Настройка прокси-сервера Центра распространения ключей Kerberos

Клиенты, придающие высокое значение безопасности, например финансовые или правительственные организации, часто входят с помощью SmartCards. SmartCards делают развертывания более безопасными, они требуют проведения многофакторной проверки подлинности (MFA). Однако для части сеанса виртуального рабочего стола Azure RDP smart карта требуется прямое подключение или "линия зрения" с контроллером домена Active Directory (AD) для проверки подлинности Kerberos. Без этого прямого подключения пользователи не смогут автоматически входить в сеть организации с удаленных подключений. Пользователи в развертывании виртуального рабочего стола Azure могут использовать службу прокси-сервера KDC для прокси-сервера для прокси-сервера проверки подлинности и удаленного входа. Прокси-сервер KDC позволяет выполнять проверку подлинности для протокола удаленного рабочего стола сеанса виртуального рабочего стола Azure, позволяя пользователю безопасно выполнять вход. Это значительно упрощает работу из дома и позволяет выполнять определенные сценарии аварийного восстановления более плавно.

Однако настройка прокси KDC обычно подразумевает назначение роли шлюза Windows Server в Windows Server 2016 или более поздней версии. Как использовать роль Службы удаленных рабочих столов для входа на Виртуальный рабочий стол Azure? Чтобы ответить на это, давайте кратко рассмотрим компоненты.

Существует два компонента службы виртуальных рабочих столов Azure, которые должны проходить проверку подлинности:

• Веб-канал в клиенте виртуальных рабочих столов Azure, который предоставляет пользователям список доступных настольных систем или приложений, к которым у них есть доступ. Этот процесс проверки подлинности происходит в идентификаторе Microsoft Entra, что означает, что этот компонент не является фокусом этой статьи.
• Сеанс RDP, полученный от пользователя, который выбирает один из этих доступных ресурсов. Данный компонент проходит проверку подлинности Kerberos и требует наличия прокси-сервера KDC для удаленных пользователей.

В этой статье представлено, как настроить веб-канал в клиенте Виртуального рабочего стола Azure на портале Azure. Если вы хотите узнать, как настроить роль шлюза удаленных рабочих столов, см. раздел Развертывание роли шлюза удаленных рабочих столов.

Необходимые компоненты

Чтобы настроить узел сеанса Виртуального рабочего стола Azure с прокси-сервером KDC, вам потребуется следующее:

• Доступ к портал Azure и учетной записи администратора Azure.
• Удаленные клиентские компьютеры должны работать по крайней мере под управлением Windows 10 и установить клиент Windows Desktop. Веб-клиент в настоящее время не поддерживается.
• На компьютере должен быть уже установлен прокси-сервер KDC. Сведения о том, как это сделать, см. в разделе Настройка роли шлюза удаленных рабочих столов для Виртуального рабочего стола Azure.
• ОС компьютера должна быть Windows Server 2016 или более поздней версии.

Если вы отвечаете этим требованиям, то можно считать, что вы готовы начать.

Настройка прокси-сервера KDC

Чтобы настроить прокси-сервер KDC:

1. Выполните вход на портал Azure в качестве администратора.

2. Перейдите на страницу Виртуального рабочего стола Azure.

3. Выберите пул узлов, для которого необходимо включить прокси-сервер KDC, а затем выберите свойства RDP.

4. Перейдите на вкладку Дополнительно и введите значение в следующем формате без пробелов:

   kdcproxyname:s:<fqdn>

   

5. Выберите Сохранить.

6. Теперь выбранный пул узлов начнет выдавать файлы подключения RDP, содержащие значение kdcproxyname, введенное на шаге 4.

Следующие шаги

Сведения об управлении службой удаленных рабочих столов прокси-сервера KDC и назначении роли шлюза удаленных рабочих столов см. в статье Развертывание роли шлюза удаленных рабочих столов.

Если вам интересно масштабирование ваших прокси-серверов KDC, узнайте, как настроить высокий уровень доступности для прокси-сервера KDC при Добавлении высокого уровня доступности Веб-интерфейса и шлюза удаленных рабочих столов.