Schritt-für-Schritt-Anleitung zur Konfiguration des Remote Desktop Gateways

Remote Desktop Services sind eine Server-Rolle in Windows Server 2008 R2, mit der sich die Reichweite von Business-Anwendungen auf das Internet ausdehnen lassen. Mit ein wenig Aufwand können Anwendungen, die auf einem RDS-Server installiert sind, fast überall genutzt werden, wo eine Netzwerkverbindung oder eine Verbindung zum Internet zur Verfügung steht.

RDS selbst ist oft ausreichend, wenn Client und Server-Verbindungen beide in einem geschützten Netzwerk stattfinden. Wenn Sie aber RemoteApps und Desktops sicher im Internet bereitstellen wollen, erfordert dies die zusätzliche Unterstützung des Remote Desktop Gateways für RDS.

Dieser Rollendienst kann in vielen verschiedenen Konfigurationen bereitgestellt werden. Die effektivste Nutzung bei der Installation des Gateways erreichen Sie allerdings in einer Internet-DMZ in Kombination mit einer Reverse-Proxy-Lösung wie Microsoft Forefront Threat Management Gateway (TMG) oder Unified Access Gateway (UAG).

Wohlgemerkt, diese zusätzlichen Server sind nicht unbedingt erforderlich, sind aber eine wirklich gute Idee, wenn absolute Sicherheit im Netzwerk eine Priorität ist und Sie die RDS-Umgebung auch im Internet bereitstellen wollen. 

Es gibt vier allgemein akzeptierte Designs, die ein RD-Gateway in einer vorhandenen RDS-Umgebung sinnvoll erscheinen lassen. Eine Option wäre der Betrieb zusammen mit Microsoft TMG oder UAG mit Reverse-Proxy-Unterstützung. Dies gilt in der Branche derzeit als Best Practices. 

Im nächsten Absatz finden Sie eine Schritt-für-Schritt-Anleitung, die zeigt, was Sie installieren und zum Laufen bringen müssen, wenn Sie eine sichere und effiziente Infrastruktur betreiben wollen:

1. Erwerben Sie ein Server-Zertifikat. Transport Layer Security (TLS) 1.0 ist das verwendete Protokoll, um die Kommunikation zwischen einem RD-Gateway-Server und -Clients zu verschlüsseln. Damit TLS funktioniert, müssen Sie ein SSL-kompatibles X.509-Server-Zertifikat verwenden, das auf den RDG-Servern installiert wird. Auch wenn es möglich ist, selbst signierte Zertifikate zu erstellen, ist es in der Regel eine bewährte Methode, Zertifikate von einer öffentlichen Zertifizierungsstelle zu verwenden. Diese sollte idealerweise im Microsoft Root Certificate Program Members Programm teilnehmen.
2. Erstellen Sie einen neuen RDG-Server und installieren Sie das Zertifikat. Als Teil der Sicherheitsinfrastruktur Ihrer RDS-Umgebung sollte der Server ausschließlich als RDG-Server betrieben werden. Dieser Server wird mit Windows Server 2008 R2, der RDS-Rolle und den RDG-Rollendienst installiert. Sie sollten das Computerkonto des Servers zur Active-Directory-Domäne im LAN hinzufügen. Vor der Installation des Rollendienstes installieren Sie das Zertifikat, das Sie in Schritt eins erhalten. Achten Sie besonders auf die Stelle, an der Sie das Zertifikat installieren. Es muss in dem lokalen Computer installiert sein und durch das RDG zugänglich sein. Achten Sie darauf, dass Sie das Zertifikat nicht in den Zertifikate-Speicher des angemeldeten Benutzerkontos integrieren.
3. Installieren Sie den Rollendienst für RDG. Wenn das Zertifikat auf dem Server installiert ist, navigieren Sie zum Server-Manager und installieren die RDS-Rolle zusammen mit dem RDG-Rollendienst. Die Installation fordert Sie auf, für das Gateway das installierte Zertifikat anzugeben. Das Zertifikat, das Sie in Schritt zwei installiert haben, sollten Sie im Assistenten auswählen können. Wenn es nicht angezeigt wird, dann ist es entweder nicht installiert oder in der falschen Speicherposition installiert. Wählen Sie die Gateway-Benutzergruppen aus, die Zugriff auf interne RDS-Ressourcen durch das RDG nehmen dürfen.

Sie werden auch aufgefordert eine RD-Client-Autorisierungsrichtlinie (RD CAP) und eine RD-Ressourcenautorisierungsrichtlinie (RD RAP) zu erstellen. Die erste dieser Richtlinien identifiziert, welchen Benutzern erlaubt ist, das RDG über die Authentifizierungsmethoden (Passwort, Chipkarte oder beides) zu nutzen. 

Die zweite gibt an, welche internen Ressourcen diese Benutzer nach der Authentifizierung nutzen dürfen. Dies kann entweder eine Active Directory-Gruppe von Computern oder alle Computer im Netzwerk sein. Übernehmen Sie die Standardeinstellungen für die restlichen Seiten des Assistenten.

4. Legen Sie die RD-CAP und RD RAP-Einstellungen fest. Das RDG wird an dieser Stelle die Installation vervollständigen. Ihr nächster Schritt nach der Installation besteht darin, alle RD-CAP- und/oder RD RAP-Einstellungen, die Sie unter dem RD-Gateway-Manager finden, im Server-Manager einzustellen. Navigieren Sie nach unten, um Verbindungsautorisierungsrichtlinien und Ressourcenautorisierungsrichtlinien zu überprüfen. Der Assistent hat Standardeinstellungen vorgenommen und bereits so gesetzt, dass diese generell funktionieren. Ein Doppelklick auf eine beliebige Richtlinie öffnet deren Konfiguration. Sie können zusätzliche Einstellungen wie Geräteumleitung, zusätzliche Anforderungen, Zeitüberschreitungen, Netzwerk-Ressourcen, Benutzergruppen und erlaubte Ports definieren und anpassen. Seien Sie sich bewusst, dass diese RD-CAP- und RD RAP-Einstellungen einen Mechanismus bieten, die Verbindung zu den Servern zu steuern. Dadurch legen Sie verschiedene Benutzererfahrung fest sowie Einstellungen für Verbindungen über das Internet, wie zum Beispiel der Zugriff auf lokale Festplatten. Diese Zugriffe können Sie erlauben oder begrenzen. Die Einstellungen sind nützlich für das Erhöhen der Sicherheit, wenn sich Benutzer über ein nicht vertrauenswürdiges Netzwerk verbinden.
5. Konfigurieren Sie den Reverse-Proxy. Da das RDG als Authentifizierungspunkt zwischen externen Clients und internen Ressourcen arbeitet und dadurch in der DMZ positioniert ist, liegt eine erhebliche Komplexität bei der Aufrechterhaltung der internen Domänenmitgliedschaft vor. Positionieren Sie einen Reverse-Proxy in der DMZ und das RDG innerhalb des LANs, können beide Technologien die Netzwerkressourcen erreichen, die sie benötigen. Ihr nächster Schritt wird sein, Ihren Reverse-Proxy-Server so zu konfigurieren, dass der Server mit dem internen RDG kommunizieren kann und mit den Benutzern problemlos zusammenarbeitet. Wenn es sich beim Reverse-Proxy um Microsoft TMG handelt, finden Sie auf Microsoft TechNet eine ausführliche Schritt-für-Schritt-Anleitung hierfür. Genauso gibt es auch eine Anleitung für Forefront UAG.
6. Konfigurieren Sie RemoteApps für die Verwendung mit dem RDG. Der letzte Schritt in diesem Prozess erfordert eine Rekonfiguration der veröffentlichten RemoteApps, die ihre Verbindungen durch das RDG lenken. Im RemoteApp-Manager rufen Sie die Eigenschaften jeder RemoteApp auf und passen deren Einstellungen an. Wählen Sie die Registerkarte RD-Gateway und legen Sie die Einstellungen für das Anbinden an das RD-Gateway fest. Geben Sie einen extern auflösbaren Servernamen an und legen Sie die Anmeldemethode fest. Sie können Use the same server credentials for RD Gateway and RD Session Host server aktivieren, wenn Sie Single Sign-On zwischen dem RDG und den RDSH Servern nutzen wollen, welche die RemoteApps bereitstellen.  Wenn Sie wollen, dass LAN-Clients direkt auf die RemoteApp zugreifen können und nicht durch das RDG, können Sie auch Bypass RD Gateway server for local addresses wählen. Wenn Sie fertig sind, veröffentlichen Sie alle RDP- oder MSI-Dateien für Clients neu, damit diese die neue Konfiguration verwenden.

Wenn Sie alles richtig gemacht haben, sollten Ihre Clients jetzt in der Lage sein, interne Ressourcen über das Internet zu nutzen. Herzlichen Glückwunsch! Wenn Sie immer noch Probleme haben, achten Sie genau auf die Unterschiede in der DNS-Auflösung zwischen externen und internen Clients. Dies ist insbesondere wichtig, wenn externe Clients eine andere DNS-Domäne als die internen Clients nutzen.

Folgen Sie SearchDataCenter.de auch auf Facebook, Twitter und Google+!