Einrichten eines Remotedesktopdienste-Gatewayservers in Windows Server 2022, 2019 oder 2016

Einführung

Ein RDS Gateway-Server ist nützlich, um Internetnutzern sicheren Zugriff auf eine RDS-Umgebung zu ermöglichen.

Ein RDS-Gatewayserver (Remote Desktop Services) verwendet ein SSL-Zertifikat, um die Kommunikation zwischen den Clients und den RDS-Servern zu verschlüsseln.

IIS wird für die Authentifizierung und die Konfiguration von Policies verwendet, um granular zu definieren, welche Benutzer Zugriff auf welche Ressourcen haben sollen. 

In diesem Leitfaden wird davon ausgegangen, dass bereits eine RDS-Bereitstellung vorhanden ist (mit den Rollen RDS-Verbindungsbroker, Lizenzierung und Sitzungshosts).

Weitere Informationen zum Einrichten einer grundlegenden oder erweiterten RDS-Bereitstellung finden Sie im Dell KB-Artikel 217251 How To - Standard Remote Desktop Services Deployment - Step by Step (Anleitung – Standardbereitstellung für Remotedesktopdienste – Schritt für Schritt). Ein weiterer Artikel, den Sie anzeigen können, ist KB-Artikel 215230 Installation und Aktivierung eines RDS-Sitzungshosts ohne Verbindungsbroker (Workgroup) – Windows Server 2022. 

Stellen Sie die RD-Gatewayserverrolle bereit.

1. Klicken Sie auf dem Windows Server-Computer, der die Connection Broker-Rolle für die RDS-Bereitstellung hostet, im Server-Manager auf Verwalten und dann auf Rollen und Funktionen hinzufügen. Klicken Sie auf dem Begrüßungsbildschirm auf Weiter .

2. Wählen Sie eine rollenbasierte oder funktionsbasierte Installation aus und klicken Sie auf Weiter.
3. Wählen Sie den Zielserver für die RD-Gateway-Rolle dieser Bereitstellung aus und klicken Sie auf Weiter. Im Screenshot unten ist der Zielserver "rdsfarm". 
4. Erweitern Sie im Bildschirm Rollen Remotedesktopdienste und klicken Sie auf das Kontrollkästchen Remotedesktopgateway .

5. Klicken Sie auf Add Features( Funktionen hinzufügen ), um die Voraussetzungen zu installieren, und klicken Sie dann auf Next (Weiter ), bis der Bestätigungsbildschirm angezeigt wird, und klicken Sie dann auf Install (Installieren).

6. Warten Sie, bis die Installation abgeschlossen ist, und klicken Sie dann auf Schließen.

7. Klicken Sie in den ServerManagern des Connection Broker im Knoten Remotedesktopdienste auf den grünen Kreis mit dem Pluszeichen über dem RD-Gateway.

8. Wählen Sie den Server aus, der als RD-Gateway konfiguriert ist. Bewegen Sie ihn zur rechten Seite und klicken Sie auf Weiter.

9. Geben Sie den vollständig qualifizierten Domainnamen des RD-Gatewayservers ein. (In diesem Schritt wird der Betreff auf dem selbstsigniertem Zertifikat konfiguriert, das von diesem Assistenten erstellt wurde. Dies ist nicht das Zertifikat, das in diesem Handbuch verwendet wird.) Klicken Sie auf Next.

10. Klicken Sie auf Add , um das Hinzufügen zur Bereitstellung zu bestätigen, warten Sie, bis die Installation der Rolle abgeschlossen ist, und klicken Sie dann auf Close.

Konfigurieren Sie das Zertifikat.

11. Klicken Sie im Server-Manager im Connection Broker unter Bereitstellungsübersicht auf Aufgaben und dann auf Bereitstellungseigenschaften bearbeiten.
      
    

12. Klicken Sie auf den Knoten Zertifikate.

Wichtig!
Zu Testzwecken ist es möglich, ein selbstsigniertes Zertifikat zu verwenden, das hier erstellt wurde, oder das Zertifikat, das zuvor im Assistenten automatisch erstellt wurde. Eine RDS-Produktionsumgebung sollte jedoch so konfiguriert werden, dass ein Zertifikat von einer vertrauenswürdigen öffentlichen oder domänenbasierten Zertifizierungsstelle verwendet wird.
In diesem Handbuch wird gezeigt, wie Sie ein Zertifikat von einer vertrauenswürdigen öffentlichen Zertifizierungsstelle konfigurieren. Auf diese Weise muss dieses Zertifikat nicht auf den Clientcomputern installiert werden.
 

13. Klicken Sie auf Vorhandenes Zertifikat auswählen. Geben Sie den Pfad zum Zertifikat ein. In dieser Demo wurde das Zertifikat in das Stammverzeichnis des Laufwerks C:\ im Domänencontroller kopiert. Geben Sie das Passwort ein , mit dem es gespeichert wurde.

14. Aktivieren Sie das Kontrollkästchen "Allow the certificate to be added to the Trusted Root Certification Authorities certificate store on the destination computers" und klicken Sie auf OK.

15. Beachten Sie den Status Bereit zur Anwendung im Bildschirm Bereitstellungskonfiguration. Klicken Sie auf Übernehmen.

16. Nach einigen Augenblicken zeigt der Bildschirm an, dass der Vorgang erfolgreich abgeschlossen wurde, und in der Spalte "Level" wird das Zertifikat als "vertrauenswürdig" erkannt.

17. Klicken Sie auf die RD-Webzugriffsrolle und wiederholen Sie die Schritte 13 bis 16, um sie zu konfigurieren. Auf diese Weise wird dasselbe Zertifikat für IIS verwendet. Klicken Sie auf OK , um den Bereitstellungskonfigurationsbildschirm zu beenden.

Konfigurieren Sie eine Verbindungsautorisierungsrichtlinie und eine Ressourcenautorisierungsrichtlinie.

Bevor Benutzer eine Verbindung zur Bereitstellung über den RD-Gateway-Server herstellen können, ist es erforderlich, eine CAP und eine RAP zu konfigurieren.

Mit einer Verbindungsautorisierungsrichtlinie (CAP) können Sie angeben, wer eine Verbindung zum RDS-Gatewayserver herstellen darf.

Mit einer Resource Authorization Policy (RAP) können Sie angeben, auf WELCHE Server oder Computer die autorisierten Benutzer Zugriff haben.
 

18. Öffnen Sie auf dem RDS Gateway-Server Den Server-Manager, klicken Sie auf Tools, Remotedesktopdienste und dann auf Remotedesktop-Gateway-Manager.

19. Klicken Sie mit der rechten Maustaste auf den Servernamen (RDSFARM im Image) und klicken Sie dann auf Eigenschaften.

20. Fügen Sie auf der Registerkarte Serverfarm den Namen des RD-Gatewayservers hinzu (erneut RDSFARM im Image) und klicken Sie auf Anwenden. 
    
    

21. Ignorieren Sie den Fehler über einen Load Balancer. Dies wird erwartet. Klicken Sie auf OK, wenden Sie ein weiteres Mal an und der Status zeigt jetzt OK an.

22. Auf der Registerkarte SSL-Zertifikat ist es möglich, die Zertifikatkonfiguration des RD-Gatewayservers anzuzeigen und zu ändern. Erstellen Sie bei Bedarf sogar ein neues selbstsigniertes Zertifikat . All dies wurde jedoch bereits im Verbindungsbroker konfiguriert.

23. Klicken Sie auf OK , um den Eigenschaftenbildschirm zu verlassen.

24. Erweitern Sie im Hauptbildschirm von RD Gateway Manager den Server und dann die Richtlinien.
     

25. Klicken Sie mit der rechten Maustaste auf Verbindungsautorisierungsrichtlinien, klicken Sie dann auf Neue Richtlinie erstellen und dann auf Assistent.

26. Wählen Sie CREATE an RD CAP and an RD RAP (recommended) aus. Klicken Sie auf Next.

27. Geben Sie einen Namen für die RD-CAP ein. Klicken Sie auf Next.

28. Klicken Sie auf Gruppe hinzufügen und geben Sie den Namen der Gruppe ein, die die Benutzer enthält, die eine Verbindung herstellen dürfen. Domainbenutzer werden für dieses Handbuch-Image verwendet. Klicken Sie auf Next.

29. Behalten Sie die Standardeinstellungen in den Schritten geräteumleitung und Sitzungszeitüberschreitung bei, klicken Sie auf beiden Bildschirmen sowie im Zusammenfassungsbildschirm auf Weiter und fahren Sie dann mit dem RD RAP fort.

30. Geben Sie einen Namen ein und klicken Sie auf Weiter. Behalten Sie die Standardeinstellung im Abschnitt Benutzergruppe bei und klicken Sie erneut auf Weiter .

31. Wenn im Bildschirm Netzwerkressource eine Active Directory-Gruppe mit den Computerkonten der Sitzungshostserver dieser RDS-Bereitstellung vorhanden ist, geben Sie sie an. Wählen Sie andernfalls die Option "Allow users to connect to any network resource (computer)" aus. Klicken Sie auf Next.

32. Behalten Sie den Standardport 3389 für die Kommunikation zwischen Intranetgateway und RDS-Sitzungshosts bei. Klicken Sie auf Next.

33. Klicken Sie im Zusammenfassungsbildschirm auf Fertigstellen und dann auf Schließen.

Der RDS Gateway-Server kann über die Firewall hinaus mit Blick auf die Internetnutzer platziert werden. Ein Benutzer, der versucht, eine Verbindung zu den RDS-Sitzungshosts von einem Homeoffice- oder Remotestandort über das Internet herzustellen, muss zuerst diesen RDS Gateway-Server durchlaufen.

Herstellen einer Verbindung zur Bereitstellung

1. Um eine Verbindung zur RDS-Bereitstellung über das neu konfigurierte RD-Gateway herzustellen, geben Sie in der Remotedesktopverbindungs-App des Clientcomputers den Namen des RD-Sitzungshosts oder des Zielcomputers ein.

2. Klicken Sie auf die Schaltfläche Show Options (Optionen anzeigen ), auf die Registerkarte Advanced (Erweitert ) und klicken Sie im Abschnitt Connect from Anywhere (Von überall verbinden ) auf Settings (Einstellungen).

3. Klicken Sie auf die Kennzahlschaltfläche "Use these RD Gateway server settings" und geben Sie den öffentlichen DNS-Namen des RDS Gateway ein.

4. Klicken Sie auf OK und verbinden. Geben Sie den Domainbenutzernamen und das Passwort für den RD Gateway-Server und den Zielsitzungshost ein. Die Verbindung sollte erfolgreich sein.

Überwachen der RD-Gatewayverbindungen

Zurück auf dem RDS Gateway-Rechner, im RD Gateway Manager und unter Überwachung werden die Verbindungsdetails angezeigt.