Новости
Семь Чёрных пятниц на неделе — и все в Serverspace!
Serverspace Black Friday
АМ
Александр Мельников
26 сентября 2019
Обновлено 27 июля 2022

Настройка шлюза удаленных рабочих столов

AD Windows

Для того чтобы повысить уровень безопасности Windows-сервера бывает недостаточно сменить TCP-порт RDP . Рассмотрим настройку шлюза  удаленных рабочих столов (Remote Desktop Gateway / Terminal Services Gateway) в домене Active Directory.

Remote Desktop Gateway, что это?

Remote Desktop Gateway - это роль Windows-сервера, обеспечивающая защищенное соединение, с помощью протокола SSL, с сервером по RDP. Главное преимущество этого решения в том, что не требуется развертывание VPN-сервера, для этого и используется шлюз.

Следует отметить, что начиная с Windows Server 2008 R2, были изменены названия всех служб удаленных рабочих столов. Именуемые ранее службы Terminal Services были переименованы в Remote Desktop Services.

Преимущества Remote Desktop Gateway в следующем:

  • Используя зашифрованное соединение, шлюз позволяет подключаться к внутренним сетевым ресурсам без необходимости использования VPN-соединения удаленными пользователями;
  • Шлюз дает возможность контроля доступа к определенным сетевым ресурсам, тем самым реализуя комплексную защиту;
  • Шлюз разрешает подключение к сетевым ресурсам, которые размещены за межсетевыми экранами в частных сетях или NAT;
  • С помощью консоли диспетчера шлюза появляется возможность настраивать политики авторизации для тех или иных условий, которые должны быть выполнены при подключении к сетевым ресурсам удаленными пользователями. В качестве примера, можно указать конкретных пользователей, которые могут подключаться к внутренним сетевым ресурсам, а также должен ли клиентский компьютер при этом быть членом группы безопасности AD, допустимо ли перенаправление устройства и диска;
  • Консоль диспетчера шлюза содержит инструменты, предназначенные для отслеживания состояния шлюза. Используя их, вы можете назначить отслеживаемые события для аудита, например, неудачные попытки подключения к серверу шлюза служб терминалов.

Важно! Шлюз служб терминалов должен входить в домен Active Directory. Настройка шлюза выполняется только от имени администратора домена, на любом сервере в домене.

Установим роль.

Открываем Диспетчер серверов.

Выбираем “Добавить роли и компоненты”.

Добавление роли и компонента | Serverspace

На этапе “Тип установки”, выбираем “Установка ролей и компонентов”.

Меню установки ролей и компонентов | Serverspace

Следующим шагом выбираем текущий сервер.

Роль сервера - Служба удаленных рабочих столов.

Выбор ролей сервера | Serverspace

Переходим к службе ролей. Выбираем “Шлюз удаленных рабочих столов”.

Шлюз удаленных рабочих столов | Serverspace

Переходим к этапу подтверждения, нажимаем кнопку “Установить”.

Настройка политики авторизации подключения и ресурсов.

Панель мониторинга

В открывшемся окне диспетчера шлюза удаленных рабочих столов, в левой части окна, раскрываем ветку с именем сервера  → Политики → Политики авторизации подключений.
В правой части того же окна выбираем Создать новую политику → Мастер.

Диспетчер шлюза удаленных рабочих столов

В открывшемся окне “Мастер создания новых политик авторизации” выбираем рекомендуемый параметр “Создать политику авторизации подключений к удаленным рабочим столам и авторизации ресурсов удаленных рабочих столов”. Нажимаем кнопку “Далее”.

На следующем шаге вводим удобное имя для политики авторизации подключения. Мы рекомендуем давать имена на английском языке.

Следующим этапом будет выбор удобного метода аутентификации - пароль или смарт-карта. В нашем случае оставляем отмеченным только “Пароль”. Добавляем группы, которые могут подключаться к данному RD-шлюзу, для этого нажимаем кнопку “Добавить группу...”.

Выбор требований

В окне выбора групп кликаем по кнопке “Дополнительно”.

Настройка шлюза удаленных рабочих столов

Окно изменит размеры. Нажимаем кнопку “Поиск”. В результатах поиска находим “Администраторы домена” и нажимаем кнопку “OK”.

Администраторы домена

В окне выбора группы проверяем выбранные имена объектов и нажимаем “OK”.

Группа добавлена. Для перехода к следующему шагу нажимаем кнопку “Далее”.

Настройка шлюза удаленных рабочих столов

На следующем этапе выбираем пункт “Включить перенаправление устройств для всех клиентских устройств” и нажимаем “Далее”.

Включение перенаправления устройств

Устанавливаем таймауты - время простоя и время работы сессии, значения указаны в часах. Нажимаем “Далее”.

Установка времени ожидания сеансов

Проверяем выполненные настройки. Все правильно - нажимаем “Далее”.

Сводка по политике авторизации подключений к RDP

На следующем этапе настроим политику авторизации ресурсов. Указываем желаемое имя политики. Нажимаем “Далее”.

Политика авторизации ресурсов

Следующим шагом установим членство в группах. Обычно, группа уже установлена, но если это не выполнено, следует выполнить действия приведенные выше. Нажимаем “Далее”.

Группы пользователей

Выбираем доступные сетевые ресурсы. Для этого необходимо выбрать группу, которая содержит серверы на которых требуемые группы пользователей могли бы работать с удаленным рабочим столом. Нажимаем кнопку “Обзор”.

Изменение пароля учетной записи по RDP

В окне выбора группы, нажимаем кнопку “Дополнительно”.

Изменение пароля учетной записи по RDP

В измененном окне нажимаем кнопку “Поиск”. В окне результатов находим “Контроллеры домена”. Нажимаем “OK”.

Контроллеры домена

Проверяем выбранные объекты и нажимаем “OK”.

Контроллеры домена

Еще раз проверяем какая сетевая группа добавлена и нажимаем “Далее”.

Выбор сетевых ресурсов

Если номер RDP-порта неизменялся, устанавливаем значение переключателя в “Разрешить подключение только к порту 3389”. Если порт был изменен, следует указать новое значение.

Выбор разрешенных портов

Кликаем “Готово

Свойства по политике авторизации ресурсов RD

На этапе подтверждения создания политики нажимаем кнопку “Закрыть”.

Подтверждение создания политики

По окончании настройки окно будет выглядеть подобным образом.

Политики авторизации подключений

Установим SSL-сертификат.

В том же окне “Диспетчер шлюза удаленных рабочих столов”, в левой окна кликаем по значку сервера, в основной части окна - “Просмотр и изменение свойств сертификата”.

Просмотр и изменение свойств сертификата

В открывшемся окне “Свойства <имя_сервера>” переходим на вкладку “Сертификат SSL”. Устанавливаем переключатель “Создать самозаверяющий сертификат” и кликаем по кнопке “Создать и импортировать сертификат...”.

Хотя возможны еще 2 варианта:

  • импорт ранее загруженного сертификата (самоподписанного ранее или стороннего);
  • загрузка стороннего сертификата (например, Comodo) и его импорт;

Сертификат SSL

В окне “Создание самозаверяющего сертификата” проверяем параметры и нажимаем кнопку “OK”.

Создание самозаверяющего сертификата

Система уведомит, что сертификат был создан успешно. также присутствует информация, где можно найти сам файл сертификата. Нажимаем кнопку “OK”.

Настройка шлюза удаленных рабочих столов

В окне свойств сервера, нажимаем кнопку “Применить”.

Самозаверенный сертификат установлен на TCP-порт 443 (SSL-порт по умолчанию).

Настройка шлюза удаленных рабочих столов

Мы рекомендуем, в целях безопасности, изменить порт SSL, используемый по-умолчанию. Для этого, в основном меню окна, выбираем “Действия” → “Свойства”.

Настройка шлюза удаленных рабочих столов

Переходим на вкладку “Параметры транспорта” и устанавливаем желаемое значение поля “HTTPS-порт”. Сохраняем параметры нажимая кнопку “Применить”.

Параметры транспорта HTTP

Система запросит подтверждение - отвечаем ”Да”.

Шлюз удаленных рабочих столов

Выполним подключение через шлюз.

Открываем RDP-клиент, переходим на вкладку “Дополнительно” и нажимаем кнопку “Параметры”.

Параметры подключения к удаленному рабочему столу

В открывшемся окне выбираем “Использовать следующие параметры сервера шлюза удаленных рабочих столов”. Указываем доменное имя сервера и через двоеточие (:) указываем SSL-порт. Метод входа - “Запрашивать пароль”. Нажимаем “OK

Подключение к удаленному рабочему столу

Переходим на вкладку “Общие”. Указываем адрес компьютера и пользователя под которым будет выполняться подключение. Нажимаем кнопку “Подключить

Подключение к удаленному рабочему столу

Программа запросит пароль от учетной записи.

Введение учетных данных

Результаты работы шлюза можно проверить трассировкой - команда tracert.

Оценка:
5 из 5
Аverage rating : 5
Оценок: 2
050000 г. Алматы пр. Сейфуллина, д. 502
+7 (777) 555-36-66
ООО «ИТГЛОБАЛКОМ ЛАБС»