Kaip nustatyti nuotolinio darbalaukio šliuzą „Windows Server 2016“

Turinys

• Įvadas
• Veiksmų, kurių reikia norint sukonfigūruoti nuotolinio darbalaukio šliuzą „Windows Server 2016“, santrauka
• Išsamūs nuotolinio darbalaukio šliuzo „Windows Server 2016“ konfigūravimo veiksmai
• Nuotolinio darbalaukio paslaugų vaidmens pridėjimas
• Nuotolinio darbalaukio šliuzo paslaugos vaidmens pridėjimas
• Sukurkite ryšio įgaliojimo politiką ir išteklių patvirtinimo politiką
• Sukurkite RD šliuzo prieigos teisių politiką
• Ryšio autorizavimo politika
• Sukurkite išteklių autorizavimo politiką
• SSL sertifikatas
• Nuotolinio darbalaukio šliuzo serverio bandymas gali pasiekti tinklo išteklius
• Ugniasienės konfigūravimas
• Nuotolinio darbalaukio kliento konfigūravimas naudojant nuotolinio darbalaukio šliuzo nustatymus
• Santrauka
• Susijęs straipsnis

Pabaigtas sistemų administratorius / inžinierius, turintis daugiau nei 10 metų patirtį serverio infrastruktūros ir duomenų centro operacijų valdyme.

Įvadas

Šioje pamokoje bus atlikti nuotolinio darbalaukio šliuzo diegimo „Windows Server 2016“ serveryje žingsniai. Nuotolinio darbalaukio šliuzas dažnai naudojamas norint nuotolinio darbalaukio klientams prisijungti iš interneto prie serverių, esančių už nuotolinio darbalaukio šliuzo, esančio įmonės tinkle. Nuotolinio darbalaukio šliuzas veikia kaip „šuolis“, išskyrus tai, kad jis niekada nepriima vartotojų nuotolinio darbalaukio jungčių. Jis patikrina, ar vartotojas priklauso grupei, kuriai leidžiama nuotoliniu būdu, ir patikrina, ar vartotojui leidžiama nutolti nuo paskirties serverio, prieš leidžiant seansą paskirties serveriui.

Veiksmų, kurių reikia norint sukonfigūruoti nuotolinio darbalaukio šliuzą „Windows Server 2016“, santrauka

Toliau pateikiama veiksmų, reikalingų norint sukonfigūruoti nuotolinio darbalaukio šliuzą sistemoje „Windows Server 2016“, santrauka. Naudokite jį kaip kontrolinį sąrašą, kad įsitikintumėte, jog viskas aprėpta.

1. Prisijunkite prie „Windows 2016“ serverio prie „Active Directory“ domeno.
2. Pridėti Nuotolinio darbalaukio paslaugos vaidmuo.
3. Sukurti Ryšio autorizavimo politika. Ši politika nurodo, kurioms grupėms leidžiama tai pasiekti Nuotolinio darbalaukio vartai.
4. Sukurti Išteklių autorizavimo politika. Ši politika nurodo, kuriems serveriams leidžiama prieiga prie kurių grupių.
5. Pirkite ir SSL sertifikatas iš valstybinės sertifikavimo įstaigos. (Galite ieškoti internete, kad sužinotumėte, iš kur tai įsigyti. Šioje erdvėje nemokama reklama)
6. Taikyti SSL sertifikatas į Nuotolinio darbalaukio vartai.
7. Priimkite numatytąjį nuotolinio darbalaukio šliuzo TCP prievadą 443 arba pakeiskite jį kitu prievado numeriu.
8. Išbandykite nuotolinio darbalaukio ryšį su serveriu, esančiu už nuotolinio darbalaukio šliuzo TIESIOGIAI iš nuotolinio darbalaukio šliuzo serverio. Taip siekiama užtikrinti, kad yra nuotolinio darbalaukio šliuzo ir serverių, prie kurių klientai turės prisijungti, ryšys.
9. Pakeiskite ugniasienės taisykles, kad nuotolinio darbalaukio šliuzo prievadą leistumėte nuotolinio darbalaukio šliuzo serveriui.
10. Iš interneto išbandykite nuotolinio darbalaukio ryšį su serveriu, esančiu už nuotolinio darbalaukio šliuzo. Turite sukonfigūruoti nuotolinio darbalaukio klientą su nuotolinio darbalaukio šliuzo adresu ir prievado numeriu. PASTABA: Senesnėse nuotolinio darbalaukio ryšio versijose, pateiktose kartu su „Windows 7“ ir „Windows 2008R2“, yra nuotolinio darbalaukio šliuzo nustatymai, tačiau jis neveikia. Gera praktika yra atsisiųsti naujausią nuotolinio darbalaukio ryšio versiją.
    
    Norėdami sužinoti, kaip sukonfigūruoti nuotolinio darbalaukio ryšio klientą naudoti nuotolinio darbalaukio šliuzą, galite sekti

Išsamūs nuotolinio darbalaukio šliuzo „Windows Server 2016“ konfigūravimo veiksmai

Šioje pamokoje išsamiai parodoma, kaip sukonfigūruoti nuotolinio darbalaukio šliuzą sistemoje „Windows Server 2016“.

Nuotolinio darbalaukio paslaugų vaidmens pridėjimas

Atidarykite Server Manager ir spustelėkite Pridėkite vaidmenis ir funkcijas.

Nuotolinio darbalaukio šliuzo paslaugos vaidmens pridėjimas

Sukurkite ryšio įgaliojimo politiką ir išteklių patvirtinimo politiką

Atidarykite Nuotolinio darbalaukio šliuzų tvarkyklę. Tai daroma iš serverio tvarkyklės meniu Įrankiai.

Sukurkite RD šliuzo prieigos teisių politiką

Kairiojoje srityje eikite į Politika, spustelėkite Ryšio autorizavimo politika. Ant Veiksmai srityje dešiniuoju pelės mygtuku spustelėkite Sukurti naują politikąir pasirinkite burtininkas.

Ryšio autorizavimo politika

Ryšio autorizavimo politika užtikrina, kad tik pasirinktoms grupėms (t. Y. Grupės nariams) leidžiama naudoti nuotolinio darbalaukio šliuzą prieigai prie išteklių, esančių už nuotolinio darbalaukio šliuzo. Galite naudoti grupes pagal aktyvius katalogo vartotojus arba grupes pagal aktyvius katalogo kompiuterio objektus. Norint suteikti lankstumo, atsižvelgiant į tai, kokias mašinas vartotojai gali valdyti nuotoliniu būdu, rekomenduoju naudoti vartotojų grupes.

Pavadinkite politiką. Intuityvus vardas yra Leidžiama naudoti-RDGateway, spustelėkite Kitas.

Sukurkite išteklių autorizavimo politiką

Išteklių prieigos politika naudojama norint apriboti prieigą prie serverių, atsižvelgiant į grupės narystę. Turėsite sukurti aktyvias katalogų grupes ir pridėti serverius kaip šių grupių narius. Idealiu atveju šios grupės yra kuriamos pagal funkcionalumą arba pagal skyriaus nuosavybę. Šios serverių grupės yra tinklo ištekliai, kurie turi būti priskirti vartotojų grupėms, kad vartotojai galėtų prie jų prisijungti.

Galite sukurti kelias išteklių autorizavimo strategijas, kad tam tikriems vartotojams būtų suteikta prieiga prie tam tikrų serverių.

SSL sertifikatas

Nuotolinio darbalaukio šliuze turi būti įdiegtas SSL sertifikatas. Galite įsigyti SSL sertifikatą, skirtą visiškai kvalifikuotam nuotolinio darbalaukio šliuzo interneto domeno vardui, arba įsigyti pakaitinės kortelės SSL sertifikatą domenui.

Norėdami įdiegti SSL sertifikatą, pirmiausia spustelėkite nuotolinio darbalaukio serverio pavadinimą nuotolinio darbalaukio šliuzo valdymo konsolėje.

Jei įsigijote ir gavote SSL sertifikatą, nukopijuokite jį į bet kurią serverio vietą. Pasirinkite Importuokite sertifikatą į „RD Gateway“ ir naršykite iki sertifikato, kad jį importuotumėte.

Nesu įsigijęs šios pamokos SSL sertifikato, todėl naudosiu pačių pasirašytą sertifikatą. Tai leis nuotolinio darbalaukio šliuzui veikti iš kai kurių klientų, pvz., „Microsoft“ nuotolinio darbalaukio, skirto „Mac“, tačiau bandydami prisijungti, būsime paraginti įspėti apie sertifikatą. Po to galime pasirinkti tęsti.

Tačiau jis neveiks su naujausia „Windows“ nuotolinio darbalaukio ryšio kliento versija (bandymo tikslais yra tam tikrų problemų).

Tu PRIVALO naudoti patikimas SSL sertifikatas savo gamybinio nuotolinio darbalaukio šliuze ir tai reiškia viešojo SSL sertifikato pirkimą.

Galite nustatyti savo PKI infrastruktūrą savo aktyviame katalogo domene ir priskirti savo SSL sertifikatą. Jei kliento mašina yra domeno dalis, ji turėtų pasitikėti jūsų domeno CA. Tačiau nuotolinio darbalaukio šliuzo aplinkos dažnai naudojamos tam, kad išoriniai rangovai, turintys savo nešiojamus kompiuterius, galėtų naudotis tinklo ištekliais. Todėl geriausia naudoti patikimos šaknies institucijos SSL.

Šioje pamokoje sugeneruosime savarankiškai pasirašytą sertifikatą spustelėdami Sukurti ir importuoti sertifikatą .

Dabar sėkmingai įdiegėme savarankiškai pasirašytą SSL sertifikatą TCP prievade 443 (numatytasis SSL prievadas).

Nuotolinio darbalaukio šliuzo SSL prievadą galime pakeisti kitu prievado numeriu. Tai kartais daro įmonės bandydamos apgauti įsilaužėlius, kurie gali būti nukreipti į 443 prievadą, nes tai yra numatytasis SSL prievadas.

Norėdami pakeisti RD šliuzo SSL prievado numerį, dešiniuoju pelės mygtuku spustelėkite serverio pavadinimą ir nuotolinio darbalaukio šliuzo valdymo konsolėje pasirinkite ypatybes.

Mes pakeisime prievadą į 4430. Mes naudosime šį prievadą savo mokymo programoje, kad galėtumėte sužinoti, kaip nuotolinio darbalaukio kliente sukonfigūruoti kitą prievado numerį.

Nuotolinio darbalaukio šliuzo serverio bandymas gali pasiekti tinklo išteklius

Turime išbandyti nuotolinio darbalaukio šliuzo ir tinklo išteklių, prie kurių klientams reikės prisijungti, ryšį. Tiksliau, turime išbandyti RDP srautą naudodami nuotolinio darbalaukio klientą, kad prisijungtume prie leidžiamų serverių.

Domeno valdytojams leidome pasiekti domeno valdiklius per nuotolinio darbalaukio šliuzą, o domenų administratorių grupei leidome naudoti nuotolinio darbalaukio šliuzą, naudodamiesi prieigos teisių politika. Dabar išbandysime prisijungimą prie domeno valdiklių iš nuotolinio darbalaukio šliuzo.

Patvirtinome, kad galime pasiekti domeno valdiklius naudodami nuotolinio darbalaukio šliuzą.

Dabar turime užtikrinti, kad išoriniai klientai galėtų pasiekti nuotolinio darbalaukio šliuzą.

Ugniasienės konfigūravimas

Kadangi mes prisijungsime prie nuotolinio darbalaukio šliuzo iš interneto, turėsime modifikuoti ugniasienę, kad galėtume pasiekti prieigą prie nuotolinio darbalaukio šliuzo prievado.

Atlikdami ankstesnius veiksmus, mes pakeitėme nuotolinio darbalaukio šliuzo TCP prievadą į 4430. Tai reiškia, kad turime leisti TCP prievadą 4430 įeiti į užkardą ir į paskirties prievadą 4430 nuotolinio darbalaukio šliuze.

Jei būtume naudoję numatytąjį 443 prievadą, vietoje to turėtume leisti TCP prievadą 443.

Nuotolinio darbalaukio kliento konfigūravimas naudojant nuotolinio darbalaukio šliuzo nustatymus

Konfigūruodami nuotolinio darbalaukio klientą, palaikantį nuotolinio darbalaukio šliuzą ir prisijungdami naudodami nuotolinio darbalaukio šliuzą, visada atminkite, kad Kompiuteris serverio, prie kurio norite prisijungti, pavadinimas yra vietinio serverio pavadinimas tai galima išspręsti naudojant nuotolinio darbalaukio šliuzą.

Įeinant į Nuotolinio darbalaukio vartai išsamią informaciją kliente, turite nurodyti prievadą, jei nenaudojate numatytojo 443 SSL prievado. Mūsų atveju turime įvesti rdgateway.yourdomain.com:4430 kaip nuotolinio darbalaukio šliuzo serverį. Jei būtume naudoję numatytąjį prievadą, mums tiesiog reikia įvesti FQDN be prievado numerio, pvz. rdgateway.yourdomain.com .

Santrauka

Tai užbaigia veiksmus, susijusius su nuotolinio darbalaukio šliuzo „Windows Server 2016“ nustatymu. Dabar galėsite sukonfigūruoti nuotolinio darbalaukio klientą prisijungti naudodami nuotolinio darbalaukio šliuzą.

PASTABA: Įsitikinkite, kad naudojate naujausią nuotolinio darbalaukio kliento versiją, nes mačiau, kad ankstesnė versija, pateikta kartu su „Windows 7“, negali prisijungti, net jei joje yra nuotolinio darbalaukio šliuzo nustatymai.

Parašysiu tolesnį straipsnį apie tai, kaip sukonfigūruoti nuotolinio darbalaukio klientą naudoti nuotolinio darbalaukio šliuzą.

Susijęs straipsnis

• Kaip įdiegti nuotolinio darbalaukio paslaugas „Windows 2016“
  Šioje pamokoje bus parodyta, kaip įdiegti nuotolinio darbalaukio paslaugas „Windows Server 2016“, tačiau ją galima pritaikyti „Windows 2012“ arba „Windows 2012R2“. Veiksmai yra pagrįsti scenarijumi, kai šiuo metu nėra „Windows 2012“ ar „l“ nuotolinio darbalaukio paslaugų

Šis straipsnis yra tikslus ir tikras, kiek autorius žino. Turinys skirtas tik informaciniams ar pramoginiams tikslams ir nepakeičia asmeninių ar profesionalių patarimų verslo, finansų, teisiniais ar techniniais klausimais.