Настройка прокси-сервера Центра распространения ключей Kerberos
Клиенты, придающие высокое значение безопасности, например финансовые или правительственные организации, часто входят с помощью SmartCards. SmartCards делают развертывания более безопасными, они требуют проведения многофакторной проверки подлинности (MFA). Однако в части RDP сеанса Виртуального рабочего стола Azure при использовании SmartCards требуется прямое подключение или "строка анализа" с контроллером домена Active Directory (AD) для проверки подлинности Kerberos. Без этого прямого подключения пользователи не смогут автоматически входить в сеть организации с удаленных подключений. Пользователи в развертывании виртуальных рабочих столов Azure могут использовать прокси-службу KDC для проксирования этого трафика проверки подлинности и удаленного входа. Прокси-сервер KDC предоставляет возможность выполнять проверку подлинности для RDP (протокол удаленного рабочего стола) сеанса Виртуального рабочего стола Azure, позволяя пользователю безопасно входить в систему. Это значительно упрощает работу из дома и позволяет выполнять определенные сценарии аварийного восстановления более плавно.
Однако настройка прокси KDC обычно подразумевает назначение роли шлюза Windows Server в Windows Server 2016 или более поздней версии. Как использовать роль Службы удаленных рабочих столов для входа на Виртуальный рабочий стол Azure? Чтобы ответить на это, давайте кратко рассмотрим компоненты.
Существует два компонента службы виртуальных рабочих столов Azure, которые должны проходить проверку подлинности:
- Веб-канал в клиенте виртуальных рабочих столов Azure, который предоставляет пользователям список доступных настольных систем или приложений, к которым у них есть доступ. Этот процесс проверки подлинности выполняется в Azure Active Directory, что означает, что на данном компоненте эта статья фокусироваться не будет.
- Сеанс RDP, полученный от пользователя, который выбирает один из этих доступных ресурсов. Данный компонент проходит проверку подлинности Kerberos и требует наличия прокси-сервера KDC для удаленных пользователей.
В этой статье представлено, как настроить веб-канал в клиенте Виртуального рабочего стола Azure на портале Azure. Если вы хотите узнать, как настроить роль шлюза удаленных рабочих столов, см. раздел Развертывание роли шлюза удаленных рабочих столов.
Требования
Чтобы настроить узел сеансов виртуальных рабочих столов Azure с помощью прокси-сервера KDC, необходимо иметь в наличии следующее:
- Доступ к портал Azure и учетной записи администратора Azure.
- Удаленные клиентские компьютеры должны работать под управлением Windows 10 или Windows 7 с установленным на них Windows Desktop client. Сейчас веб-клиент не поддерживается.
- На компьютере должен быть уже установлен прокси-сервер KDC. Сведения о том, как это сделать, см. в разделе Настройка роли шлюза удаленных рабочих столов для Виртуального рабочего стола Azure.
- ОС компьютера должна быть Windows Server 2016 или более поздней версии.
Если вы отвечаете этим требованиям, то можно считать, что вы готовы начать.
Настройка прокси-сервера KDC
Чтобы настроить прокси-сервер KDC:
Войдите на портал Azure с учетной записью администратора.
Перейдите на страницу Виртуального рабочего стола Azure.
Выберите пул узлов, для которого необходимо включить прокси-сервер KDC, а затем выберите свойства RDP.
Перейдите на вкладку Дополнительно и введите значение в следующем формате без пробелов:
kdcproxyname:s:<fqdn>
Щелкните Сохранить.
Теперь выбранный пул узлов начнет выдавать файлы подключения RDP, содержащие значение kdcproxyname, введенное на шаге 4.
Дальнейшие действия
Сведения об управлении службой удаленных рабочих столов прокси-сервера KDC и назначении роли шлюза удаленных рабочих столов см. в статье Развертывание роли шлюза удаленных рабочих столов.
Если вам интересно масштабирование ваших прокси-серверов KDC, узнайте, как настроить высокий уровень доступности для прокси-сервера KDC при Добавлении высокого уровня доступности Веб-интерфейса и шлюза удаленных рабочих столов.