)
)
Pakilala
Kailangan ng mga IT administrator na magbigay sa mga empleyado ng maaasahan at secure na access sa mga panloob na desktop at aplikasyon. Tradisyonal na naabot ito sa pamamagitan ng pag-expose ng RDP sa port 3389 o umaasa sa isang VPN. Parehong nagdadala ng kumplikado at potensyal na panganib sa seguridad ang mga pamamaraang ito. Ang Remote Desktop Gateway (RD Gateway) ng Microsoft ay naglutas nito sa pamamagitan ng pag-tunnel ng mga koneksyon sa Remote Desktop sa pamamagitan ng HTTPS sa port 443. Sa artikulong ito, susuriin natin ang proseso ng pag-setup para sa RD Gateway sa Windows Server at tatalakayin kung paano nag-aalok ang TSplus Remote Access ng mas madali at scalable na alternatibo para sa mga organisasyon ng lahat ng laki.
Ano ang RDP Gateway?
Ang Remote Desktop Gateway (RD Gateway) ay isang papel ng Windows Server na nagpapahintulot ng secure na remote na koneksyon sa mga panloob na mapagkukunan sa pamamagitan ng internet sa pamamagitan ng pag-tunnel ng RDP traffic sa HTTPS sa port 443. Pinoprotektahan nito laban sa mga brute-force na pag-atake gamit ang SSL. enkripsi TLS at nag-aaplay ng mahigpit na mga patakaran sa pag-access sa pamamagitan ng Connection Authorization Policies (CAPs) at Resource Authorization Policies (RAPs), na nagbibigay sa mga administrador ng detalyadong kontrol kung sino ang maaaring kumonekta at kung ano ang kanilang ma-access
- Mga Pangunahing Tampok ng RD Gateway
- Paano Ito Naiiba sa VPNs
Mga Pangunahing Tampok ng RD Gateway
Isa sa mga pinakamalaking bentahe ng RD Gateway ay ang pag-asa nito sa HTTPS, na nagpapahintulot sa mga gumagamit na kumonekta sa mga network na karaniwang nagba-block ng RDP traffic. Ang integrasyon sa mga SSL certificate ay tinitiyak din ang mga naka-encrypt na sesyon, at maaaring i-configure ng mga administrator ang mga CAP at RAP upang limitahan ang access batay sa mga tungkulin ng gumagamit, pagsunod ng device, o oras ng araw.
Paano Ito Naiiba sa VPNs
Bagaman ang mga VPN ay karaniwang paraan upang magbigay ng remote access, madalas silang nangangailangan ng mas kumplikadong pagsasaayos at maaaring ilantad ang mas malawak na bahagi ng network kaysa sa kinakailangan. Sa kabaligtaran, ang RD Gateway ay nakatuon sa pag-secure ng mga RDP session. Hindi ito nagbibigay ng access sa buong network, kundi sa mga aprubadong desktop at aplikasyon lamang. Ang mas makitid na saklaw na ito ay tumutulong upang bawasan ang attack surface at pinadali ang pagsunod sa mga industriya na may mahigpit na mga kinakailangan sa pamamahala.
Paano Mag-set Up ng RDP Gateway? Gabay na Hakbang-hakbang
- Mga Kinakailangan Bago ang Pagsasaayos
- I-install ang RD Gateway Role
- I-configure ang SSL Certificate
- Lumikha ng mga Patakaran sa CAP at RAP
- Subukan ang Iyong RD Gateway Koneksyon
- Firewall, NAT, at DNS na Mga Pagbabago
- I-monitor at Pamahalaan ang RD Gateway
Hakbang 1: Mga Kinakailangan Bago ang Pagsasaayos
Bago i-set up ang RD Gateway, siguraduhin na ang iyong server ay nakasali sa Active Directory domain at tumatakbo sa Windows Server 2016 o mas bago na may naka-install na Remote Desktop Services role. Kinakailangan ang mga karapatan ng Administrator upang makumpleto ang configuration. Kailangan mo rin ng isang valid sertipiko ng SSL mula sa isang pinagkakatiwalaang CA upang mapanatili ang mga koneksyon at maayos na na-configure na mga tala ng DNS upang ang panlabas na hostname ay tumutukoy sa pampublikong IP ng server. Kung wala ang mga elementong ito, hindi gagana nang tama ang gateway.
Hakbang 2 – I-install ang RD Gateway Role
Ang pag-install ay maaaring isagawa sa pamamagitan ng
Tagapamahala ng Server
GUI o PowerShell. Gamit ang Server Manager, idinadagdag ng administrator ang papel ng Remote Desktop Gateway sa pamamagitan ng Add Roles and Features wizard. Awtomatikong ini-install ng proseso ang mga kinakailangang bahagi tulad ng IIS. Para sa automation o mas mabilis na deployment, ang PowerShell ay isang praktikal na opsyon. Ang pagpapatakbo ng utos
I-install ang WindowsFeature RDS-Gateway -Isama ang Lahat ng SubFeature -I-restart
nag-iinstall ng tungkulin at nire-reboot ang server kung kinakailangan.
Kapag natapos na, maaaring kumpirmahin ng mga administrador ang pag-install gamit ang
Kumuha ng WindowsFeature RDS-Gateway
, na nagpapakita ng naka-install na estado ng tampok.
Hakbang 3 – I-configure ang SSL Certificate
Dapat i-import at i-bind ang isang SSL certificate sa RD Gateway server upang i-encrypt ang lahat ng RDP traffic sa ibabaw ng HTTPS. Binubuksan ng mga administrator ang RD Gateway Manager, nag-navigate sa tab na SSL Certificate, at ini-import ang .pfx file. Ang paggamit ng certificate mula sa isang pinagkakatiwalaang CA ay iniiwasan ang mga isyu sa tiwala ng kliyente.
Para sa mga organisasyon na nagpapatakbo ng mga test environment, maaaring sapat na ang isang self-signed na sertipiko, ngunit sa produksyon, inirerekomenda ang mga pampublikong sertipiko. Tinitiyak nila na ang mga gumagamit na kumokonekta mula sa labas ng organisasyon ay hindi makakaranas ng mga babala o nahaharang na koneksyon.
Hakbang 4 – Lumikha ng mga Patakaran sa CAP at RAP
Ang susunod na hakbang ay ang pagtukoy sa mga patakaran na kumokontrol sa pag-access ng gumagamit. Ang mga Patakaran sa Awtorisasyon ng Koneksyon ay nagtatakda kung aling mga gumagamit o grupo ang pinapayagang kumonekta sa pamamagitan ng gateway. Ang mga pamamaraan ng pagpapatunay tulad ng mga password, smart card, o pareho ay maaaring ipatupad. Ang pag-redirect ng aparato ay maaari ring payagan o limitahan depende sa kalagayan ng seguridad.
Ang mga Patakaran sa Awtorisasyon ng Mapagkukunan ay pagkatapos ay nagtatakda kung aling mga panloob na server o desktop ang maabot ng mga gumagamit na iyon. Maaaring pag-grupo ng mga administrador ang mga mapagkukunan ayon sa mga IP address, hostname, o mga bagay ng Active Directory. Ang paghihiwalay na ito ng mga patakaran ng gumagamit at mapagkukunan ay nagbibigay ng tumpak na kontrol at nagpapababa ng panganib ng hindi awtorisadong pag-access.
Hakbang 5 – Subukan ang Iyong RD Gateway Koneksyon
Ang pagsubok ay tinitiyak na ang configuration ay gumagana ayon sa inaasahan. Sa isang Windows client, maaaring gamitin ang Remote Desktop Connection client (mstsc). Sa ilalim ng Advanced settings, tinutukoy ng gumagamit ang panlabas na hostname ng RD Gateway server. Matapos ibigay ang mga kredensyal, ang koneksyon ay dapat na maitatag nang walang putol.
Maaari ring magsagawa ng mga pagsusuri sa command-line ang mga administrador gamit ang
mstsc /v:
Pagsubok sa mga log sa loob ng RD Gateway Manager ay tumutulong upang kumpirmahin kung ang pagpapatotoo at awtorisasyon ng mapagkukunan ay gumagana ayon sa pagkaka-configure.
Hakbang 6 – Mga Pag-aayos ng Firewall, NAT, at DNS
Dahil gumagamit ang RD Gateway ng
port 443
mga administrador ay dapat payagan ang papasok na HTTPS na trapiko sa firewall. Para sa mga organisasyon sa likod ng isang NAT na aparato, ang port forwarding ay dapat magturo ng mga kahilingan sa port 443 sa RD Gateway server. Dapat na nasa lugar ang wastong mga tala ng DNS upang ang panlabas na hostname (halimbawa,
rdgateway.company.com
) ay nagreresolba sa tamang pampublikong IP. Tinitiyak ng mga konfigurasyong ito na ang mga gumagamit sa labas ng corporate network ay makararating sa RD Gateway nang walang isyu.
Hakbang 7 – Subaybayan at Pamahalaan ang RD Gateway
Ang patuloy na pagmamanman ay mahalaga sa pagpapanatili ng isang ligtas na kapaligiran. Ang RD Gateway Manager ay nagbibigay ng mga nakabuilt-in na tool sa pagmamanman na nagpapakita ng mga aktibong sesyon, tagal ng sesyon, at mga nabigong pagtatangkang mag-login. Ang regular na pagsusuri ng mga log ay tumutulong upang matukoy ang mga potensyal na pag-atake ng brute-force o maling pagkaka-configure. Ang pagsasama ng pagmamanman sa mga sentralisadong platform ng pag-log ay maaaring magbigay ng mas malalim na visibility at kakayahan sa pag-alerto.
Ano ang mga Karaniwang Pagkakamali at Mga Tip sa Pagsusuri para sa RDP Gateway?
Habang ang RD Gateway ay isang makapangyarihang tool, maraming karaniwang isyu ang maaaring lumitaw sa panahon ng pagsasaayos at operasyon. Problema sa SSL certificate madalas, lalo na kapag ang mga self-signed na sertipiko ay ginagamit sa produksyon. Ang paggamit ng mga pampublikong pinagkakatiwalaang sertipiko ay nagpapababa sa mga sakit ng ulo na ito.
Isa pang karaniwang isyu ay ang maling pagsasaayos ng DNS. Kung ang panlabas na hostname ay hindi maayos na nalulutas, mabibigo ang mga gumagamit na kumonekta. Mahalaga ang pagtitiyak ng tumpak na mga tala ng DNS sa loob at labas. Ang maling pagsasaayos ng firewall ay maaari ring humadlang sa trapiko, kaya dapat suriin ng mga administrador ang port forwarding at mga patakaran ng firewall kapag nag-troubleshoot.
Sa wakas, ang mga patakaran ng CAP at RAP ay dapat na maingat na iayon. Kung ang mga gumagamit ay awtorisado ng CAP ngunit hindi binigyan ng access ng RAP, ang mga koneksyon ay tatanggihan. Ang pagsusuri sa pagkakasunud-sunod at saklaw ng patakaran ay maaaring mabilis na malutas ang mga isyu sa access na ito.
Paano Maaaring Maging Alternatibo ng TSplus Remote Access sa RDP Gateway?
Habang ang RD Gateway ay nagbibigay ng isang secure na paraan para sa pag-publish ng RDP sa ibabaw ng HTTPS, maaari itong maging kumplikado upang i-deploy at pamahalaan, lalo na para sa maliliit at katamtamang laki ng mga negosyo. Dito ay TSplus Remote Access dumating bilang isang pinadaling, cost-effective na solusyon.
TSplus Remote Access ay nag-aalis ng pangangailangan para sa manu-manong pag-configure ng mga CAP, RAP, at SSL bindings. Sa halip, nagbibigay ito ng isang simpleng web-based na portal na nagpapahintulot sa mga gumagamit na kumonekta sa kanilang mga desktop o aplikasyon nang direkta sa pamamagitan ng isang browser. Sa suporta ng HTML5, walang karagdagang client software ang kinakailangan. Ito ay ginagawang accessible ang remote access sa anumang device, kabilang ang mga tablet at smartphone.
Bilang karagdagan sa kadalian ng pag-deploy, TSplus Remote Access ay mas abot-kaya kumpara sa pagpapatupad at pagpapanatili ng Windows Server RDS infrastructure. Maaaring makinabang ang mga organisasyon mula sa mga tampok tulad ng pag-publish ng aplikasyon, secure na web access, at multi-user support, lahat sa loob ng isang solong platform. Para sa mga IT team na naghahanap ng balanse ng seguridad, pagganap, at pagiging simple, ang aming solusyon ay isang mahusay na alternatibo sa tradisyunal na RDP Gateway deployments.
Wakas
Ang pag-configure ng Remote Desktop Gateway ay tumutulong sa mga organisasyon na i-secure ang RDP traffic at magbigay ng encrypted access nang hindi inilalantad ang port 3389 o umaasa sa VPNs. Gayunpaman, ang pagiging kumplikado ng pamamahala ng mga sertipiko, CAPs, RAPs, at mga patakaran ng firewall ay maaaring gawing hamon ang RD Gateway para sa mas maliliit na koponan. Nag-aalok ang TSplus Remote Access ng isang pinadaling, abot-kayang diskarte na nagbibigay ng parehong secure na koneksyon na may mas kaunting hadlang. Kung nag-de-deploy ng RD Gateway o pumipili para sa TSplus, ang layunin ay nananatiling pareho: paganahin ang maaasahan, secure, at mahusay na remote access upang suportahan ang mga modernong workforce.
TSplus Libreng Pagsubok ng Remote Access
Pinakamahusay na alternatibo sa Citrix/RDS para sa pag-access ng desktop/app. Ligtas, cost-effective, on-premises/cloud
)
)
)
