Távoli asztali átjáró beállítása Windows Server 2016

Tartalom

• Bevezetés
• A távoli asztali átjáró Windows Server 2016 konfigurálásához szükséges lépések összefoglalása
• A távoli asztali átjáró Windows Server 2016 konfigurálásának részletes lépései
• A Távoli asztali szolgáltatások szerepkör hozzáadása
• A Távoli asztali átjáró szolgáltatás szerepkörének hozzáadása
• Hozza létre a kapcsolat engedélyezési házirendjét és az erőforrás engedélyezési házirendjét
• Hozzon létre engedélyezési házirendeket az RD Gateway számára
• Kapcsolat engedélyezési házirend
• Hozzon létre erőforrás-engedélyezési házirendet
• SSL tanúsítvány
• A Távoli asztali átjárókiszolgáló tesztelése hozzáférhet a hálózati erőforrásokhoz
• A tűzfal beállítása
• A Távoli asztali ügyfél konfigurálása a Távoli asztali átjáró beállításai segítségével
• Összegzés
• Kapcsolódó cikk

Végzett rendszergazda / mérnök, több mint 10 éves tapasztalattal a szerverinfrastruktúrák és az adatközpont-műveletek kezelésében.

Bevezetés

Ez az oktatóanyag elvégzi a Távoli asztali átjáró Windows Server 2016 kiszolgálón történő megvalósításának lépéseit. Távoli asztali átjárót gyakran használnak annak lehetővé tételére, hogy a távoli asztali ügyfelek az internetről csatlakozzanak a vállalati hálózaton található távoli asztali átjáró mögötti szerverekhez. A Távoli asztali átjáró „jumphostként” működik, kivéve, hogy soha nem tárolja a felhasználók távoli asztali kapcsolatait. Megvizsgálja, hogy a felhasználó egy olyan csoportba tartozik-e, amelynek engedélyezett a távoli távfelügyelet, és ellenőrzi, hogy a felhasználó távoli-e a célkiszolgálóhoz, mielőtt engedélyezné a munkamenetet a célkiszolgálónak.

A távoli asztali átjáró Windows Server 2016 konfigurálásához szükséges lépések összefoglalása

Az alábbiakban összefoglaljuk a távoli asztali átjáró Windows Server 2016 konfigurálásához szükséges lépéseket. Használja ellenőrző listaként annak biztosítására, hogy minden lefedett legyen.

1. Csatlakozzon a Windows 2016 kiszolgálóhoz az Active Directory tartományhoz.
2. Add hozzá a Távoli asztali szolgáltatások szerep.
3. Hozzon létre egy Kapcsolat engedélyezési házirend. Ez a házirend meghatározza, hogy mely csoportok férhetnek hozzá ehhez Távoli asztali átjáró.
4. Hozzon létre egy Erőforrás-engedélyezési irányelv. Ez a házirend meghatározza, hogy mely szerverekhez mely csoportok férhetnek hozzá.
5. Vásároljon SSL tanúsítvány nyilvános tanúsító hatóságtól. (Az interneten kereshet, hogy hol vásárolja ezt meg. Nincs ingyenes hirdetés ezen a TÉRON)
6. Alkalmazza a SSL tanúsítvány hoz Távoli asztali átjáró.
7. Fogadja el az alapértelmezett távoli asztali átjáró TCP portját 443 vagy módosítsa egy másik portszámra.
8. Tesztelje a távoli asztali kapcsolatot egy kiszolgálóval a távoli asztali átjáró mögött KÖZVETLENÜL a Távoli asztali átjáró szerveréről. Ennek célja annak biztosítása, hogy a Távoli asztali átjáró és a kiszolgálók között kapcsolat legyen, amelyekhez az ügyfeleknek csatlakozniuk kell.
9. Módosítsa a tűzfalszabályokat, hogy engedélyezze a Távoli asztali átjáró portját a Távoli asztali átjáró kiszolgáló számára.
10. Tesztelje a távoli asztali kapcsolatot az internetről a távoli asztali átjáró mögött található kiszolgálóval. Be kell állítania a Távoli asztali klienst a Távoli asztali átjáró címével és portszámával. JEGYZET: A Távoli asztali kapcsolat régebbi verziói, amelyek a Windows 7 és a Windows 2008R2 tartozékai, tartalmazzák a Távoli asztali átjáró beállításait, de nem működnek. Jó gyakorlat letölteni a Távoli asztali kapcsolat legújabb verzióját.
    
    Ha meg szeretné tudni, hogyan kell konfigurálni a Távoli asztali kapcsolat klienst egy Távoli asztali átjáró használatához, kövesse

A távoli asztali átjáró Windows Server 2016 konfigurálásának részletes lépései

Az alábbi oktatóanyag részletesen bemutatja, hogyan konfigurálhat távoli asztali átjárót a Windows Server 2016 rendszeren.

A Távoli asztali szolgáltatások szerepkör hozzáadása

Nyissa meg a Server Manager alkalmazást, és kattintson a gombra Szerepek és szolgáltatások hozzáadása.

A Távoli asztali átjáró szolgáltatás szerepkörének hozzáadása

Válassza a lehetőséget Távoli asztali átjáró és kattintson a Tovább gombra.

Ablak jön fel, ha akarjuk adjon hozzá olyan szolgáltatásokat, amelyek szükségesek a Távoli asztali átjáróhoz. Kattintson Funkciók hozzáadása.

Kattintson a gombra Következő.

Kattintson a gombra Következő a hálózati házirend és az Access Services telepítéséhez.

Kattintson a gombra Következő a webkiszolgálói szerepkör (IIS) hozzáadásához.

Fogadja el a webkiszolgálói szerepkör-szolgáltatások alapértelmezett beállításait, és kattintson a gombra Következő.

Kattintson a gombra Telepítés.

Sikeres telepítés.

Hozza létre a kapcsolat engedélyezési házirendjét és az erőforrás engedélyezési házirendjét

Nyissa meg a Távoli asztali átjárókezelőt. Ezt a Kiszolgálókezelő Eszközök menüjéből lehet megtenni.

Hozzon létre engedélyezési házirendeket az RD Gateway számára

A bal oldali ablaktáblában lépjen a következőre: Házirendek, kattintson Kapcsolat engedélyezési házirendek. A Műveletek jobb oldali panelen kattintson a jobb gombbal Új házirend létrehozásaés válassza a lehetőséget Varázsló.

Válassza a lehetőséget Hozzon létre egy RD CAP-ot és egy RD RAP-ot (ajánlott) és kattintson Következő.

Kapcsolat engedélyezési házirend

A kapcsolat engedélyezési házirendje biztosítja, hogy csak a kiválasztott csoportok (azaz a csoport tagjai) használhassák a Távoli asztali átjárót a Távoli asztali átjáró mögötti erőforrások eléréséhez. Használhat csoportokat aktív címtárfelhasználók alapján vagy csoportokat az aktív címtár számítógépes objektumok alapján. Annak érdekében, hogy rugalmasságot nyújtsunk annak tekintetében, hogy a felhasználók milyen gépeken tudnak távoli asztali számítógépet használni, javasoljuk a felhasználói csoportok használatát.

Adjon nevet a házirendnek. Az intuitív név az Allowed-to-Use-RDGateway, kattintson a gombra Következő.

Kattintson a gombra Csoport hozzáadása.

A bemutató céljára kiválasztom a Domain rendszergazdák csoport. Normális esetben létrehoznád másik felhasználói csoport amelyet hozzáad olyan felhasználókhoz, akiknek engedélyezni szeretné a Távoli asztali átjáró használatát. Csoportokat hozhat létre annak alapján, hogy a felhasználóknak milyen erőforrásokhoz kell hozzáférniük. Ily módon hozzáadhatja ezeket a csoportokat ide, majd később felhasználhatja ezeket a csoportokat az erőforrás-engedélyezési házirendben.

Nem fogjuk használni az ügyfélszámítógép-csoport tagságát. Ez az opció lehetővé teszi a kapcsolódást olyan számítógépek alapján, amelyekről az ügyfelek csatlakoznak. Ezeket a számítógépeket tartományhoz kell csatlakoztatni, és ez a tartomány bizonyos szempontból kapcsolódik ahhoz a tartományhoz, amelynek a távoli asztali átjáró része. Kattintson a gombra Következő.

Fogadja el az eszközátirányítás alapértelmezett beállítását, majd kattintson a Tovább gombra.

Adja meg az időtúllépési értékeket az alábbiak szerint. Kattintson a Tovább gombra.

Kattintson a Tovább gombra.

Hozzon létre erőforrás-engedélyezési házirendet

Az erőforrás-engedélyezési házirend a szerverekhez való hozzáférés korlátozására szolgál csoporttagságok alapján. Létre kell hoznia aktív címtárcsoportokat, és hozzá kell adnia szervereket e csoportok tagjaiként. Ideális esetben ezeket a csoportokat a funkcionalitás vagy az osztály tulajdonjoga alapján hozzák létre. Ezek a kiszolgálócsoportok azok a hálózati erőforrások, amelyeket felhasználói csoportokhoz kell rendelni, hogy a felhasználók hozzájuk férhessenek.

Több erőforrás-hitelesítési házirendet is létrehozhat, hogy részletesen hozzárendelje bizonyos felhasználók hozzáférését bizonyos kiszolgálókhoz.

Válassza ki azokat a felhasználói csoportokat, amelyek számára engedélyezett a hálózati erőforrásokhoz való hozzáférés, azaz távoli asztali kapcsolatot biztosíthatnak a hálózat szervereivel. Ehhez az oktatóanyaghoz a Tartománygazdák csoportot választom, mivel a Távoli asztali átjárót használni képes csoporthoz már a Tartománygazdákat választottam. Ezután kattintson a Tovább gombra.

Válasszon ki egy csoportot, amely tartalmazza azokat a kiszolgálókat, amelyekhez a fenti felhasználói csoportok távoli asztali számítógépet kívánnak használni.

Kattintson a Tallózás gombra.

Ehhez az oktatóanyaghoz a Domain Controllers nevű beépített csoportot fogjuk használni. Létrehozhat további csoportokat, amelyek olyan szervereket tartalmaznak, amelyek kapcsolatban állnak vagy meghatározott részlegekhez tartoznak. Ily módon az előző lépésekben csoportokat rendelhet az osztály felhasználói alapján, és csak bizonyos szerverekhez férhet hozzá.

Kattintson a Név ellenőrzése gombra a csoport megtalálásához, majd kattintson az OK gombra.

Kattintson a Tovább gombra.

Ha a kiszolgálók távoli asztali portját megváltoztatta az alapértelmezett értéktől, akkor használja ezt a képernyőt a port megadásához. Ellenkező esetben válassza a Csak a 3389 portra való kapcsolatok engedélyezése lehetőséget. Kattintson a Tovább gombra.

Kattintson a Befejezés gombra.

Kattintson a Bezárás gombra.

SSL tanúsítvány

A Távoli asztali átjárónak rendelkeznie kell SSL tanúsítvánnyal. Vásárolhat SSL-tanúsítványt a Távoli asztali átjáró teljesen minősített internetes tartománynevéhez, vagy vadkártyás SSL-tanúsítványt vásárolhat a tartományhoz.

Az SSL tanúsítvány telepítéséhez először kattintson a távoli asztali kiszolgáló nevére a Távoli asztali átjáró kezelő konzolján.

Ha megvásárolta és megkapta az SSL tanúsítványt, másolja azt a szerver bármely helyére. Válassza a lehetőséget Importáljon egy tanúsítványt az RD átjáróba és tallózással keresse meg a tanúsítványt az importálásához.

Nem vásároltam SSL tanúsítványt ehhez az oktatóanyaghoz, ezért saját aláírású tanúsítványt fogok használni. Lehetővé teszi a Távoli asztali átjáró működését egyes klienseknél, például a Microsoft távoli asztali Mac rendszerén, de a csatlakozáskor figyelmeztetést kapunk a tanúsítvánnyal kapcsolatban. Dönthetünk a folytatás után is.

Azonban a távoli asztali kapcsolat kliens legújabb Windows verziójával nem fog működni (tesztelés céljából van egy megoldás).

Ön KELL használj megbízható SSL tanúsítvány az Ön távoli asztali átjárójában, és ez nyilvános SSL tanúsítvány megvásárlását jelenti.

Beállíthatja saját PKI infrastruktúráját az aktív címtár tartományban, és saját SSL tanúsítványt rendelhet hozzá, és ha az ügyfélgép része a tartománynak, akkor megbíznia kell a tartomány CA-jában. A távoli asztali átjáró környezeteit azonban gyakran használják annak lehetővé tételére, hogy a külső laptopok, akiknek saját laptopjuk van, használhassák a hálózati erőforrásokat. Ezért a legjobb, ha egy megbízható root jogosultságú SSL-t használ.

Ehhez az oktatóanyaghoz egy önaláírt tanúsítványt generálunk a gombra kattintva Tanúsítvány létrehozása és importálása .

Írja be ennek a Távoli asztali átjárónak a FQDN internetes nevét a Tanúsítvány nevéhez, pl. rdgateway.yourdomain.com. Ehhez az oktatóanyaghoz a kiszolgálóhoz társított internet IP-címet fogom használni.

Most sikeresen telepítettünk egy önaláírt SSL tanúsítványt a 443 TCP portra (Alapértelmezett SSL port).

Megváltoztathatjuk a Távoli asztali átjáró SSL-portját egy másik portszámra. Ezt néha a vállalatok teszik meg, hogy megpróbálják becsapni azokat a hackereket, akik esetleg a 443-as portot célozzák meg, mert ez az alapértelmezett SSL-port.

Az RD-átjáró SSL-portszámának módosításához kattintson a jobb gombbal a Kiszolgáló nevére, és válassza ki a tulajdonságokat a Távoli asztali átjáró kezelő konzolján.

Megváltoztatjuk a portot 4430-ra. Ezt a portot az oktatóanyagunkban fogjuk használni, így megismerheti, hogyan kell konfigurálni egy másik portszámot a Távoli asztal kliensben.

A Távoli asztali átjárókiszolgáló tesztelése hozzáférhet a hálózati erőforrásokhoz

Tesztelnünk kell a kapcsolatot a Távoli asztali átjárótól a hálózati erőforrásokig, amelyekhez az ügyfeleknek csatlakozniuk kell. Pontosabban az RDP forgalmat kell tesztelnünk egy távoli asztali kliens használatával, hogy csatlakozzunk az engedélyezett kiszolgálókhoz.

Engedélyeztük, hogy a Tartománygazdák csoport hozzáférjen a tartományvezérlőkhöz a Távoli asztali átjárón keresztül, és engedélyeztük, hogy a Tartománygazdák csoport használhassa a Távoli asztali átjárót az Engedélyezési házirendek használatával. Most teszteljük a csatlakozást a tartományvezérlőkhöz a Távoli asztali átjáróról.

Megerősítettük, hogy elérhetjük a tartományvezérlőket a Távoli asztali átjáró segítségével.

Most biztosítanunk kell, hogy a külső ügyfelek elérjék a Távoli asztali átjárót.

A tűzfal beállítása

Mivel az Internetről fogunk csatlakozni a Távoli asztali átjáróhoz, módosítanunk kell a tűzfalat, hogy hozzáférést biztosítsunk a Távoli asztali átjáró portjához.

Az előző lépésekben a TCP portot 4430-ra módosítottuk a Távoli asztali átjáró számára. Ez azt jelenti, hogy engedélyeznünk kell a 4430 TCP port bejövését a tűzfalon és a távoli asztali átjáró 4430 célportját.

Ha az alapértelmezett 443-as portot használtuk volna, akkor helyette engedélyeznünk kellene a 443-as TCP-portot.

A Távoli asztali ügyfél konfigurálása a Távoli asztali átjáró beállításai segítségével

Ha olyan távoli asztali klienst konfigurál, amely támogatja a Távoli asztali átjárót, és a távoli asztali átjáróval fog csatlakozni, ne feledje, hogy a Számítógép a kiszolgáló neve, amelyhez csatlakozni akar, a helyi szerver neve amelyet a Távoli asztali átjáró feloldhat.

Amikor belép a Távoli asztali átjáró részleteket az ügyfélben, meg kell adnia a portot, ha nem az alapértelmezett 443-as SSL-portot használja. Esetünkben meg kell adnunk rdgateway.yourdomain.com:4430 mint a Távoli asztali átjáró kiszolgálója. Ha az alapértelmezett portot használtuk volna, akkor csak meg kell adnunk az FQDN-t a portszám nélkül pl. rdgateway.yourdomain.com .

Összegzés

Ezzel lezárják a Távoli asztali átjáró Windows Server 2016 beállításának lépéseit. Mostantól konfigurálhatja a távoli asztali ügyfelet a Távoli asztali átjáró használatával történő csatlakozáshoz.

MEGJEGYZÉS: Győződjön meg róla, hogy a Távoli asztali kliens legújabb verzióját használja, mivel láttam, hogy a Windows 7-hez kapott korábbi verzió nem tud csatlakozni, annak ellenére, hogy a Távoli asztali átjáró beállításai vannak.

Írok egy utólagos cikket arról, hogyan kell beállítani a távoli asztali klienst a Távoli asztali átjáró használatára.

Kapcsolódó cikk

• A távoli asztali szolgáltatások Windows 2016 telepítése
  Ez az oktatóanyag bemutatja a Távoli asztali szolgáltatások telepítését a Windows Server 2016 rendszerbe, de alkalmazható a Windows 2012 vagy a Windows 2012R2 rendszeren is. A lépések egy olyan forgatókönyvön alapulnak, ahol jelenleg nincsenek távoli asztali szolgáltatások a Windows 2012 vagy l rendszerekhez

Ez a cikk pontos és a szerző legjobb tudása szerint hű. A tartalom csak tájékoztató vagy szórakoztató célokat szolgál, és nem helyettesíti a személyes vagy üzleti tanácsokat üzleti, pénzügyi, jogi vagy technikai kérdésekben.