Een Remote Desktop Gateway instellen op Windows Server

Hoe configureert en lost u problemen op met Remote Desktop Gateway op Windows Server?

Als u problemen ondervindt bij de implementatie van Remote Desktop Gateway (RD Gateway), bent u niet de enige. Het installatieproces kan soms verwarrend zijn, vooral wanneer u te maken hebt met SSL-certificaten, beleidsregels en ervoor moet zorgen dat uw clients probleemloos verbinding kunnen maken. Deze handleiding helpt u om een ​​aantal van die knopen te ontwarren, zodat u, of het nu gaat om onduidelijke beleidsregels of certificaatfouten, een beter beeld krijgt van wat er mis kan zijn en wat u kunt doen om het op te lossen. Uiteindelijk krijgt u een veiligere en betrouwbaardere configuratie voor externe toegang die daadwerkelijk werkt wanneer dat nodig is.

De RDS-Gateway-rol implementeren op Windows Server

Methode 1: Installeren via Server Manager of PowerShell

Doorgaans begin je met ervoor te zorgen dat de RD Gateway-rol is geïnstalleerd op een dedicated server of samen met andere RDS-rollen. Voor de meeste configuraties is het gebruik van PowerShell sneller – Windows maakt het immers onnodig ingewikkeld. Als Active Directory en RDS al zijn geïmplementeerd, hoef je alleen nog maar de gateway-rol te installeren en te configureren.

Om te controleren of de rol al is geïnstalleerd, voert u dit commando uit in PowerShell:

Get-WindowsFeature RDS-Gateway

Als het er niet is, installeer het dan met:

Install-WindowsFeature RDS-Gateway -IncludeAllSubFeature -IncludeManagementTools

Dit activeert ook de IIS- en NPS-rollen, zodat het volledige pakket werkt. Na de installatie moet u toegangsgroepen in Active Directory aanmaken via ` dsa.msc`, bijvoorbeeld:

• rdgwExtUsers — voor gebruikers die gemachtigd zijn om zich te authenticeren;
• rdgwExternalAdmins — voor gebruikers die verbinding kunnen maken met interne RDS-hosts;
• mun-rdsfarm — al uw RDS-hosts en RD Connection Broker die u via de gateway wilt kunnen benaderen.

Methode 2: Beleidsregels beheren met behulp van de grafische gebruikersinterface (GUI) en PowerShell.

Nadat de rol is geïnstalleerd, is de volgende stap het instellen van autorisatiebeleid in de RD Gateway Manager (`tsgateway.msc`).Maak een verbindingsautorisatiebeleid (RD CAP) aan – dit bepaalt wie toegang krijgt – en een resourceautorisatiebeleid (RD RAP) – tot welke interne servers ze toegang hebben. De standaardinstellingen werken meestal prima voor testdoeleinden, maar let op veelvoorkomende problemen zoals onjuiste gebruikersgroepen of niet-overeenkomende netwerkbronnen.

Het aanmaken van een RD CAP voor uw externe gebruikers kan bijvoorbeeld inhouden dat u een groep kiest zoals rdgwExtUsers en de authenticatie instelt op alleen wachtwoord of smartcard. Vergeet niet om opties voor apparaatomleiding en sessietime-outs op te geven, want soms blijven sessies zonder duidelijke reden hangen.

Als je liever PowerShell gebruikt, volgt hier een kort voorbeeld voor de CAP:

Import-Module -Name RemoteDesktopServices New-Item -Path 'RDS:\GatewayServer\CAP' -Name 'rdgwAllowAutht-CAP' -UserGroups rdgwExtUsers -AuthMethod '1'

Maak op dezelfde manier de RAP voor interne toegang aan, met behulp van de grafische gebruikersinterface (GUI) of PowerShell, bijvoorbeeld:

New-Item -Path RDS:\GatewayServer\RAP -Name allowextAdminMunRDS -UserGroups "rdgwExternalAdmins" -ComputerGroup "mun-rdsfarm" -Port 3389

Oplossing 1: SSL-certificaat instellen – Zorg ervoor dat de verbinding beveiligd is

Het toevoegen van een degelijk SSL-certificaat is absoluut cruciaal. Het versleutelt niet alleen gegevens, maar clients zullen ook geen verbinding maken als het SSL-certificaat niet wordt vertrouwd. Je kunt een zelfondertekend certificaat gebruiken (als je aan het testen bent), maar dit leidt vaak tot vertrouwensproblemen. Meestal is een echt certificaat van een certificeringsinstantie (zoals Let’s Encrypt of een betaalde provider) beter, vooral als clients zich buiten je domein bevinden.

Ga naar de RD Gateway-console, open het tabblad SSL-certificaat en importeer uw bestaande vertrouwde certificaat of maak een zelfondertekend certificaat aan. Vergeet niet de FQDN van uw server op te nemen in de Subject Name of SAN’s; anders krijgen clients foutmeldingen over naamconflicten.

Poorten 443 (TCP) en 3391 (UDP) moeten openstaan ​​in uw firewall, zodat openbaar verkeer naar uw RD Gateway-server wordt doorgestuurd. Want natuurlijk moet Windows het weer ingewikkeld maken!

Oplossing 2: De RDP-client correct configureren

Zodra alles aan de serverzijde is ingesteld, moeten er aan de clientzijde nog wat aanpassingen worden gedaan. Start ` mstsc.exe` en klik in het tabblad ‘Geavanceerd ‘ op ‘ Instellingen’ onder ‘Verbinden vanaf elke locatie’.

• Stel de hostnaam van de RD Gateway-server in (bijvoorbeeld gw.yourdomain.com ) — deze moet overeenkomen met de hostnaam in het SSL-certificaat.
• Als je een andere poort hebt gebruikt, geef deze dan na de hostnaam op, bijvoorbeeld gw.yourdomain.com:4443.
• Vink “Mijn RD Gateway-referenties gebruiken voor de externe computer” aan om inlogproblemen te voorkomen.

Let op: als uw certificaat zelfondertekend is, moet u het importeren in de opslagplaats voor Vertrouwde basiscertificeringsinstanties op de client, anders wordt de verbinding geblokkeerd met foutmeldingen. In sommige configuraties kan dat nog steeds lastig zijn, vooral als u te maken hebt met veel externe gebruikers of strenge beveiligingsregels.

Oplossing 3: Problemen met verbindingsfouten oplossen — Veelvoorkomende oorzaken

Als de verbindingen niet tot stand komen, controleer dan het volgende:

• Zorg ervoor dat de namen in het SSL-certificaat exact overeenkomen met de DNS-naam die door de client wordt gebruikt. Een verschil tussen de namen leidt tot verbindingsproblemen (“Uw computer kan geen verbinding maken…”).
• Controleer of de poorten openstaan ​​en correct zijn doorgestuurd. Voer `netstat -an` uit op de server om te zien of poorten 443 en 3391 actief zijn.
• Controleer uw firewallregels: inkomende regels voor TCP 443/3391 en uitgaande regels die retourverkeer toestaan.
• Raadpleeg de gebeurtenislogboeken in de Logboeken onder Toepassings- en servicelogboeken > Microsoft > Windows > TerminalServices-Gateway voor ID’s zoals 205 om te bevestigen of er succesvolle verbindingen of fouten zijn opgetreden.
• Zorg ervoor dat uw klanten het SSL-certificaat vertrouwen, vooral als u zelfondertekende certificaten hebt gebruikt. Soms lost het importeren van het rootcertificaat in de clients het probleem op.

De meeste problemen worden veroorzaakt door onjuiste DNS-namen, verkeerde port forwarding of onbetrouwbare certificaten. Kleine fouten, maar ze blokkeren alle pogingen tot toegang op afstand.

Oplossing 4: RD Gateway uitvoeren zonder Active Directory (werkgroepconfiguratie)

Maak je geen zorgen als je geen deel uitmaakt van een domein. Je kunt RD Gateway nog steeds implementeren in een werkgroepomgeving, maar je moet dan wel wat extra handmatige configuratie uitvoeren. Installeer de rol via PowerShell:

Install-WindowsFeature RDS-Gateway -IncludeAllSubFeature -IncludeManagementTools

Open de RD Gateway Manager en maak de benodigde beleidsregels aan, net als voorheen. Zorg ervoor dat u een geldig SSL-certificaat instelt; een zelfondertekend certificaat is voldoende, maar een certificaat met een lange geldigheidsduur maakt het leven voor clients een stuk gemakkelijker.

Voor extra beveiliging kunt u PowerShell openen en een zelfondertekend certificaat met meer SAN’s genereren, vooral als uw hostnaam of IP-adressen wijzigen:

$todaydate = Get-Date $addyear = $todaydate. AddYears(5) New-SelfSignedCertificate -dnsname gw1.yourdomain.com, 10.11.12.13, rdgw.yourdomain.com -notafter $addyear -CertStoreLocation cert:\LocalMachine\My

Dit certificaat moet vervolgens worden geïmporteerd in de persoonlijke certificatenopslag en worden toegewezen in de RD Gateway-eigenschappen onder het tabblad SSL-certificaat. Exporteer het certificaat (zonder privésleutel) ook om het op clients te installeren, zodat ze de gateway vertrouwen.

Samenvatting

Het opzetten en in gebruik nemen van RD Gateway kan een behoorlijke uitdaging zijn, vooral met SSL-certificaten en -beleid. Maar zodra het correct is geconfigureerd, is het een enorme verbetering ten opzichte van het rechtstreeks blootstellen van RDP aan het internet. Let wel op naamconflicten en zorg ervoor dat uw poorten openstaan ​​en correct zijn doorgestuurd. Daarna lossen alle verbindingsproblemen met clients zich meestal vanzelf op.

Samenvatting

• De RDS-Gateway-rol is geïnstalleerd via PowerShell of Server Manager.
• Geconfigureerde autorisatiebeleidsregels en apparaatomleiding
• Vertrouwde SSL-certificaten geïnstalleerd en benodigde poorten (443/3391) geopend.
• RDP-clients geconfigureerd met de juiste servernamen en certificaten.
• De gebeurtenislogboeken zijn gecontroleerd op succesvolle of mislukte verbindingen.

Laten we hopen dat dit helpt.

Zorg er altijd voor dat je SSL-certificaten up-to-date zijn en controleer de DNS-instellingen en poorten als er iets niet werkt. Hopelijk bespaart dit je een paar uur aan gedoe — het is in ieder geval iets dat op meerdere systemen heeft gewerkt, dus probeer het gerust!