Hallo. In diesem Video zeige ich die Schritte, die zum Einrichten eines Remotedesktopdienste-Gatewayservers erforderlich sind. Ein RDS-Gatewayserver ist nützlich, wenn Sie Nutzern Zugriff auf Ihre RDS-Umgebung gewähren möchten, die sich außerhalb der Unternehmensfirewall befinden. Ein RDS-Gatewayserver verwendet SSL, um die Kommunikation zwischen den Clients und den RDS-Servern zu verschlüsseln.
Dies ist dank eines Zertifikats möglich, das auf dem RDS-Gatewayserver installiert ist und vom Gerät des Endbenutzers als vertrauenswürdig eingestuft wird. Ein weiterer Teil der RDS-Gatewaykomponente ist IIS, das zur Authentifizierung verwendet wird. Dank IIS können wir bestimmte Richtlinien erstellen, um genau zu definieren, welche Benutzer Zugriff auf welche Ressourcen haben sollen. Auch das zeige ich später in diesem Video. In diesem Demo wird davon ausgegangen, dass bereits eine RDS-Bereitstellung vorhanden ist.
Wenn Sie weitere Informationen zum Einrichten einer grundlegenden oder erweiterten RDS-Bereitstellung von Grund auf benötigen, empfehle ich Ihnen, sich die vorherigen Videos in dieser Serie anzusehen. Hier zeige ich die virtuellen Maschinen, die ich verwenden werde. "RDSlab-DC" ist ein Domain Controller. Außerdem ist die Rolle RD-Lizenzierung installiert. Alle anderen VMs sind mit der Domain verbunden, die in diesem Domain Controller gehostet wird. "RDSlab-CB" ist der Verbindungsbroker für die Bereitstellung. "SH1" und "SH2" sind die Sitzungshosts in der Farm. Diese andere virtuelle Maschine habe ich "RDSFarm" genannt. Sie ist die Maschine, die ich als RDS-Gatewayserver konfigurieren werde. Außerdem hostet es die Webzugriffsrolle für Remote-Reisende. Ich habe diese RDS-Umgebung mit diesen fünf PowerShell-Zeilen erstellt, die ich in der Videobeschreibung enthalten habe und die ich in früheren Videos besprochen habe.
Um den RD-Gatewayserver einzurichten, öffne ich die Konsole mit dem virtuellen Computer, auf dem die Verbindungsbroker-Rolle für die Bereitstellung gehostet wird. Öffnen Sie "Server-Manager" und klicken Sie auf den Knoten "Remotedesktopdienste". Im Abschnitt "Server" wird angezeigt, dass alle Rollen für diese Bereitstellung konfiguriert sind, mit Ausnahme der Rolle "RD-Gateway". Aus diesem Grund wird diese Rolle hier im Abschnitt "Übersicht" mit einem grünen Pluszeichen angezeigt, was darauf hinweist, dass sie noch bereitgestellt werden muss.
Zum Einrichten fügen wir die Rolle zunächst dem Zielserver hinzu. Klicken Sie auf "Managen" und dann auf "Rollen und Funktionen hinzufügen". Wählen Sie "Rollenbasierte oder featurebasierte Installation" aus. Ich wähle den Zielserver für die RD-Gatewayrolle in dieser Bereitstellung aus und klicke dann auf "Weiter". Erweitern Sie "Remotedesktopdienste" und klicken Sie auf das Kontrollkästchen "Remotedesktopgateway". Klicken Sie auf "Features hinzufügen", um die Voraussetzungen zu installieren, dann auf dem Bestätigungsbildschirm auf "Weiter" und schließlich auf "Installieren". Warten Sie, bis die Installation abgeschlossen ist, und klicken Sie dann auf "Schließen". Wenn ich im Server Manager auf klicke, um die Bereitstellung zu aktualisieren, gibt es keine Änderungen. Dies liegt daran, dass die Binärdateien installiert wurden, die Bereitstellung selbst jedoch nicht mit einem RD-Gatewayserver konfiguriert wurde.
Um dies zu beheben, klicken Sie auf das grüne Pluszeichen über "RD Gateway", um den Assistenten zu starten. Wählen Sie den Server aus, der als RD-Gateway konfiguriert werden soll, verschieben Sie ihn auf die rechte Seite und klicken Sie dann auf "Next". Dieser Assistent fordert Sie auf, ein Selbstsignierungszertifikat zu konfigurieren, und ich muss den vollständig qualifizierten Domänennamen des Antragstellers auf diesem Zertifikat hier eingeben. Dies ist jedoch nicht das Zertifikat, das ich für diese Demo verwenden werde. Klicken Sie vorerst auf "Weiter". Klicken Sie auf "Add", um das Hinzufügen zur Bereitstellung zu bestätigen. Warten Sie, bis die Installation der Rolle abgeschlossen ist, und beachten Sie dann die Warnung, die darauf hinweist, dass ein Zertifikat konfiguriert werden muss, klicken Sie jedoch vorerst auf Schließen. Beim erneuten Aktualisieren der Bereitstellung wird angezeigt, dass jetzt ein RD-Gatewayserver vorhanden ist. Klicken Sie unter "Bereitstellungsübersicht" auf "Aufgaben" und dann auf "Bereitstellungseigenschaften bearbeiten". Beachten Sie, dass der Abschnitt "RD-Gateway" automatisch mit einigen Einstellungen konfiguriert wurde. Klicken Sie auf den Knoten "Zertifikate", und stellen Sie fest, dass weder für den Webzugriff für das Remote-Terminalgerät noch für die RD-Gatewayrollen ein Zertifikat konfiguriert ist. Ich klicke zuerst auf die Rolle "RD-Gateway". Mit dieser Option können Sie ein neues Zertifikat erstellen.
Zu Testzwecken ist es möglich, ein hier erstelltes selbstsigniertes Zertifikat oder ein Zertifikat zu verwenden, das zuvor im Assistenten automatisch erstellt wurde. Für dieses Demo konfiguriere ich ein Zertifikat von einer vertrauenswürdigen öffentlichen Zertifizierungsstelle. Auf diese Weise muss dieses Zertifikat nicht auf den Clientcomputern installiert werden. Sie vertrauen einfach sofort darauf. Ich klicke hier auf "Select existing certificate". Ich muss den Pfad zum Zertifikat eingeben. Für dieses Demo habe ich es in das Stammverzeichnis des Laufwerks C im Domänencontroller kopiert. Ich gebe dann das Passwort ein, mit dem es gespeichert wurde, aktiviere das Kontrollkästchen "Zulassen" und klicke dann auf "OK". Beachten Sie den Status "Bereit zum Anwenden" im Bildschirm für die Bereitstellungskonfiguration.
Klicken Sie also auf "Apply". Nach wenigen Augenblicken zeigt der Bildschirm an, dass der Vorgang erfolgreich abgeschlossen wurde, und die Spalte Level erkennt das Zertifikat als vertrauenswürdig. Wenn ich ein selbstsigniertes Zertifikat verwenden würde, würde es anders angezeigt. Wir wenden das Zertifikat an, aber es wird als nicht vertrauenswürdig angezeigt, und ich müsste dieses Zertifikat auf die Clientcomputer kopieren und dann installieren. Dies ist einer der Hauptvorteile der Verwendung eines domänenbasierten oder öffentlichen Zertifizierungsstellenzertifikats, wie es in dieser Demo der Fall ist. Wenn Sie hier unter "Details anzeigen" klicken, wird der Antragsteller des Zertifikats angezeigt, bei dem es sich um den Windows-Hostnamen der virtuellen Maschine des RD-Gateways handelt. Ich wiederhole diese Schritte für die Webzugriffsrolle für Remote-Bedienfeld, damit dasselbe Zertifikat für IIS verwendet wird. Klicken Sie dann auf OK, um den Konfigurationsbildschirm für die Bereitstellung zu schließen.
Das ist alles, was wir im Verbindungsbroker tun müssen. Der nächste Schritt besteht darin, eine Policy für die Verbindungsautorisierung und eine Policy für die Ressourcenautorisierung zu konfigurieren. Ich werde mehr darüber sprechen, wenn ich sie erstelle. Ich wechsle jetzt zur virtuellen RDS-Gateway-Maschine. Öffnen Sie Server Manager, klicken Sie auf "Tools", "Remote Desktop Services" und dann auf "Remote Desktop Gateway Manager". Zuerst passen wir die Servereigenschaften auf der Registerkarte "Serverfarm" an. Fügen Sie diesen RD-Gatewayserver hinzu und klicken Sie auf "Apply".
Dieser Fehler in Bezug auf einen Load Balancer ist erwartet. Ich führe in dieser Demo keinen Lastenausgleich für den RD-Gateway-Service durch, es ist nur der eine RD-Gatewayserver. Klicken Sie einfach auf "OK", "Apply" und der Status wird jetzt als "OK" angezeigt. Auf der Registerkarte "SSL-Zertifikat" kann ich die Zertifikatkonfiguration des RD-Gateway-Servers anzeigen und ändern und bei Bedarf sogar ein neues Selbstsignierungszertifikat erstellen. All dies wurde jedoch bereits im Verbindungsbroker konfiguriert, so dass ich auf "OK" klicke, um den Immobilienbildschirm zu verlassen. Im Hauptbildschirm des RD-Gateway-Managers erweitere ich den Server und dann "Policies".
Es gibt zwei Arten von Richtlinien in diesem Kontext, wie hier gezeigt: Mit "Verbindungsautorisierungsrichtlinien" können Sie angeben, wer eine Verbindung zu diesem RDS-Gatewayserver herstellen darf, während Sie mit "Ressourcenautorisierungsrichtlinien" angeben können, auf welche Server oder Computer die autorisierten Benutzer Zugriff haben. Einfach ausgedrückt: Die eine Richtlinie bestimmt, wer Zugriff hat, und die andere, worauf sie Zugriff haben. Klicken Sie mit der rechten Maustaste auf "Connection Authorization Policies", dann auf "Create New Policy" und dann auf "Wizard". Sie können die Richtlinie separat erstellen, aber ich werde hier die empfohlene Option befolgen, die darin besteht, sowohl die Autorisierungsrichtlinie für die Remotedesktopverbindung als auch die Autorisierungsrichtlinie für Remotedesktopressourcen im selben Assistenten zu erstellen und auf "Weiter" zu klicken. Geben Sie einen Namen für die RD-CAP ein, klicken Sie auf "Weiter", klicken Sie auf "Gruppe hinzufügen" und geben Sie dann den Namen der Gruppe ein, die die Benutzer enthält, die eine Verbindung herstellen dürfen. Ich gebe für diese Demo "Domain Users" ein und klicke dann auf "Next". Ich belasse die Standardeinstellungen in den Schritten "Geräteumleitung" und "Sitzungs-Timeout", indem ich auf beiden Bildschirmen sowie auf dem Zusammenfassungsbildschirm auf "Weiter" klicke, und fahre dann mit der RD-Ressourcenautorisierungsrichtlinie fort. Geben Sie einen Namen ein und klicken Sie auf "Weiter".
Behalten Sie die Standardeinstellung im Abschnitt "User Groups" bei und klicken Sie dann auf Next. Wenn ich hier auf dem Bildschirm "Netzwerkressource" eine Active Directory-Gruppe hätte, die die Computerkonten der Sitzungshostserver dieser RDS-Bereitstellung enthielte, könnte ich dies angeben. Für diese Demo wähle ich jedoch einfach die Option "Benutzern erlauben, eine Verbindung zu einer beliebigen Netzwerkressource oder einem Computer herzustellen" und klicke dann auf "Weiter". Ich belasse die Standardeinstellung von Port 3389 für das Internetgateway für die Kommunikation der RDS-Sitzungshosts und klicke dann auf "Next". Klicken Sie im Zusammenfassungsbildschirm auf "Finish" und dann auf "Close". Zu diesem Zeitpunkt kann dieser RDS-Gatewayserver hinter der Firewall platziert werden, sodass er den Internetnutzern zugewandt ist. Ein Nutzer, der versucht, von einem Heim- oder Remotestandort aus über das Internet eine Verbindung zu den RDS-Sitzungshosts herzustellen, muss zuerst diesen RDS-Gatewayserver durchlaufen.
Ich zeige hier auf diesem Clientcomputer, der über eine Verbindung mit dem Internet verbunden ist, die vollständig von der des RD-Gatewayservers getrennt ist, wie ein Remotebenutzer die Verbindung in der Remotedesktopverbindungs-App einrichten muss. Ich gebe zuerst den Namen des RD-Sitzungshosts ein. Zur Erinnerung: Dieser Sitzungshost ist nicht mit dem Internet verbunden. Klicken Sie daher auf die Schaltfläche "Optionen anzeigen", auf die Registerkarte "Erweitert" und auf den Abschnitt "Von überall verbinden". Klicken Sie auf "Einstellungen". Klicken Sie auf das Optionsfeld "Diese RD-Gateway-Servereinstellungen verwenden" und geben Sie den öffentlichen DNS-Namen des RDS-Gateways ein.
Damit das funktioniert, muss dieser öffentliche DNS-Name natürlich in die öffentliche IP-Adresse aufgelöst werden, die der RDS-Gatewaymaschine zugewiesen ist. Das muss in den Einstellungen des verwendeten öffentlichen DNS-Service konfiguriert werden. Ich werde auch auf klicken, um die Option "RD-Gateway für lokale Adressen umgehen" zu deaktivieren und die Option "Meine RD-Gateway-Anmeldeinformationen für den Remotecomputer verwenden" zu aktivieren, da es sich um dieselben Anmeldeinformationen für beide Computer handelt. Klicken Sie dann auf "OK" und dann auf "Connect". Wenn Sie den Nutzernamen und das Kennwort der Domäne eingeben, sehen Sie, dass die Verbindung erfolgreich hergestellt wurde. Beachten Sie, dass wir kein Zertifikat auf dem Client-Computer installieren mussten.
Es gab weder eine Nachricht noch eine Warnung, dass wir dem Rechner vertrauen sollten, mit dem sich der Client verbinden wollte. Dies liegt daran, dass das Zertifikat, das wir verwenden, von einer vertrauenswürdigen öffentlichen Zertifizierungsstelle stammt. Zurück am RDS-Gateway-Rechner im RD-Gateway-Manager und unter "Überwachung" können wir die Verbindungsdetails sehen. Außerdem bemerken Sie in der Ereignisanzeige im Betriebsprotokoll des Terminaldienstegateways eine Reihe von Ereignissen, die die Schritte dokumentieren. Ereignis 312 zeigt die initiierte Verbindung vom Clientcomputer. Ereignis 200 zeigt, dass die verwendeten Anmeldeinformationen der Verbindungsautorisierungsrichtlinie entsprechen. Ereignis 300 zeigt an, dass die Ressourcenautorisierungs-Policy ebenfalls erfüllt wurde und der Zugriff daher autorisiert ist, und schließlich zeigt Ereignis 302, dass die Verbindung erfolgreich war und dass das Verbindungsprotokoll HTTP ist.
Dies liegt daran, dass der Datenverkehr zwischen dem Client und dem RDS-Gateway über HTTPS erfolgt, das Verschlüsselung für die sichere Kommunikation verwendet. Wenn sich der RDS-Gateway-Rechner hinter einer Firewall oder einem Netzwerkgerät befindet, ist der einzige Port, der hereingelassen werden muss, Port 443. Deshalb habe ich bei diesem für dieses Demo verwendeten Routergerät Er wurde soeben so konfiguriert, dass Port 443 an den RDS-Gateway-Rechner weitergeleitet wird. Dies war eine Demo zur Integration eines RDS-Gatewayservers in eine standardmäßige Remote Desktop Services-Bereitstellung, um einen sicheren, verschlüsselten Zugriff von einem Heimstandort oder einem anderweitig öffentlichen Internetstandort aus zu ermöglichen.
Ich hoffe, dass Sie es nützlich finden, und danke Ihnen für Ihre Aufmerksamkeit.