Поделиться через


Настройка прокси-сервера Центра распространения ключей Kerberos

Клиенты с заботой о безопасности, такие как финансовые или правительственные организации, часто входят в систему с помощью смарт-карт. Смарт-карты делают развертывания более безопасными, требуя многофакторной проверки подлинности (MFA). Однако для части RDP сеанса Виртуального рабочего стола Azure смарт-карты требуют прямого подключения или "прямой видимости" с контроллером домена Active Directory (AD) для проверки подлинности Kerberos. Без этого прямого подключения пользователи не смогут автоматически входить в сеть организации из удаленных подключений. Пользователи в развертывании Виртуального рабочего стола Azure могут использовать прокси-службу KDC для прокси-сервера этого трафика проверки подлинности и удаленного входа. Прокси-сервер KDC обеспечивает проверку подлинности для протокола удаленного рабочего стола сеанса Виртуального рабочего стола Azure, позволяя пользователю безопасно войти в систему. Это значительно упрощает работу из дома и позволяет выполнять некоторые сценарии аварийного восстановления более гладко.

Однако настройка прокси-сервера KDC обычно включает назначение роли шлюза Windows Server в Windows Server 2016 или более поздней версии. Как использовать роль служб удаленных рабочих столов для входа в Виртуальный рабочий стол Azure? Чтобы ответить на этот вопрос, давайте кратко рассмотрим компоненты.

Для службы Виртуального рабочего стола Azure есть два компонента, которые должны пройти проверку подлинности:

  • Веб-канал в клиенте Виртуального рабочего стола Azure, предоставляющий пользователям список доступных рабочих столов или приложений, к которым у них есть доступ. Этот процесс проверки подлинности выполняется в Microsoft Entra ID, что означает, что этот компонент не рассматривается в этой статье.
  • Сеанс RDP, который возникает в результате выбора пользователем одного из доступных ресурсов. Этот компонент использует проверку подлинности Kerberos и требует прокси-сервера KDC для удаленных пользователей.

В этой статье показано, как настроить веб-канал в клиенте Виртуального рабочего стола Azure в портал Azure. Сведения о настройке роли шлюза удаленных рабочих столов см. в статье Развертывание роли шлюза удаленных рабочих столов.

Предварительные условия

Чтобы настроить узел сеансов Виртуального рабочего стола Azure с прокси-сервером KDC, вам потребуется следующее:

Убедившись, что соответствуете этим требованиям, вы можете приступить к работе.

Настройка прокси-сервера KDC

Чтобы настроить прокси-сервер KDC, выполните следующие действия:

  1. Войдите на портал Azure с правами администратора.

  2. Перейдите на страницу Виртуальный рабочий стол Azure.

  3. Выберите пул узлов, для которого нужно включить прокси-сервер KDC, а затем выберите Свойства RDP.

  4. Перейдите на вкладку Дополнительно , а затем введите значение в следующем формате без пробелов:

    kdcproxyname:s:<fqdn>

    Снимок экрана: выбранная вкладка

  5. Выберите Сохранить.

  6. Выбранный пул узлов должен начать выдавать файлы подключения RDP, которые содержат значение kdcproxyname, введенное на шаге 4.

Дальнейшие действия

Сведения об управлении службами удаленных рабочих столов прокси-сервера KDC и назначении роли шлюза удаленных рабочих столов см. в статье Развертывание роли шлюза удаленных рабочих столов.

Если вы заинтересованы в масштабировании прокси-серверов KDC, узнайте, как настроить высокий уровень доступности для прокси-сервера KDC, см. в статье Добавление высокого уровня доступности в веб-интерфейс удаленных рабочих столов и шлюза.