Hallo. In deze video demonstreer ik de stappen die nodig zijn om een Remote Desktop Services Gateway Server op te zetten. Een RDS-gatewayserver is handig als u toegang tot uw RDS-omgeving wilt toestaan voor gebruikers die zich buiten de bedrijfsfirewall bevinden. Een RDS-gatewayserver gebruikt SSL om de communicatie tussen de clients en de RDS-servers te versleutelen.
Dit is mogelijk dankzij een certificaat dat is geïnstalleerd op de RDS-gatewayserver dat wordt vertrouwd door het apparaat van de eindgebruiker. Een ander onderdeel van de RDS Gateway-component is IIS, dat wordt gebruikt voor authenticatie. Dankzij IIS kunnen we bepaalde beleidsregels maken om gedetailleerd te definiëren welke gebruikers toegang moeten hebben tot welke bronnen. Dat zal ik later in deze video ook laten zien. In deze demo wordt ervan uitgegaan dat er al een RDS-implementatie bestaat.
Als u meer informatie nodig hebt over het opzetten van een eenvoudige of geavanceerde RDS-implementatie vanaf de basis, raad ik u aan de vorige video's in deze serie te bekijken. Hier laat ik de virtuele machines zien die ik ga gebruiken. 'RDSlab-DC' is een domeincontroller. Er is ook de RD-licentierol geïnstalleerd. Alle andere VM's worden toegevoegd aan het domein dat wordt gehost in deze domeincontroller. 'RDSlab-CB' is de verbindingsbroker voor de implementatie. 'SH1' en 'SH2' zijn de sessiehosts in de boerderij. Deze andere virtuele machine heb ik 'RDSFarm' genoemd, en het is de machine die ik zal configureren als de RDS Gateway Server. Het host ook de RD Web Access-rol. Ik heb deze RDS-omgeving gemaakt met behulp van deze vijf PowerShell-lijnen, die ik heb opgenomen in de videobeschrijving en die ik in eerdere video's heb besproken.
Dus om de RD Gateway-server in te stellen, open ik de console voor de virtuele machine die de rol van Connection Broker voor de implementatie host. Open 'Serverbeheer' en klik op het knooppunt 'Extern bureaublad-services'. In het gedeelte Servers ziet u dat alle rollen zijn geconfigureerd voor deze implementatie, behalve de RD-gatewayrol. Daarom wordt deze rol hier weergegeven met een groen plusteken onder het overzichtsgedeelte, wat aangeeft dat de rol in behandeling is om te worden geïmplementeerd.
Om het in te stellen, voegen we eerst de rol toe aan de doelserver. Klik op 'Beheren' en vervolgens op 'Rollen en functies toevoegen'. Selecteer 'Role-based or feature-based installation', ik selecteer de doelserver voor de RD Gateway-rol in deze implementatie en klik vervolgens op 'Next'. Vouw Remote Desktop Services uit en klik op het selectievakje Remote Desktop Gateway. Klik op 'Functies toevoegen' om de vereisten te installeren, vervolgens op 'Volgende' op het bevestigingsscherm en ten slotte op 'Installeren'. Wacht tot de installatie is voltooid en klik vervolgens op 'Sluiten'. Als ik in Serverbeheer klik om de implementatie te vernieuwen, verandert er niets. Dit komt doordat de binaire bestanden zijn geïnstalleerd, maar de implementatie zelf niet is geconfigureerd met een RD Gateway Server.
Om dat op te lossen, klikt u op het groene plusteken boven RD Gateway om de wizard te starten. Selecteer de server die wordt geconfigureerd als RD-gateway, verplaats deze naar rechts en klik vervolgens op 'Next'. Deze wizard zal vragen om een zelfondertekenend certificaat te configureren en ik moet hier de volledig gekwalificeerde domeinnaam van het onderwerp op dat certificaat invoeren. Dit is echter niet het certificaat dat ik voor deze demo zal gebruiken. Klik nu op 'Volgende'. Klik op 'Toevoegen' om de toevoeging aan de implementatie te bevestigen. Wacht tot de installatie van de rol is voltooid en zie vervolgens de waarschuwing die aangeeft dat een certificaat moet worden geconfigureerd, maar klik voorlopig op Sluiten. Als u de implementatie nog een keer vernieuwt, ziet u dat er nu een RD-gatewayserver aanwezig is, klik onder Deployment Overview op Tasks en vervolgens Edit Deployment Properties. Merk op dat het gedeelte 'RD Gateway' automatisch is geconfigureerd met enkele instellingen. Klik op het knooppunt 'Certificates' en merk op dat er geen certificaat is geconfigureerd voor de RD Web Access, noch de RD Gateway-rollen. Ik klik eerst op de RD-gateway. Hier is deze optie om een nieuw certificaat te maken.
Voor testdoeleinden is het mogelijk om een zelfondertekend certificaat te gebruiken dat hier is gemaakt, of zoals het certificaat dat eerder in de Wizard automatisch is gemaakt. Voor deze demo configureer ik een certificaat van een vertrouwde openbare certificeringsinstantie. Op die manier hoeft dit certificaat niet op de clientcomputers te worden geïnstalleerd; ze zullen het gewoon uit de doos vertrouwen. Dus ik klik hier op 'Selecteer bestaand certificaat'. Ik moet het pad naar het certificaat invoeren. Voor deze demo heb ik het gekopieerd naar de root van de C-schijf in de domeincontroller. Ik voer dan het wachtwoord in waarmee het is opgeslagen, klik om dit selectievakje 'Toestaan' aan te vinken en klik vervolgens op 'OK'. U ziet de status 'Gereed om toe te passen' in het configuratiescherm van de implementatie.
Laten we dus op 'Apply' klikken. Na enkele ogenblikken wordt op het scherm weergegeven dat de bewerking met succes is voltooid en herkent de kolom Niveau het certificaat als vertrouwd. Als ik een zelfondertekend certificaat zou gebruiken, zou het er anders uitzien. We zouden het certificaat toepassen, maar het zou worden weergegeven als niet-vertrouwd en ik zou dat certificaat naar de clientcomputers moeten kopiëren en het vervolgens moeten installeren. Dit is een van de belangrijkste voordelen van het gebruik van een domeingebaseerd certificaat of een certificaat van een openbare certificeringsinstantie, zoals het geval is in deze demo. Als u hier klikt in 'Details weergeven', wordt het onderwerp van het certificaat weergegeven dat de Windows-hostnaam van de RD Gateway Virtual Machine is. Ik zal deze stappen herhalen voor de RD Web Access-rol, op die manier wordt hetzelfde certificaat gebruikt voor IIS. Klik vervolgens op OK om het configuratiescherm voor de implementatie af te sluiten.
Dat is alles wat we hoeven te doen in de verbindingsmakelaar. De volgende stap is het configureren van een verbindingsautorisatiebeleid en een resourceautorisatiebeleid. Ik zal hier meer over praten als ik ze maak. Ik schakel nu over naar de RDS Gateway Virtual Machine. Open Server Manager, klik op 'Extra', 'Remote Desktop Services' en vervolgens op 'Remote Desktop Gateway Manager'. Laten we eerst de servereigenschappen aanpassen onder het tabblad 'Server Farm'. Laten we deze RD Gateway Server toevoegen en op Toepassen klikken.
Deze foutmelding over een load balancer is te verwachten. Ik ben in deze demo niet bezig met het verdelen van de RD Gateway-service, het is slechts één RD Gateway-server, dus klik nog een keer op OK en Toepassen en de status wordt nu weergegeven als OK. Op het tabblad 'SSL Certificate' kan ik de certificaatconfiguratie van de RD Gateway-server bekijken en wijzigen, en zelfs een nieuw zelfondertekenend certificaat maken als dat nodig is. Dit alles is echter al geconfigureerd in de verbindingsmakelaar, dus ik klik op 'OK' om het eigenschappenscherm te verlaten. Terug in het hoofdscherm van de RD Gateway Manager vouw ik de server uit en vervolgens 'Policies'.
Er zijn twee soorten beleidsregels in deze context, zoals hier weergegeven: met 'Beleid voor verbindingsautorisatie' kunt u opgeven wie verbinding mag maken met deze RDS-gatewayserver, terwijl u met 'Beleid voor bronautorisatie' kunt opgeven tot welke servers of computers de geautoriseerde gebruikers toegang hebben. Simpel gezegd, het ene beleid is voor wie toegang heeft en het andere voor waar ze toegang toe hebben. Klik met de rechtermuisknop op 'Connection Authorization Policies', klik vervolgens op 'Create New Policy' en vervolgens op 'Wizard'. U kunt het beleid afzonderlijk maken, maar ik zal hier de aanbevolen optie volgen, namelijk om zowel het autorisatiebeleid voor verbinding met extern bureaublad als het autorisatiebeleid voor externe bureaublad-bronnen in dezelfde wizard te maken en op 'Volgende' te klikken. Voer een naam in voor de RD CAP, klik op 'Next', klik op 'Add Group' en voer vervolgens de naam in van de groep met de gebruikers die verbinding mogen maken. Ik voer 'Domain Users' in voor deze demo en klik vervolgens op 'Next'. Ik laat de standaardinstellingen in de stappen 'Apparaatomleiding' en 'Sessietime-out' staan door op beide schermen op 'Volgende' te klikken, evenals in het samenvattingsscherm, en ga dan verder met het RD-bronautorisatiebeleid. Vul een naam in, klik op 'Next'.
Laat de standaardinstelling staan in het gedeelte 'Gebruikersgroepen' en klik vervolgens op 'Volgende'. Nogmaals, hier in het scherm 'Network Resource', als ik een Active Directory-groep had met de computeraccounts van de sessiehostservers van deze RDS-implementatie, zou ik dit kunnen specificeren. Voor deze demo kies ik echter gewoon de optie 'Gebruikers toestaan verbinding te maken met elke netwerkbron of computer' en klik vervolgens op 'Volgende'. Ik laat de standaardinstelling van poort 3389 voor internetgateway over aan de communicatie van de RDS-sessiehost en klik vervolgens op 'Volgende'. Klik op 'Finish' in het samenvattingsscherm en klik vervolgens op 'Close'. Op dit punt is deze RDS-gatewayserver dus klaar om buiten de firewall te worden geplaatst, met het gezicht naar de internetgebruikers. Een gebruiker die via internet verbinding probeert te maken met de RDS-sessiehosts vanuit een thuis- of externe kantoorlocatie, moet eerst via deze RDS-gatewayserver gaan.
Ik zal hier op deze clientcomputer die met internet is verbonden via een link die volledig gescheiden is van die van de RD Gateway Server laten zien hoe een externe gebruiker de verbinding zou moeten instellen in de Remote Desktop Connection-app. Ik zal eerst de naam van de RD-sessiehost invoeren, laten we niet vergeten dat deze sessiehost niet op internet is gericht, dus klik op de knop 'Opties weergeven', het tabblad 'Geavanceerd' en op het gedeelte 'Verbinding maken vanaf elke locatie'. Klik op 'Instellingen'. Klik op het keuzerondje 'Gebruik deze RD Gateway-serverinstellingen' en voer de openbare DNS-naam van de RDS-gateway in.
Om dit te laten werken, moet deze openbare DNS-naam natuurlijk worden omgezet in het openbare IP-adres dat is toegewezen aan de RDS Gateway-machine. Dit is iets dat moet worden geconfigureerd in de instellingen van de openbare DNS-service die in gebruik is. Ik zal ook klikken om het vinkje bij 'RD Gateway omzeilen voor lokale adressen' uit te schakelen en om te controleren of ik mijn RD Gateway-referenties voor de externe computer gebruik, aangezien dat dezelfde referenties zijn voor beide machines. Klik vervolgens op 'OK' en 'Connect'. Voer de gebruikersnaam en het wachtwoord van het domein in en we kunnen zien dat de verbinding tot stand is gebracht. Merk op dat we geen certificaten op de clientcomputer hoefden te installeren.
Er was ook geen bericht dat ons waarschuwde over het vertrouwen in de machine waarmee de client verbinding wilde maken. Dit komt doordat het certificaat dat we gebruiken afkomstig is van een vertrouwde openbare certificeringsinstantie. Terug bij de RDS Gateway-machine in RD Gateway Manager en onder 'Monitoring' kunnen we de verbindingsdetails zien. In Event Viewer in het operationele logboek van Terminal Services Gateway wordt ook een reeks gebeurtenissen weergegeven die de stappen documenteren. Gebeurtenis 312 toont de verbinding die is geïnitieerd vanaf de clientcomputer. Gebeurtenis 200 geeft aan dat de gebruikte referenties voldoen aan het beleid voor verbindingsautorisatie. Gebeurtenis 300 laat zien dat ook aan het bronautorisatiebeleid is voldaan, waardoor toegang is geautoriseerd, en ten slotte laat gebeurtenis 302 zien dat de verbinding is geslaagd en dat het verbindingsprotocol HTTP is.
Dit komt omdat het verkeer tussen de client en de RDS-gateway plaatsvindt via HTTPS, dat versleuteling gebruikt voor veilige communicatie. Als de RDS Gateway-machine zich achter een firewall of netwerkapparaat bevindt, is 443 de enige poort die moet worden toegelaten. Dit is eigenlijk wat ik heb gedaan in dit routerapparaat dat voor deze demo is gebruikt. Het is zojuist geconfigureerd om poort 443 door te sturen naar de RDS Gateway-machine. Dit was dus een demo over het integreren van een RDS Gateway-server met een standaard implementatie van Remote Desktop Services, om veilige versleutelde toegang mogelijk te maken vanaf een thuislocatie of anderszins openbare internetlocatie.
Ik hoop dat je het nuttig vindt, en ik wil je heel erg bedanken voor het kijken.
