Haluaisitko nähdä sivuston eri kielellä?
TSPLUS BLOG
Etätyöpöytäportin (RD Gateway) määrittäminen on yksi tehokkaimmista tavoista suojata etätyöpöytäkytkentöjä ilman VPN:ien käyttöä. Tämä opas selittää, kuinka RDP Gateway asetetaan Windows Serveriin, selkeillä asennus-, konfigurointi-, testaus- ja hallintavaatimuksilla, samalla korostaen, kuinka TSplus Remote Access voi tarjota yksinkertaisemman ja kustannustehokkaamman vaihtoehdon.
)
IT-järjestelmänvalvojien on tarjottava työntekijöille luotettava ja turvallinen pääsy sisäisiin työpöytiin ja sovelluksiin. Perinteisesti tämä saavutettiin altistamalla RDP portissa 3389 tai luottamalla VPN:ään. Molemmat lähestymistavat tuovat mukanaan monimutkaisuutta ja mahdollisia turvallisuusriskejä. Microsoftin Remote Desktop Gateway (RD Gateway) ratkaisee tämän tunnelointimalla Remote Desktop -yhteydet HTTPS:n kautta portissa 443. Tässä artikkelissa käymme läpi RD Gatewayn asennusprosessin Windows Serverissä ja keskustelemme siitä, kuinka TSplus Remote Access tarjoaa helpomman, skaalautuvan vaihtoehdon kaikenkokoisille organisaatioille.
Etätyöpöytäportti (RD Gateway) on Windows Server -rooli, joka mahdollistaa turvalliset etäyhteydet sisäisiin resursseihin internetin kautta tunneloinnin avulla RDP-liikennettä HTTPS:n kautta portissa 443. Se suojaa bruteforce-hyökkäyksiltä SSL:llä. TLS-salaus ja soveltaa tiukkoja pääsääntöjä Yhteydenvaltuutuspolitiikkojen (CAP) ja Resurssivaltuutuspolitiikkojen (RAP) kautta, antaen järjestelmänvalvojille tarkkaa hallintaa siitä, kuka voi muodostaa yhteyden ja mitä he voivat käyttää
Yksi RD Gatewayn suurimmista eduista on sen riippuvuus HTTPS:stä, mikä mahdollistaa käyttäjien yhteyden muodostamisen verkkojen kautta, jotka normaalisti estäisivät RDP-liikenteen. Integraatio SSL-sertifikaattien kanssa varmistaa myös salatut istunnot, ja järjestelmänvalvojat voivat määrittää CAP:it ja RAP:it rajoittaakseen pääsyä käyttäjäroolien, laiteyhteensopivuuden tai vuorokaudenajan perusteella.
Vaikka VPN:ät ovat yleinen tapa tarjota etäyhteys, ne vaativat usein monimutkaisempaa konfigurointia ja voivat altistaa laajempia osia verkosta kuin on tarpeen. Sen sijaan RD Gateway keskittyy erityisesti RDP-istuntojen suojaamiseen. Se ei myönnä pääsyä koko verkkoon, vain hyväksyttyihin työpöytiin ja sovelluksiin. Tämä kapeampi laajuus auttaa vähentämään hyökkäyspintaa ja yksinkertaistaa vaatimustenmukaisuutta aloilla, joilla on tiukat hallintovaatimukset.
Ennen RD Gatewayn määrittämistä varmista, että palvelimesi on liitetty Active Directory -verkkotunnukseen ja että se käyttää Windows Server 2016:ta tai uutta versiota, jossa on asennettuna Remote Desktop Services -rooli. Konfiguroinnin suorittamiseen tarvitaan järjestelmänvalvojan oikeudet. Tarvitset myös voimassa olevan SSL-sertifikaatti luotettavalta CA: lta turvallisten yhteyksien varmistamiseksi ja oikein määritettyjen DNS-tietueiden, jotta ulkoinen isäntänimi ratkaisee palvelimen julkiseen IP-osoitteeseen. Ilman näitä elementtejä portti ei toimi oikein.
Asennus voidaan suorittaa joko [through the]
Palvelin Hallinta
GUI tai PowerShell. Käyttämällä Server Manageria järjestelmänvalvoja lisää Remote Desktop Gateway -roolin Add Roles and Features -ohjelman kautta. Prosessi asentaa automaattisesti tarvittavat komponentit, kuten IIS. Automatisointia tai nopeampaa käyttöönottoa varten PowerShell on käytännöllinen vaihtoehto. Komennon suorittaminen
Asenna-WindowsFeature RDS-Gateway -IncludeAllSubFeature -Restart
asentaa roolin ja käynnistää palvelimen uudelleen tarpeen mukaan.
Kun asennus on valmis, järjestelmänvalvojat voivat vahvistaa asennuksen kanssa
Get-WindowsFeature RDS-Gateway
, joka näyttää ominaisuuden asennustilan.
SSL-sertifikaatti on tuettava ja sidottava RD Gateway -palvelimeen, jotta kaikki RDP-liikenne voidaan salata HTTPS:n yli. Järjestelmänvalvojat avaavat RD Gateway Managerin, siirtyvät SSL-sertifikaatti-välilehdelle ja tuovat .pfx-tiedoston. Luotettavalta CA:lta saatu sertifikaatti välttää asiakasluottamusongelmia.
Testiympäristöjä käyttävien organisaatioiden osalta itse allekirjoitettu sertifikaatti saattaa riittää, mutta tuotannossa suositellaan julkisia sertifikaatteja. Ne varmistavat, että organisaation ulkopuolelta yhteyttä ottavat käyttäjät eivät kohtaa varoituksia tai estettyjä yhteyksiä.
Seuraava vaihe on määrittää politiikat, jotka hallitsevat käyttäjien pääsyä. Yhteydenvaltuutuspolitiikat määrittävät, mitkä käyttäjät tai ryhmät saavat muodostaa yhteyden portin kautta. Vahvistusmenetelmiä, kuten salasanoja, älykortteja tai molempia, voidaan vaatia. Laitteen uudelleenohjaus voidaan myös sallia tai rajoittaa riippuen turvallisuustilanteesta.
Resurssivaltakäytännöt määrittelevät sitten, mihin sisäisiin palvelimiin tai työpöytiin käyttäjät voivat päästä. Järjestelmänvalvojat voivat ryhmitellä resursseja IP-osoitteiden, isäntänimien tai Active Directory -objektien mukaan. Tämä käyttäjä- ja resurssipolitiikkojen erottelu tarjoaa tarkan hallinnan ja vähentää luvattoman pääsyn riskiä.
Testaus varmistaa, että kokoonpano toimii odotetusti. Windows-asiakkaalla voidaan käyttää etätyöpöytäyhteysohjelmaa (mstsc). Lisäasetuksissa käyttäjä määrittää RD Gateway -palvelimen ulkoisen isäntänimen. Tietojen antamisen jälkeen yhteyden pitäisi muodostua ongelmitta.
Järjestelmänvalvojat voivat myös suorittaa komentorivitestauksia, joissa on
mstsc /v:
Lokien valvonta RD Gateway Managerissa auttaa varmistamaan, että todennus ja resurssien valtuutus toimivat määritellyllä tavalla.
Koska RD Gateway käyttää
portti 443
järjestelmänvalvojien on sallittava saapuva HTTPS-liikenne palomuurissa. NAT-laitteen takana oleville organisaatioille porttiohjauksen on ohjattava portin 443 pyynnöt RD Gateway -palvelimelle. Oikeat DNS-tiedot on oltava kunnossa, jotta ulkoinen isäntänimi (esimerkiksi
rdgateway.company.com
) ratkaisee oikean julkisen IP-osoitteen. Nämä asetukset varmistavat, että yritysverkon ulkopuoliset käyttäjät voivat saavuttaa RD Gatewayn ongelmitta.
Jatkuva valvonta on kriittistä turvallisen ympäristön ylläpitämiseksi. RD Gateway Manager tarjoaa sisäänrakennettuja valvontatyökaluja, jotka näyttävät aktiiviset istunnot, istuntojen keston ja epäonnistuneet kirjautumisyritykset. Lokien säännöllinen tarkastelu auttaa tunnistamaan mahdolliset bruteforce-hyökkäykset tai väärät kokoonpanot. Valvonnan integroiminen keskitettyihin lokitusalustoihin voi tarjota vielä syvempää näkyvyyttä ja hälytysmahdollisuuksia.
Vaikka RD Gateway on tehokas työkalu, useita yleisiä ongelmia voi ilmetä asennuksen ja käytön aikana. SSL-sertifikaattiongelmat ovat yleisiä, erityisesti kun itse allekirjoitettuja sertifikaatteja käytetään tuotannossa. Julkisesti luotettavien sertifikaattien käyttäminen minimoi nämä päänsäryt.
Toinen yleinen ongelma liittyy DNS-konfigurointivirheisiin. Jos ulkoinen isäntänimi ei ratkaise oikein, käyttäjät eivät voi muodostaa yhteyttä. Tarkkojen DNS-tietueiden varmistaminen sekä sisäisesti että ulkoisesti on välttämätöntä. Palomuurin konfigurointivirheet voivat myös estää liikennettä, joten järjestelmänvalvojien tulisi tarkistaa porttiohjaukset ja palomuurisäännöt vianetsinnän yhteydessä.
Lopuksi CAP- ja RAP-politiikkojen on oltava huolellisesti linjassa. Jos käyttäjät on valtuutettu CAP:lla mutta heille ei anneta pääsyä RAP:lla, yhteydet evätään. Politiikan järjestyksen ja laajuuden tarkastelu voi ratkaista tällaiset pääsyongelmat nopeasti.
Vaikka RD Gateway tarjoaa turvallisen tavan julkaista RDP:tä HTTPS:n yli, sen käyttöönotto ja hallinta voivat olla monimutkaisia, erityisesti pienille ja keskikokoisille yrityksille. Tässä vaiheessa TSplus Etäyhteys tulee yksinkertaistettuna, kustannustehokkaana ratkaisuna.
TSplus Remote Access poistaa tarpeen määrittää CAP:ita, RAP:ita ja SSL-sidoksia manuaalisesti. Sen sijaan se tarjoaa yksinkertaisen verkkopohjaisen portaalin, joka mahdollistaa käyttäjien yhdistää työpöytiinsä tai sovelluksiinsa suoraan selaimen kautta. HTML5-tuen ansiosta lisäasiakasohjelmistoa ei tarvita. Tämä tekee etäyhteydestä saavutettavan kaikilla laitteilla, mukaan lukien tabletit ja älypuhelimet.
Lisäksi käyttöönoton helppouden ohella, TSplus Etäyhteys on merkittävästi edullisempaa kuin Windows Server RDS -infrastruktuurin toteuttaminen ja ylläpito. Organisaatiot voivat hyötyä ominaisuuksista, kuten sovellusten julkaisemisesta, turvallisesta verkkopääsystä ja monikäyttäjätuesta, kaikki yhdessä alustassa. IT-tiimeille, jotka etsivät tasapainoa turvallisuuden, suorituskyvyn ja yksinkertaisuuden välillä, ratkaisumme on erinomainen vaihtoehto perinteisille RDP Gateway -asennuksille.
Etätyöpöytäportin määrittäminen auttaa organisaatioita suojaamaan RDP-liikennettä ja tarjoamaan salattua pääsyä ilman, että porttia 3389 altistetaan tai luotetaan VPN:iin. Kuitenkin sertifikaattien, CAL:ien, RAP:ien ja palomuurisääntöjen hallinnan monimutkaisuus voi tehdä RD Gatewayn hallinnasta haastavaa pienemmille tiimeille. TSplus Remote Access tarjoaa yksinkertaisemman, edullisen lähestymistavan, joka tarjoaa saman turvallisen yhteyden vähemmillä esteillä. Olipa kyseessä RD Gatewayn käyttöönotto tai TSplusin valinta, tavoite pysyy samana: mahdollistaa luotettava, turvallinen ja tehokas etäyhteys nykyaikaisten työvoimien tukemiseksi.
Sinun TSplus tiimisi
Yhden napsautuksen etäyhteys
Ihanteellinen vaihtoehto Citrixille ja Microsoft RDS:lle etätyöpöytäyhteyksiin ja Windows-sovellusten toimitukseen.
Kokeile ilmaiseksiLUOTETTU YLI 500 000 YRITYKSEN TOIMESTA
Liittyvät artikkelit
)
Tässä teknisessä artikkelissa käymme läpi, kuinka RDP konfiguroidaan Windows-rekisterin kautta—sekä paikallisesti että etänä. Käymme myös läpi PowerShell-vaihtoehtoja, palomuurin konfigurointia ja turvallisuusnäkökohtia.
)
Tämä artikkeli tarjoaa täydellisiä ja teknisesti tarkkoja menetelmiä salasanojen muuttamiseen tai palauttamiseen Remote Desktop Protocol (RDP) -protokollan kautta, varmistaen yhteensopivuuden verkkotunnus- ja paikallisympäristöjen kanssa sekä mukauttaen sekä vuorovaikutteisia että hallinnollisia työnkulkuja.
)
Tutustu siihen, miten ohjelmisto palveluna (SaaS) muuttaa liiketoimintaprosesseja. Opi sen eduista, yleisistä käyttötapauksista ja siitä, miten TSplus Remote Access soveltuu SaaS-periaatteisiin parantaakseen etätyöratkaisuja.
)
Tutustu tässä artikkelissa siihen, mitä RDP Remote Desktop Software on, miten se toimii, sen keskeiset ominaisuudet, hyödyt, käyttötapaukset ja turvallisuuden parhaat käytännöt.
