Konfigurieren eines Proxys für das Kerberos-Schlüsselverteilungscenter

Sicherheitsbewusste Kunden, z. B. Finanz- oder Regierungsorganisationen, melden sich häufig mit Smartcards an. Smartcards erhöhen die Sicherheit von Bereitstellungen, indem sie die mehrstufige Authentifizierung (Multi-Factor Authentication, MFA) erfordern. Für den RDP-Teil einer Azure Virtual Desktop-Sitzung erfordern Smartcards jedoch eine direkte Verbindung oder "Sichtlinie" mit einem Active Directory-Domänencontroller (AD) für die Kerberos-Authentifizierung. Ohne diese direkte Verbindung können sich Benutzer nicht automatisch über Remoteverbindungen beim Netzwerk des organization anmelden. Benutzer in einer Azure Virtual Desktop-Bereitstellung können den KDC-Proxydienst verwenden, um diesen Authentifizierungsdatenverkehr zu proxyn und sich remote anzumelden. Der KDC-Proxy ermöglicht die Authentifizierung für das Remotedesktopprotokoll einer Azure Virtual Desktop-Sitzung, sodass sich der Benutzer sicher anmelden kann. Dies erleichtert das Arbeiten von zu Hause aus und ermöglicht eine reibungslosere Ausführung bestimmter Notfallwiederherstellungsszenarien.

Das Einrichten des KDC-Proxys umfasst jedoch in der Regel das Zuweisen der Windows Server-Gatewayrolle in Windows Server 2016 oder höher. Wie verwenden Sie eine Remotedesktopdienste-Rolle, um sich bei Azure Virtual Desktop anzumelden? Um dies zu beantworten, werfen wir einen kurzen Blick auf die Komponenten.

Es gibt zwei Komponenten des Azure Virtual Desktop-Diensts, die authentifiziert werden müssen:

• Der Feed im Azure Virtual Desktop-Client, der Benutzern eine Liste der verfügbaren Desktops oder Anwendungen bereitstellt, auf die sie Zugriff haben. Dieser Authentifizierungsprozess erfolgt in Microsoft Entra ID, was bedeutet, dass diese Komponente nicht im Mittelpunkt dieses Artikels steht.
• Die RDP-Sitzung, die sich daraus ergibt, dass ein Benutzer eine dieser verfügbaren Ressourcen auswählt. Diese Komponente verwendet die Kerberos-Authentifizierung und erfordert einen KDC-Proxy für Remotebenutzer.

In diesem Artikel erfahren Sie, wie Sie den Feed im Azure Virtual Desktop-Client im Azure-Portal konfigurieren. Informationen zum Konfigurieren der RD-Gatewayrolle finden Sie unter Bereitstellen der RD-Gatewayrolle.

Voraussetzungen

Um einen Azure Virtual Desktop-Sitzungshost mit einem KDC-Proxy zu konfigurieren, benötigen Sie Folgendes:

• Zugriff auf die Azure-Portal und ein Azure-Administratorkonto.
• Auf den Remoteclientcomputern muss mindestens Windows 10 ausgeführt werden und der Windows-Desktopclient installiert sein. Der Webclient wird derzeit nicht unterstützt.
• Auf Ihrem Computer muss bereits ein KDC-Proxy installiert sein. Informationen dazu finden Sie unter Einrichten der RD-Gatewayrolle für Azure Virtual Desktop.
• Das Betriebssystem des Computers muss Windows Server 2016 oder höher sein.

Nachdem Sie sichergestellt haben, dass Sie diese Anforderungen erfüllen, können Sie loslegen.

Konfigurieren des KDC-Proxys

So konfigurieren Sie den KDC-Proxy:

1. Melden Sie sich als Administrator beim Azure-Portal an.

2. Navigieren Sie zur Seite Azure Virtual Desktop.

3. Wählen Sie den Hostpool aus, für den Sie den KDC-Proxy aktivieren möchten, und wählen Sie dann RDP-Eigenschaften aus.

4. Wählen Sie die Registerkarte Erweitert aus, und geben Sie dann einen Wert im folgenden Format ohne Leerzeichen ein:

   kdcproxyname:s:<fqdn>

   

5. Klicken Sie auf Speichern.

6. Der ausgewählte Hostpool sollte nun damit beginnen, RDP-Verbindungsdateien auszugeben, die den wert kdcproxyname enthalten, den Sie in Schritt 4 eingegeben haben.

Nächste Schritte

Informationen zum Verwalten der Remotedesktopdienste-Seite des KDC-Proxys und zum Zuweisen der RD-Gatewayrolle finden Sie unter Bereitstellen der RD-Gatewayrolle.

Wenn Sie daran interessiert sind, Ihre KDC-Proxyserver zu skalieren, erfahren Sie unter Hinzufügen von Hochverfügbarkeit zum Web- und Gateway-Webfront von RD, wie Sie Hochverfügbarkeit für den KDC-Proxy einrichten.