Slik konfigurerer du en Gateway Server for eksterne skrivebordstjenester i Windows Server 2022, 2019 eller 2016

Innledning

En RDS Gateway-server er nyttig for å gi sikker tilgang til et RDS-miljø for Internett-brukere.

En RDS-gatewayserver (Remote Desktop Services) bruker et SSL-sertifikat for å kryptere kommunikasjonen mellom klientene og RDS-serverne.

IIS brukes til autentisering og til å konfigurere policyer for å definere hvilke brukere som skal ha tilgang til hvilke ressurser. 

Denne veiledningen forutsetter at en RDS-implementering (som inneholder RDS Connection Broker-, lisensierings- og øktvertsroller) allerede eksisterer.

Hvis du vil ha mer informasjon om hvordan du konfigurerer grunnleggende eller avansert RDS-implementering, kan du se Dell KB-artikkelen 217251 How To - Standard Remote Desktop Services Deployment ( Standard implementering av eksterne skrivebordstjenester) – trinnvis. En annen artikkel å vise er KB-artikkel 215230 for installasjon og aktivering av en vert for RDS-økter uten en Connection Broker (arbeidsgruppe) – Windows Server 2022. 

Implementer RD Gateway-serverrollen.

1. På Windows Server-datamaskinen som er vert for Connection Broker-rollen for RDS-implementeringen, klikker du på Manage (Administrer ) og Add Roles and Features (Legg til roller og funksjoner) i Server Manager. Klikk på Next (Neste ) på velkomstskjermbildet.

2. Velg en rollebasert eller funksjonsbasert installasjon, og klikk på Next (Neste).
3. Velg målserveren for RD Gateway-rollen for denne implementeringen, og klikk på Next (Neste). I skjermbildet nedenfor er målserveren "rdsfilen". 
4. Utvid eksterne skrivebordstjenester i skjermbildet Roles (Roller), og klikk på avmerkingsboksen Remote Desktop Gateway (Gateway for eksternt skrivebord ).

5. Klikk på Legg til funksjoner for å installere forutsetningene og deretter neste til bekreftelsesskjermbildet, og klikk deretter på Install (Installer).

6. Vent til installasjonen er fullført, og klikk deretter på Close (Lukk).

7. Tilbake i Connection Broker-serveradministratorer, i noden For eksterne skrivebordstjenester, klikker du på den grønne sirkelen med plusstegnet over RD-gatewayen.

8. Velg serveren som er konfigurert som RD Gateway. Flytt den til høyre, og klikk på Neste.

9. Angi FQDN for RD Gateway Server. (Dette trinnet konfigurerer temaet for det selvsignerte sertifikatet som opprettes av denne veiviseren. Dette er ikke sertifikatet som brukes i denne veiledningen.). Klikk på Next (Neste).

10. Klikk på Legg til for å bekrefte tillegget til implementeringen, vent til den er ferdig med å installere rollen, og klikk deretter på Lukk.

Konfigurer sertifikatet.

11. Fortsatt i Server Manager, i Connection Broker, under Deployment Overview (Distribusjonsoversikt), klikker du på Tasks (Oppgaver ) og deretter Edit Deployment Properties (Rediger implementeringsegenskaper).
      
    

12. Klikk på Sertifikater-noden.

Viktig!
For testformål er det mulig å bruke et selvsignert sertifikat som er opprettet her, eller for eksempel sertifikatet som ble opprettet tidligere i veiviseren. Et produksjons-RDS-miljø bør imidlertid konfigureres til å bruke et sertifikat fra en klarert offentlig eller domenebasert sertifiseringsinstans.
Denne veiledningen viser hvordan du konfigurerer et sertifikat fra en klarert offentlig sertifiseringsinstans. På den måten trenger ikke dette sertifikatet installeres på klientdatamaskinene.
 

13. Klikk på Select an existing certificate (Velg et eksisterende sertifikat). Skriv inn banen til sertifikatet. I denne demonstrasjonen har sertifikatet blitt kopiert til roten av C:\-stasjonen i domenekontrolleren. Skriv inn passordet som det ble lagret på.

14. Klikk for å merke av for Allow the certificate to be added to the Trusted Root Certification Authorities certificate store on the destination computers (Tillat at sertifikatet legges til i sertifikatlageret for Klarerte rotsertifiseringsinstanser på måldatamaskinene), og klikk på OK.

15. Legg merke til tilstanden Ready to Apply (Klar til bruk ) i skjermbildet for implementeringskonfigurasjon. Klikk på Bruk.

16. Etter en liten stund viser skjermen at operasjonen ble fullført, og nivåkolonnen gjenkjenner sertifikatet som Trusted (Klarert).

17. Klikk på RD Web Access-rollen , og gjenta trinn 13–16 for å konfigurere den. På den måten brukes det samme sertifikatet for IIS. Klikk på OK for å avslutte skjermbildet for implementeringskonfigurasjon.

Konfigurere en policy for tilkoblingsgodkjenning og en ressursgodkjenningspolicy.

Før brukerne kan koble til implementeringen ved hjelp av RD Gateway-serveren, er det nødvendig å konfigurere en CAP og en RAP.

Med en policy for tilkoblingsgodkjenning (CAP) kan du angi HVEM som har tillatelse til å koble til RDS Gateway Server.

Med en policy for ressursautorisasjon (RAP) kan du angi hvilke servere eller datamaskiner som autoriserte brukere har tilgang til.
 

18. Åpne Serveradministrasjon på RDS Gateway-serveren, klikk på Tools (Verktøy), Remote Desktop Services (Eksterne skrivebordstjenester) og deretter Remote Desktop Gateway Manager (Gatewaybehandling for eksternt skrivebord).

19. Høyreklikk på servernavnet (RDSIMAGE i imaget), og klikk deretter på Egenskaper.

20. Under fanen Server Farm legger du til navnet på RD gateway-serveren (på nytt, RDSIMAGE i imaget), og klikker på Bruk. 
    
    

21. Ignorer feilen om en belastningsfordeler. Det er forventet. Klikk på OK, bruk én gang til, og statusen viser nå OK.

22. I kategorien SSL-sertifikat er det mulig å vise og endre sertifikatkonfigurasjonen for RD Gateway-serveren. Opprett til og med et nytt selvsignert sertifikat om nødvendig. Alt dette er imidlertid allerede konfigurert i tilkoblingsmegleren.

23. Klikk på OK for å gå ut av egenskaper-skjermbildet.

24. Tilbake i hovedskjermbildet i RD Gateway Manager utvider du serveren og deretter policyer.
     

25. Høyreklikk på Connection Authorization Policies (Policyer for tilkoblingsgodkjenning), og klikk deretter på Create New Policy (Opprett ny policy) og deretter Wizard (Veiviser).

26. Velg Create an RD CAP (Opprett en RD CAP ) og en RD RAP (anbefalt). Klikk på Next (Neste).

27. Angi et navn for RD CAP. Klikk på Next (Neste).

28. Klikk på Legg til gruppe, og angi navnet på gruppen som inneholder brukerne som har tillatelse til å koble til. Domenebrukere brukes for dette veiledningsimaget. Klikk på Next (Neste).

29. La standardinnstillingene stå i trinnene for enhetsdirigering og tidsavbrudd for økt, klikk på Neste på begge skjermbildene og i skjermbildet Summary (Sammendrag), og fortsett deretter med RD RAP.

30. Skriv inn et navn, og klikk på Neste. La standardinnstillingen stå i delen Brukergruppe , og klikk på Neste på nytt.

31. Hvis det er en active directory-gruppe som inneholder datamaskinkontoene til session hosts-serverne i denne RDS-implementeringen, i skjermbildet Network Resource (Nettverksressurs), angir du den. Hvis ikke, velger du alternativet Allow users to connect to any network resource (computer)" (Tillat brukere å koble til en hvilken som helst nettverksressurs (datamaskin). Klikk på Next (Neste).

32. La standardporten på 3389 være for intranett-gateway til vertskommunikasjon for RDS-økter. Klikk på Next (Neste).

33. Klikk på Finish (Fullfør ) i skjermbildet med sammendraget, og lukk deretter.

RDS Gateway-serveren er klar til å plasseres utenfor brannmuren, vendt mot Internett-brukere. En bruker som prøver å koble til verter for RDS-økter fra et hjemme- eller eksternt kontorsted via Internett, må først gå gjennom denne RDS Gateway-serveren.

Koble til implementeringen

1. Hvis du vil koble til RDS-implementeringen ved hjelp av den nylig konfigurerte RD-gatewayen, angir du navnet på verten for RD-økten eller målmaskinen på remote desktop Connection-appen på klientmaskinen.

2. Klikk på vis alternativer-knappen, avansert-fanen og klikk på Innstillinger i delen Koble til fra hvor som helst.

3. Klikk på knappen «Use these RD Gateway server settings» (Bruk disse innstillingene for RD Gateway-serverinnstillinger), og angi det offentlige DNS-navnet på RDS-gatewayen.

4. Klikk på OK og koble til. Angi domenebrukernavnet og -passordet for RD Gateway Server og måløktverten. Tilkoblingen skal lykkes.

Overvåk RD Gateway-tilkoblingene

Tilbake i RDS Gateway-maskinen, i RD Gateway Manager og under Overvåking er tilkoblingsdetaljene synlige.