Jak nastavit server brány vzdálené plochy v systému Windows Server 2022, 2019 nebo 2016

Úvod

Server brány VP je užitečný pro umožnění zabezpečeného přístupu k prostředí rds pro uživatele internetu.

Server brány služby Vzdálená plocha (RDS) používá k zašifrování komunikace mezi klienty a servery rds certifikát SSL.

Služba IIS se používá k ověřování a ke konfiguraci zásad pro podrobné definování uživatelů, kteří by měli mít přístup k jakým zdrojům. 

Tato příručka předpokládá, že nasazení služby RDS (obsahující role zprostředkovatele připojení k VP, Licencování a Hostitelé relace) již existuje.

Další informace o nastavení základního nebo pokročilého nasazení vzdálené plochy naleznete v článku databáze znalostí Dell 217251 Postup – Nasazení standardních služeb vzdálené plochy – podrobné. Další článek, který se má zobrazit, je instalace a aktivace hostitele relace vzdálené plochy bez zprostředkovatele připojení (pracovní skupiny) – Windows Server 2022. 

Nasaďte roli serveru brány VP.

1. Na počítači se systémem Windows Server, který hostuje roli zprostředkovatele připojení pro nasazení VP, klikněte ve Správci serveru na možnost Manage a poté na možnost Add Roles and Features. Na uvítací obrazovce klikněte na tlačítko Next (Další ).

2. Vyberte instalaci na základě rolí nebo na základě funkcí a klikněte na tlačítko Další.
3. Vyberte cílový server pro roli brány VP tohoto nasazení a klikněte na tlačítko Další. Na snímku obrazovky pod cílovým serverem je "rdsfarm". 
4. Na obrazovce Roles rozbalte položku Remote Desktop Services a zaškrtněte políčko Remote Desktop Gateway .

5. Kliknutím na tlačítko Přidat funkce nainstalujte požadované součásti a poté klikněte na tlačítko Další , dokud se nezobrazí potvrzovací obrazovka, a poté klikněte na tlačítko Instalovat.

6. Počkejte, až se instalace dokončí, a poté klikněte na tlačítko Zavřít.

7. V části Správci serveru zprostředkovatele připojení klikněte v uzlu Služby vzdálené plochy nazelený kruh s znaménkem plus nad bránou VP.

8. Vyberte server , který je nakonfigurován jako brána VP. Přesuňte jej na pravou stranu a klikněte na tlačítko Další.

9. Zadejte název FQDN serveru brány VP. (Tento krok nakonfiguruje předmět certifikátu podepsaného držitelem vytvořeným tímto průvodcem. Nejedná se o certifikát, který se používá v této příručce.) Klikněte na tlačítko Další.

10. Kliknutím na tlačítko Add potvrďte přidání do nasazení, počkejte, až dokončí instalaci role, a klikněte na tlačítko Close.

Nakonfigurujte certifikát.

11. Stále v nástroji Server Manager v části Connection Broker v části Deployment Overview klikněte na možnost Tasks a poté na možnost Edit Deployment Properties.
      
    

12. Klikněte na uzel Certifikáty.

Důležité!
Pro účely testování je možné použít zde vytvořený certifikát podepsaný držitelem nebo certifikát, který byl dříve v průvodci vytvořen automaticky. Produkční prostředí RDS by však mělo být nakonfigurováno tak, aby používalo certifikát od důvěryhodné veřejné certifikační autority nebo certifikační autority založené na doméně.
Tato příručka ukazuje, jak nakonfigurovat certifikát od důvěryhodné veřejné certifikační autority. Tímto způsobem není nutné tento certifikát instalovat v klientských počítačích.
 

13. Klikněte na možnost Vybrat stávající certifikát. Zadejte cestu k certifikátu. V této ukázce byl certifikát zkopírován do kořenového adresáře jednotky C:\ v řadiči domény. Zadejte heslo , pomocí kterého bylo uloženo.

14. Zaškrtněte políčko "Povolit přidání certifikátu do úložiště certifikátů důvěryhodných kořenových certifikátů certifikační autority v cílových počítačích" a klikněte na tlačítko OK.

15. Všimněte si stavu Ready to Apply na obrazovce konfigurace nasazení. Klikněte na tlačítko Použít.

16. Po několika okamžikech obrazovka ukazuje, že operace byla úspěšně dokončena a sloupec úrovně rozpozná certifikát jako "Trusted".

17. Klikněte na roli přístupu k VP Web Access a opakujte kroky 13–16 a nakonfigurujte ji. Tímto způsobem se stejný certifikát používá pro službu IIS. Kliknutím na tlačítko OK ukončete obrazovku konfigurace nasazení.

Konfigurace zásady autorizace připojení a zásady autorizace zdrojů.

Předtím, než se uživatelé mohou připojit k nasazení pomocí serveru brány VP, je nutné nakonfigurovat cap a RAP.

Zásady autorizace připojení (CAP) vám umožňují určit, kdo je oprávněn se připojit k serveru brány VP.

Zásady autorizace zdrojů (RAP) vám umožňují určit, ke kterým serverům nebo počítačům mají autorizovaní uživatelé přístup.
 

18. Na serveru brány VP otevřete Správce serveru, klikněte na položku Nástroje, Služby vzdálené plochy a poté Správcebrány vzdálené plochy.

19. Pravým tlačítkem myši klikněte na název serveru (RDSFARM na obrázku) a poté klikněte na možnost Vlastnosti.

20. Na kartě Server Farm přidejte název serveru brány VP (opět RDSFARM na obrázku) a klikněte na tlačítko Apply. 
    
    

21. Ignorujte chybu nástroje Load Balancer. Očekává se. Klikněte na tlačítko OK, použijte ještě jednou a stav je nyní v pořádku.

22. Na kartě Certifikát SSL je možné zobrazit a změnit konfiguraci certifikátu serveru brány VP. V případě potřeby také vytvořte nový certifikát podepsaný držitelem . To vše však již bylo nakonfigurováno v zprostředkovateli připojení.

23. Kliknutím na tlačítko OK zavřete obrazovku vlastností.

24. Na hlavní obrazovce správce brány VP rozbalte server a poté zásady.
     

25. Pravým tlačítkem myši klikněte na položku Connection Authorization Policies a poté na možnost Create New Policy a Wizard.

26. Vyberte možnost Create an RD CAP a RD RAP (doporučeno). Klikněte na tlačítko Další.

27. Zadejte název rd cap. Klikněte na tlačítko Další.

28. Klikněte na možnost Add Group (Přidat skupinu) a zadejte název skupiny obsahující uživatele, které se mohou připojit. Uživatelé domény se používají pro tuto bitovou kopii příručky. Klikněte na tlačítko Další.

29. Ponechte výchozí nastavení v krocích Přesměrování zařízení a Časový limit relace, klikněte na tlačítko Další na obou obrazovkách i na obrazovce Summary a poté pokračujte v rapu VP.

30. Zadejte název a klikněte na tlačítko Další. Ponechte výchozí nastavení v části Skupina uživatelů a znovu klikněte na tlačítko Další .

31. Pokud je na obrazovce Network Resource uvedena skupina active directory obsahující účty počítače serverů hostitelů relace nasazení VP, zadejte ji. V opačném případě vyberte možnost "Povolit uživatelům připojení k libovolnému síťovému zdroji (počítači)". Klikněte na tlačítko Další.

32. Ponechte výchozí port 3389 pro intranetovou bránu a komunikaci hostitelů relace VP. Klikněte na tlačítko Další.

33. Na obrazovce souhrnu klikněte na tlačítko Finish (Dokončit ) a poté na tlačítko Close (Zavřít).

Server brány VP je připraven k umístění za firewall naproti uživatelům internetu. Uživatel, který se pokouší připojit k hostitelům relace vzdálené plochy z domovské nebo vzdálené kanceláře přes internet, musí nejprve projít tímto serverem brány VP.

Připojení k nasazení

1. Chcete-li se připojit k nasazení služby Vzdálená plocha pomocí nově nakonfigurované brány VP, v aplikaci Připojení ke vzdálené ploše klientského počítače zadejte název hostitele relace VP nebo cílového počítače.

2. Klikněte na tlačítko Zobrazit možnosti , kartu Upřesnit a v části Připojit odkudkoli klikněte na možnost Nastavení.

3. Klikněte na tlačítko "Použít tato nastavení serveru brány VP" a zadejte veřejný název DNSbrány VP.

4. Klikněte na tlačítko OK a připojte se. Zadejte uživatelské jméno a heslo domény pro server brány VP a cílového hostitele relace. Připojení by mělo být úspěšné.

Sledování připojení brány VP

V zařízení brány VP, ve Správci brány VP a v části Monitorování se zobrazují podrobnosti o připojení.