Calculatoare

Cum se configurează un Gateway Desktop la distanță Windows Server 2016

Autor: Laura McKinney
Data Creației: 6 Aprilie 2021
Data Actualizării: 13 Mai 2024
Anonim
Complete Guide to setting up Remote Desktop Services in Windows Server 2016
Video: Complete Guide to setting up Remote Desktop Services in Windows Server 2016

Conţinut

Administrator / inginer de sisteme realizat cu peste 10 ani de experiență în gestionarea infrastructurilor serverelor și a operațiunilor din centrul de date.

Introducere

Acest tutorial va parcurge pașii implementării unui Gateway Desktop la distanță pe un server Windows Server 2016. Un Gateway Desktop la distanță este adesea folosit pentru a permite clienților desktop la distanță să se conecteze de pe internet la serverele din spatele Gateway Desktop la distanță situat în rețeaua corporativă. Remote Desktop Gateway acționează ca un „jumphost”, cu excepția faptului că nu găzduiește niciodată conexiunile desktop la distanță ale utilizatorilor. Verifică dacă un utilizator aparține unui grup căruia i se permite accesul la distanță și verifică dacă unui utilizator i se permite să se îndepărteze de pe serverul de destinație înainte de a permite sesiunea către serverul de destinație.


Rezumatul pașilor necesari pentru a configura un Gateway Desktop la distanță Windows Server 2016

Următorul este un rezumat al pașilor necesari pentru configurarea unui Gateway Desktop la distanță pe Windows Server 2016. Folosiți-l ca listă de verificare pentru a vă asigura că totul a fost acoperit.

  1. Alăturați-vă serverului Windows 2016 la domeniul Active Directory.
  2. Adaugă Servicii desktop la distanță rol.
  3. Creeaza o Politica de autorizare a conexiunii. Această politică specifică ce grupuri au permisiunea de a accesa acest lucru Gateway desktop la distanță.
  4. Creeaza o Politica de autorizare a resurselor. Această politică specifică ce servere au acces permis de către ce grupuri.
  5. Cumpărați un Certificat SSL de la o autoritate de certificare publică. (Puteți căuta pe web pentru a afla de unde să cumpărați acest lucru. Nu există publicitate gratuită pe acest SPACE)
  6. Aplicați Certificat SSL la Gateway desktop la distanță.
  7. Acceptați portul TCP implicit de la Remote Desktop Gateway 443 sau schimbați-l cu un alt număr de port.
  8. Testați conexiunea Desktop la distanță la un server din spatele Gateway Desktop la distanță DIRECT de pe serverul Gateway Desktop la distanță. Aceasta este pentru a vă asigura că există conectivitate de la Remote Desktop Gateway la serverele la care clienții vor trebui să se conecteze.
  9. Modificați regulile de firewall pentru a permite portul Gateway Desktop la distanță către serverul Gateway Desktop la distanță.
  10. Testați conexiunea Desktop la distanță la un server din spatele Gateway Desktop la distanță de pe internet. Trebuie să configurați clientul Desktop la distanță cu adresa și numărul de port al Gateway Desktop la distanță. NOTĂ: Versiunile mai vechi ale Remote Desktop Connection care au venit cu Windows 7 și Windows 2008R2 au setări pentru un Gateway Desktop la distanță, dar nu funcționează. Este o practică bună să descărcați cea mai recentă versiune de Remote Desktop Connection de utilizat.

    Pentru a afla cum să configurați un client Remote Desktop Connection pentru a utiliza un Gateway Desktop la distanță, puteți urmări

Pași detaliați pentru configurarea unui gateway desktop la distanță Windows Server 2016

Următorul tutorial arată în detaliu cum se configurează un Gateway Desktop la distanță pe Windows Server 2016.


Adăugarea rolului Servicii desktop la distanță

Deschideți Server Manager și faceți clic pe Adăugați roluri și caracteristici.

Adăugarea rolului de serviciu Gateway Desktop la distanță

Selectați Gateway desktop la distanță și faceți clic pe Următorul.


Dacă vrem, va apărea o fereastră adăugați caracteristici necesare pentru Gateway Desktop la distanță. Click pe Adăugați caracteristici.

Clic Următorul.

Clic Următorul pentru instalarea politicii de rețea și a serviciilor de acces.

Clic Următorul pentru adăugarea rolului de server web (IIS).

Acceptați selecțiile implicite pentru serviciile de rol Web Server și faceți clic pe Următorul.

Clic Instalare.

Instalare reusita.

Creați politica de autorizare a conexiunii și politica de autorizare a resurselor

Deschideți Remote Gateway Manager Manager. Acest lucru se face din meniul Instrumente din Server Manager.

Creați politici de autorizare pentru Gateway RD

În panoul din stânga, navigați la Politici, Click pe Politici de autorizare a conexiunii. Pe Acțiuni din dreapta, faceți clic dreapta Creați o politică nouă, și selectați Vrăjitor.

Selectați Creați un RD CAP și un RD RAP (recomandat) și faceți clic pe Următorul.

Politica de autorizare a conexiunii

Politica de autorizare a conexiunii asigură că numai grupurile selectate (adică membrii grupului) au voie să utilizeze Gateway Desktop la distanță pentru a accesa resursele din spatele Gateway Desktop la distanță. Puteți utiliza grupuri bazate pe utilizatorii de director activ sau grupuri bazate pe obiectele computerului din directorul activ. Pentru a oferi flexibilitate în ceea ce privește ce mașini pot utiliza utilizatorii de la distanță pentru desktop, vă recomand să utilizați grupuri de utilizatori.

Dați un nume politicii. Un nume intuitiv este Permis-de-utiliza-RDGateway, faceți clic pe Următorul.

Clic Adăugare grup.

În scopul acestui tutorial, voi selecta fișierul Administratori de domeniu grup. În mod normal, ați crea un alt grup de utilizatori pe care adăugați utilizatori pe care doriți să le permiteți să utilizeze Gateway desktop la distanță. Puteți crea grupuri pe baza resurselor pe care utilizatorii trebuie să le acceseze. În acest fel, puteți adăuga acele grupuri aici și apoi utilizați aceste grupuri în politica de autorizare a resurselor mai târziu.

Nu vom folosi calitatea de membru al grupului de computere client. Această opțiune vă permite să conectați pe baza computerelor de la care se conectează clienții. Aceste computere trebuie să fie unite la domeniu și acel domeniu este, în anumite moduri, legat de domeniul din care face parte gateway-ul desktopului la distanță. Clic Următorul.

Acceptați setarea implicită pentru redirecționarea dispozitivului și faceți clic pe Următorul.

Introduceți valorile de expirare conform celor de mai jos. Faceți clic pe Următorul.

Faceți clic pe Următorul.

Creați o politică de autorizare a resurselor

Politica de autorizare a resurselor este utilizată pentru a restricționa accesul la servere pe baza apartenenței la grup. Va trebui să creați grupuri active de directoare și să adăugați servere ca membri ai acestor grupuri. În mod ideal, aceste grupuri sunt create pe baza funcționalității sau a proprietății departamentului. Aceste grupuri de servere sunt resursele de rețea care trebuie alocate grupurilor de utilizatori pentru ca utilizatorii să le poată accesa.

Puteți crea mai multe politici de autorizare a resurselor pentru a atribui granular anumitor utilizatori acces la anumite servere.

Selectați grupuri de utilizatori cărora li se permite accesul la resursele de rețea, adică pot face desktop de la distanță la servere din rețea. Pentru acest tutorial, voi selecta grupul de administratori de domeniu, deoarece am selectat deja administratorii de domeniu ca grup care poate utiliza Gateway-ul Desktopului la distanță. Apoi faceți clic pe Următorul.

Selectați un grup care conține serverele pe care doriți ca grupurile de utilizatori de mai sus să poată face desktop la distanță.

Faceți clic pe Răsfoire.

Pentru acest tutorial, vom folosi grupul încorporat numit Controlere de domeniu. Puteți crea grupuri suplimentare care conțin servere care sunt înrudite sau aparțin anumitor departamente. În acest fel, în pașii anteriori puteți atribui grupuri pe baza utilizatorilor departamentului și le permiteți să acceseze numai anumite servere.

Faceți clic pe Verificare nume pentru a vă asigura că grupul este găsit, apoi faceți clic pe OK.

Faceți clic pe Următorul.

Dacă portul desktop la distanță de pe servere a fost schimbat față de cel implicit, utilizați acest ecran pentru a specifica portul. În caz contrar, selectați Permiteți conexiuni numai la portul 3389. Faceți clic pe Următorul.

Faceți clic pe Finalizare.

Faceți clic pe Închidere.

Certificat SSL

Gateway-ul Remote Desktop trebuie să aibă instalat un certificat SSL. Puteți achiziționa un certificat SSL pentru numele de domeniu de Internet complet calificat de la Remote Desktop Gateway sau puteți achiziționa un certificat SSL wildcard pentru domeniu.

Pentru a instala certificatul SSL, faceți clic mai întâi pe numele serverului desktopului la distanță în consola de administrare Remote Desktop Gateway.

Dacă ați achiziționat și ați primit certificatul SSL, copiați-l în orice locație de pe server. Selectați Importați un certificat în gateway-ul RD și navigați la certificat pentru a-l importa.

Nu am achiziționat un certificat SSL pentru acest tutorial, așa că voi folosi un certificat auto-semnat. Acesta va permite Remote Desktop Gateway să funcționeze de la unii clienți, cum ar fi Microsoft Remote Desktop pentru Mac, dar ni se va solicita un avertisment despre certificat atunci când încercăm să ne conectăm. Putem alege să continuăm după aceea.

Cu toate acestea, nu va funcționa cu cea mai recentă versiune Windows a clientului Conexiune desktop la distanță (există o soluție pentru testare).

Tu TREBUIE SA folosește o certificat SSL de încredere în Production Remote Desktop Gateway și acest lucru înseamnă achiziționarea unui certificat SSL public.

Este posibil să vă configurați propria infrastructură PKI în domeniul dvs. de director activ și să atribuiți propriul certificat SSL și, dacă computerul client face parte din domeniu, acesta ar trebui să aibă încredere în CA-ul domeniului dvs. Cu toate acestea, mediile Gateway Desktop la distanță sunt adesea folosite pentru a permite contractanților externi care au propriile laptopuri să poată utiliza resursele de rețea. Prin urmare, cel mai bine este să utilizați un SSL de la o autoritate rădăcină de încredere.

Pentru acest tutorial, vom genera un certificat autosemnat făcând clic pe Creați și importați certificat .

Introduceți numele de internet FQDN al acestui Gateway Desktop la distanță pentru numele certificatului de ex. rdgateway.yourdomain.com. Pentru acest tutorial, voi folosi adresa IP a internetului care va fi asociată cu acest server.

Acum am instalat cu succes un certificat SSL auto-semnat pe portul TCP 443 (port SSL implicit).

Putem schimba portul SSL pentru Gateway Desktop la distanță cu un alt număr de port. Uneori, companiile fac acest lucru pentru a încerca să păcălească hackerii care pot viza portul 443, deoarece acesta este portul SSL implicit.

Pentru a schimba numărul portului SSL pentru gateway-ul RD, faceți clic dreapta pe numele serverului și selectați proprietăți în consola de administrare Remote Desktop Gateway.

Vom schimba portul la 4430. Vom folosi acest port în tutorialul nostru, astfel încât să înțelegeți cum să configurați un număr de port diferit în clientul Desktop la distanță.

Testarea serverului Gateway Desktop la distanță poate accesa resursele de rețea

Trebuie să testăm conectivitatea de la Remote Desktop Gateway la resursele de rețea la care clienții vor trebui să se conecteze. Mai exact, trebuie să testăm traficul RDP utilizând clientul desktop la distanță pentru a ne conecta la serverele permise.

Am permis accesul controlerelor de domeniu de către grupul de administratori de domenii prin intermediul Gateway-ului de la distanță și am permis grupului de administratori de domeniu să poată utiliza gateway-ul de la distanță utilizând politicile de autorizare. Acum vom testa conectarea la controlerele de domeniu de la Remote Desktop Gateway.

Am confirmat că putem ajunge la controlerele de domeniu de la Remote Desktop Gateway.

Acum trebuie să ne asigurăm că clienții externi pot ajunge la Remote Desktop Gateway.

Configurarea paravanului de protecție

Deoarece ne vom conecta la Remote Desktop Gateway de pe internet, va trebui să modificăm firewall-ul pentru a permite accesul la Remote Desktop Gateway Port.

În pașii anteriori, am schimbat portul TCP la 4430 pentru Gateway Desktop la distanță. Aceasta înseamnă că trebuie să permitem TCP Port 4430 de intrare pe firewall și în portul de destinație 4430 de pe Remote Desktop Gateway.

Dacă am fi folosit portul implicit 443, ar trebui să permităm portul TCP 443.

Configurarea clientului Desktop la distanță cu setările Gateway Desktop la distanță

Când configurați un client desktop la distanță care acceptă Gateway Desktop la distanță și vă veți conecta utilizând gateway-ul desktop la distanță, amintiți-vă întotdeauna că Calculator numele serverului la care doriți să vă conectați este numele serverului local care poate fi rezolvat de la Remote Desktop Gateway.

Când intrați în Gateway desktop la distanță detalii în client, trebuie să specificați portul dacă nu utilizați portul SSL implicit de 443. În cazul nostru, trebuie să introducem rdgateway.yourdomain.com:4430 ca server Remote Gateway Gateway. Dacă am folosi portul implicit, trebuie doar să introducem FQDN fără numărul portului, de ex. rdgateway.yourdomain.com .

rezumat

Astfel se încheie pașii implicați în configurarea Gateway Desktop la distanță Windows Server 2016. Acum veți putea configura un client desktop la distanță pentru a se conecta utilizând Gateway Desktop la distanță.

NOTĂ: Asigurați-vă că utilizați cea mai recentă versiune a clientului Desktop la distanță, deoarece am văzut o versiune anterioară care venea cu Windows 7 care nu se poate conecta, chiar dacă are setări pentru un Gateway Desktop la distanță.

Voi scrie un articol de urmărire cu privire la modul de configurare a unui client desktop la distanță pentru a utiliza Gateway Desktop la distanță.

Articol conex

  • Cum se instalează Remote Desktop Services Windows 2016
    Acest tutorial va arăta cum se instalează Remote Desktop Services în Windows Server 2016, dar poate fi aplicat la Windows 2012 sau Windows 2012R2. Pașii se bazează pe un scenariu în care nu există în prezent servicii Remote Desktop pentru Windows 2012 sau l

Acest articol este corect și fidel, după cunoștințele autorului. Conținutul are doar scop informativ sau de divertisment și nu înlocuiește consilierea personală sau sfatul profesional în probleme de afaceri, financiare, juridice sau tehnice.

Articolul Anterior

De ce nu-mi pasă dacă urmăritorii mei din rețelele sociale devin clienți

Următorul Articol

Care este cel mai bun laptop pentru jocuri bugetare?

Interesant Astăzi

Posturi Noi

Factorii umani care afectează căutarea vocală
 Internet

Factorii umani care afectează căutarea vocală

Tamara Wilhite e te criitoare tehnică, inginer indu trial, mamă a doi copii și autor publicat în ci-fi și horror.Optimizarea căutării vocale au optimizarea motorului de căutare conver ațional e t...
Cele mai bune aplicații pentru drumeții
 Telefoane

Cele mai bune aplicații pentru drumeții

Kymberly iubește ă e cufunde în multe hobby-uri: grădinărit productiv, meșteșug, cu ut, citit și tot ceea ce e te japonez.Drumețiile unt minunate pentru a pierde în greutate și pentru a creș...