Настройка сервера шлюза служб удаленных рабочих столов в Windows Server 2022, 2019 или 2016

Введение

Сервер RDS Gateway полезен для обеспечения безопасного доступа к среде RDS для интернет-пользователей.

Сервер шлюза служб удаленных рабочих столов (RDS) использует SSL-сертификат для шифрования связи между клиентами и серверами RDS.

IIS используется для аутентификации и настройки политик, чтобы детально определить, какие пользователи должны иметь доступ к каким ресурсам. 

Данное руководство предполагает, что уже существует развертывание RDS (содержащее роль посредника подключений RDS, лицензирования и хостов сеансов).

Дополнительные сведения о базовом или расширенном развертывании RDS см. в статье базы знаний Dell 217251 Как выполнить стандартное развертывание служб удаленных рабочих столов — пошаговые инструкции. Еще одной статьей для просмотра является статья базы знаний 215230 Установка и активация узла сеансов RDS без посредника подключений (Workgroup) — Windows Server 2022. 

Разверните роль сервера RD Gateway.

1. На компьютере Windows Server, на котором находится роль посредника подключений для развертывания RDS, в Диспетчере серверов нажмите Управление, затем Добавьте роли и компоненты. Нажмите далее на экране приветствия.

2. Выберите установку на основе ролей или функций и нажмите кнопку Далее.
3. Выберите целевой сервер для роли шлюза удаленных рабочих столов этого развертывания и нажмите кнопку Далее. На снимке экрана ниже целевой сервер имеет значение «rdsfarm». 
4. На экране «Роли» разверните раздел Службы удаленных рабочих столов и установите флажок Шлюз удаленных рабочих столов.

5. Нажмите Add Features (Добавить компоненты), чтобы установить необходимые условия, а затем Далее до появления экрана подтверждения, затем нажмите Install (Установить).

6. Дождитесь завершения установки и нажмите кнопку Закрыть.

7. Вернитесь в Диспетчеры серверов посредника подключений, на узле Служб удаленных рабочих столов нажмите на зеленый круг со знаком «плюс» над шлюзом удаленных рабочих столов.

8. Выберите сервер , настроенный в качестве шлюза RD Gateway. Переместите его вправо и нажмите кнопку Далее.

9. Введите FQDN сервера RD Gateway. (На этом этапе выполняется настройка субъекта в самозаверяемом сертификате, созданном этим мастером. Это не сертификат, используемый в этом руководстве.). Нажмите Next.

10. Нажмите Добавить, чтобы подтвердить добавление в развертывание, дождитесь его завершения установки роли и нажмите Закрыть.

Настройте сертификат.

11. В Диспетчере серверов в разделе «Connection Broker» в разделе «Deployment Overview» нажмите «Tasks », а затем «Edit Deployment Properties».
      
    

12. Нажмите на узел Certificates.

Важно!
В целях тестирования можно использовать самозаверяятельный сертификат, созданный здесь или аналогичный сертификату, который был автоматически создан ранее в мастере. Тем не менее, производственную среду RDS необходимо настроить на использование сертификата доверенного общедоступного или доменного центра сертификации.
В данном руководстве показано, как настроить сертификат от доверенного центра публичной сертификации. Таким образом, этот сертификат не должен быть установлен на клиентских компьютерах.
 

13. Нажмите Выбрать существующий сертификат. Введите путь к сертификату. В этой демонстрации сертификат скопированный в корневой каталог диска C:\ контроллера домена. Введите пароль , с помощью которого он был сохранен.

14. Установите флажок Allow the certificate to be added to the Trusted Root Certification Authorities certificate store on the destination computers( Разрешить добавление сертификата в хранилище сертификатов доверенных корневых центров сертификации на целевых компьютерах) и нажмите кнопку OK.

15. Обратите внимание на состояние Готово к применить на экране конфигурации развертывания. Нажмите кнопку Применить.

16. Через несколько секунд на экране показано успешное завершение операции, а столбец уровня распознает сертификат как «Доверенный».

17. Нажмите на роль RD Web Access и повторите шаги 13–16 для ее настройки. Этот же сертификат используется для IIS. Нажмите кнопку OK , чтобы выйти из экрана конфигурации развертывания.

Настройте политику авторизации подключений и политику авторизации ресурсов.

Прежде чем пользователи смогут подключиться к развертыванию с помощью сервера RD Gateway, необходимо настроить cap и RAP.

Политика авторизации подключений (CAP) позволяет указать, КТО имеет разрешение на подключение к серверу шлюза RDS.

Политика авторизации ресурсов (RAP) позволяет указать серверы или компьютеры, к которым имеют доступ авторизованные пользователи.
 

18. На сервере RDS Gateway откройте Диспетчер серверов, выберите Инструменты, Службы удаленных рабочих столов, а затем Диспетчер шлюза удаленных рабочихстолов.

19. Нажмите правой кнопкой мыши на имя сервера (RDSFARM на изображении) и выберите Свойства.

20. На вкладке «Ферма серверов » добавьте имя сервера шлюза удаленных серверов (еще раз, RDSFARM на изображении) и нажмите кнопку Применить. 
    
    

21. Игнорируйте ошибку балансировщика нагрузки. Это ожидаемо. Нажмите кнопку OK, нажмите кнопку Применить еще раз, и теперь состояние будет ОК.

22. На вкладке Сертификат SSL можно просмотреть и изменить конфигурацию сертификатов сервера шлюза удаленных рабочих нагрузок. Даже при необходимости создайте новый самозаверятельный сертификат. Однако все это уже настроено в посреднике подключений.

23. Нажмите кнопку OK , чтобы выйти из экрана свойств.

24. На главном экране RD Gateway Manager разверните сервер, а затем политики.
     

25. Правой кнопкой мыши нажмите Connection Authorization Policies, затем нажмите Create New Policy , а затем Wizard.

26. Выберите Create an RD CAP and an RD RAP (recommended). Нажмите Next.

27. Введите имя для RD CAP. Нажмите Next.

28. Нажмите Add Group и введите имя группы, содержащей пользователей, которым разрешено подключение. Для этого образа руководства используются пользователи домена. Нажмите Next.

29. Оставьте значения по умолчанию в шагах «Перенаправление устройства» и «Тайм-аут сеанса», нажмите «Далее» на обоих экранах, а затем на экране «Сводка», а затем продолжите работу с RD RAP.

30. Введите имя и нажмите кнопку «Next». Оставьте значение по умолчанию в разделе «Группа пользователей» и снова нажмите кнопку «Далее ».

31. Если на экране Network Resource имеется группа active directory, содержащая учетные записи компьютеров серверов Session Hosts этого развертывания RDS, укажите ее. В противном случае выберите параметр «Разрешить пользователям подключаться к любому сетевому ресурсу (компьютеру)». Нажмите Next.

32. Оставьте порт по умолчанию 3389 для внутрисетевного шлюза для обмена данными с хостами сессий RDS. Нажмите Next.

33. Нажмите кнопку Готово на экране сводки, а затем Закрыть.

Сервер RDS Gateway готов к размещению за пределами брандмауэра для интернет-пользователей. Пользователь, который пытается подключиться к хостам сессий RDS из домашнего или удаленного офиса через Интернет, должен сначала подключиться к этому серверу RDS Gateway.

Подключение к развертыванию

1. Чтобы подключиться к развертыванию RDS с помощью вновь настроенного шлюза удаленных рабочих столов, в приложении Подключение к удаленному рабочему столу клиентского компьютера введите имя узла сеансов удаленных рабочих столов или целевой машины.

2. Нажмите кнопку Показать параметры , вкладку Дополнительно и в разделе Подключение из любой точки нажмитеНастройки.

3. Нажмите кнопку «Use these RD Gateway server settings» и введите публичное DNS-имяшлюза RDS Gateway.

4. Нажмите кнопку OK и Connect. Введите имя пользователя и пароль домена для сервера шлюза удаленных рабочих нагрузок и целевого узла сеансов. Подключение должно быть успешным.

Мониторинг подключений к RD Gateway

На шлюзе RDS, в RD Gateway Manager и в разделе Monitoring отображаются сведения о подключении.