Hei. Tässä videossa esitellään etätyöpöytäpalveluiden yhdyskäytäväpalvelimen määrittämiseen tarvittavat vaiheet. RDS-yhdyskäytäväpalvelin on hyödyllinen, jos haluat sallia pääsyn RDS-ympäristöön käyttäjille, jotka ovat yrityksen palomuurin ulkopuolella. RDS Gateway Server käyttää SSL:ää salaamaan asiakkaiden ja RDS-palvelimien välisen tiedonsiirron.
Tämä on mahdollista RDS Gateway -palvelimeen asennetun varmenteen ansiosta, johon loppukäyttäjän laite luottaa. Toinen RDS Gateway -osan osa on IIS, jota käytetään todennukseen. IIS:n ansiosta voimme luoda tiettyjä käytäntöjä, joilla määritetään yksityiskohtaisesti, ketkä käyttäjät voivat käyttää mitäkin resursseja. Näytän sen myös myöhemmin tässä videossa. Tässä esittelyssä oletetaan, että RDS-käyttöönotto on jo olemassa.
Jos tarvitset lisätietoja perus- tai edistyneen RDS-käyttöönoton määrittämisestä alusta alkaen, suosittelen tutustumaan tämän sarjan aiempiin videoihin. Tässä näytän virtuaalikoneet, joita käytän. RDSlab-DC on toimialueen ohjauskone. Siinä on myös RD Licensing -rooli asennettuna. Kaikki muut virtuaalikoneet liitetään tässä toimialueen ohjauskoneessa isännöityyn toimialueeseen. 'RDSlab-CB' on käyttöönoton yhteyden välittäjä. 'SH1' ja 'SH2' ovat tilan istunnon isäntiä. Tämän toisen virtuaalikoneen olen nimennyt nimellä 'RDSFarm', ja se on kone, jonka määritän RDS Gateway Serveriksi. Se isännöi myös RD Web Access -roolia. Loin tämän RDS-ympäristön käyttämällä näitä viittä PowerShell-riviä, jotka olen sisällyttänyt videon kuvaukseen ja joista olen keskustellut aiemmissa videoissa.
Kun siis määritän RD Gateway -palvelimen, avaan konsolin virtuaalikoneeseen, joka isännöi yhteyden välittäjän roolia käyttöönottoa varten. Avaa Palvelinten hallinta ja napsauta Etätyöpöytäpalvelut-solmua. Palvelimet-osassa näkyy, että kaikki roolit on määritetty tätä käyttöönottoa varten paitsi RD Gateway -rooli. Siksi tämä rooli näkyy vihreällä plusmerkillä täällä yleiskatsausosassa, mikä osoittaa, että se odottaa käyttöönottoa.
Määritä se lisäämällä rooli ensin kohdepalvelimeen. Valitse Hallitse ja Lisää roolit ja ominaisuudet. Valitse Roolipohjainen tai ominaisuuspohjainen asennus, valitsen RD Gateway -roolin kohdepalvelimen tässä käyttöönotossa ja valitsen sitten Next. Laajenna Etätyöpöytäpalvelut ja valitse Etätyöpöytäyhdyskäytävä -valintaruutu. Asenna edellytykset valitsemalla Lisää ominaisuuksia, siirry vahvistusnäyttöön valitsemalla Seuraava. ja lopuksi Asenna. Odota, että asennus on valmis, ja napsauta sitten Sulje. Jos palaan Server Manageriin ja päivitän käyttöönoton napsauttamalla, muutosta ei ole. Tämä johtuu siitä, että binaarit on asennettu, mutta itse käyttöönottoon ei ole määritetty RD Gateway Serveriä.
Joten korjataksesi sen, napsauta vihreää plusmerkkiä 'RD Gateway'käynnistääksesi ohjatun toiminnon. Valitse palvelin, joka määritetään RD Gatewayksi, siirrä se oikealle puolelle ja valitse Next. Tämä ohjattu toiminto pyytää määrittämään itse allekirjoitettavan varmenteen, ja minun on annettava tähän varmenteen aiheen täydellinen toimialuenimi. En kuitenkaan käytä tätä varmennetta tässä esittelyssä. Napsauta nyt "Seuraava". Vahvista lisäys käyttöönottoon valitsemalla Add. Odota, että se on asentanut roolin, ja huomaa sitten varoitus, jonka mukaan varmenne on määritettävä, mutta valitse nyt Sulje. Kun päivitys käyttöönottoon vielä kerran, nähdään, että käytössä on nyt alueellisen tuen yhdyskäytäväpalvelin Käyttöönoton yleiskatsaus -kohdassa, valitse Tehtävät ja Muokkaa käyttöönoton ominaisuuksia. Huomaa, että RD Gateway -osioon on määritetty automaattisesti joitakin asetuksia. Napsauta Certificates-solmua ja huomaa, että RD Web Accessille tai RD Gateway -rooleille ei ole määritetty varmennetta. Valitsen ensin RD Gateway -roolin. Tässä on tämä vaihtoehto uuden varmenteen luomiseksi.
Testaustarkoituksiin on mahdollista käyttää täällä luotua itse allekirjoitettua varmennetta tai aiemmin ohjatussa toiminnossa automaattisesti luotua varmennetta. Tätä esittelyä varten määritän luotettavan julkisen varmenteiden myöntäjän varmenteen. Näin tätä varmennetta ei tarvitse asentaa asiakastietokoneisiin; He vain luottavat siihen heti laatikosta. Joten napsautan 'Valitse olemassa oleva varmenne' täällä. Minun on annettava varmenteen polku. Tätä esittelyä varten olen kopioinut sen toimialueen ohjauskoneen C-aseman juureen. Kirjoitan sitten salasanan, jolla se tallennettiin, valitse tämä Salli-valintaruutu napsauttamalla ja napsauta sitten OK. Huomaa käyttöönottomääritysnäytössä Ready to Apply -tila.
Joten napsautetaan 'Käytä'. Hetken kuluttua näytössä näkyy, että toiminto on valmis, ja Taso-sarake tunnistaa varmenteen luotetuksi. Jos käyttäisin itse allekirjoitettua varmennetta, se näkyisi eri tavalla. Käyttäisimme varmennetta, mutta se näkyisi epäluotettavana, ja minun pitäisi kopioida varmenne asiakastietokoneisiin ja asentaa se sitten. Tämä on yksi toimialuepohjaisen varmenteen tai julkisen varmenteen myöntäjän varmenteen käytön tärkeimmistä eduista, kuten tässä esittelyssä. Kun napsautat tätä kohdassa 'Näytä tiedot', näet varmenteen aiheen, joka sattuu olemaan RD Gateway -virtuaalikoneen Windows-isäntänimi. Toistan nämä vaiheet RD Web Access -roolille, jotta samaa varmennetta käytetään IIS:ssä. Poistu käyttöönoton määritysnäytöstä valitsemalla OK.
Se on kaikki mitä meidän tarvitsee tehdä yhteyden välittäjässä. Seuraavaksi määritetään yhteyden valtuutuskäytäntö ja resurssin valtuutuskäytäntö. Puhun tästä lisää, kun luon niitä. Siirryn nyt RDS Gateway -virtuaalikoneeseen. Avaa Server Manager, napsauta "Työkalut", "Etätyöpöytäpalvelut" ja sitten "Remote Desktop Gateway Manager". Säädetään ensin palvelimen ominaisuuksia 'Server Farm-välilehdessä. Lisätään tämä RD Gateway Server ja napsautetaan 'Käytä'.
Tämä kuormituksentasausta koskeva virhe on odotettavissa. En tasapainota RD Gateway -palvelua tässä esittelyssä, se on vain yksi RD Gateway -palvelin, joten napsauta vain "OK", "Käytä" vielä kerran ja tila näkyy nyt "OK". SSL Certificate -välilehdellä voin tarkastella ja tehdä muutoksia RD Gateway -palvelimen varmennemäärityksiin, tarvittaessa jopa luoda uuden itseallekirjoitusvarmenteen. Kaikki tämä on kuitenkin määritetty jo yhteyden välittäjässä, joten napsautan 'OK' poistuaksesi kiinteistön näytöstä. Palataan RD Gateway Managerin päänäyttöön, laajennan palvelimen ja sitten Policies.
Tässä yhteydessä on kahdenlaisia käytäntöjä, kuten tässä esitetään: 'Yhteyden valtuutuskäytännöt' antaa sinun määrittää, kenellä on oikeus muodostaa yhteys tähän RDS-yhdyskäytäväpalvelimeen, kun taas 'Resurssien valtuutuskäytännöt' antaa sinun määrittää, mihin palvelimiin tai tietokoneisiin valtuutetuilla käyttäjillä on pääsy. Yksinkertaisesti sanottuna yksi käytäntö koskee sitä, kenellä on pääsy, ja toinen sitä, mihin heillä on pääsy. Napsauta hiiren kakkospainikkeella Connection Authorization Policies -kohtaa, valitse Create New Policy ja Wizard. Voit luoda käytännön erikseen, mutta noudatan tässä suositeltua vaihtoehtoa, joka on luoda sekä etätyöpöytäyhteyden valtuutuskäytäntö että etätyöpöytäresurssien valtuutuskäytäntö samassa ohjatussa toiminnossa ja napsauttaa Seuraava. Anna RD CAP:lle nimi, valitse Next, valitse Add Group ja syötä sen ryhmän nimi, joka sisältää käyttäjät, joiden kautta käyttäjät voivat muodostaa yhteyden. Kirjoitan tähän esittelyyn Domain Users ja valitsen Next. Jätän oletusarvot Device Redirection- ja Session Timeout -vaiheisiin napsauttamalla Next-painiketta molemmissa näytöissä sekä yhteenvetonäytössä ja jatkan sitten RD Resource Authorization Policy -käytäntöä. Kirjoita nimi, klikkaa Seuraava.
Jätä oletusasetus Käyttäjäryhmät-osioon ja klikkaa sitten Seuraava. Tässäkin Network Resource -näytössä, jos minulla olisi Active Directory -ryhmä, joka sisältäisi tämän RDS-käyttöönoton istunnon isäntäpalvelimien tietokonetilit, voisin määrittää. Tässä esittelyssä valitsen kuitenkin vain "Salli käyttäjien muodostaa yhteys mihin tahansa verkkoresurssiin tai tietokoneeseen" -vaihtoehdon ja napsautan sitten Seuraava. Jätän Internet-yhdyskäytävän portin 3389 oletusarvoksi RDS-istuntoisäntien tiedonsiirron ja valitsen sitten Next. Napsauta yhteenvetonäytössä "Valmis" ja napsauta sitten "Sulje". Joten tässä vaiheessa tämä RDS Gateway Server on valmis sijoitettavaksi palomuurin ulkopuolelle Internetin käyttäjien edessä. Käyttäjän, joka yrittää muodostaa yhteyden RDS-istuntojen isäntiin koti- tai etätoimistosta Internetin kautta, on ensin käytettävä tätä RDS Gateway -palvelinta.
Näytän tässä tässä asiakastietokoneessa, joka on yhteydessä Internetiin linkin kautta, joka on täysin erillinen RD Gateway Server -palvelimesta, kuinka etäkäyttäjän on määritettävä yhteys Remote Desktop Connection -sovelluksessa. Kirjoitan ensin RD-istunnon isännän nimen, muistakaamme, että tämä istunnon isäntä ei ole Internet-yhteydellä, joten napsauta Näytä asetukset -painiketta, Lisäasetukset-välilehteä ja Yhdistä mistä tahansa -osiota. Klikkaa Asetukset. Napsauta Käytä näitä RD Gateway -palvelimen asetuksia -valintanappia ja kirjoita RDS-yhdyskäytävän julkinen DNS-nimi.
Jotta tämä toimisi, tämän julkisen DNS-nimen pitäisi tietysti ratkaista RDS Gateway -koneelle määritetty julkinen IP-osoite. Tämä on jotain, joka on määritettävä käytössä olevan julkisen DNS-palvelun asetuksissa. Napsautan myös poistaaksesi valinnan 'Ohita RD Gateway paikallisille osoitteille' ja tarkistaakseni, että käytä RD Gateway -tunnistetietojani etätietokoneelle, koska ne ovat samat tunnistetiedot molemmille koneille. Napsauta sitten 'OK' ja 'Yhdistä'. Anna toimialueen käyttäjätunnus ja salasana, niin nähdään, että yhteyden muodostaminen onnistuu. Huomaa, että asiakastietokoneeseen ei tarvinnut asentaa varmennetta.
Ei ollut mitään viestiä tai varoitusta siitä, että luotamme koneeseen, johon asiakas halusi muodostaa yhteyden. Tämä johtuu siitä, että käyttämämme varmenne on luotetulta julkiselta varmenteiden myöntäjältä. Palattuamme RD Gateway Managerin RDS Gateway -koneeseen ja Valvonta-kohtaan näemme yhteyden tiedot. Lisäksi Terminal Services Gatewayn toimintalokin Tapahtumienvalvonnassa näkyy sarja vaiheita dokumentoivia tapahtumia. Tapahtuma 312 näyttää käynnistetyn yhteyden asiakastietokoneesta Tapahtuma 200 osoittaa, että käytetyt tunnistetiedot ovat yhteyden valtuutuskäytännön mukaisia. Tapahtuma 300 osoittaa, että myös resurssin valtuutuskäytäntö täyttyi, joten käyttö on valtuutettu, ja lopuksi tapahtuma 302 osoittaa, että yhteys onnistuu ja että yhteysprotokolla on HTTP.
Tämä johtuu siitä, että asiakkaan ja RDS-yhdyskäytävän välinen liikenne tapahtuu HTTPS: n kautta, joka käyttää salausta suojattuun viestintään. Jos RDS Gateway -kone on palomuurin tai verkkolaitteen takana, ainoa portti, joka on sallittava, on 443. Näin itse asiassa tein tässä esittelyssä käytetyssä reitittimessä. Se on juuri määritetty siirtämään portti 443 RDS Gateway -koneeseen. Tämä on esittely siitä, miten RDS Gateway -palvelin integroidaan tavalliseen etätyöpöytäpalvelujen käyttöönottoon, mikä mahdollistaa suojatun ja salatun käytön kotoa tai muuten julkisesta Internet-sijainnista.
Toivottavasti siitä on hyötyä, ja kiitos, että katsoit.
