RD Gateway installieren, Zertifikat zuweisen, CAP und RAP konfigurieren

    RD Gateway ManagerWenn Benutzer aus unsicheren Netz­werken (primär über das Internet) auf eine Remote-Desktop-Bereit­stellung zu­greifen möchten, dann schaltet man ein RD Gateway da­zwischen. Die mit Windows Server 2012 einge­führte Szenario-basierte RDS-Installation verein­facht auch die Ein­richtung des Gateways.

    Bevor man ein RD Gateway zu einem Remote-Desktop-Deployment hinzufügt, sollte man ein paar Vorbereitungen treffen. Dazu gehört vor allem die Planung der Topologie, also wo im Netzwerk man das Gateway platzieren will, ob es einer AD-Domäne beitreten soll und gegen welchen DC sich die Remote-User authentifizieren.

    DNS, Zertifikat, Wahl des Servers

    Nachdem User von außerhalb des Firmennetzes auf die RDS-Bereitstellung zugreifen, muss das Gateway unter einem öffentlichen Namen erreichbar sein. Daher sollte man sich vorab um den entsprechenden DNS-Eintrag kümmern.

    Nachdem die Kommunikation zwischen den Clients und dem Gateway über HTTPS erfolgt, benötigt man auch ein SSL-Zertifikat, das auf den externen Namen des Gateways ausgestellt sein sollte. In der Regel wird man hier kein selbst­signiertes Zertifikat verwenden, sondern eines von einer kommer­ziellen Zertifizierungs­stelle erwerben. Als Alternative kommt auch Lets Encrypt in Frage, wobei man dort das Zertifikat alle 3 Monate erneuern muss.

    Nachdem das Gateway direkten Zugriffen aus dem Internet ausgesetzt ist, wird man es auf einem dezidierten (virtuellen) Server einrichten. Als weitere RDS-Rolle kommt auf der gleichen Maschine höchstens noch RD Web Access in Frage. In unserem Beispiel gehen wir zudem davon aus, dass der Server Mitglied in einer AD-Domäne ist.

    Gateway hinzufügen

    Hat man alle Vorbereitungen getroffen, dann wechselt man im Server Manager zur Bereitstellungs­übersicht. Auf der Position des RD Gateway befindet sich ein grünes Plus-Symbol. Klickt man darauf, dann startet der Wizard für die Installation.

    RD Gateway über die RDS-Bereitstellungsübersicht hinzufügen

    Im ersten Schritt wählt man den Server aus, auf dem man das Gateway platzieren möchte. Im nächsten Dialog wird man aufgefordert, den externen FQDN des betreffenden Servers einzugeben, welcher mit dem Namen im Zertifikat über­einstimmen soll.

    Eingabe des FQDN, unter dem das RD Gateway von außen erreichbar ist

    Nach der anschließenden Bestätigung beginnt die Installation der erforderlichen Rollendienste.

    Abschluss des Assistenten zur Installation der Rolle RD Gateway

    Eigenschaften bearbeiten

    Anschließend öffnet man das Menü Aufgaben über der Bereitstellungs­übersicht und führt dort den Befehl Bereitstellungs­eigenschaften bearbeiten aus. Im ersten Dialog kann man einige Einstellungen ändern, etwa jene zur Umgehung des Gateway für interne Clients.

    Einstellungen für das RD Gateway im Server Manager

    Im nächsten Schritt wechselt man zum Abschnitt Zertifikate, markiert RD-Gateway und weist ihm dann über die Schaltfläche Vorhandenes Zertifikat auswählen das gewünschte Zertifikat zu. Im zuständigen Dialog kann man sich zwischen einem Zertifikat entscheiden, das auf dem Connection Broker installiert ist und einem, das man erst importieren muss.

    Zuweisen eines Zertifikats an das RD Gateway in der Bereitstellungsübersicht des Server Manager

    Hat man eines von einer öffentlichen CA erworben, dann wählt man die zweite Option. Nach dem Schließen des Dialogs klickt man auf Anwenden und nach kurzer Prüfung sollte in der Spalte Status der Wert Ok auftauchen.

    Konfiguration nachbearbeiten

    Die oben beschriebene Installation des Gateways mit Hilfe des Wizards fügt die Rolle inklusive weiterer Komponenten hinzu, darunter die Netzwerk­richtlinien- und Zugriffsdienste (NPS) oder den RPC-über-HTTP-Proxy. Außerdem konfiguriert sie einige Einstellungen auf Basis von Vorgabewerten.

    Liste der Komponenten, die über die Rolle des RD Gateway installiert werden

    Die NPS regeln mittels, welche Benutzer bzw. Clients auf das Gateway zugreifen dürfen (Connection Authorization Policies, CAP) und welche Ressourcen im Netzwerk vom Gateway aus erreichbar sind (Resource Authorization Policy, RAP).

    Der Wizard richtet Policies ein, mit denen alle Domänen­benutzer Zugriff auf das Gateway und die dahinterliegenden RDS-Ressourcen erhalten (RDG_CAP_AllUsers, RDG_AllDomainComputers und RDG_RDConnectionBrokers). In vielen Umgebungen wird dies aber nicht erwünscht sein.

    CAP und RAP anpassen

    Um dies zu ändern, startet man den Remotedesktopgateway-Manager, den man auf dem Server mit PowerShell nachinstallieren kann, falls er nicht vorhanden sein sollte:

    Add-WindowsFeature -Name RSAT-RDS-Gateway

    Remotedesktopgateway-Manager aus dem Tools-Menü des Server Manager starten

    Dort kann man dann unter Verbindungs­autorisierungs­richtlinien je nach Bedarf RDG_CAP_AllUsers löschen und eine neue Policy erstellen. Diese kann man über den entsprechenden Dialog mit mehreren Registerkarte selbst konfigurieren oder alternativ den Assistenten starten, der auf Wunsch in einem Durchgang auch gleich eine Ressourcen­autorisierungs­richtlinie erzeugt.

    Assistent im Remotedesktopgateway-Manager zur Erstellung von CAP und RAP

    Wenn man vom Gateway mit einer RAP ausschließlich den Zugriff auf die RDS-Bereitstellung zulassen möchte, dann muss man dort nicht nur die Session Hosts bzw. Virtualization Hosts eintragen, sondern auch den Connection Broker. Hat man mehrere Session Hosts zu einer Farm zusammen­geschlossen, muss man auch den DNS-Namen der Sammlung mit angeben.

    Erstellen einer vom Gateway verwalteten Computer-Gruppe

    Die Zielrechner im Netz lassen sich auf verschiedene Arten in eine RAP aufnehmen. Zum einen kann man sie in einer AD-Gruppe zusammen­fassen und diese dann über Netzwerk­ressourcen­gruppe der Active Directory-Domänen­dienste auswählen.

    Alternativ erstellt man eine vom Gateway verwaltete Computer-Gruppe über den entsprechenden Befehl im Abschnitt Aktionen. Sie lässt sich dann in der RAP auswählen.

    Benutzer muss man gleich doppelt autorisieren, nämlich in einer CAP und einer RAP. Erstere erlaubt ihnen den Zugang zum Gateway, Zweitere zu den Ressourcen der RDS-Bereitstellung. Nachdem es normal wenig Sinn macht, Benutzer nur für einen davon zu berechtigen, wird man zumeist die gleichen Gruppen in beide Regeln aufnehmen.

    Hinzufügen einer Benutzergruppe zu einer Verbindungs­autorisierungs­richtlinie

    Weitere Einstellungen für das RD Gateway

    In den Eigenschaften des Gateway-Servers finden sich noch weitere Einstellungen, von denen die eine oder andere je nach Umgebung angepasst werden dürfte. Dazu zählen:

    • Begrenzen der maximalen Anzahl an gleichzeitigen Verbindungen sowie die Möglichkeit, vor einer geplanten Wartung keine neuen Verbindungen mehr zuzulassen.
    • Unter den Transport­einstellungen lassen sich die IP-Adresse und der Port für HTTPS und UDP festlegen
    • Anstatt des lokalen NPS lässt sich ein zentraler Network Policy Server verwenden, um die RD CAPS und RD RAPS zu verwalten.
    • Wenn das RD Gateway nicht der Endpunkt der HTTPS-Verbindung ist, sondern die Firewall den HTTPS-Traffic zum Inspizieren ent- und wieder verschlüsselt, dann bietet der Remote­desktop­gateway-Manager zwei Optionen für das Bridging, nämlich HTTPS - HTTPS und HTTPS - HTTP (SSL Offloading). Die deutsche Version von Windows Server 2019 ist schlampig lokalisiert und zeigt in diesem Dialog zwei Mal die gleiche Einstellung. Die erste ist indes HTTPS - HTTPS.

    Einstellungen für das SSL-Bridging

    • Unter Messaging kann man am Client Nachrichten anzeigen lassen, entweder zeitgesteuert (etwa für die Ankündigung einer Wartung) oder generell bei der Anmeldung.
    • Auf der Registerkarte Überwachung legt man fest, welche Ereignisse aufgezeichnet werden sollen. Standardmäßig ist hier das Auditing für alle Events aktiviert.

    Das RD Gateway sollte nun einsatzfähig sein. Bevor man sich von einer Workstation aus mit dem Gateway verbindet, kann man testen, ob der RDP-Client auf dem Gateway-Server in der Lage ist, eine Sitzung auf einem Session Host zu starten. Damit prüft man die Verbindung vom Gateway zum RDS-Deployment.

    Keine Kommentare