Я хочу подключиться к виртуальной машине Azure (Windows 2012 R2) через SSL, что AFAIK возможно с помощью службы шлюза RDP. Однако обычно он используется для подключения к другим компьютерам локальной сети, а не к самому шлюзу.
Возможно ли RDP в сам шлюз через SSL? Если да, то что мне указать в настройках RDP для подключения?
Кроме того, могу ли я отключить UDP-соединения, которые использует шлюз? Что в этом случае потеряно?
Спасибо!
Я не уверен, отличается ли это на виртуальной машине Azure, но вам технически не нужны службы шлюза RDP для использования TLS (SSL) с RDP. Собственная служба RDP будет работать через TLS сама по себе, если вы настроите ее таким образом. И если вопрос больше связан с подключением к порту 443, вы можете просто изменить порт прослушивания с 3389 на 443.
Итак, самый простой способ настроить и применить большинство Эти настройки явно связаны с групповой политикой. В рамках Windows Components - Remote Desktop Services - Remote Desktop Sesstion Host - Security
раздел, у вас есть следующие политики:
Эти параметры соответствуют следующим параметрам графического интерфейса на уровне узла, которые были доступны в конфигурации узла сеанса удаленного рабочего стола в 2008 R2, но исчезли в 2012 году и позже.
Если вы хотите вручную установить эти параметры без групповой политики на хосте 2012+, самый простой способ - через PowerShell и WMI. В Win32_TSGeneralSetting класс имеет SetEncryptionLevel, SetSecurityLayer, и SetUserAuthenticationRequired методы, которые можно использовать так:
$rdp = gwmi "Win32_TSGeneralSetting" -namespace "root\cimv2\terminalservices" -Filter "TerminalName='RDP-tcp'"
$rdp.SetEncryptionLevel(3)
$rdp.SetSecurityLayer(2)
$rdp.SetUserAuthenticationRequired(1)
К сожалению, нет графического интерфейса или элегантного метода WMI для установки порта прослушивания. Это просто ручное изменение реестра и ручной перезапуск службы TermService. Вам также необходимо добавить правило в брандмауэр, если вы его используете. Технически вы можете использовать предпочтения групповой политики, чтобы сохранить установленное значение, но это не настоящая групповая политика.
Set-ItemProperty -Path HKLM:\SYSTEM\CurrentControlSet\Control\Terminal Server\WinStations\RDP-Tcp -Name PortNumber -Value 443
netsh advfirewall firewall add rule name="RDP Alternate Port" protocol=TCP dir=in localport=443 action=allow
Restart-Service -Name TermService -Force
У меня сейчас нет времени, но я могу попытаться вернуться за дополнительными разъяснениями по фактическим сертификатам.
Да, вы указываете свой шлюз удаленных рабочих столов в клиенте MSTSC. И установите Имя компьютера в качестве имени сервера шлюза.
Если это позволяют политики шлюза удаленных рабочих столов, вы будете подключаться к серверу шлюза удаленных рабочих столов.
Да, вы можете отключить транспорт UDP. Это используется как часть мультимедийных и других улучшений в RD 2012. Будьте уверены, что трафик UDP по-прежнему защищен с помощью DTLS.