Delen via

Een Kerberos Key Distribution Center-proxy configureren

  • Artikel

Beveiligingsbewuste klanten, zoals financiële of overheidsorganisaties, melden zich vaak aan met Smartcards. Smartcards maken implementaties veiliger door meervoudige verificatie (MFA) te vereisen. Voor het RDP-gedeelte van een Azure Virtual Desktop-sessie vereisen Smartcards echter een directe verbinding of een 'lijn van zicht', met een Active Directory-domeincontroller (AD) voor Kerberos-verificatie. Zonder deze directe verbinding kunnen gebruikers zich niet automatisch via externe verbindingen aanmelden bij het netwerk van de organisatie. Gebruikers in een Azure Virtual Desktop-implementatie kunnen de KDC-proxyservice gebruiken om dit verificatieverkeer te proxyen en zich op afstand aan te melden. De KDC-proxy maakt verificatie mogelijk voor het Remote Desktop Protocol van een Azure Virtual Desktop-sessie, zodat de gebruiker zich veilig kan aanmelden. Dit maakt het werken vanuit huis veel eenvoudiger en maakt het mogelijk om bepaalde scenario's voor herstel na noodgevallen soepeler te laten verlopen.

Het instellen van de KDC-proxy omvat echter meestal het toewijzen van de rol Windows Server Gateway in Windows Server 2016 of hoger. Hoe gebruikt u de rol Extern bureaublad-services om u aan te melden bij Azure Virtual Desktop? Laten we eens kijken naar de onderdelen om dat te beantwoorden.

Er zijn twee onderdelen voor de Azure Virtual Desktop-service die moeten worden geverifieerd:

  • De feed in de Azure Virtual Desktop-client waarmee gebruikers een lijst met beschikbare bureaubladen of toepassingen waartoe ze toegang hebben. Dit verificatieproces vindt plaats in Microsoft Entra-id, wat betekent dat dit onderdeel niet de focus van dit artikel is.
  • De RDP-sessie die het resultaat is van een gebruiker die een van deze beschikbare resources selecteert. Dit onderdeel maakt gebruik van Kerberos-verificatie en vereist een KDC-proxy voor externe gebruikers.

In dit artikel leest u hoe u de feed configureert in de Azure Virtual Desktop-client in Azure Portal. Zie De rd-gatewayrol implementeren als u wilt weten hoe u de rd-gatewayrol configureert.

Vereisten

Als u een Azure Virtual Desktop-sessiehost wilt configureren met een KDC-proxy, hebt u het volgende nodig:

  • Toegang tot Azure Portal en een Azure-beheerdersaccount.
  • Op de externe clientcomputers moet ten minste Windows 10 worden uitgevoerd en moet de Windows Desktop-client zijn geïnstalleerd. De webclient wordt momenteel niet ondersteund.
  • Er moet al een KDC-proxy op uw computer zijn geïnstalleerd. Zie De rd-gatewayrol instellen voor Azure Virtual Desktop voor meer informatie.
  • Het besturingssysteem van de computer moet Windows Server 2016 of hoger zijn.

Zodra u zeker weet dat u aan deze vereisten voldoet, bent u klaar om aan de slag te gaan.

De KDC-proxy configureren

De KDC-proxy configureren:

  1. Meld u als beheerder aan bij de Azure-portal.

  2. Ga naar de pagina Azure Virtual Desktop.

  3. Selecteer de hostgroep waarvoor u de KDC-proxy wilt inschakelen en selecteer vervolgens RDP-eigenschappen.

  4. Selecteer het tabblad Geavanceerd en voer een waarde in de volgende notatie in zonder spaties:

    kdcproxyname:s:<fqdn>

    A screenshot showing the Advanced tab selected, with the value entered as described in step 4.

  5. Selecteer Opslaan.

  6. De geselecteerde hostgroep moet nu RDP-verbindingsbestanden uitgeven met de kdcproxynamewaarde die u in stap 4 hebt ingevoerd.

Volgende stappen

Zie De rol RD-gateway implementeren voor meer informatie over het beheren van de extern bureaublad-services-zijde van de KDC-proxy en het toewijzen van de rol RD-gateway.

Als u geïnteresseerd bent in het schalen van uw KDC-proxyservers, leert u hoe u hoge beschikbaarheid voor KDC-proxy instelt bij Hoge beschikbaarheid toevoegen aan de web- en gatewaywebfront rd.