Назад | Перейти на главную страницу

RDP через SSL на шлюз RDP и отключение UDP

Я хочу подключиться к виртуальной машине Azure (Windows 2012 R2) через SSL, что AFAIK возможно с помощью службы шлюза RDP. Однако обычно он используется для подключения к другим компьютерам локальной сети, а не к самому шлюзу.

Возможно ли RDP в сам шлюз через SSL? Если да, то что мне указать в настройках RDP для подключения?

Кроме того, могу ли я отключить UDP-соединения, которые использует шлюз? Что в этом случае потеряно?

Спасибо!

Я не уверен, отличается ли это на виртуальной машине Azure, но вам технически не нужны службы шлюза RDP для использования TLS (SSL) с RDP. Собственная служба RDP будет работать через TLS сама по себе, если вы настроите ее таким образом. И если вопрос больше связан с подключением к порту 443, вы можете просто изменить порт прослушивания с 3389 на 443.

Вот как

Итак, самый простой способ настроить и применить большинство Эти настройки явно связаны с групповой политикой. В рамках Windows Components - Remote Desktop Services - Remote Desktop Sesstion Host - Security раздел, у вас есть следующие политики:

  • Установите уровень шифрования клиентского соединения (установите "Высокий уровень")
  • Требовать использования определенного уровня безопасности для удаленных (RDP) подключений (установите для него значение «SSL (TLS 1.0)»
  • Требовать аутентификацию пользователя для удаленных подключений с использованием аутентификации на сетевом уровне (это технически не связано с SSL, но все же является хорошей идеей, если ваши клиенты поддерживают его)

Эти параметры соответствуют следующим параметрам графического интерфейса на уровне узла, которые были доступны в конфигурации узла сеанса удаленного рабочего стола в 2008 R2, но исчезли в 2012 году и позже.

Если вы хотите вручную установить эти параметры без групповой политики на хосте 2012+, самый простой способ - через PowerShell и WMI. В Win32_TSGeneralSetting класс имеет SetEncryptionLevel, SetSecurityLayer, и SetUserAuthenticationRequired методы, которые можно использовать так:

$rdp = gwmi "Win32_TSGeneralSetting" -namespace "root\cimv2\terminalservices" -Filter "TerminalName='RDP-tcp'"
$rdp.SetEncryptionLevel(3)
$rdp.SetSecurityLayer(2)
$rdp.SetUserAuthenticationRequired(1)

К сожалению, нет графического интерфейса или элегантного метода WMI для установки порта прослушивания. Это просто ручное изменение реестра и ручной перезапуск службы TermService. Вам также необходимо добавить правило в брандмауэр, если вы его используете. Технически вы можете использовать предпочтения групповой политики, чтобы сохранить установленное значение, но это не настоящая групповая политика.

Set-ItemProperty -Path HKLM:\SYSTEM\CurrentControlSet\Control\Terminal Server\WinStations\RDP-Tcp -Name PortNumber -Value 443
netsh advfirewall firewall add rule name="RDP Alternate Port" protocol=TCP dir=in localport=443 action=allow
Restart-Service -Name TermService -Force

У меня сейчас нет времени, но я могу попытаться вернуться за дополнительными разъяснениями по фактическим сертификатам.

Да, вы указываете свой шлюз удаленных рабочих столов в клиенте MSTSC. И установите Имя компьютера в качестве имени сервера шлюза.

Если это позволяют политики шлюза удаленных рабочих столов, вы будете подключаться к серверу шлюза удаленных рабочих столов.

Да, вы можете отключить транспорт UDP. Это используется как часть мультимедийных и других улучшений в RD 2012. Будьте уверены, что трафик UDP по-прежнему защищен с помощью DTLS.

http://social.technet.microsoft.com/wiki/contents/articles/10973.configuring-udp-support-on-the-rd-gateway-in-windows-server-2012.aspx