Сервер RDS Gateway полезен для обеспечения безопасного доступа к среде RDS для интернет-пользователей.
Сервер шлюза служб удаленных рабочих столов (RDS) использует SSL-сертификат для шифрования связи между клиентами и серверами RDS.
IIS используется для аутентификации и настройки политик, чтобы детально определить, какие пользователи должны иметь доступ к каким ресурсам.
Данное руководство предполагает, что уже существует развертывание RDS (содержащее роль посредника подключений RDS, лицензирования и хостов сеансов).
Дополнительные сведения о базовом или расширенном развертывании RDS см. в статье базы знаний Dell 217251 Как выполнить стандартное развертывание служб удаленных рабочих столов — пошаговые инструкции. Еще одной статьей для просмотра является статья базы знаний 215230 Установка и активация узла сеансов RDS без посредника подключений (Workgroup) — Windows Server 2022.
На компьютере Windows Server, на котором находится роль посредника подключений для развертывания RDS, в Диспетчере серверов нажмите Управление, затем Добавьте роли и компоненты. Нажмите далее на экране приветствия.
Нажмите Add Features (Добавить компоненты), чтобы установить необходимые условия, а затем Далее до появления экрана подтверждения, затем нажмите Install (Установить).
Дождитесь завершения установки и нажмите кнопку Закрыть.
Вернитесь в Диспетчеры серверов посредника подключений, на узле Служб удаленных рабочих столов нажмите на зеленый круг со знаком «плюс» над шлюзом удаленных рабочих столов.
Выберите сервер , настроенный в качестве шлюза RD Gateway. Переместите его вправо и нажмите кнопку Далее.
Введите FQDN сервера RD Gateway. (На этом этапе выполняется настройка субъекта в самозаверяемом сертификате, созданном этим мастером. Это не сертификат, используемый в этом руководстве.). Нажмите Next.
Нажмите Добавить, чтобы подтвердить добавление в развертывание, дождитесь его завершения установки роли и нажмите Закрыть.
В Диспетчере серверов в разделе «Connection Broker» в разделе «Deployment Overview» нажмите «Tasks », а затем «Edit Deployment Properties».
Нажмите на узел Certificates.
Важно!
В целях тестирования можно использовать самозаверяятельный сертификат, созданный здесь или аналогичный сертификату, который был автоматически создан ранее в мастере. Тем не менее, производственную среду RDS необходимо настроить на использование сертификата доверенного общедоступного или доменного центра сертификации.
В данном руководстве показано, как настроить сертификат от доверенного центра публичной сертификации. Таким образом, этот сертификат не должен быть установлен на клиентских компьютерах.
Нажмите Выбрать существующий сертификат. Введите путь к сертификату. В этой демонстрации сертификат скопированный в корневой каталог диска C:\ контроллера домена. Введите пароль , с помощью которого он был сохранен.
Установите флажок Allow the certificate to be added to the Trusted Root Certification Authorities certificate store on the destination computers( Разрешить добавление сертификата в хранилище сертификатов доверенных корневых центров сертификации на целевых компьютерах) и нажмите кнопку OK.
Обратите внимание на состояние Готово к применить на экране конфигурации развертывания. Нажмите кнопку Применить.
Через несколько секунд на экране показано успешное завершение операции, а столбец уровня распознает сертификат как «Доверенный».
Нажмите на роль RD Web Access и повторите шаги 13–16 для ее настройки. Этот же сертификат используется для IIS. Нажмите кнопку OK , чтобы выйти из экрана конфигурации развертывания.
Прежде чем пользователи смогут подключиться к развертыванию с помощью сервера RD Gateway, необходимо настроить cap и RAP.
Политика авторизации подключений (CAP) позволяет указать, КТО имеет разрешение на подключение к серверу шлюза RDS.
Политика авторизации ресурсов (RAP) позволяет указать серверы или компьютеры, к которым имеют доступ авторизованные пользователи.
На сервере RDS Gateway откройте Диспетчер серверов, выберите Инструменты, Службы удаленных рабочих столов, а затем Диспетчер шлюза удаленных рабочихстолов.
Нажмите правой кнопкой мыши на имя сервера (RDSFARM на изображении) и выберите Свойства.
На вкладке «Ферма серверов » добавьте имя сервера шлюза удаленных серверов (еще раз, RDSFARM на изображении) и нажмите кнопку Применить.
Игнорируйте ошибку балансировщика нагрузки. Это ожидаемо. Нажмите кнопку OK, нажмите кнопку Применить еще раз, и теперь состояние будет ОК.
На вкладке Сертификат SSL можно просмотреть и изменить конфигурацию сертификатов сервера шлюза удаленных рабочих нагрузок. Даже при необходимости создайте новый самозаверятельный сертификат. Однако все это уже настроено в посреднике подключений.
Нажмите кнопку OK , чтобы выйти из экрана свойств.
На главном экране RD Gateway Manager разверните сервер, а затем политики.
Правой кнопкой мыши нажмите Connection Authorization Policies, затем нажмите Create New Policy , а затем Wizard.
Выберите Create an RD CAP and an RD RAP (recommended). Нажмите Next.
Введите имя для RD CAP. Нажмите Next.
Нажмите Add Group и введите имя группы, содержащей пользователей, которым разрешено подключение. Для этого образа руководства используются пользователи домена. Нажмите Next.
Оставьте значения по умолчанию в шагах «Перенаправление устройства» и «Тайм-аут сеанса», нажмите «Далее» на обоих экранах, а затем на экране «Сводка», а затем продолжите работу с RD RAP.
Введите имя и нажмите кнопку «Next». Оставьте значение по умолчанию в разделе «Группа пользователей» и снова нажмите кнопку «Далее ».
Если на экране Network Resource имеется группа active directory, содержащая учетные записи компьютеров серверов Session Hosts этого развертывания RDS, укажите ее. В противном случае выберите параметр «Разрешить пользователям подключаться к любому сетевому ресурсу (компьютеру)». Нажмите Next.
Оставьте порт по умолчанию 3389 для внутрисетевного шлюза для обмена данными с хостами сессий RDS. Нажмите Next.
Нажмите кнопку Готово на экране сводки, а затем Закрыть.
Сервер RDS Gateway готов к размещению за пределами брандмауэра для интернет-пользователей. Пользователь, который пытается подключиться к хостам сессий RDS из домашнего или удаленного офиса через Интернет, должен сначала подключиться к этому серверу RDS Gateway.
Чтобы подключиться к развертыванию RDS с помощью вновь настроенного шлюза удаленных рабочих столов, в приложении Подключение к удаленному рабочему столу клиентского компьютера введите имя узла сеансов удаленных рабочих столов или целевой машины.
Нажмите кнопку Показать параметры , вкладку Дополнительно и в разделе Подключение из любой точки нажмитеНастройки.
Нажмите кнопку «Use these RD Gateway server settings» и введите публичное DNS-имяшлюза RDS Gateway.
Нажмите кнопку OK и Connect. Введите имя пользователя и пароль домена для сервера шлюза удаленных рабочих нагрузок и целевого узла сеансов. Подключение должно быть успешным.
На шлюзе RDS, в RD Gateway Manager и в разделе Monitoring отображаются сведения о подключении.