Настройка прокси-сервера Центра распространения ключей Kerberos

Клиенты с заботой о безопасности, такие как финансовые или правительственные организации, часто входят в систему с помощью смарт-карт. Смарт-карты делают развертывания более безопасными, требуя многофакторной проверки подлинности (MFA). Однако для части RDP сеанса Виртуального рабочего стола Azure смарт-карты требуют прямого подключения или "прямой видимости" с контроллером домена Active Directory (AD) для проверки подлинности Kerberos. Без этого прямого подключения пользователи не смогут автоматически входить в сеть организации из удаленных подключений. Пользователи в развертывании Виртуального рабочего стола Azure могут использовать прокси-службу KDC для прокси-сервера этого трафика проверки подлинности и удаленного входа. Прокси-сервер KDC обеспечивает проверку подлинности для протокола удаленного рабочего стола сеанса Виртуального рабочего стола Azure, позволяя пользователю безопасно войти в систему. Это значительно упрощает работу из дома и позволяет выполнять некоторые сценарии аварийного восстановления более гладко.

Однако настройка прокси-сервера KDC обычно включает назначение роли шлюза Windows Server в Windows Server 2016 или более поздней версии. Как использовать роль служб удаленных рабочих столов для входа в Виртуальный рабочий стол Azure? Чтобы ответить на этот вопрос, давайте кратко рассмотрим компоненты.

Для службы Виртуального рабочего стола Azure есть два компонента, которые должны пройти проверку подлинности:

• Веб-канал в клиенте Виртуального рабочего стола Azure, предоставляющий пользователям список доступных рабочих столов или приложений, к которым у них есть доступ. Этот процесс проверки подлинности выполняется в Microsoft Entra ID, что означает, что этот компонент не рассматривается в этой статье.
• Сеанс RDP, который возникает в результате выбора пользователем одного из доступных ресурсов. Этот компонент использует проверку подлинности Kerberos и требует прокси-сервера KDC для удаленных пользователей.

В этой статье показано, как настроить веб-канал в клиенте Виртуального рабочего стола Azure в портал Azure. Сведения о настройке роли шлюза удаленных рабочих столов см. в статье Развертывание роли шлюза удаленных рабочих столов.

Предварительные условия

Чтобы настроить узел сеансов Виртуального рабочего стола Azure с прокси-сервером KDC, вам потребуется следующее:

• Доступ к портал Azure и учетной записи администратора Azure.
• Удаленные клиентские компьютеры должны работать как минимум Windows 10 и иметь установленный клиент Windows Desktop. Веб-клиент в настоящее время не поддерживается.
• На компьютере уже должен быть установлен прокси-сервер KDC. Сведения о том, как это сделать, см . в статье Настройка роли шлюза удаленных рабочих столов для Виртуального рабочего стола Azure.
• Ос компьютера должна быть Windows Server 2016 или более поздней версии.

Убедившись, что соответствуете этим требованиям, вы можете приступить к работе.

Настройка прокси-сервера KDC

Чтобы настроить прокси-сервер KDC, выполните следующие действия:

1. Войдите на портал Azure с правами администратора.

2. Перейдите на страницу Виртуальный рабочий стол Azure.

3. Выберите пул узлов, для которого нужно включить прокси-сервер KDC, а затем выберите Свойства RDP.

4. Перейдите на вкладку Дополнительно , а затем введите значение в следующем формате без пробелов:

   kdcproxyname:s:<fqdn>

   

5. Выберите Сохранить.

6. Выбранный пул узлов должен начать выдавать файлы подключения RDP, которые содержат значение kdcproxyname, введенное на шаге 4.

Дальнейшие действия

Сведения об управлении службами удаленных рабочих столов прокси-сервера KDC и назначении роли шлюза удаленных рабочих столов см. в статье Развертывание роли шлюза удаленных рабочих столов.

Если вы заинтересованы в масштабировании прокси-серверов KDC, узнайте, как настроить высокий уровень доступности для прокси-сервера KDC, см. в статье Добавление высокого уровня доступности в веб-интерфейс удаленных рабочих столов и шлюза.