Як настроїти шлюзовий сервер служб віддалених робочих столів у Windows Server 2022, 2019 або 2016

Введення

Шлюзовий сервер RDS корисний для забезпечення безпечного доступу до середовища RDS для користувачів Інтернету.

Шлюзовий сервер служб віддалених робочих столів (RDS) використовує сертифікат SSL для шифрування зв'язку між клієнтами та серверами RDS.

Служби IIS використовуються для автентифікації та настроювання політик для детального визначення користувачів, які мають доступ до яких ресурсів. 

У цьому посібнику припускається, що розгортання RDS (що містить ролі RDS Connection Broker, Licensing і Session Hosts) вже існує.

Для отримання додаткових відомостей про налаштування базового або розширеного розгортання RDS перегляньте статтю 217251 базі знань Dell KB How To - Standard Remote Desktop Services Deployment - Step by Step. Ще одна стаття для перегляду: стаття бази знань 215230 Інсталяція та активація хоста сеансу RDS без брокера підключення (робоча група) - Windows Server 2022. 

Розгорніть роль сервера шлюзу RD.

1. На комп'ютері Windows Server, на якому розміщено роль посередника підключення для розгортання RDS, у диспетчері серверів натисніть кнопку Керування , а потім додайте ролі та функції. Натисніть «Далі » на екрані привітання.

2. Виберіть інсталяцію на основі ролей або функцій і натисніть кнопку Далі.
3. Виберіть цільовий сервер для ролі RD Gateway для цього розгортання та натисніть Далі. На скріншоті нижче цільовий сервер - "rdsfarm". 
4. На екрані «Ролі» розгорніть « Служби віддалених робочих столів » і встановіть прапорець «Шлюз віддаленого робочого стола ».

5. Натисніть кнопку Додати функції , щоб інсталювати попередні умови, а потім Далі , доки не з'явиться екран підтвердження, а потім натисніть кнопку Інсталювати.

6. Дочекайтеся завершення інсталяції, а потім натисніть кнопку Закрити.

7. Повернувшись до диспетчерів серверів брокера підключень, у вузлі Remote Desktop Services клацніть зелене коло зі знаком плюс над шлюзом RD.

8. Виберіть сервер , налаштований як шлюз RD. Перемістіть його в праву сторону і натисніть Далі.

9. Введіть FQDN сервера шлюзу RD. (На цьому кроці можна настроїти тему на сертифікаті із власним підписом, створеному цим майстром. Це не той сертифікат, який використовується в цьому посібнику. Натисніть кнопку Далі.

10. Натисніть кнопку Додати , щоб підтвердити додавання до розгортання, дочекайтеся завершення інсталяції ролі, а потім натисніть кнопку Закрити.

Налаштуйте сертифікат.

11. У диспетчері серверів, у брокері підключень у розділі Огляд розгортання натисніть кнопку Завдання , а потім – Змінити властивості розгортання.
      
    

12. Натисніть на вузол Сертифікати.

Важливий!
Для тестування можна скористатися самопідписаним сертифікатом, створеним тут, або сертифікатом, який було автоматично створено раніше у майстрі. Однак робоче середовище RDS має бути настроєно на використання сертифіката надійного загальнодоступного або доменного центру сертифікації.
У цьому посібнику показано, як налаштувати сертифікат надійного публічного центру сертифікації. Таким чином, цей сертифікат не потрібно встановлювати на клієнтські комп'ютери.
 

13. Натисніть Вибрати наявний сертифікат. Введіть шлях до сертифіката. У цій демонстрації сертифікат був скопійований в корінь диска C:\ в контролері домену. Введіть пароль , за допомогою якого він був збережений.

14. Установіть прапорець "Дозволити додавання сертифіката до сховища сертифікатів довірених кореневих центрів сертифікації на цільових комп'ютерах" і натисніть кнопку ОК.

15. Зверніть увагу на стан Ready to Apply (Готово до застосування) на екрані конфігурації розгортання. Натисніть Застосувати.

16. Через кілька миттєвостей на екрані з'явиться повідомлення про успішне завершення операції, а стовпець рівня розпізнає сертифікат як «Надійний».

17. Виберіть роль RD Web Access і повторіть кроки 13-16, щоб настроїти її. Таким чином, той самий сертифікат використовується для IIS. Натисніть кнопку OK , щоб вийти з екрана конфігурації розгортання.

Налаштуйте політику авторизації підключення та політику авторизації ресурсів.

Перш ніж користувачі зможуть підключитися до розгортання за допомогою сервера RD Gateway, необхідно налаштувати CAP і RAP.

Політика авторизації підключення (CAP) дозволяє вказати, КОМУ дозволено підключатися до шлюзового сервера RDS.

Політика авторизації ресурсів (RAP) дозволяє вказати, ДО яких серверів або комп'ютерів мають доступ авторизовані користувачі.
 

18. На сервері RDS Gateway відкрийте диспетчер серверів, виберіть пункт Інструменти, Служби віддалених робочих столів, а потім Диспетчершлюзів віддалених робочих столів.

19. Клацніть правою кнопкою миші ім'я сервера (RDSFARM на зображенні) і виберіть пункт Властивості.

20. На вкладці «Ферма серверів» додайте ім'я сервера-шлюзу RD (знову ж таки, RDSFARM на зображенні) і натисніть «Застосувати». 
    
    

21. Ігноруйте помилку балансувальника навантаження. Це очікувано. Натисніть кнопку «Гаразд», «Застосувати ще раз», і з'явиться статус «OK».

22. У вкладці SSL-сертифіката є можливість переглянути та змінити конфігурацію сертифіката сервера шлюзу RD. Навіть створіть новий сертифікат із власним підписом , якщо це необхідно. Все це, втім, вже налаштовано в брокері підключень.

23. Натисніть кнопку ОК, щоб вийти з екрана властивостей.

24. Поверніться на головний екран RD Gateway Manager, розгорніть сервер, а потім політики.
     

25. Клацніть правою кнопкою миші пункт Політики авторизації підключення, потім виберіть команду Створити нову політику, а потім Майстер.

26. Виберіть Створити RD CAP і RD RAP (рекомендовано). Натисніть кнопку Далі.

27. Введіть ім'я для CAP RD. Натисніть кнопку Далі.

28. Натисніть Додати групу та введіть назву групи, що містить користувачів, яким дозволено підключатися. Користувачі домену використовуються для цього зображення путівника. Натисніть кнопку Далі.

29. Залиште значення за замовчуванням на кроках «Перенаправлення пристрою» та «Тайм-аут сеансу», натиснувши «Далі» на обох екранах, а також на екрані «Підсумок», а потім перейдіть до RD RAP.

30. Введіть ім'я, натисніть кнопку Далі. Залиште значення за замовчуванням у розділі « Група користувачів », знову натисніть «Далі ».

31. На екрані «Мережеві ресурси », якщо є група активних каталогів, що містить облікові записи комп'ютерів серверів вузлів сеансів цього розгортання RDS, укажіть її. В іншому випадку виберіть опцію «Дозволити користувачам підключатися до будь-якого мережевого ресурсу (комп'ютера)». Натисніть кнопку Далі.

32. Залиште порт за замовчуванням 3389 для шлюзу інтрамережі для зв'язку з хостами сеансу RDS. Натисніть кнопку Далі.

33. Натисніть «Готово» на екрані зведення, а потім «Закрити».

Сервер RDS Gateway готовий до розміщення за межами брандмауера, обличчям до користувачів Інтернету. Користувач, який намагається підключитися до хостів сеансу RDS з дому або віддаленого офісу через Інтернет, повинен спочатку пройти через цей сервер RDS Gateway.

Підключіться до розгортання

1. Щоб підключитися до розгортання RDS за допомогою щойно налаштованого RD Gateway, у програмі «Підключення до віддаленого робочого стола» на клієнтському комп'ютері введіть ім'я хоста сеансу RD або цільового комп'ютера.

2. Натисніть кнопку « Показати параметри », вкладку « Додатково » та в розділі « Підключення з будь-якого місця » натисніть «Налаштування».

3. Натисніть кнопку співвідношення «Використовувати ці налаштування сервера шлюзу RD» і введіть загальнодоступне DNS-ім'яшлюзу RDS.

4. Натисніть OK і підключіться. Введіть ім'я користувача та пароль домену для шлюзового сервера RD і цільового хоста сеансу. З'єднання має бути успішним.

Слідкуйте за з'єднаннями шлюзу RD

Поверніться в машину RDS Gateway, у RD Gateway Manager і в розділі «Моніторинг» видно деталі підключення.