Remotedesktop-Gateway – Gateway RDS
Zusammenfassend lässt sich sagen, dass das Remote Desktop Gateway den Zugriff auf Ressourcen (Server/Computer) ermöglicht, die von außerhalb des Unternehmens über Port 443 (https) zugänglich sind, ohne dass eine VPN-Verbindung aufgebaut werden muss und indem Sicherheitsstrategien angewendet werden.
Installieren des Remotedesktopdienste-Gateways
Gehen Sie zur Übersicht über Remotedesktopdienste 1 und klicken Sie auf Services Gateway… 2. Dadurch wird der Rolleninstallationsassistent für die RDS-Farm geöffnet.
Wählen Sie den Server 1 aus, auf dem die Rolle installiert werden soll, und klicken Sie auf Weiter 2.
Geben Sie den SSL-Zertifikatnamen 1 ein (normalerweise den Namen der Internetpublikation) und klicken Sie auf Weiter 2.
Klicken Sie auf „Hinzufügen 1“, um die Installation zu starten.
Warten Sie während der Installation…
Wenn die Installation abgeschlossen ist, klicken Sie auf „Schließen“ 1.
Installieren des Remotedesktop-Gateway-Managers auf dem Brokerserver
Zur Erinnerung: Alle Manipulationen werden vom Broker-Server aus durchgeführt. Bei der Installation des RDS Gateways wurde die Managementkonsole auf dem Zielserver installiert.
Öffnen Sie eine PowerShell-Eingabeaufforderung als Administrator.
Geben Sie die folgende Zeile ein, um die Konsole zu installieren:
Install-WindowsFeature RSAT-RDS-GATEWAYVerstehen der Rolle des Remotedesktop-Gateways
Um das RDS-Gateway mit einem selbstsignierten Zertifikat verwenden zu können, muss es auf Client-Workstations als vertrauenswürdige Stammzertifizierungsstelle bereitgestellt werden.
Um zu funktionieren, verwendet das Remote-Desktop-Gateway zwei Arten von Strategien:
- Verbindungsautorisierungsrichtlinien: Diese definieren, wer eine Verbindung zum Gateway herstellen kann (Benutzer und Stationen), welche Geräte umgeleitet werden und wie lange die Sitzung abläuft.
- Autorisierungsrichtlinien für den Ressourcenzugriff: Diese definieren, wer womit eine Verbindung herstellen kann.
Öffnen Sie die Konsole über Server-Manager, Extras 1 / Terminaldienste 2 / Remotedesktop-Gateway-Manager 3.
Klicken Sie auf Mit Remotedesktop-Gateway-Server verbinden 1. Überprüfen Sie im neuen Fenster den Remote-Server 2, geben Sie den Namen des Servers ein, auf dem die Rolle installiert ist 3 und klicken Sie dann auf OK 4.
Bei der Installation der Rolle erstellte der Assistent zwei Richtlinien 1, wodurch das Gateway normal nutzbar ist.
Nachdem Sie einen DNS-Eintrag für die RDS-Farm (rds.rdr-it.intra) hinzugefügt und den Clientzugriff mit diesem Eintrag konfiguriert haben, müssen Sie die Ressourcenzugriffsrichtlinie ändern oder einen Computer mit diesem Namen im Active Directory hinzufügen.
Klicken Sie im Menü Aktionen auf Eigenschaften 1. Es öffnet sich ein Fenster mit verschiedenen verfügbaren Registerkarten, mit denen Sie die Optionen und das Verhalten des Remotedesktop-Gateway-Dienstes ändern können.
Standardmäßig wird während der Installation ein selbstsigniertes SSL-Zertifikat erstellt. Es kann über die Registerkarte „SSL-Zertifikat“ oder im Server-Manager im Abschnitt „Remotedesktopdienste“ geändert werden.
Verbindungsautorisierungsrichtlinien
Gehen Sie im linken Menü zum Ordner Verbindungsautorisierungsrichtlinie 1. Von hier aus ist es möglich, die vorhandenen Strategien einzusehen und zu verwalten. Doppelklicken Sie auf die Strategie RDG_CAP_AllUsers 2.
Registerkarte „Allgemein“: Von hier aus können Sie den Namen der Strategie ändern und festlegen, ob sie aktiviert ist oder nicht, indem Sie das Kontrollkästchen „Diese Strategie aktivieren“ aktivieren.
Registerkarte „Anforderungen“: Definition der Benutzerkonfiguration, um eine Verbindung zu den Gateway-Diensten herstellen zu können. Da der Benutzer einer Gruppe angehört, ist dieser Parameter obligatorisch. Die andere optionale, aber sehr nützliche Einstellung zur Erhöhung der Sicherheitsstufe ist die Gruppenmitgliedschaft für den Computer. Durch die Definition dieser Option ist es beispielsweise möglich, zu verhindern, dass ein Mitarbeiter eine Verbindung von seinem PC aus herstellt.
Registerkarte „Geräteumleitung“: Für die Erfassungskonfiguration können Sie festlegen, welche Geräte über das Gateway umgeleitet werden. Richtlinieneinstellungen haben Vorrang vor Sammlungseinstellungen. Das heißt, wenn die Drucker in der Sammlung autorisiert und vom Gateway nicht autorisiert sind, verfügt der Benutzer während einer Verbindung über das Gateway nicht über die Drucker.
Autorisierungsrichtlinien für den Ressourcenzugriff
Gehen Sie im linken Menü zum Ordner „Resource Access Authorization Policies“ 1. Von hier aus ist es möglich, die vorhandenen Strategien einzusehen und zu verwalten. Doppelklicken Sie auf die Richtlinie RDG_AllDomainComputers 2.
Registerkarte „Allgemein“: Von hier aus können Sie den Namen der Strategie ändern und festlegen, ob sie aktiviert ist oder nicht, indem Sie das Kontrollkästchen „Diese Strategie aktivieren“ aktivieren.
Registerkarte „Benutzergruppen“: Definieren Sie, wer diese Richtlinie verwenden kann.
Registerkarte „Netzwerkressource“: Worauf diese Richtlinie den Zugriff ermöglicht.
Registerkarte „Autorisierte Ports“: Wenn der Remote-Desktop-Zugriff auf einem anderen Port als 3389 konfiguriert wurde, muss er hier konfiguriert werden.
Aufbau
In diesem Teil erfahren Sie, wie Sie das Gateway für die RDS-Farm nutzbar machen. Es stehen mehrere Methoden und Lösungen zur Verfügung. Sie sollten die beste Lösung basierend auf Ihrer Umgebung und dem gewünschten Sicherheitsniveau auswählen.
- Methode 1: Zugriff auf alle Ressourcen zulassen (nicht empfohlen)
- Methode 2: Verwenden Sie die Standardkonfiguration
- Methode 3: Erlauben Sie den Zugriff auf eine Active Directory-Gruppe, die auf die RDS-Farm beschränkt ist
- Methode 4: Verwenden von Gateway-verwalteten Gruppen
Methode 1: Zugriff auf alle Ressourcen zulassen (nicht empfohlen)
Öffnen Sie die Richtlinie RDG_AllDomainComputers und wechseln Sie zur Registerkarte Netzwerkressource 1. Aktivieren Sie „Benutzern erlauben, eine Verbindung zu einer beliebigen Netzwerkressource herzustellen 2“. Klicken Sie auf die Schaltflächen Übernehmen 3 und OK 4.
Erläuterung: Diese Methode autorisiert den Zugriff auf alle Computer (auch außerhalb der Domäne) mit aktiviertem Remotedesktop. In der Produktion wird die Verwendung dieser Lösung nicht empfohlen.
Methode 2: Verwenden Sie die Standardkonfiguration
Wie zu Beginn dieses Tutorials erläutert, verhindert die Verwendung eines DNS-Alias für Hostserver die Verbindung zur RDS-Farm, da der RDS-Computer (AD-Objekt) nicht vorhanden ist.
Gehen Sie zum Domänencontroller, öffnen Sie die Konsole „Active Directory-Benutzer und -Computer“ und gehen Sie zur RDS-Organisationseinheit 1.
Klicken Sie mit der rechten Maustaste auf ODER 1, gehen Sie zu Neu 2 und klicken Sie auf Computer 3.
Geben Sie den Computernamen 1 ein, der Ihrem Alias entsprechen muss, und klicken Sie dann auf OK 2.
Der Computer 1 wird erstellt und ist Mitglied der Gruppe: Computer in Domäne 2.
Bei dieser Methode funktionieren die Standardregeln mit der RDS-Farm.
Erläuterung: Diese Methode autorisiert den Zugriff auf alle Computer in der Domäne. Durch das Hinzufügen eines Dummy-Computers kann das Gateway überprüfen, ob der Computer rds.rdr-it.intra Teil der AD-Gruppe ist, und den Zugriff ermöglichen.
Methode 3: Erlauben Sie den Zugriff auf eine Active Directory-Gruppe, die auf die RDS-Farm beschränkt ist
Methode 3: Erlauben Sie den Zugriff auf eine Active Directory-Gruppe, die auf die RDS-Farm beschränkt ist
Diese Methode besteht darin, eine Gruppe zu erstellen, in die wir die RDS-Server einordnen und in der Ressourcenzugriffsrichtlinie deklarieren.
Kehren Sie zur Konsole „Active Directory-Benutzer und -Computer“ zurück und gehen Sie zur RDS-Organisationseinheit 1.
Klicken Sie auf das Symbol 1, um eine Gruppe im Container zu erstellen.
Geben Sie den Gruppennamen 1 ein und klicken Sie auf OK 2.
Wählen Sie die Computerobjekte 1 aus, die Sie der Gruppe hinzufügen möchten, klicken Sie mit der rechten Maustaste und klicken Sie auf „Zur Gruppe hinzufügen 2“.
Geben Sie den Namen der gerade erstellten Gruppe 1 ein und klicken Sie auf OK 2.
Klicken Sie auf OK 1, um das Bestätigungsfenster zu schließen.
Doppelklicken Sie auf die Gruppe 1, gehen Sie zur Registerkarte Mitglieder 2 und überprüfen Sie, ob die Computer 3 hinzugefügt wurden.
Kehren Sie zur Gateway-Verwaltungskonsole zurück, gehen Sie zum Ordner „Resource Access Authorization Policies“ 1 und doppelklicken Sie auf die Standardrichtlinie 2.
Gehen Sie zur Registerkarte Netzwerkressourcen 1 und klicken Sie auf Durchsuchen… 2.
Geben Sie den Gruppennamen 1 ein und klicken Sie auf OK 2.
Klicken Sie auf Übernehmen 1 und OK 2.
Die Gruppenänderung 1 ist in der Richtlinienübersicht sichtbar.
Um RemoteApps von außerhalb des Netzwerks (Internet) nutzen zu können, müssen Sie den Broker-Server zur Gruppe hinzufügen.
Methode 4: Verwenden von Gateway-verwalteten Gruppen
Diese Methode entspricht Methode 3 mit einem Unterschied: Die für Autorisierungen verwendeten Gruppen werden direkt vom Gateway verwaltet, wodurch Computer von außerhalb der Domäne oder aus einer anderen Domäne ohne Vertrauensbeziehung hinzugefügt werden können.
Gehen Sie in der Gateway-Verwaltungskonsole zum Ordner „Resource Access Authorization Policies“ 1 und doppelklicken Sie auf die Standardrichtlinie 2.
Gehen Sie zur Registerkarte Netzwerkressourcen 1, wählen Sie die Option „Eine vom Remotedesktop-Gateway verwaltete Gruppe auswählen oder erstellen“ aus 2 und klicken Sie auf Durchsuchen… 3.
Klicken Sie auf Neue Gruppe erstellen… 1.
Geben Sie den Gruppennamen 1 ein und gehen Sie zur Registerkarte Netzwerkressourcen 2.
Geben Sie den FQDN-Servernamen des Servers 1 ein und klicken Sie auf „Hinzufügen 2“.
Fügen Sie alle Hostserver, aus denen die RDS-Farm besteht, sowie den Alias 1 hinzu und klicken Sie auf OK 2.
Wählen Sie die gerade erstellte Gruppe 1 aus und klicken Sie auf OK 2.
Überprüfen Sie, ob die Gruppe ausgewählt ist 1, validieren Sie die Server, aus denen sie besteht 2, klicken Sie dann auf Übernehmen 3 und OK 4.
Die Gruppenänderung 1 ist in der Richtlinienübersicht sichtbar.
Wenn Sie RemoteApps von außerhalb Ihres Netzwerks verwenden möchten, müssen Sie wie bei Methode 3 den Broker-Server zur Gruppe hinzufügen.
Gehen Sie mit Remote Desktop Gateway noch einen Schritt weiter
Jetzt werden wir die notwendigen Richtlinien einführen, um Administratoren den Zugriff auf alle Ressourcen zu ermöglichen
Es gibt zwei Methoden zum Erstellen von Strategien:
- Erstellung mit dem Assistenten, der uns bei der Einrichtung von Verbindungs- und Ressourcenstrategien unterstützt.
- Erstellen Sie die beiden Richtlinien separat.
In diesem Tutorial verwenden wir den Assistenten.
Gehen Sie in der Verwaltungskonsole zum Ordner „Richtlinien“ 1 und klicken Sie auf „Autorisierungsrichtlinien erstellen“ 2.
Aktivieren Sie die erste Option 1, um die beiden Regeln zu erstellen, und klicken Sie auf Weiter 2.
Geben Sie einen Namen 1 für die Verbindungsautorisierungsrichtlinie ein und klicken Sie auf Weiter 2.
Klicken Sie auf „Hinzufügen 1“, um eine Gruppe zu konfigurieren.
Wählen Sie die Gruppe „Domänen-Admins“ 1 aus und klicken Sie auf „OK“ 2.
Um das Sicherheitsniveau zu erhöhen, ist es möglich, eine Computergruppe hinzuzufügen. Klicken Sie auf Weiter 1.
Aktivieren oder deaktivieren Sie die Geräteumleitung 1 und klicken Sie auf Weiter 2.
Konfigurieren Sie Sitzungsfristen 1 und klicken Sie auf Weiter 2.
Eine Zusammenfassung der Richtlinie wird angezeigt. Klicken Sie auf Weiter 1, um mit der Ressourcenzugriffsrichtlinie fortzufahren.
Benennen Sie die Richtlinie 1 und klicken Sie auf Weiter 2.
Die Mitgliedergruppe ist bereits definiert. Klicken Sie auf Weiter 1.
Wählen Sie die Option Benutzern erlauben, eine Verbindung zu einer beliebigen Netzwerkressource (Computer) herzustellen 1 und klicken Sie auf Weiter 2.
Passen Sie je nach verwendeten Ports die Parameter 1 an und klicken Sie auf Weiter 2.
Eine Zusammenfassung der Richtlinie wird angezeigt. Klicken Sie auf Fertig stellen 1.
Die Strategien sind erstellt, klicken Sie auf Schließen 1.
Gehen Sie zu dem Ordner mit den Verbindungsautorisierungsrichtlinien 1 und wählen Sie die neue Richtlinie 2 aus.
Verbindungsrichtlinien werden wie Firewall-Regeln von oben nach unten gelesen (Reihenfolge). Durch Auswahl einer Strategie ist es möglich, deren Reihenfolge über das Menü „Aktionen“ auf der rechten Seite der Konsole zu ändern.
Wir sind mit der Remotedesktop-Gateway-Rolle fertig. Wir sehen nun den Remote Desktop Services License Manager.