Virtualisierung: Verwenden des RD-Gateways
Der Remote Desktop Gateway kann Ihnen dabei helfen, sicheren Zugriff auf virtuelle Computer über öffentliche Netzwerke zu ermöglichen.
Kristin Griffin
Den Remote Desktop (RD) Web Access-Rollendienst können Sie um Benutzersitzungen und virtuellen Maschinen (VMs) zu veröffentlichen. Jedoch funktioniert, die nur über Ihr LAN. Um sicheren Zugriff auf Sitzungen und VMs über öffentliche Netzwerke zu aktivieren, müssen Sie das RD-Gateway zu verwenden.
Es gibt bestimmte Gründe sollten Sie das RD-Gateway für öffentliche und private Netzwerke, weisen Sie sollte es in einer typischen Bereitstellung einrichten und Weise konfigurieren Sie die erforderlichen Zugriffsrichtlinien — die meisten müssen mit der Aufrechterhaltung eines sicheren Kanals. Es gibt auch viele hilfreiche Hotfixes, die beziehen sich auf diesen Rollendienst verwenden.
Sicherer Zugriff mit dem RD-Gateway
Sie können immer RemoteApps, remote-Desktops und virtuellen Computer im internen Netzwerk zugreifen. Was passiert, wenn Sie oder Ihre Benutzer diese Ressourcen Ihre Lieblings Coffee-Shop oder Laptop zugreifen möchten während der Sitzung am Strand? Sie könnten in Ihrer Firewall zu aktivieren des Zugriffs von öffentlichen Netzwerken der Port 3389 (RDP) öffnen, aber, die würde lassen Sie anfällig für Angriffe.
Dies ist, wo die RD-Gateway ins Spiel kommt. Der RD-Gateway-Rollendienst bietet sicheren Zugriff durch die Einrichtung eines SSL-Tunnels vom Client an das RD-Gateway. Die RD-Gateway fungiert als die Vermittler. Es übergibt Datenverkehr zum und vom Client über den Port 443, und zu oder von internen Ressourcen über Port 3389. Jegliche Kommunikation zwischen dem RD-Gateway und der externen Client ist auch verschlüsselt.
Ein Unterschied zwischen der Verwendung der RD-Gateway und eine typische Virtual Private Network (VPN) Lösung ist, dass VPNs für jeden vollen Netzwerkzugriff bereitstellen, die eine Verbindung herstellen können. Die RD-Gateway verwendet Autorisierungsrichtlinien, um zu bestimmen, wer verwenden kann der Dienst und die bestimmten Ressourcen, die sie Zugriff zulässig sind.
Sie können unterschiedliche Berechtigungssätze für Personen je nachdem, ob sie von innerhalb oder außerhalb des Netzwerks herstellen. RD-Gateway verwendet ein Whitelist zwei-Ebenen-Modell. Benutzer müssen explizit zugelassen werden, mithilfe von RD-Gateway. Sie müssen auch ausdrückliche Erlaubnis Zugriff auf Ressourcen durch das Gateway verwendet werden soll (siehe Abbildung 1).
Abbildung 1 RD Gateway setzt Berechtigungen für bestimmte Benutzer und unsere Ressourcen, denen sie Zugriff.
Ein remote-Client versucht, auf eine RDS-Ressource über den RD-Gateway zuzugreifen. Das Gateway können und stellen Sie die Verbindung, wenn der Kunde berechtigt ist, auf die RD-Gateway zuzugreifen und verfügt über die Berechtigung Zugriff auf die angeforderte Ressource. Es erstellt dann einen sicheren Tunnel zwischen dem Client und dem RD-Gatewayserver. Wenn der Client ist nicht zum Herstellen einer Verbindung mit dem RD-Gatewayserver autorisiert, der Client wird der Zugriff verweigert (finden Sie unter Abbildung 2).
Abbildung 2 Dies ist, was Sie werden sehen, wenn Sie, einen nicht autorisierten Zugriff versuchen.
Wenn der Kunde ist berechtigt, auf RD-Gateway zuzugreifen, aber nicht autorisierten Zugriff auf die angeforderte Ressource, der Client wird noch der Zugriff verweigert (finden Sie unter Abbildung 3).
Abbildung 3 Wenn Sie Zugriff auf die RD-Gateway, aber nicht die Ressource haben, werden Sie noch verweigert.
Zugangsfilterung
Die RD-Gateway steuert den Zugriff auf sich selbst und interne RDS Ressourcen getrennt mit zwei verschiedene Arten von Richtlinien: RD Resource Access Policies (RD-RAPs) und RD Connection Access Policies (RD CAPs). RD-RAPs steuern die Ressourcen (Host für Remotedesktopsitzungen-Server und Desktops mit Remotedesktop aktiviert, einschließlich Pool oder persönlichen desktop-VMs) kann jeder Benutzer zugreifen. RD CAPs Steuerelement welche Benutzer (und optional Computer) die Berechtigung zum Herstellen einer Verbindung mit RD-Gateway.
RD CAPs Steuern auch:
- Unterstützte Authentifizierungsmethoden (Benutzer können per Smartcard oder Kennwort authentifizieren)
- Welche Geräte werden während der Verbindung umgeleitet können (wenn Sie Geräteumleitung in RD-Gateway zu deaktivieren, es wird deaktiviert auch wenn es von dem RD-Client und dem Server zulässig ist)
- Optionale Timeouts für aktiven und im Leerlauf-Sitzungen
RD-Gateway bietet Ihnen eine einfache Benutzeroberfläche, mit der Sie diese Richtlinien erstellen können. Ihrem Speicherort hängt vom Typ der Zugriffsrichtlinie. Sie erstellen und Speichern von RD-RAPs auf RD-Gateway. RD CAPs sind wirklich NPS-Netzwerkrichtlinien. Nachdem Sie RD CAPs erstellt haben, werden sie in die RD-Gateway Connection Authorization Policies im Ordner sichtbar. Sie können auch öffnen die Network Policy Service (NPS) und finden Sie in der entsprechenden Netzwerkrichtlinie (siehe Abbildung 4).
Abbildung 4 können Sie NPS zum Anzeigen der entsprechenden Netzwerk-Politik.
Diese sind wirklich die gleichen Richtlinien. RD-Gateway ermöglicht nur eine andere Ansicht und eine einfachere Möglichkeit zum Verwalten der Richtlinien Bezug auf RD-Gateway.
Sie können Verwendung mehrerer RD CAPs und RD-RAPs granulare Richtlinien erstellen, aber es gibt eine einfache Regel: ein Benutzer muss die Anforderungen von mindestens einer RD CAP und eine RD-RAP um erfolgreich eine Verbindung mit dem RD-Gateway (und anschließend auf interne Ressourcen RDS) herstellen. Der Benutzer muss zuerst mit Remotedesktopgateway (RD-CAP) verbunden. Sobald sie zugelassen haben, eine RD-Gateway-Verbindung herzustellen, benötigt dieser Benutzer dann Berechtigung zum Zugriff auf eine Ressource RDS (RD-RAP). Eine Richtlinie ist wirklich nicht gut ohne das andere.
Bereitstellen von Remotedesktopgateway
Die "Microsoft Windows Server 2008 R2 Remote Desktop Services Resource Kit" (Microsoft Press, 2010) wird erläutert, wie Sie RD-Gateway einrichten. Auf einem hohen Niveau müssen Sie diese Schritte ausführen:
- Das erforderliche SSL-Zertifikat für den Server hinzufügen
- Installieren des Remotedesktopgateway-Rollendiensts
- Erstellen von RD-Gateway verwaltete Gruppen zu Referenzzwecken in RD-RAPs
- Erstellen Sie oder optimieren Sie RD CAPs und RD-RAPs
- Fügen Sie die RD-Gatewayserveradresse und Web Access für Remotedesktop, RemoteApp-Manager und Remotedesktop-Verbindungsbroker — oder zuvor erstellten RDP-Dateien.
Der Installations-Assistent von RD-Gateway erstellen und installieren Sie ein selbstsigniertes SSL-Zertifikat zu verwenden, während Sie von RD-Gateway testen wollen. Sie können dieses selbstsignierte Zertifikat auch danach erstellen. Selbstsignierte Zertifikate sind nicht von einer vertrauenswürdigen dritten Stelle, aber überprüft. Sie müssten alle Clientcomputer Trusted Root Certification Authorities Speicher für den Client zu Vertrauen und verbinden mit dem RD-Gatewayserver ein selbstsigniertes Zertifikat hinzufügen. Das ist unpraktisch, wenn dem Client-Rechner ist ein verwalteter Computer nicht.
Für live-Umgebungen sollten Sie ein Zertifikat von einer öffentlichen Zertifizierungsstelle oder einer internen PKI-Lösung verwenden. Wenn Sie bereits ein SSL-Zertifikat installiert haben, wählen sie bei Aufforderung durch den Assistenten vor der Installation von RD-Gateway. Installieren Sie ein SSL-Zertifikat von dem Server persönlichen Zertifikatspeicher über die MMC Snap-in Zertifikate hinzufügen.
Als nächstes öffnen Sie Server-Manager und installieren Sie den Remotedesktopgateway-Rollendienst. Sie können auch diese Rolle mithilfe von Windows PowerShell installieren, aber einige der Optionen, die Sie erhalten, wenn Sie mithilfe des Server-Managers installieren nicht verfügbar. Der RD-Gateway-Rollendienst erfordert sowohl IIS als auch NPS Rollendienste wichtige Aufgaben, so dass es sie automatisch installiert wird, wenn sie nicht bereits installiert.
RD-Gateway verwendet IIS, um RPC-Aufrufe über HTTPS und erstellt NPS-Netzwerkrichtlinien (bezeichnet Remotedesktop-Verbindungsautorisierungsrichtlinien in RD-Gateway) zu steuern, wer eine Verbindung herstellen. Der Assistent fordert Sie für das SSL-Zertifikat, die Sie zum Sichern von Verbindungen verwenden möchten. Es wird Sie auch Fuß durch das Erstellen einer RD CAP und eine RD-RAP-Richtlinie.
Als nächstes müssen Sie RD-Gateway verwaltete Gruppen einzurichten, die Sie möglicherweise in Ihre RD-RAPs verweisen müssen. Eine RD-Gateway verwaltete Gruppe ist eine Gruppe von Computern von einem RD-Gateway anstelle von Active Directory verwaltet. Die meiste Zeit, machen angeben von Active Directory-Computergruppen in RD-RAPs am meisten Sinn. Wenn Sie eine Remotedesktop-Sitzungshost-Serverfarm verfügen, allerdings müssen Sie eine RD-Gateway verwaltete Gruppe zur Steuerung des Zugriffs auf die Farm über RD-Gateway zu erstellen. Eine Möglichkeit zur Identifizierung mehrerer Host für Remotedesktopsitzungen-Server durch ihre Farmnamen nicht über Active Directory verfügen.
Um eine RD-Gateway verwaltete Gruppe zu erstellen, wählen Sie den Ordner Ressourcenautorisierungsrichtlinien unter den RD-Gatewayserver in Remotedesktopgateway-Manager. Klicken Sie im Bereich Aktionen auf der rechten Seite des Fensters Remotedesktopgateway-Manager auf lokale Computergruppen verwalten. Nachdem Sie eine RD-Gateway verwaltete Gruppe, die Mitglieder der Remotedesktop-Sitzungshost erstellt haben, können Sie eine RD-RAP dieser Gruppe hinzufügen.
Sobald die Installation abgeschlossen ist, können Sie Ihre RD CAPs und RD-RAPs optimieren. Sie können auch weitere Autorisierungsrichtlinien in Remotedesktopgateway-Manager erstellen. Beispielsweise können Sie einen Satz von Autorisierungsrichtlinien für das sales-Team und eine weitere für das IT-Team verwenden.
Um weitere RD CAPs und RD-RAPs erstellen, mit der rechten Maustaste im Ordners Richtlinien unter den RD-Gatewayserver aufgeführt in Remotedesktopgateway-Manager, und wählen Sie neue Autorisierungsrichtlinien erstellen. Dadurch wird der Autorisierungsrichtlinien erstellen für den RD-Gateway-Assistenten gestartet. Doppelklicken Sie auf eine vorhandene RD CAP oder RAP, seine Eigenschaften zu bearbeiten.
Vorhandene Richtlinien befinden sich in den Ordnern Connection Authorization Policies und Resource Authorization Policies unter den RD-Gatewayserver in Remotedesktopgateway-Manager aufgeführt. Wenn Sie eine RD-Gateway implementiert haben, müssen Kunden die RD-Gateway-Adresse verweisen, wenn sie RDS Ressourcen zugreifen:
- Wenn Sie RemoteApps in Web Access für Remotedesktop veröffentlichen oder RemoteApps und Desktopverbindungen in Windows 7 verwenden, fügen Sie die RD-Gatewayserveradresse auf RemoteApp-Manager auf jedem Host für Remotedesktopsitzungen-Server hinzu.
- Wenn Sie Virtual Desktop Infrastructure in einem Pool zusammengefasst und eigene VMs implementiert haben, müssen Sie die RD-Gatewayserveradresse Remotedesktop-Verbindungsbroker RD Verbindungs-Manager die virtuellen Desktops Ressourcen und Konfigurationsabschnitt hinzu.
- Wenn Sie zuvor erstellten RDP-Dateien verteilen, fügen Sie die RD-Gateway-Adresse um die RDP-Datei durch Bearbeiten der Datei. Öffnen Sie die RDP-Datei, klicken Sie auf die Schaltfläche Optionen, wählen Sie die Registerkarte Erweitert, klicken Sie auf die Schaltfläche Einstellungen im Bereich Verbindung von überall und fügen Sie die RD-Gateway Serveradresse. Speichern Sie die RDP-Datei.
Überprüfung und Fehlerbehebung RD-Gateway
Sobald Sie den Dienst eingerichtet haben, sollten Sie es testen, bevor es weithin verfügbar zu machen. RD-Gateway-Konnektivität testen, öffnen Sie einen Browser und suchen den RPC-Ordner auf dem RD-Gateway Server.Sie sollten zur Eingabe von Anmeldeinformationen aufgefordert werden. Dann Sie eine leere Seite bekommen. Dies ist das erwartete Verhalten für eine RD-Gateway-Implementierung.
Analysieren von Ereignisprotokollen auf dem RD-Gatewayserver können Sie verstehen, warum ein Benutzer Zugriff auf RD-Gateway oder einer angeforderten Ressource RDS verweigert werden könnte, und wie dem abzuhelfen. RD-Gateway-Protokolle werden in der Ereignisanzeige auf gespeichert: Ereignis Viewer\Applications und Dienstprotokolle\Microsoft\Windows\TerminalServices-Gateway.
Geben Sie die Typen von Ereignissen, die RD-Gateway anmelden aktivieren oder deaktivieren die Kontrollkästchen neben der Überwachungsereignisse auf der Registerkarte Überwachung von RD-Gateway-Manager Eigenschaftenseite aufgelistet wird. Hier sind einige Beispiele für die Arten der Ereignis-IDs, die Sie sehen können, und was Sie tun sollten, wenn Benutzer versehentlich Zugriff über RD-Gateway verweigert:
- Veranstaltungen 302 und 303 anzeigen, wenn ein Benutzer eine Verbindung herstellt und trennt die Verbindung über RD-Gateway eine RDS-Ressource.
- Ereignisse 200 und 300 zeigen, dass ein Benutzer die Anforderungen eine RD CAP und eine RD-RAP, bzw. erfüllt hat.
- Ereignis 201 zeigt die RD CAP waren nicht erfüllt und der Benutzer konnte keine Verbindung mit RD-Gateway. Ändern Sie die RD CAP, damit dem Benutzer den richtigen Zugang durch die Aufnahme einer Active Directory-Benutzergruppe von der der Benutzer Mitglied ist.
- Ereignis-ID 304 zeigt die RD CAP und RD-RAP erfüllt wurden, aber der Benutzer konnte die angeforderte Ressource herstellen. In diesem Fall überprüfen Sie, dass die angeforderte Ressource betriebsbereit ist und der Benutzer der Gruppe Remotedesktopbenutzer Ressourcen hinzugefügt wird.
NPS auch protokolliert Ereignisse im Falle Viewer Sicherheit protokollieren, wenn Benutzer gewährt oder verweigert Zugriff über RD-Gateway. Dazu einige Beispiele:
- Ereignis-IDs 6272 und 6278 geben der NPS-Server gewährt einen Benutzerzugriff und gab Verbindung Authentifizierungsdetails im Protokoll, einschließlich des Namens der Netzwerkrichtlinie, die den Benutzerzugriff hat.
- Ereigniskennung 6273 zeigt ein Benutzer erfüllt die Anforderungen der Netzwerkrichtlinie mit dem Namen "--RDG Marker Politik." Dies ist die Standardrichtlinie, die mit RD-Gateway den Zugriff verweigert. Wenn keine andere Netzwerkrichtlinie erfüllt ist (d. h., der Benutzer nicht erfüllen alle RD-CAP) und dann die Anforderungen dieser Richtlinie erfüllt sind und der Benutzer wird der Zugriff verweigert.
Dies sind die wesentlichen Elemente der RD-Gateway, einschließlich der Grund, warum Sie diesen Rollendienst verwenden würde, um bieten remote-Zugriff, wie Sie den Rollendienst einrichten und die Zugriffsrichtlinien konfigurieren, die definieren die Regeln für den Remotezugriff. Nächsten Monat werden wir diskutieren, wie Zertifikate kombiniert mit das Credential Security Support Provider ermöglichen eine Funktion namens auf Netzwerkebene Authentifizierung (NLA), die den Benutzer Anmeldung verbessert.
Kristin Griffin ist ein Remote Desktop Services MVP. Sie moderiert ein Microsoft-Forum gewidmet zu helfen, die Server-basierten computing Gemeinschaft (Remote Desktop Services) und führt eine RDS-Blog unter blog.kristinlgriffin.com. Sie leistet einen Beitrag zur Mark Minasi "Mastering Windows Server 2008" (Sybex, 2008) und "Mastering Windows Server 2008 R2" (Sybex, 2010). Mit Christa Anderson zusammen sie auch "Microsoft Windows Server 2008 Terminal Services Resource Kit" (Microsoft Press, 2008) und "Microsoft Windows Server 2008 R2 Remote Desktop Services Resource Kit" (Microsoft Press, 2010).
Verwandter Inhalt
- Microsoft Windows Server 2008 R2-RDS-ResourceKit
- Bereitstellen von Remotedesktopgateway Schritt für Schritt Anleitung
- RD-Gateway-Bereitstellung in einem Umkreisnetzwerk & Firewall-Regeln
- Konfigurieren der NAP-Integration mit RD-Gateway schrittweise Anleitung
- Bereitstellen von RD-Gateway R2 Server mit NAP
- Konfigurieren von Remotedesktopdienste-Clients wie Netzwerkzugriffsschutz (NAP) Durchsetzung-Clients für Remotedesktopgateway
Die folgenden Hotfixes über RD-Gateway sind ebenfalls hilfreich:
- Unter eine hohe Arbeitsauslastung in Windows Server 2008 R2 Remote Desktop Gateway-Dienst stürzt ab
- Smartcard-Authentifizierung funktioniert nicht bei Verwendung von VDI und RD-Gateway für RDC-Client in Windows 7 oder Windows Server 2008 R2
RD-Gateway Q & a
F: Wie viele Verbindungen eignet sich für das RD-Gateway?
A. Die RD-Gateway bietet Platz für viele Verbindungen. In der Tat kann ein dual-Prozessor-Server mit 4 GB RAM AcLeihvertrag mehr als 1.200 Verbindungen. Lesen Sie das Microsoft-Whitepaper "RD-Gateway Kapazität Planung in Windows 2008 R2," für weitere Informationen über RD-Gateway Tests und Ergebnisse Kapazitätsanalyse durchgeführt von Microsoft. Aus Sicht der Lizenzierung ist RD-Gateway auf 256 gleichzeitige Verbindungen in Windows Server 2008 R2 Standard Edition und Windows Server 2008 R2 Foundation Edition 50 gleichzeitige Verbindungen beschränkt. RD-Gateway-Verbindungen in Windows Server 2008 R2 Datacenter und Enterprise-Editionen sind unbegrenzt.
F: RD-Gateway hinter einem ISA-Server verwenden Sie? Was ist mit Forefront Threat Management Gateway (TMG)?
A. Ja, Sie können dies tun. Verwendung dieses Skript RD-Gateway auf einem ISA-Server zu veröffentlichen. Sie können auch RD-Gateway hinter Forefront TMG implementieren. Die Konfigurieren der Forefront Threat Management Gateway Integration mit schrittweisen Anleitung RD-Gateway zeigt Ihnen, wie Sie TMG als SSL-Bridgingmechanismus an RD-Gateway verwenden.
F: Was für ein SSL-Zertifikat muss ich beim Konfigurieren von RD-Gateway verwenden?
A. Können Sie einen regulären SSL-Zertifikat, ein Wildcard-Zertifikat (*. domain.com) oder einem SAN-Zertifikat (ein Zertifikat mit mehreren Namen, wie rdg.domain.com, rdwa.domain.com, rds.domain.com) mit RD-Gateway.
F: Wie können Sie Verbindungen von der Seite Remote-Desktops über Web Access für Remotedesktop mithilfe von RD-Gateway erzwingen?
A. Es gibt keine Kontrollkästchen auf der Registerkarte Remote Desktops der RD Web Access-Website für die Verwendung von RD-Gateway zu erzwingen, aber können Sie es geschehen durch Bearbeiten der Datei von diesem Desktop.aspx:
if ((DefaultTSGateway != null) && (DefaultTSGateway.length> 0)) {
RDPstr += "gatewayusagemethod:i:2\n";
in:
if ((DefaultTSGateway != null) &&(DefaultTSGateway.length> 0)) {
RDPstr += "gatewayusagemethod:i:1\n";
Explizit Erzwingen der Verwendung von RD-Gateway wird auch beschleunigen Verbindungen weil es keine Verzögerung, gibt während die Verbindung versucht, eine Verbindung direkt über Port 3389, Timeout und versucht dann erneut über SSL-Port 443.