So richten Sie ein Remotedesktopgateway auf einem Windows Server ein

Einrichtung und Fehlerbehebung des Remotedesktopgateways auf einem Windows Server

Wenn Sie beim Einführen eines Remote Desktop Gateways (RD-Gateway) auf Probleme stoßen, sind Sie nicht allein. Manchmal ist die Einrichtung etwas verwirrend – insbesondere, wenn Sie SSL-Zertifikate und Richtlinien verwalten und sicherstellen müssen, dass Ihre Clients problemlos eine Verbindung herstellen können. Dieser Leitfaden soll Ihnen helfen, einige dieser Schwierigkeiten zu überwinden. Ob unklare Richtlinien oder Zertifikatsfehler – Sie erhalten ein besseres Verständnis dafür, wo das Problem liegen könnte und wie Sie es beheben können. Am Ende erhalten Sie eine sicherere und zuverlässigere Remote-Zugriffslösung, die im Bedarfsfall auch tatsächlich funktioniert.

Bereitstellen der RDS-Gateway-Rolle auf Windows Server

Methode 1: Installation über Server-Manager oder PowerShell

Normalerweise stellt man zunächst sicher, dass die RD-Gateway-Rolle auf einem dedizierten Server oder zusammen mit anderen RDS-Rollen installiert ist. In den meisten Fällen ist die Verwendung von PowerShell schneller – denn Windows macht es einem unnötig schwer. Sind Active Directory und RDS bereits bereitgestellt, muss lediglich die Gateway-Rolle installiert und konfiguriert werden.

Um zu überprüfen, ob die Rolle bereits installiert ist, führen Sie folgenden Befehl in PowerShell aus:

Get-WindowsFeature RDS-Gateway

Falls es nicht vorhanden ist, installieren Sie es mit folgendem Befehl:

Install-WindowsFeature RDS-Gateway -IncludeAllSubFeature -IncludeManagementTools

Dadurch werden auch die IIS- und NPS-Rollen aktiviert, sodass das vollständige Paket ausgeführt werden kann. Nach der Installation müssen Sie Zugriffsgruppen in Active Directory über ` dsa.msc` erstellen, zum Beispiel:

  • rdgwExtUsers — für Benutzer, die sich authentifizieren dürfen;
  • rdgwExternalAdmins – für Benutzer, die eine Verbindung zu internen RDS-Hosts herstellen können;
  • mun-rdsfarm — alle Ihre RDS-Hosts und RD Connection Broker, die über das Gateway erreichbar sein sollen.

Methode 2: Richtlinien mithilfe der grafischen Benutzeroberfläche und PowerShell verwalten

Nach der Installation der Rolle müssen Sie im Remotedesktopgateway-Manager (`tsgateway.msc`) Autorisierungsrichtlinien einrichten. Erstellen Sie eine Verbindungsautorisierungsrichtlinie (RD CAP) – diese legt fest, wer Zugriff erhält – und eine Ressourcenautorisierungsrichtlinie (RD RAP) – diese bestimmt, auf welche internen Server die Benutzer zugreifen dürfen. Die Standardeinstellungen sind für Testzwecke in der Regel ausreichend. Achten Sie jedoch auf typische Probleme wie falsche Benutzergruppen oder nicht übereinstimmende Netzwerkressourcen.

Um beispielsweise eine RD-CAP für Ihre externen Benutzer zu erstellen, wählen Sie eine Gruppe wie rdgwExtUsers aus und legen Sie die Authentifizierung auf „Nur Passwort“ oder „Smartcard“ fest. Vergessen Sie nicht, Optionen für die Geräteumleitung und Sitzungs-Timeouts anzugeben – denn manchmal hängen sich Sitzungen ohne ersichtlichen Grund auf.

Falls Sie PowerShell bevorzugen, hier ein kurzes Beispiel für das CAP:

Import-Module -Name RemoteDesktopServices New-Item -Path 'RDS:\GatewayServer\CAP' -Name 'rdgwAllowAutht-CAP' -UserGroups rdgwExtUsers -AuthMethod '1'

Erstellen Sie analog dazu den RAP für den internen Zugriff, entweder über die grafische Benutzeroberfläche oder PowerShell, wie folgt:

New-Item -Path RDS:\GatewayServer\RAP -Name allowextAdminMunRDS -UserGroups "rdgwExternalAdmins" -ComputerGroup "mun-rdsfarm" -Port 3389

Lösung 1: SSL-Zertifikat einrichten – Sicherstellen, dass die Verbindung sicher ist

Ein gültiges SSL-Zertifikat ist unerlässlich. Es verschlüsselt nicht nur Daten, sondern verhindert auch die Verbindung von Clients, wenn das SSL-Zertifikat nicht vertrauenswürdig ist. Sie können zwar testweise ein selbstsigniertes Zertifikat verwenden, dies führt jedoch häufig zu Vertrauensproblemen. In der Regel ist ein echtes Zertifikat einer Zertifizierungsstelle (wie Let’s Encrypt oder einem kostenpflichtigen Anbieter) besser, insbesondere wenn sich die Clients außerhalb Ihrer Domain befinden.

Wechseln Sie zur RD-Gateway-Konsole, öffnen Sie den Tab „SSL-Zertifikat“ und importieren Sie entweder Ihr vorhandenes vertrauenswürdiges Zertifikat oder erstellen Sie ein selbstsigniertes. Vergessen Sie nicht, den FQDN Ihres Servers im Antragstellernamen oder in den SANs anzugeben – andernfalls erhalten Clients Fehlermeldungen aufgrund von Namenskonflikten.

Die Ports 443 (TCP) und 3391 (UDP) müssen in Ihrer Firewall geöffnet sein, um den öffentlichen Datenverkehr an Ihren RD-Gateway-Server weiterzuleiten. Typisch Windows!

Lösung 2: Den RDP-Client richtig konfigurieren

Sobald serverseitig alles eingerichtet ist, sind clientseitig noch einige Anpassungen nötig. Starten Sie ` mstsc.exe` und klicken Sie im Reiter „ Erweitert “ unter „Von überall verbinden“ auf „ Einstellungen “.

  • Legen Sie den Hostnamen des RD-Gateway-Servers fest (z. B.gw.yourdomain.com ) – dieser muss mit dem im SSL-Zertifikat übereinstimmen.
  • Wenn Sie einen anderen Port verwenden, geben Sie diesen nach dem Hostnamen an – zum Beispiel gw.yourdomain.com:4443.
  • Aktivieren Sie die Option „Meine RD-Gateway-Anmeldeinformationen für den Remotecomputer verwenden“, um Anmeldeprobleme zu vermeiden.

Achtung: Wenn Ihr Zertifikat selbstsigniert ist, müssen Sie es auf dem Client in den Speicher der vertrauenswürdigen Stammzertifizierungsstellen importieren, da die Verbindung sonst mit Fehlermeldungen blockiert wird. In manchen Umgebungen ist das immer noch umständlich – insbesondere bei vielen Remote-Benutzern oder strengen Sicherheitsrichtlinien.

Lösung 3: Behebung von Verbindungsfehlern – Häufige Ursachen

Falls die Verbindungen nicht hergestellt werden können, überprüfen Sie bitte Folgendes:

  • Stellen Sie sicher, dass die Namen des SSL-Zertifikats exakt mit dem vom Client verwendeten DNS-Namen übereinstimmen. Abweichungen führen zu Verbindungsfehlern („Ihr Computer kann keine Verbindung herstellen…“).
  • Überprüfen Sie, ob die Ports geöffnet und korrekt weitergeleitet sind. Führen Sie auf dem Server den Befehl `netstat -an` aus, um zu prüfen, ob die Ports 443 und 3391 aktiv sind.
  • Überprüfen Sie Ihre Firewall-Regeln – eingehende Regeln für TCP 443/3391 und ausgehende Regeln, die den Rückverkehr zulassen;
  • Prüfen Sie die Ereignisanzeige-Protokolle unter Anwendungs- und Dienstprotokolle > Microsoft > Windows > TerminalServices-Gateway auf IDs wie 205, um erfolgreiche Verbindungen oder Fehler zu bestätigen.
  • Stellen Sie sicher, dass Ihre Clients dem SSL-Zertifikat vertrauen, insbesondere wenn Sie selbstsignierte Zertifikate verwendet haben. Manchmal behebt das Importieren des Root-Zertifikats auf den Clients das Problem.

Die meisten Probleme entstehen durch fehlerhafte DNS-Namen, unzutreffende Portweiterleitungen oder nicht vertrauenswürdige Zertifikate. Kleine Fehler, die jedoch jeglichen Fernzugriff blockieren.

Lösung 4: Betrieb des Remotedesktopgateways ohne Active Directory (Arbeitsgruppeneinrichtung)

Keine Sorge, falls Sie sich nicht in einer Domäne befinden. Sie können RD Gateway auch in einer Arbeitsgruppenumgebung bereitstellen, allerdings ist hierfür eine zusätzliche manuelle Konfiguration erforderlich. Installieren Sie die Rolle über PowerShell:

Install-WindowsFeature RDS-Gateway -IncludeAllSubFeature -IncludeManagementTools

Öffnen Sie den RD-Gateway-Manager und erstellen Sie die erforderlichen Richtlinien wie zuvor. Stellen Sie sicher, dass Sie ein gültiges SSL-Zertifikat einrichten – ein selbstsigniertes Zertifikat funktioniert zwar, aber ein Zertifikat mit längerer Gültigkeitsdauer vereinfacht die Nutzung für Clients.

Für zusätzliche Sicherheit öffnen Sie PowerShell und generieren Sie ein selbstsigniertes Zertifikat mit mehr SANs, insbesondere wenn sich Ihr Hostname oder Ihre IP-Adressen ändern:

$todaydate = Get-Date $addyear = $todaydate. AddYears(5) New-SelfSignedCertificate -dnsname gw1.yourdomain.com, 10.11.12.13, rdgw.yourdomain.com -notafter $addyear -CertStoreLocation cert:\LocalMachine\My

Dieses Zertifikat muss anschließend in den persönlichen Zertifikatsspeicher importiert und in den Eigenschaften des Remotedesktopgateways unter dem Tab „SSL-Zertifikat“ zugewiesen werden. Exportieren Sie außerdem das Zertifikat (ohne privaten Schlüssel), um es auf den Clients zu installieren, damit diese dem Gateway vertrauen.

Zusammenfassung

Die Einrichtung des Remotedesktopgateways kann etwas knifflig sein, insbesondere im Hinblick auf SSL-Zertifikate und -Richtlinien. Ist es jedoch korrekt konfiguriert, stellt es eine deutliche Verbesserung gegenüber der direkten Bereitstellung von RDP über das Internet dar. Achten Sie lediglich auf Namenskonflikte und stellen Sie sicher, dass Ihre Ports geöffnet und korrekt weitergeleitet sind. Danach sollten sich alle Client-Verbindungsprobleme in der Regel beheben lassen.

Zusammenfassung

  • Die RDS-Gateway-Rolle wurde über PowerShell oder den Server-Manager installiert.
  • Konfigurierte Autorisierungsrichtlinien und Geräteumleitung
  • Vertrauenswürdige SSL-Zertifikate wurden installiert und die erforderlichen Ports (443/3391) geöffnet.
  • RDP-Clients mit korrekten Servernamen und Zertifikaten konfiguriert
  • Die Ereignisprotokolle wurden auf Verbindungserfolg oder -fehler überprüft.

Ich drücke die Daumen, dass es hilft.

Halten Sie Ihre SSL-Zertifikate stets aktuell und überprüfen Sie DNS und Ports, falls etwas nicht funktioniert. Hoffentlich erspart Ihnen das ein paar Stunden Fehlersuche – es hat sich bei mehreren Systemen bewährt, also probieren Sie es einfach mal aus!