Sådan konfigureres en gatewayserver til fjernskrivebord-tjenester i Windows Server 2022, 2019 eller 2016

Indledning

En RDS Gateway-server er nyttig til at give internetbrugere sikker adgang til et RDS-miljø.

En RDS-gatewayserver (Remote Desktop Services) bruger et SSL-certifikat til at kryptere kommunikationen mellem klienterne og RDS-serverne.

IIS bruges til godkendelse og til at konfigurere politikker for detaljeret at definere, hvilke brugere der skal have adgang til hvilke ressourcer. 

Denne vejledning antager, at der allerede findes en RDS-implementering (der indeholder RDS Connection Broker-, licenserings- og sessionsværtsroller).

Du kan få flere oplysninger om opsætning af grundlæggende eller avanceret RDS-implementering i Dell KB-artiklen 217251 Sådan - Standardimplementering af fjernskrivebord-tjenester - Trin for trin. En anden artikel at se er KB-artikel 215230 Install and Activate an RDS Session Host without a Connection Broker (Workgroup) - Windows Server 2022. 

Implementere RD Gateway-serverrollen.

1. På den Windows Server-computer, der er vært for Rollen Forbindelses-broker for RDS-implementering, skal du i Server Manager klikke på Administrer og derefter tilføje roller og funktioner. Klik på Næste på velkomstskærmbilledet.

2. Vælg en rollebaseret eller funktionsbaseret installation, og klik på Næste.
3. Vælg destinationsserveren for RD Gateway-rollen i denne implementering, og klik på Næste. På skærmbilledet nedenfor er destinationsserveren "rds watt.". 
4. På skærmbilledet Roller skal du udvide Remote Desktop Services og klikke på afkrydsningsfeltet Remote Desktop Gateway .

5. Klik på Tilføj funktioner for at installere forudsætningerne og derefter Næste , indtil bekræftelsesskærmbilledet vises, og klik derefter på Installer.

6. Vent, indtil installationen er færdig, og klik derefter på Luk.

7. Tilbage i Server Managers for Connection Broker, i Remote Desktop Services-noden, skal du klikke på den grønne cirkel med plustegnet over RD-gatewayen.

8. Vælg den server , der er konfigureret som RD-gateway. Flyt den til højre, og klik på Næste.

9. Indtast FQDN for RD Gateway-serveren. (Dette trin konfigurerer emnet på det selvsignerede certifikat, der er oprettet af denne guide. Dette er ikke det certifikat, der anvendes i denne vejledning). Klik på Næste.

10. Klik på Tilføj for at bekræfte tilføjelsen til implementeringen, vent på, at den er færdig med at installere rollen, og klik derefter på Luk.

Konfigurer certifikatet.

11. Stadig i Server Manager, i Connection Broker, under Oversigt over implementering, skal du klikke på Opgaver og derefter redigere implementeringsegenskaber.
      
    

12. Klik på certifikatnoden.

Vigtigt!
Til testformål er det muligt at bruge et selvsigneret certifikat, der er oprettet her, eller som det certifikat, der automatisk blev oprettet tidligere i guiden. Et produktions-RDS-miljø bør dog konfigureres til at bruge et certifikat fra et offentligt eller domænebaseret nøglecenter, der er tillid til.
Denne vejledning viser, hvordan du konfigurerer et certifikat fra et betroet offentligt nøglecenter. På den måde behøver dette certifikat ikke at blive installeret på klientcomputerne.
 

13. Klik på Vælg et eksisterende certifikat. Indtast stien til certifikatet. I denne demo kopieres certifikatet til roden på C:\-drevet i domænecontrolleren. Indtast den adgangskode , som den blev gemt med.

14. Klik for at markere afkrydsningsfeltet "Tillad, at certifikatet føjes til certifikatlageret for rodnøglecentre, der er tillid til" på destinationscomputerne" og klik på OK.

15. Bemærk tilstanden Klar til at anvende på skærmen til implementeringskonfiguration. Klik på Anvend.

16. Efter et øjeblik viser skærmen, at handlingen er gennemført, og niveaukolonnen genkender certifikatet som "Betroet".

17. Klik på RD Web Access-rollen , og gentag trin 13-16 for at konfigurere den. På den måde bruges samme certifikat til IIS. Klik på OK for at afslutte konfigurationsskærmbilledet for implementering.

Konfigurere en politik for forbindelsesgodkendelse og ressourcegodkendelse.

Før brugerne kan oprette forbindelse til implementeringen ved hjælp af RD Gateway-serveren, er det nødvendigt at konfigurere en CAP og en RAP.

En CAP (Connection Authorization Policy) giver dig mulighed for at angive, hvem der har tilladelse til at oprette forbindelse til RDS-gatewayserveren.

En RAP (Resource Authorization Policy) giver dig mulighed for at angive, hvilke servere eller computere de autoriserede brugere har adgang til.
 

18. På RDS Gateway-serveren skal du åbne Server Manager, klikke på Værktøjer, Fjernskrivebord-tjenester og derefter På Remote Desktop GatewayManager.

19. Højreklik på servernavnet (RDSMETER i afbildningen), og klik derefter på Egenskaber.

20. Under fanen Server Tabulator skal du tilføje navnet på RD Gateway-serveren (igen, RDSBILL i billedet) og klikke på Anvend. 
    
    

21. Ignorer fejlen om en belastningsfordeling. Det forventes. Klik på OK, Anvend én gang til, og status viser nu OK.

22. På fanen SSL-certifikat er det muligt at få vist og ændre certifikatkonfigurationen for RD-gatewayserveren. Opret endda et nyt selvsigneret certifikat , hvis det er nødvendigt. Alt dette er dog allerede konfigureret i forbindelses-brokeren.

23. Klik på OK for at lukke vinduet Egenskaber.

24. Når du er tilbage på hovedskærmen i RD Gateway Manager, skal du udvide serveren og derefter politikkerne.
     

25. Højreklik på Politikker for forbindelsesgodkendelse, klik derefter på Opret ny politik og derefter guide.

26. Vælg Opret en RD CAP og en RD RAP (anbefales). Klik på Næste.

27. Indtast et navn til RD CAP. Klik på Næste.

28. Klik på Tilføj gruppe, og indtast navnet på den gruppe, der indeholder de brugere, som har tilladelse til at oprette forbindelse. Domænebrugere bruges til denne vejledningsafbildning. Klik på Næste.

29. Forlad standarderne i trinene til omdirigering af enhed og sessionstimeout, klik på Næste på begge skærme samt på oversigtsskærmen, og fortsæt derefter med RD RAP.

30. Indtast et navn, klik på Næste. Forlad standarden i afsnittet Brugergruppe , og klik på Næste igen.

31. Hvis der er en Active Directory-gruppe på skærmbilledet Netværksressource , der indeholder computerkontiene for sessionsværtsserverne for denne RDS-implementering, skal du angive den. Ellers skal du vælge Indstillingen "Tillad brugere at oprette forbindelse til en netværksressource (computer)". Klik på Næste.

32. Forlad standardporten på 3389 til intranetgateway til RDS-sessionsværtskommunikation. Klik på Næste.

33. Klik på Afslut på oversigtsskærmen, og luk.

RDS Gateway-serveren er klar til at blive placeret uden for firewallen over for internetbrugere. En bruger, der forsøger at oprette forbindelse til RDS-sessionsværter fra en hjemme- eller fjernkontorplacering via internettet, skal først gennemgå denne RDS-gatewayserver.

Opret forbindelse til implementeringen

1. Hvis du vil oprette forbindelse til RDS-implementeringen ved hjælp af den nyligt konfigurerede RD-gateway, skal du i Remote Desktop Connection-appen på klientmaskinen indtaste navnet på RD-sessionsværten eller destinationscomputeren.

2. Klik på knappen Vis indstillinger, fanen Avanceret, og klik på Indstillinger i afsnittet Opret forbindelse fra hvor som helst.

3. Klik på ratioknappen "Brug disse RD Gateway-serverindstillinger", og indtast det offentlige DNS-navn påRDS-gatewayen.

4. Klik på OK , og opret forbindelse. Indtast domænebrugernavnet og -adgangskoden til RD Gateway-serveren og destinationssessionsværten. Forbindelsen bør nu blive oprettet.

Overvåg RD Gateway-forbindelser

Tilbage i RDS Gateway-maskinen, i RD Gateway Manager og under overvågning er forbindelsesoplysningerne synlige.