Hallo. I denne videoen skal jeg vise hvordan du konfigurerer en gatewayserver for Remote Desktop Services. En RDS-gatewayserver er nyttig hvis du vil tillate tilgang til RDS-miljøet for brukere som er utenfor firmaets brannmur. En RDS Gateway Server bruker SSL for å kryptere kommunikasjonen mellom klientene og RDS-serverne.
Dette er mulig takket være et sertifikat installert på RDS Gateway Server som er klarert av sluttbrukerens enhet. En annen del av RDS Gateway-komponenten er IIS, som brukes til autentisering. Takket være IIS kan vi opprette visse retningslinjer for å definere hvilke brukere som skal ha tilgang til hvilke ressurser. Det skal jeg vise senere i denne videoen også. Denne demonstrasjonen tar utgangspunkt i at det allerede finnes en RDS-distribusjon.
Hvis du trenger mer informasjon om å sette opp en grunnleggende eller avansert RDS-distribusjon fra grunnen av, foreslår jeg at du sjekker ut de tidligere videoene i denne serien. Her viser jeg de virtuelle maskinene jeg skal bruke. 'RDSlab-DC' er en domenekontroller. Den har også RD-lisensieringsrollen installert. Alle andre virtuelle maskiner kobles til domenet som driftes i denne domenekontrolleren. 'RDSlab-CB' er tilkoblingsmegleren for distribusjonen. 'SH1' og 'SH2' er øktvertene på gården. Denne andre virtuelle maskinen har jeg kalt 'RDSFarm', og det er maskinen jeg vil konfigurere som RDS Gateway Server. Den er også vert for RD Web Access-rollen. Jeg opprettet dette RDS-miljøet ved hjelp av disse fem PowerShell-linjene, som jeg har tatt med i videobeskrivelsen, og som jeg har diskutert i tidligere videoer.
Hvis du vil konfigurere RD Gateway-serveren, åpner jeg konsollen på den virtuelle maskinen som er vert for Connection Broker-rollen for implementeringen. Åpne 'Server Manager' og klikk på noden 'Remote Desktop Services'. Server-delen viser at alle roller er konfigurert for denne distribusjonen, bortsett fra rollen RD Gateway. Dette er grunnen til at denne rollen vises med et grønt plusstegn her under oversiktsdelen, som indikerer at den venter på å bli distribuert.
For å konfigurere det, la oss først legge til rollen til målserveren. Klikk på 'Administrer' og deretter 'Legg til roller og funksjoner'. Velg 'Rollebasert eller funksjonsbasert installasjon', velg målserveren for RD Gateway-rollen i denne distribusjonen og klikk deretter 'Neste'. Utvid 'Remote Desktop Services' og klikk på 'Remote Desktop Gateway' avkrysningsruten. Klikk på "Legg til funksjoner" for å installere forutsetningene, og deretter "Neste" på bekreftelsesskjermen og til slutt "Installer". Vent til installasjonen er fullført, og klikk deretter 'Lukk'. Hvis jeg klikker for å oppdatere distribusjonen tilbake i Server Manager, er det ingen endring. Dette er fordi binærfilene er installert, men selve distribusjonen ikke er konfigurert med en RD Gateway-server.
Så for å fikse det, klikk på det grønne plusstegnet over 'RD Gateway'for å starte veiviseren. Velg serveren som skal konfigureres som RD Gateway, flytt den til høyre side, og klikk deretter 'Neste'. Denne veiviseren vil be om å konfigurere et selvsigneringssertifikat, og jeg må skrive inn det fullstendige domenenavnet til emnet på sertifikatet her. Dette er ikke sertifikatet som jeg vil bruke for denne demoen skjønt. For nå, klikk 'Neste'. Klikk på Legg til for å bekrefte tilføyelsen til distribusjonen. Vent til den er ferdig med å installere rollen, og legg merke til advarselen som indikerer at et sertifikat må konfigureres, men klikk lukk for nå. Hvis du oppdaterer distribusjonen enda en gang, viser det at det nå finnes en RD Gateway-server, under 'Deployment Overview', klikker du på Tasks og deretter på Edit Deployment Properties. Legg merke til at delen 'RD Gateway' er konfigurert automatisk med noen innstillinger. Klikk på noden Certificates, og legg merke til at det ikke er konfigurert noe sertifikat for RD Web Access eller RD Gateway-rollene. Jeg klikker rollen RD Gateway først. Her er dette alternativet for å opprette et nytt sertifikat.
For testformål er det mulig å bruke et selvsignert sertifikat som er opprettet her, eller som det som ble opprettet automatisk tidligere i veiviseren. I denne demonstrasjonen skal jeg konfigurere et sertifikat fra en klarert, offentlig sertifiseringsinstans. På den måten trenger ikke dette sertifikatet å installeres på klientdatamaskinene. De vil bare stole på det ut av boksen. Så jeg klikker på "Velg eksisterende sertifikat" her. Jeg må angi banen til sertifikatet. For denne demonstrasjonen har jeg kopiert den til roten av C-stasjonen i domenekontrolleren. Jeg vil da skrive inn passordet som det ble lagret, klikk for å merke av for dette "Tillat", og klikk deretter "OK". Legg merke til tilstanden "Klar til bruk" i skjermbildet for implementeringskonfigurasjon.
Så la oss klikke på 'Bruk'. Etter en liten stund viser skjermen at operasjonen ble fullført, og nivåkolonnen gjenkjenner sertifikatet som klarert. Hvis jeg brukte et selvsignert sertifikat, ville det vist annerledes. Vi ville bruke sertifikatet, men det ville vises som ikke klarert, og jeg måtte kopiere sertifikatet til klientdatamaskinene og deretter installere det. Dette er en av hovedfordelene ved å bruke et domenebasert eller et offentlig sertifiseringsinstanssertifikat, som tilfellet er i denne demonstrasjonen. Hvis du klikker her i "Vis detaljer", vises emnet for sertifikatet, som tilfeldigvis er Windows-vertsnavnet til den virtuelle RD Gateway-maskinen. Jeg vil gjenta disse trinnene for RD Web Access rolle, på den måten at samme sertifikat brukes for IIS. Klikk deretter på OK for å gå ut av skjermbildet for implementeringskonfigurasjon.
Det er alt vi trenger å gjøre i tilkoblingsmegleren. Det neste trinnet er å konfigurere en policy for tilkoblingsgodkjenning og en policy for ressursautorisasjon. Jeg vil snakke mer om dette når jeg lager dem. Jeg vil nå bytte til RDS Gateway Virtual Machine. Åpne Server Manager, klikk 'Verktøy', 'Remote Desktop Services' og deretter 'Remote Desktop Gateway Manager'. La oss først justere serveregenskapene under fanen «Server Farm». La oss legge til denne RD Gateway-serveren og klikke 'Bruk'.
Denne feilen om en lastbalanserer er forventet. Jeg balanserer ikke RD Gateway-tjenesten i denne demonstrasjonen, det er bare den ene RD Gateway-serveren, så bare klikk 'OK', 'Bruk' en gang til, og statusen vises nå som 'OK'. I fanen 'SSL Certificate' kan jeg se og gjøre endringer i sertifikatkonfigurasjonen til RD Gateway-serveren, til og med opprette et nytt selvsigneringssertifikat hvis jeg trengte det. Alt dette er imidlertid allerede konfigurert i tilkoblingsmegleren, så jeg klikker "OK" for å gå ut av eiendomsskjermen. Jeg går tilbake til hovedskjermbildet i RD Gateway Manager og utvider serveren, og deretter "Policies".
Det finnes to typer policyer i denne sammenhengen, som vist her: Policyer for tilkoblingsgodkjenning lar deg spesifisere hvem som har tillatelse til å koble til denne RDS-gatewayserveren, mens policyer for ressursgodkjenning lar deg spesifisere hvilke servere eller datamaskiner de autoriserte brukerne skal ha tilgang til. Enkelt sagt, en policy er for hvem som skal ha tilgang og den andre for hva vil de ha tilgang til. Høyreklikk 'Tilkoblingsgodkjenningspolicyer', klikk deretter 'Opprett ny policy' og deretter 'Veiviser'. Du kan opprette policyen separat, men jeg vil følge det anbefalte alternativet her, som er å opprette både Remote Desktop Connection Authorization Policy og Remote Desktop Resource Authorization Policy i samme veiviser og klikke "Neste". Skriv inn et navn for RD CAP, klikk 'Neste', klikk 'Legg til gruppe' og skriv deretter inn navnet på gruppen som inneholder brukerne som vil få lov til å koble til. Jeg skriver inn "Domenebrukere" for denne demoen og klikker deretter på "Neste". Jeg forlater standardinnstillingene i trinnene 'Device Redirection' og 'Session Timeout' ved å klikke 'Neste' på begge skjermene, så vel som i sammendragsskjermbildet, og fortsetter deretter med RD Resource Authorization Policy. Skriv inn et navn, klikk 'Neste'.
Legg igjen standarden i delen "Brukergrupper", og klikk deretter "Neste". Igjen, her i skjermbildet "Nettverksressurs", hvis jeg hadde en Active Directory-gruppe som inneholder datamaskinkontoene til øktvertsserverne til denne RDS-distribusjonen, kunne jeg spesifisere. For denne demoen vil jeg imidlertid bare velge alternativet "Tillat brukere å koble til hvilken som helst nettverksressurs eller datamaskin" og deretter klikke "Neste". Jeg lar standardporten 3389 være standard for gateway til Internett-gateway til vertskommunikasjonen for RDS-økten, og klikker deretter på Neste. Klikk 'Fullfør' i sammendragsskjermbildet, og klikk deretter 'Lukk'. Så på dette tidspunktet er denne RDS Gateway Server klar til å plasseres utenfor brannmuren, mot internettbrukere. En bruker som prøver å koble til vertene for RDS-økten fra et hjemme- eller eksternt kontorsted over internett, må først gå gjennom denne RDS Gateway-serveren.
Jeg vil vise her på denne klientdatamaskinen som er koblet til internett via en kobling som er helt atskilt fra den til RD Gateway Server hvordan en ekstern bruker trenger å konfigurere tilkoblingen på Remote Desktop Connection-appen. Jeg vil først skrive inn navnet på RD Session Host la oss huske at denne øktverten ikke er internettvendt, så klikk på "Vis alternativer" -knappen, "Avansert" -fanen og på "Koble til hvor som helst" -delen. Klikk på 'Innstillinger'. Klikk på alternativknappen "Bruk disse RD Gateway-serverinnstillingene" og skriv inn det offentlige DNS-navnet til RDS Gateway.
For at dette skal fungere, bør selvfølgelig dette offentlige DNS-navnet løses til den offentlige IP-adressen som er tildelt RDS Gateway-maskinen. Dette er noe som må konfigureres i innstillingene til den offentlige DNS-tjenesten som brukes. Jeg vil også klikke for å fjerne merket for 'Omgå RD Gateway for lokale adresser' og for å sjekke bruk min RD Gateway-legitimasjon for den eksterne datamaskinen, da de er de samme legitimasjonene for begge maskinene. Klikk deretter 'OK' og 'Koble'. Skriv inn domenet brukernavn og passord, og vi kan se at tilkoblingen lykkes. Legg merke til at vi ikke trengte å installere noe sertifikat på klientmaskinen.
Det var ingen melding som heller ikke advarte oss om å stole på maskinen klienten ønsket å koble til. Dette er fordi sertifikatet vi bruker, er fra en klarert offentlig sertifiseringsinstans. Tilbake på RDS Gateway-maskinen i RD Gateway Manager og under 'Overvåking' kan vi se tilkoblingsdetaljene. Legg også merke til en serie hendelser i driftsloggen for Terminal Services Gateway i Terminal Services Gateway som dokumenterer trinnene. Hendelse 312 viser den startede tilkoblingen fra klientdatamaskinhendelsen 200 viser at legitimasjonen som ble brukt, oppfylte policyen for tilkoblingsautorisasjon. Hendelse 300 viser at ressursgodkjenningspolicyen også ble oppfylt, derfor er tilgang autorisert, og til slutt viser hendelse 302 at tilkoblingen lykkes og at tilkoblingsprotokollen er HTTP.
Dette er fordi trafikk mellom klienten og RDS Gateway skjer over HTTPS som bruker kryptering for sikker kommunikasjon. Hvis RDS Gateway-maskinen er bak en brannmur eller nettenhet, er den eneste porten som må slippes inn, 443. Dette er faktisk hva jeg gjorde i denne ruteren enheten som brukes til denne demoen. Den har nettopp blitt konfigurert til å viderekoble port 443 til RDS Gateway-maskinen. Så dette har vært en demo om hvordan du integrerer en RDS Gateway-server til en standard Remote Desktop Services-distribusjon, for å tillate sikker kryptert tilgang fra et hjem eller på annen måte offentlig Internett-plassering.
Jeg håper du synes den var nyttig, og takk for at du så på.
