brána VP a zadejte veřejný název DNS služby Brána RDS.
Aby to fungovalo, měl by se tento veřejný název DNS přeložit na veřejnou IP adresu přiřazenou počítači Brána vzdálené plochy. To je něco, co je potřeba nakonfigurovat v nastavení používané veřejné služby DNS. Kliknutím také zruším zaškrtnutí možnosti "Obejít bránu VP pro místní adresy" a zaškrtnu možnost použít přihlašovací údaje brány VP pro vzdálený počítač, protože se jedná o stejné přihlašovací údaje pro oba počítače. Poté klikněte na "OK" a "Připojit". Zadejte uživatelské jméno a heslo domény a uvidíte, že připojení proběhlo úspěšně. Všimněte si, že jsme nemuseli instalovat žádný certifikát na klientský počítač.
Nezobrazila se žádná zpráva ani varování, že máme důvěřovat počítači, ke kterému se klient chtěl připojit. Důvodem je to, že certifikát, který používáme, pochází od důvěryhodné veřejné certifikační autority. V části "Monitorování" se v části "Monitorování" zobrazí podrobnosti o připojení. V Prohlížeči událostí v provozním protokolu brány Terminálové služby si také všimněte řady událostí dokumentujících kroky. Událost 312 ukazuje inicializované připojení z klientského počítače. Událost 200 ukazuje, že použitá pověření splnila zásady autorizace připojení. Událost 300 ukazuje, že zásady autorizace prostředků byly také splněny, a proto je přístup autorizován, a nakonec událost 302 ukazuje, že připojení proběhlo úspěšně a že protokol připojení je HTTP.
Důvodem je to, že provoz mezi klientem a bránou RDS probíhá přes protokol HTTPS, který k zabezpečené komunikaci používá šifrování. Pokud je počítač brány vzdálené plochy za bránou firewall nebo síťovým zařízením, jediný port, který je potřeba povolit, je 443. To je vlastně to, co jsem udělal v tomto routeru použitém pro tuto ukázku. Právě byla nakonfigurována tak, aby přesměrovávala port 443 na počítač brány vzdálené plochy. Jedná se tedy o ukázku integrace serveru služby Brána vzdálené plochy do standardního nasazení služby Vzdálená plocha, aby bylo možné zabezpečený šifrovaný přístup z domova nebo jiného veřejného umístění na internetu.
Doufám, že pro vás bude přínosná, a chci vám moc poděkovat za pozornost.
