Een Extern bureaublad-servicesgatewayserver instellen in Windows Server 2022, 2019 of 2016

Inleiding

Een RDS Gateway-server is handig voor veilige toegang tot een RDS-omgeving voor internetgebruikers.

Een Extern bureaublad-gatewayserver (RDS) gebruikt een SSL-certificaat om de communicatie tussen de clients en de RDS-servers te versleutelen.

IIS wordt gebruikt voor authenticatie en voor het configureren van policy's om gedetailleerd te definiëren welke gebruikers toegang moeten hebben tot welke bronnen. 

In deze handleiding wordt ervan uitgegaan dat er al een RDS-implementatie bestaat (met de rollen RDS Connection Broker, Licensing en Session Hosts).

Zie voor meer informatie over het instellen van een standaard of geavanceerde RDS-implementatie het Dell KB-artikel 217251 How to - Standard Remote Desktop Services Deployment - Stap voor stap. Een ander artikel om te bekijken is KB-artikel 215230 Een RDS-sessiehost installeren en activeren zonder een Connection Broker (werkgroep) - Windows Server 2022. 

Implementeer de rol van de RD Gateway Server.

1. Klik op de Windows Server-computer die de Connection Broker-rol voor de RDS-implementatie host, in Serverbeheer op Beheren en vervolgens op Rollen en onderdelen toevoegen. Klik op Volgende in het welkomstscherm.

2. Selecteer een installatie op basis van rollen of onderdelen en klik op Volgende.
3. Selecteer de doelserver voor de RD Gateway-rol van deze implementatie en klik op Volgende. In de onderstaande schermafbeelding is de doelserver 'rdsfarm'. 
4. Vouw in het venster Rollen Remote Desktop Services uit en klik op het selectievakje Remote Desktop Gateway .

5. Klik op Functies toevoegen om de vereisten te installeren en vervolgens op Volgende totdat het bevestigingsscherm wordt weergegeven en klik vervolgens op Installeren.

6. Wacht tot de installatie is voltooid en klik vervolgens op Sluiten.

7. Terug in Server Managers van de Connection Broker klikt u in het knooppunt Remote Desktop Services op de groene cirkel met het plusteken boven de RD-gateway.

8. Selecteer de server die is geconfigureerd als de RD Gateway. Verplaats deze naar de rechterkant en klik op Volgende.

9. Voer de FQDN van de RD Gateway Server in. (Deze stap configureert het onderwerp op het zelfondertekende certificaat dat door deze wizard is gemaakt. Dit is niet het certificaat dat in deze handleiding wordt gebruikt.). Klik op Volgende.

10. Klik op Toevoegen om de toevoeging aan de implementatie te bevestigen, wacht tot de installatie van de rol is voltooid en klik vervolgens op Sluiten.

Configureer het certificaat.

11. Nog steeds in Serverbeheer, in de Connection Broker, onder Deployment Overview, klikt u op Tasks en vervolgens Edit Deployment Properties.
      
    

12. Klik op het knooppunt Certificates.

Belangrijk!
Voor testdoeleinden is het mogelijk om een zelfondertekend certificaat te gebruiken dat hier is gemaakt of zoals het certificaat dat automatisch eerder in de wizard is gemaakt. Een productie-RDS-omgeving moet echter worden geconfigureerd voor gebruik van een certificaat van een vertrouwde openbare of domeingebaseerde certificeringsinstantie.
In deze handleiding wordt uitgelegd hoe u een certificaat configureert van een vertrouwde openbare certificeringsinstantie. Op die manier hoeft dit certificaat niet op de clientcomputers te worden geïnstalleerd.
 

13. Klik op Een bestaand certificaat selecteren. Voer het pad naar het certificaat in. In deze demo is het certificaat gekopieerd naar de hoofdmap van de C:\ schijf in de domeincontroller. Voer het wachtwoord in waarmee het is opgeslagen.

14. Klik om het selectievakje "Allow the certificate to be added to the Trusted Root Certification Authorities certificate store on the destination computers" aan te vinken en klik op OK.

15. Let op de status Ready to Apply in het configuratiescherm van de implementatie. Klik op Apply.

16. Na enkele ogenblikken wordt op het scherm weergegeven dat de bewerking is voltooid en de kolom Level herkent het certificaat als 'Trusted'.

17. Klik op de rol RD Web Access en herhaal stap 13-16 om deze te configureren. Op die manier wordt hetzelfde certificaat gebruikt voor IIS. Klik op OK om het configuratiescherm van de implementatie af te sluiten.

Configureer een beleid voor verbindingsautorisatie en een resourceautorisatiebeleid.

Voordat gebruikers verbinding kunnen maken met de implementatie met behulp van de RD Gateway-server, is het vereist om een CAP en een RAP te configureren.

Met een Beleid voor verbindingsautorisatie (CAP) kunt u opgeven wie mag verbinding maken met de RDS Gateway Server.

Met een Resource Authorization Policy (RAP) kunt u opgeven tot WELKE servers of computers de geautoriseerde gebruikers toegang hebben.
 

18. Open serverbeheer op de RDS Gateway-server, klik op Tools, Remote Desktop Services en vervolgens Remote Desktop GatewayManager.

19. Klik met de rechtermuisknop op de servernaam (RDSFARM in de image) en klik vervolgens op Eigenschappen.

20. Voeg op het tabblad ServerFarm de naam van de RD gatewayserver toe (nogmaals, RDSFARM in de afbeelding) en klik op Toepassen. 
    
    

21. Negeer de fout over een load balancer. Dit wordt verwacht. Klik op OK, pas nog een keer toe en de status wordt nu WEERGEGEVEN ALS.

22. Op het tabblad SSL-certificaat is het mogelijk om de certificaatconfiguratie van de RD gatewayserver weer te geven en te wijzigen. Maak indien nodig zelfs een nieuw zelfondertekend certificaat . Dit alles is echter al geconfigureerd in de connection broker.

23. Klik op OK om het eigenschappenscherm te verlaten.

24. In het hoofdscherm van RD Gateway Manager vouwt u de server uit en vervolgens de policy's.
     

25. Klik met de rechtermuisknop op Policy's voor verbindingsautorisatie, klik vervolgens op Nieuw beleid maken en vervolgens op Wizard.

26. Selecteer Create an RD CAP and an RD RAP (aanbevolen). Klik op Volgende.

27. Voer een naam in voor de RD CAP. Klik op Volgende.

28. Klik op Groep toevoegen en voer de naam van de groep in met de gebruikers die verbinding mogen maken. Domeingebruikers worden gebruikt voor deze handleiding- image. Klik op Volgende.

29. Laat de standaardinstellingen in de stappen Device Redirection en Session Timeout staan, klik op Next op beide schermen en in het scherm Summary en ga verder met de RD RAP.

30. Voer een naam in en klik op Volgende. Laat de standaardinstelling achter in het gedeelte Gebruikersgroep en klik nogmaals op Volgende .

31. Als er in het scherm Network Resource een Active Directory-groep is met de computeraccounts van de Session Hosts-servers van deze RDS-implementatie, geeft u deze op. Selecteer anders de optie 'Gebruikers toestaan verbinding te maken met een willekeurige netwerkbron (computer)'. Klik op Volgende.

32. Laat de standaardpoort van 3389 over voor intranetgateway naar RDS-sessiehostcommunicatie. Klik op Volgende.

33. Klik op Voltooien in het overzichtsscherm en vervolgens op Sluiten.

De RDS Gateway-server kan buiten de firewall worden geplaatst, tegenover de internetgebruikers. Een gebruiker die verbinding probeert te maken met de RDS-sessiehosts vanuit een thuis- of externe kantoorlocatie via internet, moet eerst via deze RDS Gateway-server gaan.

Maak verbinding met de implementatie

1. Als u verbinding wilt maken met de RDS-implementatie met behulp van de nieuw geconfigureerde RD Gateway, voert u in de app Remote Desktop Connection van de clientcomputer de naam van de RD Session Host of de doelcomputer in.

2. Klik op de knop Opties weergeven , het tabblad Geavanceerd en klik in het gedeelte Verbinding maken vanaf elke locatie op Instellingen.

3. Klik op de knop 'Use these RD Gateway server settings' en voer de openbare DNS-naam van de RDS Gateway in.

4. Klik op OK en maak verbinding. Voer de gebruikersnaam en het wachtwoord van het domein in voor de RD Gateway Server en de doelsessiehost. De verbinding moet slagen.

De RD Gateway-verbindingen bewaken

Terug in de RDS Gateway-machine, in RD Gateway Manager en onder Monitoring, zijn de verbindingsgegevens zichtbaar.