De Remote Desktop Gateway configureren

N
Netooze
26 september 2019

Om het beschermingsniveau van een Windows-server te verhogen, is het misschien niet genoeg om de RDP TCP-poort te wijzigen:. Overweeg het opzetten van een Remote Desktop Computer Entrance/Terminal Providers Portal in een Energetic Directory-sitedomeinnaam.

Extern bureaublad-gateway, wat is het?

Remote Desktop Computer Portal is een Windows-servertaak die via RDP een beveiligde verbinding levert met het SSL-protocol naar de server. Het grote voordeel van deze optie is dat er geen VPN-server hoeft te worden ingezet, waar de ingang voor wordt gebruikt.

Opgemerkt moet worden dat vanaf Windows Server 2008 R2  de namen van  alle Remote Desktop Services zijn daadwerkelijk gewijzigd. De voorheen genaamde Terminal Services is eigenlijk omgedoopt tot Remote Desktop computer Providers.

De voordelen van Remote Desktop Gateway zijn als volgt:

  • Met behulp van een gecodeerde link kunt u bij de ingang verbinding maken met interne netwerkbronnen zonder dat externe klanten een VPN-link hoeven te gebruiken;
  • De entree biedt toegangscontrole tot specifieke netwerkbronnen en zorgt daarmee voor een uitgebreide beveiliging;
  • De ingang maakt links naar netwerkbronnen mogelijk die achterblijven bij firewalls, geheime netwerken of NAT's;
  • Door gebruik te maken van de toegangsbeheerdersconsole, wordt het mogelijk om toestemmingsbeleid te configureren voor bepaalde problemen waaraan moet worden voldaan wanneer externe klanten verbinding maken met netwerkbronnen. U kunt bijvoorbeeld details specificeren die gebruikers kunnen koppelen aan interne netwerkbronnen, evenals of het computersysteem van de klant lid moet zijn van een AD-beveiligingsgroep, en ook of tool- en schijfomleiding is toegestaan;
  • De Portal Manager Console bevat tools om de conditie van de Gateway in de gaten te houden. Door ze te gebruiken, kunt u gecontroleerde gelegenheden voor auditing toewijzen, zoals mislukte pogingen om verbinding te maken met een TS Portal-server.

Belangrijk! TS Entrance moet in een Energetic Directory-sitedomeinnaam staan. Het instellen van de toegang wordt uitgevoerd namens de domeinbeheerder, op elke server in de domeinnaam.

Laten we een rol vastleggen.

Open Serverbeheer.

Selecteer " Rollen en functies toevoegen ".

Bij de " Installatie type ” fase , selecteer “ Rollen en functies installeren '.

De volgende stap is het selecteren van de huidige server.

Serverrol - Extern bureaublad-service .

Laten we verder gaan met de rolservice. Selecteer " Extern bureaublad-gateway ".

We gaan door naar de bevestigingsfase, druk op de " Install "Knop.

Stel verbindings- en bronautorisatiebeleid in.

In het Remote Desktop Gateway Manager-venster dat wordt geopend, vouwt u in het linkerdeel van het venster de vertakking uit met de servernaam → Beleid → Beleid voor verbindingsautorisatie.
Selecteer in het rechterdeel van hetzelfde venster Een nieuw beleid maken → Wizard .

In de " Wizard voor het maken van nieuw autorisatiebeleid ” venster dat opent , selecteer de aanbevolen optie "Maak een autorisatiebeleid voor verbindingen met extern bureaublad en autorisatie van externe bureaubladbronnen". Druk op de knop " volgende ".

In de volgende stap voeren we een handige naam in voor het verbindingsautorisatiebeleid. We raden aan om namen in het Engels te geven.

De volgende stap is het kiezen van een handige authenticatiemethode - wachtwoord of slimme kaart . In ons geval laten we alleen " Wachtwoord ” gecontroleerd. We voegen groepen toe die verbinding kunnen maken met deze RD-gateway, hiervoor drukken we op de " Groep toevoegen... "Knop.

Klik in het groepsselectievenster op de " Extra "Knop.

Het venster zal van grootte veranderen. Druk de " Zoeken "Knop. Vind " Domeinbeheerders ” in de zoekresultaten en klik op de “ OK "Knop.

Controleer in het groepsselectievenster de geselecteerde objectnamen en klik op " OK '.

De groep is toegevoegd. Om naar de volgende stap te gaan, klikt u op de " volgende "Knop.

Selecteer in de volgende stap het item " Apparaatomleiding inschakelen voor alle clientapparaten ”En klik op“ volgende '.

Stel time-outs in - inactieve tijd en sessietijd, waarden worden gespecificeerd in uren. Klik op " volgende ".

De door u gemaakte instellingen controleren. Alles klopt - klik op " volgende ".

De volgende stap is het configureren van het resourceautorisatiebeleid. Geef de gewenste beleidsnaam op. Klik op " volgende ".

De volgende stap is het instellen van het groepslidmaatschap. Meestal is de groep al geïnstalleerd, maar als dit niet het geval is, moet u de bovenstaande stappen volgen. Klik op " volgende ".

Selecteer beschikbare netwerkbronnen. Om dit te doen, moet u een groep selecteren die servers bevat waarop de vereiste gebruikersgroepen zouden kunnen werken met extern bureaublad. Klik op de " Blader "Knop.

Klik in het groepsselectievenster op de knop " Geavanceerd "Knop.

Klik in het gewijzigde venster op de " Zoeken "Knop. Zoek in het resultatenvenster " Domeincontrollers ". Druk op " OK ".

Controleer de geselecteerde objecten en klik op “ OK '.

Controleer nogmaals welke netwerkgroep is toegevoegd en klik op " volgende ".

Als het RDP-poortnummer niet is gewijzigd, stelt u de schakelwaarde in op " Alleen verbinding toestaan ​​met poort 3389 '. Als de poort is gewijzigd, moet de nieuwe waarde worden opgegeven.

Klik op " gedaan "

Klik in het stadium van het bevestigen van het maken van het beleid op de knop " Sluiten "Knop.

Aan het einde van de instellingen ziet het venster er als volgt uit.

Installeer het SSL-certificaat.

In hetzelfde venster “ Extern bureaublad-gatewaybeheer ”, klik in het linkervenster op het serverpictogram, in het hoofdgedeelte van het venster - “ Certificaateigenschappen bekijken en wijzigen '.

In de "Eigenschappen" ” venster dat wordt geopend, gaat u naar het tabblad “SSL-certificaat”. Zet het keuzerondje "Een zelfondertekend certificaat maken" en klik op de knop "Een certificaat maken en importeren ...".

Er zijn echter nog 2 andere opties:

  • import van een eerder gedownload certificaat (eerder zelfondertekend of van derden);
  • een certificaat van een derde partij (bijvoorbeeld Comodo) downloaden en importeren;

In het Zelfondertekend certificaat maken venster , controleer de instellingen en klik op OK   .

Het systeem zal u laten weten dat het certificaat succesvol is aangemaakt. er is ook informatie waar u het certificaatbestand zelf kunt vinden. Wij drukken op de “ OK "Knop.

Klik in het venster met servereigenschappen op de " Toepassen "Knop.

Het zelfondertekende certificaat is geïnstalleerd op TCP-poort 443 (standaard SSL-poort).

Om veiligheidsredenen raden we u aan de standaard SSL-poort te wijzigen. Selecteer hiervoor in het hoofdmenu van het venster " Acties” → “Eigenschappen '.

Ga naar de “ Transportopties ” tabblad en stel de gewenste waarde in voor de “ HTTPS-poort 'Veld. Sla de instellingen op door op de " Toepassen "Knop.

Het systeem zal om bevestiging vragen - wij antwoorden " Ja ".

Laten we verbinding maken via de gateway.

Open de RDP-client, ga naar de " Geavanceerd " tabblad en klik op de " Opties "Knop.

Selecteer in het geopende venster " Gebruik de volgende Remote Desktop Gateway-serverinstellingen: '. Geef de domeinnaam van de server op en geef door middel van een dubbele punt (:) de SSL-poort op. De inlogmethode is " Vraag een wachtwoord aan '. Klik op " OK "

Ga naar uw Algemeen Tab. Geef het adres op van de computer en de gebruiker waaronder de verbinding wordt gemaakt. Druk de " Connecteren "knop

Het programma vraagt ​​om een ​​wachtwoord voor het account.

De resultaten van de gateway-operatie kunnen worden gecontroleerd door tracering - de opdracht tracert.

Uw cloudreis beginnen? Zet nu de eerste stap.