Konfiguracja usługi Remote Desktop Services na serwerze Windows dla Fudo Enterprise

Przed rozpoczęciem procedury sprawdź następujące wymagania:

• Wszystkie serwery z systemem Windows Server 2019 lub 2022 są połączone w domenie;
• Istnieje skonfigurowany na serwerze Windows kontroler domeny z grupą użytkowników AD;
• Wszystkie serwery Windows mają zainstalowany patch CredSSP CVE-2018-0886;
• Masz dostęp do panelu administracyjnego Fudo Enterprise w celu skonfigurowania połączenia RDP.

Aby skonfigurować i używać usługi Remote Desktop Services (RDS) wraz z Fudo Enterprise, postępuj zgodnie z poniższą instrukcją.

Informacja

Jest to ogólna instrukcja, mająca na celu przybliżenie procesu konfigurowania usługi Remote Desktop Services. Pewne aspekty mogą się różnić w zależności od konfiguracji środowiska Windows Server. Szczegółową instrukcję znajdziesz w dokumentacji Windows Server.

Konfiguracja usługi Remote Desktop Services (RDS)

Dodaj serwery:

1. Zaloguj się na serwerze, na którym chcesz skonfigurować usługę Remote Desktop Services.
2. Uruchom aplikację Server Manager.
3. Kliknij przycisk Manage w prawym górnym rogu okna, aby rozwinąć listę menu, a następnie wybierz Add Servers.

4. Kliknij Find Now.
5. Dodaj wszystkie serwery, które zamierzasz użyć w RDS, klikając na każdy serwer w konfiguracji. Kliknij OK. W tym przypadku dodajemy 3 serwery: HOST1, HOST2, i RDB, który będzie pełnił rolę Brokera.

Dodaj komponenty usługi Remote Desktop Services:

1. Kliknij przycisk Manage w prawym górnym rogu okna, aby rozwinięcia listę menu, a następnie wybierz Add Roleas and Features.

2. Na karcie Before You Begin kliknij Next, aby kontynuować.

3. Na karcie Installation Type wybierz Remote Desktop Services installation i kliknij Next, aby kontynuować.

4. Na karcie Deployment Type wybierz Standard Deployment, aby uzyskać bardziej szczegółowe instrukcje dotyczące instalacji usługi Remote Desktop Services. Kliknij Next, aby kontynuować.

5. Na karcie Deployment Scenario wybierz Session-based desktop deployment. Kliknij Next, aby kontynuować.

6. Na karcie Role Services sprawdź usługi, które zostaną zainstalowane. Kliknij Next, aby kontynuować.
7. Na karcie RD Connection Broker wybierz odpowiedni serwer, na którym zostanie zainstalowana usługa roli Brokera. W tym przykładzie wybrano serwer RDB. Kliknij Next, aby kontynuować.

8. Na karcie RD Web Access wybierz odpowiedni serwer, na którym chcesz zainstalować rolę usługi RD Web Access. W tym przykładzie wybrano również serwer RDB. Kliknij Next, aby kontynuować.

9. Na karcie RD Session Host wybierz odpowiednie serwery, na których chcesz zainstalować rolę usługi RD Session Host. W tym przykładzie wybrano serwery HOST1 i HOST2. Kliknij Next, aby kontynuować.

10. Na karcie Confirmation zaznacz Restart the destination server automatically if required, a następnie kliknij Deploy.

11. Poczekaj na pomyślne zakończenie wdrażania i kliknij Close.

Dodaj serwer RD Gateway i nazwę certyfikatu:

1. Z lewego menu wybierz sekcję Remote Desktop Services i przejdź do karty Overview.
2. Kliknij przycisk + RD Gateway i w kreatorze Add RD Gateway Servers wizard wybierz maszynę wirtualną, na której chcesz zainstalować serwer RD Gateway. W tym przykładzie wybrano serwer RDB.

3. Kliknij Next.
4. Wprowadź nazwę certyfikatu SSL dla serwera RD Gateway, używając zewnętrznej, w pełni kwalifikowanej nazwy DNS (FQDN) serwera RD Gateway. Przykład, cert.mk.local.
5. Kliknij Next, a następnie Add.
6. Poczekaj, aż usługa roli zostanie wdrożona, i kliknij Close.

Konfiguracja właściwości RD Gateway i RD Licensing:

1. Wróć do karty Overview, kliknij Tasks i z listy rozwijanej wybierz Edit Deployment Properties.

2. Na karcie RD Gateway wybierz opcję Automatically detect RD Gateway server settings i kliknij Apply.

3. Rozwiń kartę RD Licensing i wybierz Per Device. Kliknij Apply.

4. Rozwiń kartę «RD Web Access», aby sprawdzić adres URL dla RD Web Access IIS. Domyślnie jest zainstalowana pod adresem /RdWeb.

5. Kliknij na wyświetlony adres URL, aby zweryfikować logowanie do RD Web Access za pomocą konta administratora.

Informacja

Podczas logowania użyj domeny w polu nazwa użytkownika. Na przykład, Administrator@mk.local.

6. Zapisz ten adres na potrzeby kolejnych kroków konfiguracji.
7. Kliknij OK w oknie Deployment Properties, aby wrócić do karty Przegląd sekcji Remote Desktop Services.
8. Na karcie RD Web Access wybierz odpowiedni serwer, na którym chcesz zainstalować rolę usługi RD Web Access. W tym przykładzie wybrano również serwer RDB. Kliknij Next, aby kontynuować.

Dodaj RD License Server:

1. Kliknij przycisk + RD Licensing na karcie Overview w sekcji Remote Desktop Services.

2. Wybierz maszynę wirtualną, na której zostanie zainstalowany serwer licencji RD. W tym przykładzie wybrano serwer RDB. Kliknij Next, a następnie Add.
3. Poczekaj, aż usługa roli zostanie wdrożona i kliknij Close.

Utwórz kolekcję:

1. Przejdź do karty Collections w sekcji Remote Desktop Services, kliknij Tasks i z listy rozwijanej wybierz Create Session Collection.

2. Na karcie Before You Begin kliknij Next.
3. Na karcie Collection Name podaj opisową nazwę kolekcji. W tym przykładzie użyto nazwy test-collection. Kliknij Next, aby kontynuować.

Informacja

Ta nazwa będzie wyświetlana pod ikoną w interfejsie Web Access.

4. Na karcie RD Session Host wybierz serwery do dodania do tej kolekcji. W tym przykładzie wybrano serwery HOST1 i HOST2.
5. Na karcie User Groups zdefiniuj grupy użytkowników. Możesz zaakceptować domyślne grupy użytkowników lub dodać jedną lub więcej grup użytkowników uprawnionych do łączenia się za pomocą RDP z serwerami.
6. Na karcie User Profile Disks wybierz opcję Enable User Profile Disks i określ ustawienia, jeśli jest to konieczne. Możesz również pozostawić tę opcję wyłączoną.
7. Na karcie Confirmation przejrzyj wszystkie informacje, a następnie kliknij «Create».
8. Poczekaj, aż kolekcja zostanie utworzona. Kliknij Close.

Test połączenia:

1. Otwórz zapisany wcześniej adres URL dla RD Web Access (np. https://rdb.mk.local/RDWeb/).
2. Wprowadź prawidłową nazwę użytkownika i hasło, a następnie kliknij Sign in. Możesz użyć konta administratora domeny do logowania, na przykład Administrator@mk.local.
3. Po zalogowaniu zostanie przedstawiona pełna kolekcja utworzonych sesji pulpitów zdalnych.

4. Kliknij na ikonę utworzonej kolekcji test-collection, aby pobrać plik połączenia RDP lub natychmiast nawiązać połączenie.

5. Podaj dane logowania jednego z użytkowników istniejących w domenie.

Informacja

W tej części instrukcji przedstawiono ogólny proces konfiguracji Usług pulpitu zdalnego. Aby wykorzystać funkcjonalność Fudo Enterprise podczas połączeń, należy postępować zgodnie z krokami opisanymi w kolejnej części instrukcji.

Konfiguracja Fudo Enterprise

Informacja

Ten przypadek użycia opisuje, jak skonfigurować Fudo Enterprise przy użyciu metody zewnętrznego uwierzytelnienia Active Directory. Należy pamiętać, że można dostosować uwierzytelnienie użytkowników za pomocą dowolnej innej metody obsługiwanej przez Fudo Enterprise, aby dopasować ją do swoich specyficznych wymagań, metod typowo stosowanych w środowisku i scenariuszy pracy.

Konfiguracja metody zewnętrznego uwierzytelnienia:

1. Zaloguj się do Panelu Administratora Fudo Enterprise.

2. Wybierz Ustawienia > Uwierzytelnienie.
3. W karcie Uwierzytelnienie zewnętrzne kliknij Dodaj źródło zewnętrznego uwierzytelnienia.

4. Z listy rozwijanej Typ wybierz Active Directory.
5. W polu Adres hosta podaj adres IP kontrolera domeny (np. 10.0.136.1).
6. Pozostaw domyślny numer portu: 389.
7. Ustaw Adres źródłowy na Dowolny.
8. Podaj nazwę domeny, która będzie używana do uwierzytelnienia użytkowników w Active Directory (np. mk.local).
9. W polach Login, Sekret i Powtórz sekret podaj dane logowania uprzywilejowanego konta używanego do dostępu do kontrolera domeny.

10. Kliknij Zapisz.

Utwórz użytkownika w Fudo:

1. Wybierz Zarządzanie > Użytkownicy i kliknij Dodaj użytkownika.
2. Wpisz nazwę użytkownika odpowiadającą wybranemu kontu użytkownika w Active Directory (np. «user1»).
3. W karcie Ustawienia, w sekcji Sejfy, wybierz portal.

4. Kliknij Zapisz.

6. Przejdź do sekcji Uwierzytelnienie i z listy rozwijanej Dodaj metodę uwierzytelnienia wybierz Uwierzytelnienie zewnętrzne.

7. Wybierz metodę Active Directory utworzoną w poprzednich krokach i kliknij Zapisz.

8. W razie potrzeby uzupełnij pozostałe parametry zgodnie z wymaganiami swojej specyficznej konfiguracji. Po więcej szczegółów zapoznaj się z sekcją Dodawanie użytkownika.

9. Kliknij Zapisz i zamknij.

Konfiguracja serwera o roli Connection Broker:

1. Wybierz Zarządzanie > Serwery i kliknij + Dodaj serwer.

2. Wpisz unikalną nazwę serwera (np. Broker).
3. W sekcji Uprawnienia dodaj użytkowników uprawnionych do zarządzania tym obiektem.
4. W sekcji Ustawienia z listy dostępnych protokołów wybierz RDP.

5. Zaznacz opcje TLS włączony i NLA włączony.

6. W sekcji Adres źródłowy wybierz IPv4 i wprowadź adres IP serwera wybranego podczas konfiguracji RDS dla roli RD Broker (w naszym przykładzie serwer RDB z adresem IP 10.0.136.2).

7. Kliknij Zapisz i zamknij.

Konfiguracja serwerów o roli Session Hosts:

1. Wybierz Zarządzanie > Serwery i kliknij + Dodaj serwer.

2. Wpisz unikalną nazwę serwera (np. HOST1).
3. W sekcji Uprawnienia dodaj użytkowników uprawnionych do zarządzania tym obiektem.
4. W sekcji Ustawienia z listy dostępnych protokołów wybierz RDP.

5. Zaznacz opcje TLS włączony i NLA włączony.

6. W sekcji Adres źródłowy wybierz IPv4 i wprowadź adres IP serwera (w naszym przykładzie 10.0.136.4).

7. Kliknij Zapisz i zamknij.

8. Powtórz wszystkie powyższe kroki, aby utworzyć drugi serwer o nazwie HOST2 i adresie IP 10.0.136.5.

Konfiguracja puli serwerów:

1. Wybierz Zarządzanie > Pule i kliknij + Dodaj pulę

2. Wpisz unikalną nazwę puli (np. RDS-pula).
3. W zakładce Ustawienia wybierz serwery, które mają zostać dodane do puli (np. HOST1, HOST2).
4. W sekcji Uprawnienia dodaj użytkowników uprawnionych do zarządzania tym obiektem (np. user1).

6. Kliknij Zapisz i zamknij

Konfiguracja konta:

1. Wybierz Zarządzanie > Konta i kliknij Dodaj.

2. Zdefiniuj nazwę obiektu (np. user1).
3. Z listy rozwijanej Typ wybierz forward.
4. Przejdź do sekcji Serwer / Pula i z listy rozwijanej wybierz pulę utworzoną w poprzednim kroku (np. RDS-pula), aby przypisać utworzone konto do tej puli serwerów.

5. W sekcji Dane uwierzytelniające wybierz opcję Przekieruj domenę aby dołączyć nazwę domeny w ciągu identyfikującym użytkownika.
6. Kliknij Zapisz.

Konfiguracja gniazda nasłuchiwania:

1. Wybierz Zarządzanie > Gniazda nasłuchiwania i kliknij Dodaj gniazdo nasłuchiwania.

2. Wpisz unikalną nazwę gniazda nasłuchiwania (np.``rdp-broker-bastion``).
3. Przejdź do zakładki Uprawnienia i dodaj użytkowników uprawnionych do zarządzania tym gniazdem nasłuchiwania (np. user1).

4. Przejdź do zakładki Ustawienia i w polu Protokół naciśnij przycisk RDP.
5. Zaznacz opcję TLS włączony aby włączyć szyfrowanie.
6. Zaznacz opcję NLA włączony dla dodatkowego zabezpieczenia.
7. W sekcji Tryb połączenia wybierz bastion.

8. Ustaw lokalny adres na 10.0.58.238 lub Any, i port 3389.

9. W polu Certyfikat CA kliknij Generuj certyfikat aby wygenerować certyfikat TLS, wybierając algorytm klucza i podając Nazwę Wspólną (nazwa serwera, na którym zainstalowany jest certyfikat), lub kliknij Prześlij aby załadować plik certyfikatu serwera z dołączonym na końcu prywatnym kluczem.
10. Kliknij Zapisz i zamknij.

Nawiązanie sesji przez Portal Użytkownika Fudo:

Ostrzeżenie

Podczas nawiązywania połączeń za pomocą Remote Desktop Services zalecane jest korzystanie z opcji Native client. Web client nie obsługuje tego typu połączeń.

1. Zaloguj się do «Portalu Użytkownika» Fudo Enterprise używając user1 jako nazwy użytkownika i hasła skonfigurowanego dla tego użytkownika w Active Directory.

2. Najedź kursorem na nazwę konta user1, wybierz Web client i kliknij Połącz w celu pobrania pliku konfiguracyjnego RDP.
3. Otwórz pobrany plik, aby rozpocząć połączenie w natywnym kliencie RDP.
4. Podaj hasło użytkownika user1.

Przekierowanie połączenia przez Fudo w natywnym kliencie RDP:

1. Aby przekierować połączenie przez Fudo Enterprise, w trakcie konfiguracji klienta RDP musimy użyć adresu Portalu Użytkownika.
2. Wybierz ulubionego klienta protokołu RDP (jak np. Microsoft Remote Desktop) i postępuj zgodnie z jego instrukcją, aby dodać nowy komputer do połączenia.
3. Na przykładzie Microsoft Remote Desktop, kliknij ikonę plus w górnej części okna i wybierz Dodaj komputer.

4. W polu Nazwa komputera wprowadź adres IP Portalu Użytkownika Fudo Enterprise wraz z numerem portu i kliknij Dodaj.

Informacja

Adres IP Portalu Użytkownika znajdziesz w Ustawienia > Konfiguracja sieci.

5. Połącz się z dodanym komputerem, podając w polu Nazwa użytkownika ciąg logowania dla połączeń bastion oraz hasło w polu Hasło.

Informacja

• Użyj następującego wzoru dla ciągu logowania bastion: nazwa użytkownika # login konta na docelowym serwerze # adres docelowego serwera (np. user1#user1#10.0.136.4).
• Można pominąć login konta, jeśli jest taki sam jak nazwa użytkownika, np. user1##10.0.136.4

6. Klient RDP nawiąże połączenie z jednym z serwerów z kolekcji RDS.

Wyświetlanie aktywnej sesji w Panelu Administracyjnym Fudo Enterprise:

1. Zaloguj się do Panelu Administracyjnego Fudo Enterprise.

2. Wybierz Zarządzanie > Sesje.
3. Znajdź żądaną sesję i kliknij i.

Tematy pokrewne:

• RDP w trybie bastionu
• Uwierzytelnienie
• Integracja z serwerem CERB