Så här konfigurerar du en gatewayserver för fjärrskrivbordstjänster i Windows Server 2022, 2019 eller 2016

Introduktion

En RDS Gateway-server är användbar för att ge internetanvändare säker åtkomst till en RDS-miljö.

En RDS-gatewayserver (Remote Desktop Services) använder ett SSL-certifikat för att kryptera kommunikationen mellan klienterna och RDS-servrarna.

IIS används för autentisering och för att konfigurera principer för att detaljerad definiera vilka användare som ska ha åtkomst till vilka resurser. 

I den här manualen förutsätts att det redan finns en RDS-distribution (som innehåller roller för RDS-anslutningsutjämning, licensiering och sessionsvärdar).

Mer information om hur du konfigurerar grundläggande eller avancerad RDS-driftsättning finns i Dells kunskapsartikel 217251 Så här gör du – Driftsättning av standardtjänster för fjärrskrivbordstjänster – steg för steg. En annan artikel att läsa är KB-artikeln 215230 Install and Activate an RDS Session Host without a Connection Broker (Workgroup) – Windows Server 2022. 

Driftsätt rollen rd gateway-server.

1. På Windows Server-datorn som är värd för rollen Anslutningsutjämning för RDS-distributionen klickar du på Manage i Server Manager och sedan på Add Roles and Features. Klicka på Next (nästa ) på välkomstskärmen.

2. Välj en rollbaserad eller funktionsbaserad installation och klicka på Nästa.
3. Välj målserver för rollen RD Gateway för den här distributionen och klicka på Nästa. I skärmbilden under målservern visas "rds surf". 
4. På skärmen Roles (roller) expanderar du Remote Desktop Services (fjärrskrivbordstjänster ) och klickar på kryssrutan Remote Desktop Gateway (fjärrskrivbordsgateway ).

5. Klicka på Lägg till funktioner för att installera förutsättningar och sedan nästa till bekräftelseskärmen och klicka sedan på Installera.

6. Vänta tills installationen är klar och klicka sedan på Stäng.

7. Tillbaka i Server Manager för anslutningsutjämningen, i noden Remote Desktop Services, klickar du på den gröna cirkeln med plustecknet ovanför RD Gateway.

8. Välj den server som är konfigurerad som fjärrskrivbordsgateway. Flytta den till höger och klicka på Nästa.

9. Ange FQDN för servern för fjärrskrivbordsgateway. (I det här steget konfigureras ämnet på det självsignerade certifikat som skapas av den här guiden. Det här är inte det certifikat som används i den här guiden.). Klicka på Nästa.

10. Klicka på Add (lägg till) för att bekräfta tillägget till distributionen, vänta tills den har slutfört installationen av rollen och klicka sedan på Stäng.

Konfigurera certifikatet.

11. I Server Manager, i Anslutningsutjämning, under Deployment Overview klickar du på Tasks och sedan Edit Deployment Properties.
      
    

12. Klicka på certifikatnoden.

Viktigt!
I testsyfte är det möjligt att använda ett självsignerat certifikat som skapats här eller som det certifikat som skapades automatiskt tidigare i guiden. En RDS-produktionsmiljö bör dock konfigureras för att använda ett certifikat från en betrodd offentlig eller domänbaserad certifikatutfärdare.
Den här guiden visar hur du konfigurerar ett certifikat från en betrodd offentlig certifikatutfärdare. På så sätt behöver inte certifikatet installeras på klientdatorerna.
 

13. Klicka på Select an existing certificate( välj ett befintligt certifikat). Ange sökvägen till certifikatet. I den här demonstrationen har certifikatet kopierats till roten på C:\-enheten i domänkontrollanten. Ange lösenordet som det sparades med.

14. Markera kryssrutan " Tillåt att certifikatet läggs till i certifikatlagret för betrodda rotcertifikatutfärdare på måldatorerna" och klicka på OK.

15. Observera läget Ready to Apply på skärmen för distributionskonfiguration. Klicka på Verkställ.

16. Efter några ögonblick visar skärmen att åtgärden har slutförts och i kolumnen Level identifieras certifikatet som "betrodd".

17. Klicka på rollen RD Web Access och upprepa steg 13–16 för att konfigurera den. På så sätt används samma certifikat för IIS. Klicka på OK för att avsluta skärmen för distributionskonfiguration.

Konfigurera en policy för anslutningsauktorisering och en policy för resursauktorisering.

Innan användare kan ansluta till driftsättningen med hjälp av RD Gateway-servern måste en CAP och en RAP konfigureras.

Med en cap-princip (Connection Authorization Policy) kan du ange vem som får ansluta till RDS Gateway-servern.

Med en resursauktoriseringspolicy (RAP) kan du ange vilka servrar eller datorer som behöriga användare har åtkomst till.
 

18. På RDS Gateway-servern öppnar du Server Manager, klickar på Verktyg, Fjärrskrivbordstjänster och sedan På Gateway Manager för fjärrskrivbord.

19. Högerklicka på servernamnet (RDS ALIAS i bilden) och klicka sedan på Egenskaper.

20. På fliken Server Farm lägger du till namnet på gatewayservern för fjärrskrivbord (igen, RDSNAME i avbildningen) och klickar på Apply. 
    
    

21. Ignorera felet om belastningsbalansering. Det är förväntat. Klicka på OK, verkställ en gång till så visas statusen OK.

22. På fliken SSL-certifikat är det möjligt att visa och ändra certifikatkonfigurationen för servern för fjärrskrivbordsgateway. Skapa även ett nytt självsignerat certifikat om det behövs. Allt detta har dock redan konfigurerats i anslutningsutjämningen.

23. Klicka på OK för att stänga fönstret Egenskaper.

24. Tillbaka i huvudskärmen i Rd Gateway Manager expanderar du server och sedan policyer.
     

25. Högerklicka på Connection Authorization Policies (principer för anslutningsauktorisering) och klicka sedan på Create New Policy (skapa ny princip ) och sedan Wizard (guide).

26. Välj Create an RD CAP and an RD RAP (skapa en KAP för fjärrskrivbord och en RD RAP ) (rekommenderas). Klicka på Nästa.

27. Ange ett namn för RD CAP. Klicka på Nästa.

28. Klicka på Add Group (lägg till grupp) och ange namnet på den grupp som innehåller de användare som får ansluta. Domänanvändare används för den här manualbilden. Klicka på Nästa.

29. Lämna standardinställningarna i stegen för enhetsomdirigering och session timeout , klicka på Next på båda skärmarna samt på sammanfattningsskärmen och fortsätt sedan med RD RAP.

30. Ange ett namn och klicka på Nästa. Lämna standardinställningen i avsnittet Användargrupp och klicka på Nästa igen.

31. Om det finns en Active Directory-grupp som innehåller datorkontona för sessionsvärdservrarna för den här RDS-distributionen anger du den på skärmen Nätverksresurs. I annat fall väljer du alternativet "Tillåt att användare ansluter till alla nätverksresurser (dator)". Klicka på Nästa.

32. Lämna standardporten 3389 för kommunikation mellan intranätsgateway och RDS-sessionvärdar. Klicka på Nästa.

33. Klicka på Slutför i sammanfattningsskärmen och stäng sedan.

RDS Gateway-servern är redo att placeras utanför brandväggen mot internetanvändarna. En användare som försöker ansluta till rds-sessionsvärdarna från ett hemma- eller fjärranslutet kontor via internet måste först gå igenom denna RDS Gateway-server.

Anslut till driftsättningen

1. Om du vill ansluta till RDS-driftsättningen med den nyligen konfigurerade gatewayen för fjärrskrivbord anger du namnet på värddatorn för fjärrskrivbordssessionen eller måldatorn på klientdatorn för fjärrskrivbordsanslutning.

2. Klicka på knappen Visa alternativ, fliken Avancerat och klicka på Inställningar i avsnittet Anslut från var som helst.

3. Klicka på knappen Use these RD Gateway server settings (använd inställningarna för server för fjärrskrivbordsgateway) och ange namnet på den offentliga DNS-enheten för RDS Gateway.

4. Klicka på OK och anslut. Ange domänanvändarnamnet och -lösenordet för rd-gatewayservern och målsessionsvärden. Anslutningen bör lyckas.

Övervaka anslutningarna för fjärrskrivbordsgateway

Tillbaka i RDS Gateway-datorn, I RD Gateway Manager och under Monitoring visas anslutningsinformationen.