Windows Server 2016 қашықтағы жұмыс үстелі шлюзін қалай орнатуға болады

Мазмұны

• Кіріспе
• Windows Server 2016 қашықтағы жұмыс үстелі шлюзін конфигурациялауға қажетті қадамдардың қысқаша мазмұны
• Windows Server 2016 қашықтағы жұмыс үстелі шлюзін конфигурациялаудың егжей-тегжейлі қадамдары
• Қашықтағы жұмыс үстелінің қызметтерін қосу
• Қашықтағы жұмыс үстелі шлюзінің қызмет рөлін қосу
• Байланысты авторизациялау саясаты мен ресурстарды авторизациялау саясатын жасаңыз
• RD Gateway үшін авторизациялау саясатын жасаңыз
• Байланысты авторизациялау саясаты
• Ресурстарды авторизациялау саясатын жасаңыз
• SSL сертификаты
• Қашықтағы жұмыс үстелі шлюзінің серверін тексеру желілік ресурстарға қол жеткізе алады
• Брандмауэрді теңшеу
• Қашықтағы жұмыс үстелінің клиентін қашықтағы жұмыс үстелі шлюзінің параметрлерімен теңшеу
• Қысқаша мазмұны
• Байланысты мақала

Сервер инфрақұрылымын және деректер орталығы операцияларын басқарудың 10+ жылдық тәжірибесі бар жүйенің әкімшісі / инженері.

Кіріспе

Бұл оқулық Windows Server 2016 серверінде қашықтағы жұмыс үстелі шлюзін енгізу кезеңдерінен өтеді. Қашықтағы жұмыс үстелі шлюзі жиі қашықтағы жұмыс үстелінің клиенттеріне интернеттен корпоративті желіде орналасқан қашықтағы жұмыс үстелі шлюзінің артындағы серверлерге қосылуға мүмкіндік беру үшін қолданылады. Қашықтағы жұмыс үстелі шлюзі «секіргіш» сияқты жұмыс істейді, тек ешқашан пайдаланушыларға жұмыс үстелінің қашықтан қосылуын орналастырмайды. Ол пайдаланушының қашықтан кіруге рұқсат етілген топқа жататындығын тексереді және тағайындалған серверге сеансты жібермес бұрын, пайдаланушының тағайындалған серверге қашықтықтан кіруге рұқсаты бар-жоғын тексереді.

Windows Server 2016 қашықтағы жұмыс үстелі шлюзін конфигурациялауға қажетті қадамдардың қысқаша мазмұны

Төменде Windows Server 2016 жүйесіндегі қашықтағы жұмыс үстелі шлюзін конфигурациялау үшін қажетті қадамдардың қысқаша мазмұны келтірілген. Барлығы қамтылғанына көз жеткізу үшін оны тізім ретінде пайдаланыңыз.

1. Windows 2016 серверін Active Directory доменіне қосылыңыз.
2. Қосыңыз Қашықтағы жұмыс үстелінің қызметтері рөлі.
3. А жасау Байланысты авторизациялау саясаты. Бұл саясат қай топтарға қол жеткізуге болатындығын анықтайды Қашықтағы жұмыс үстелі шлюзі.
4. А жасау Ресурстарды авторизациялау саясаты. Бұл саясат қай серверлерге қандай топтар арқылы қатынасуға болатындығын анықтайды.
5. Сатып алу SSL сертификаты қоғамдық куәлік орталығынан. (Интернеттен мұны қайдан сатып алуға болатындығын білуге ​​болады. Бұл кеңістікте тегін жарнама жоқ)
6. Қолдану SSL сертификаты дейін Қашықтағы жұмыс үстелі шлюзі.
7. Әдепкі қашықтағы жұмыс үстелі шлюзі TCP портын қабылдаңыз 443 немесе оны басқа порт нөміріне ауыстырыңыз.
8. Қашықтағы жұмыс үстелі шлюзінің артындағы серверге қашықтағы жұмыс үстелінің қосылымын тексеріп көріңіз Тікелей қашықтағы жұмыс үстелі шлюзі серверінен. Бұл қашықтағы жұмыс үстелі шлюзінен клиенттер қосылуы керек болатын серверлерге қосылудың болуын қамтамасыз ету үшін қажет.
9. Қашықтағы жұмыс үстелінің шлюзі портына қашықтағы жұмыс үстелінің шлюзі серверіне рұқсат беру үшін брандмауэр ережелерін өзгертіңіз.
10. Қашықтағы жұмыс үстелінің интернеттен қашықтағы жұмыс үстелі шлюзінің артындағы серверге қосылуын тексеріп көріңіз. Қашықтағы жұмыс үстелінің клиентін қашықтағы жұмыс үстелі шлюзінің мекен-жайы мен порт нөмірімен теңшеу керек. ЕСКЕРТУ: Windows 7 және Windows 2008R2 жүйелерімен жұмыс жасайтын қашықтағы жұмыс үстелінің қосылымының ескі нұсқаларында қашықтағы жұмыс үстелі шлюзінің параметрлері бар, бірақ ол жұмыс істемейді. Пайдалану үшін жұмыс үстеліне қашықтан қосылудың соңғы нұсқасын жүктеп алған дұрыс.
    
    Қашықтағы жұмыс үстелінің шлюзін пайдалану үшін қашықтағы жұмыс үстеліне қосылу клиентін қалай теңшеу керектігін білу үшін сіз келесі әрекеттерді орындай аласыз

Windows Server 2016 қашықтағы жұмыс үстелі шлюзін конфигурациялаудың егжей-тегжейлі қадамдары

Келесі оқулық Windows Server 2016-да қашықтағы жұмыс үстелі шлюзін қалай теңшеу керектігін егжей-тегжейлі көрсетеді.

Қашықтағы жұмыс үстелінің қызметтерін қосу

Сервер менеджерін ашып, басыңыз Рөлдер мен мүмкіндіктерді қосыңыз.

Қашықтағы жұмыс үстелі шлюзінің қызмет рөлін қосу

Байланысты авторизациялау саясаты мен ресурстарды авторизациялау саясатын жасаңыз

Қашықтағы жұмыс үстелі шлюзінің менеджерін ашыңыз. Бұл Сервер менеджерінен Құралдар мәзірінен жасалады.

RD Gateway үшін авторизациялау саясатын жасаңыз

Сол жақ тақтаға өтіңіз Саясат, басыңыз Байланысты авторизациялау саясаты. Үстінде Әрекеттер оң жақтағы тақта, тінтуірдің оң жақ түймешігін басыңыз Жаңа саясат жасаңызбелгішесін басып, таңдаңыз Сиқыршы.

Байланысты авторизациялау саясаты

Байланысты авторизациялау саясаты тек таңдаулы топтарға (яғни, топ мүшелеріне) қашықтағы жұмыс үстелі шлюзінің артындағы ресурстарға қол жеткізу үшін қашықтағы жұмыс үстелі шлюзін пайдалануға рұқсат етіледі. Сіз белсенді каталог қолданушыларына негізделген топтарды немесе активті каталог компьютер объектілеріне негізделген топтарды пайдалана аласыз. Пайдаланушылар жұмыс үстелін қандай машиналардан қашықтай алатындығына байланысты икемділікті қамтамасыз ету үшін пайдаланушылар топтарын пайдалануды ұсынамын.

Саясатқа атау беріңіз. Интуитивті атау - бұл RDG шлюзі пайдалануға рұқсат етілген, басыңыз Келесі.

Ресурстарды авторизациялау саясатын жасаңыз

Ресурстарды авторизациялау саясаты топтық мүшелікке негізделген серверлерге кіруді шектеу үшін қолданылады. Сізге белсенді каталог топтарын құру және осы топтардың мүшелері ретінде серверлерді қосу қажет болады. Ең дұрысы бұл топтар функционалдылыққа немесе бөлімнің меншігіне негізделген. Бұл серверлер топтары - бұл пайдаланушылар топтарына қол жетімді болуы үшін пайдаланушылар топтарына тағайындалуы керек желілік ресурстар.

Белгілі бір пайдаланушыларға белгілі бір серверлерге қол жетімділікті тағайындау үшін бірнеше ресурстарды авторизациялау саясаттарын жасауға болады.

SSL сертификаты

Қашықтағы жұмыс үстелі шлюзінде SSL сертификаты орнатылған болуы керек. Сіз қашықтағы жұмыс үстелі шлюзінің толық білікті интернет-доменінің атауы үшін SSL сертификатын сатып ала аласыз немесе домен үшін жабайы карта SSL сертификатын сатып ала аласыз.

SSL сертификатын орнату үшін алдымен қашықтағы жұмыс үстелі шлюзін басқару консоліндегі жұмыс үстелінің қашықтағы серверінің атауын нұқыңыз.

Егер сіз SSL сертификатын сатып алған болсаңыз, оны сервердегі кез келген жерге көшіріңіз. Таңдаңыз RD шлюзіне сертификатты импорттаңыз импорттау үшін сертификатты қарап шығыңыз.

Мен бұл оқулық үшін SSL сертификатын сатып алған жоқпын, сондықтан мен өзім қол қойған сертификатты қолданамын. Бұл қашықтағы жұмыс үстелі шлюзінің кейбір клиенттерден жұмыс істеуіне мүмкіндік береді, мысалы, Mac үшін Microsoft Remote Desktop, бірақ қосылуға тырысқан кезде бізден сертификат туралы ескерту сұралады. Осыдан кейін жалғастыруды таңдай аламыз.

Алайда, бұл жұмыс үстеліне қосылу үшін қашықтағы жұмыс үстелінің соңғы нұсқасымен жұмыс істемейді (тестілеу мақсатында жұмыс бар).

Сіз МІНДЕТТІ пайдалану а сенімді SSL сертификаты қашықтағы жұмыс үстелі шлюзінде және бұл жалпы SSL сертификатын сатып алуды білдіреді.

Өзіңіздің PKI инфрақұрылымыңызды белсенді каталог доменінде орнатуға және SSL сертификатыңызды тағайындауға болады, егер клиент машинасы доменнің бөлігі болса, ол сіздің доменнің CA-на сенуі керек. Алайда, қашықтағы жұмыс үстелі шлюзі орталары өздерінің ноутбуктары бар сыртқы мердігерлерге желілік ресурстарды пайдалануға мүмкіндік беру үшін жиі қолданылады. Сондықтан SSL-ді сенімді түпнұсқалық органнан қолданған дұрыс.

Бұл оқулық үшін біз өзіміз қол қойған сертификатты басу арқылы жасаймыз Сертификат жасаңыз және импорттаңыз .

Енді біз өз қолымызбен SSL сертификатын TCP 443 портына сәтті орнаттық (SSL порты әдепкі).

Қашықтағы жұмыс үстелі шлюзі үшін SSL портын басқа порт нөміріне ауыстыра аламыз. Мұны кейде компаниялар 443 портына бағытталуы мүмкін хакерлерді сынап көру үшін жасайды, себебі бұл әдепкі SSL порты.

RD шлюзі үшін SSL порт нөмірін өзгерту үшін, Сервер атауын тінтуірдің оң жағымен басып, Қашықтағы жұмыс үстелі шлюзін басқару консолінен сипаттарды таңдаңыз.

Біз портты 4430-ға өзгертеміз. Біз бұл портты оқулықта қолданамыз, сонда сіз қашықтағы жұмыс үстелінің клиентінде басқа порт нөмірін қалай теңшеу керектігін білесіз.

Қашықтағы жұмыс үстелі шлюзінің серверін тексеру желілік ресурстарға қол жеткізе алады

Біз қашықтағы жұмыс үстелі шлюзінен клиенттер қосылуға тиісті желі ресурстарына қосылымды тексеруіміз керек. Рұқсат етілген серверлерге қосылу үшін қашықтағы жұмыс үстелінің клиентін пайдалану арқылы RDP трафигін тексеру қажет.

Домен контроллерлеріне Domain Admins тобына қашықтағы жұмыс үстелі шлюзі арқылы кіруге рұқсат бердік, және Domain Admins тобына авторизациялау ережелерін қолдану арқылы қашықтағы жұмыс үстелі шлюзін пайдалануға мүмкіндік бердік. Енді біз қашықтағы жұмыс үстелі шлюзінен домен контроллерлеріне қосылуды тексереміз.

Қашықтағы жұмыс үстелі шлюзінен домен контроллерлеріне жетуге болатындығын растадық.

Енді біз сыртқы клиенттердің қашықтағы жұмыс үстелі шлюзіне жетуін қамтамасыз етуіміз керек.

Брандмауэрді теңшеу

Біз қашықтағы жұмыс үстелі шлюзіне интернеттен қосылатын болғандықтан, брандмауэрді қашықтағы жұмыс үстелінің шлюз портына кіру үшін өзгерту керек.

Алдыңғы қадамдарда біз TCP портын қашықтағы жұмыс үстелі шлюзі үшін 4430 етіп өзгерттік. Бұл TCP портына 4430 брандмауэрге және жұмыс үстелінің қашықтағы шлюзіндегі тағайындалған 4430 портына кіруге рұқсат беруіміз керек дегенді білдіреді.

Егер біз 443 стандартты портын пайдаланған болсақ, оның орнына 443 TCP портына рұқсат беруіміз керек еді.

Қашықтағы жұмыс үстелінің клиентін қашықтағы жұмыс үстелі шлюзінің параметрлерімен теңшеу

Қашықтағы жұмыс үстелі шлюзін қолдайтын қашықтағы жұмыс үстелінің клиентін конфигурациялау кезінде және сіз қашықтағы жұмыс үстелі шлюзі арқылы қосыласыз, әрқашан Компьютер қосылғыңыз келетін сервердің аты - бұл жергілікті сервер атауы бұл қашықтағы жұмыс үстелінің шлюзінен шешіледі.

Кіру кезінде Қашықтағы жұмыс үстелі шлюзі клиенттегі егжей-тегжейлі мәліметтер, егер сіз 443 стандартты SSL портын пайдаланбайтын болсаңыз, сізге портты көрсетуіңіз керек. Біздің жағдайда кіру керек rdgateway.сіздің доменіңіз.com:4430 қашықтағы жұмыс үстелі шлюзі сервері ретінде. Егер біз әдепкі портты қолдансақ, біз FQDN нөмірін, мысалы, нөмір нөмірінсіз енгізуіміз керек. rdgateway.Сіздің доменіңіз.com .

Қысқаша мазмұны

Бұл Windows Server 2016 қашықтағы жұмыс үстелі шлюзін орнатуға қатысты қадамдарды аяқтайды. Енді сіз қашықтағы жұмыс үстелінің клиентін қашықтағы жұмыс үстелі шлюзі арқылы қосылуға теңшей аласыз.

ЕСКЕРТПЕ: Қашықтағы жұмыс үстелінің клиентінің ең соңғы нұсқасын пайдаланғаныңызға көз жеткізіңіз, өйткені Windows 7 жүйесімен бірге келетін, оның қашықтағы жұмыс үстелі шлюзі үшін параметрлері болса да, қосыла алмайтын нұсқасын көрдім.

Мен қашықтағы жұмыс үстелінің клиентін қашықтағы жұмыс үстелі шлюзін пайдалану үшін қалай теңшеу туралы мақаланы жазамын.

Байланысты мақала

• Windows 2016 қашықтағы жұмыс үстелі қызметтерін қалай орнатуға болады
  Бұл оқулық қашықтағы жұмыс үстелі қызметтерін Windows Server 2016-да қалай орнатуға болатынын көрсетеді, бірақ оны Windows 2012 немесе Windows 2012R2 жүйелерінде қолдануға болады. Қадамдар сценарийге негізделген, онда Windows 2012 немесе l үшін қашықтағы жұмыс үстелі қызметтері жоқ

Бұл мақала автордың біліміне сай дәл және шынайы. Мазмұн тек ақпараттық немесе ойын-сауық мақсаттарына арналған және іскери, қаржылық, заңгерлік немесе техникалық мәселелерде жеке кеңес немесе кәсіби кеңес алмастырмайды.