Шаг 4. Настройка высокой доступности Шлюза удаленных рабочих столов (RD Gateway High Availability).


Роль RD Gateway не является обязательной ролью, однако, для использования  возможности подключения из внешней сети, настройка этой роли необходима. Комплексное описание роли  RD Gateway можно найти на technet:

Шлюз удаленных рабочих столов (шлюз RD) позволяет авторизованным пользователям подключаться к виртуальным рабочим столам, удаленным приложениям RemoteApp и рабочим столам на основе сеансов во внутренней корпоративной сети с помощью любого устройства, подключенного к Интернету.

Шлюз удаленных рабочих столов использует протокол удаленного рабочего стола (RDP) поверх протокола HTTPS, что позволяет обеспечить безопасное соединение с шифрованием между удаленными пользователями Интернета и ресурсами внутренней сети, необходимыми для работы пользовательских приложений.

Роль RD Gateway можно использовать как на отдельном сервере, так и совместно с другими ролями службы удаленных рабочих столов. В данном случае роль RD Gateway будет совмещена с ролями Connection Broker + Web Access. Для этого надо установить эту роль на Серверы RDCB1 и RDCB2.

Установка роли Шлюза, довольно проста. Из диспетчера серверов запустить мастер установки кликнув на символ «+«.

Далее выбрать серверы на которых будет установлена роль Шлюза. Добавляем RDCB1 и RDCB2.

RDCB1-2014-09-03 14_55_26-Добавление серверов Шлюз удаленных рабочих столов

Далее потребуется указать CN имя сертификата, который будет использоваться шлюзом для шифрования соединений. Мастер установки автоматически создаст самоподписанный сертификат. Впоследствии его можно будет заменить, но в любом случае укажем то имя, к которому будет происходить обращение пользователей (rd.alekssh.com).

RDCB1-2014-09-03 14_55_56-Добавление серверов Шлюз удаленных рабочих столов

Далее подтверждение выбранной конфигурации и установка. Роль сервера шлюзов установлена.

RDCB1-2014-09-03 14_59_13-Добавление серверов Шлюз удаленных рабочих столов

Существует несколько вариантов использования Шлюза. В данном случае, в целях тестирования, Шлюз будет использоваться в том числе и для подключений из локальной сети. Для этого Надо снять чекбокс «Не использовать сервер Шлюза удаленных рабочих столов для локальных адресов«, который выставлен по умолчанию.

Однако следует отметить, что все таки шлюз используется как правило для подключений из вне, а для внутренней сети его не используют, поскольку при использовании шлюза не будет работать такой функционал как Single Sign On, очень удобный для внутренних пользователей.

Далее необходимо зарегистрировать оба сервера с ролью шлюзов в Active Directory через NPS консоль. Запустить консоль можно «Win+Q — набрать «nps» — выбрать «сервер сетевых политик«. В контекстном меню NPS (Локально) выбрать пункт Зарегистрировать сервер в AD. Далее 2 раза нажать OK. Повторить это на всех серверах с ролью RD Gateway, в данном случае RDCB1 и RDCB2.

NPC

Далее поскольку используется балансировка нагрузки DNS Round Robin, необходимо создать дополнительную Политику Авторизации Ресурсов (Resource Auth Policy, RAP). Для этого нужно запустить «Диспетчер шлюза удаленных рабочих столов«. Сделать это можно  через «Диспетчер серверов | Средства | Terminal Services | Диспетчер шлюза удаленных рабочих столов».

Создать для каждого из серверов с ролью RD Gateway, дополнительную политику.

RDCB1-2014-09-04 12_20_09-Диспетчер шлюза удаленных рабочих столов_SBOOK_1

Далее в мастере создания новой политики указать имя политики. В моем случае я назвал её «RDCB HA«.

RDCB1-2014-09-04 12_20_25-Новая политика авторизации ресурсов удаленных рабочих столов

На закладке «Группы пользователей» выбрать группу, которая будет иметь доступ к удаленным приложениям, в моем случае я указываю «Domain Users».

RDCB1-2014-09-04 12_20_36-Новая политика авторизации ресурсов удаленных рабочих столов

Далее указать группу сетевых ресурсов, в данном случае её нет, надо будет создать. Выбираем пункт «Обзор».

RDCB1-2014-09-04 12_21_33-Новая политика авторизации ресурсов удаленных рабочих столов

Далее в мастере создания новой группы указываем название, в моем случае «RD GW«.

RDCB1-2014-09-04 12_21_55-Новая управляемая шлюзом удаленных рабочих столов группа компьютеров

На закладке «Сетевые ресурсы«, надо указать адрес ресурса, исходя из того что используется балансировка DNS RR, необходимо указать общий адрес балансировки, в данном случае это rd.alekssh.com.

RDCB1-2014-09-04 12_22_15-Новая управляемая шлюзом удаленных рабочих столов группа компьютеров

Далее остается только применить эту политику нажав OK.

RDCB1-2014-09-04 12_22_24-Новая политика авторизации ресурсов удаленных рабочих столов

Важно! Не забыть убедиться что политика доступа создана на обоих серверах RD Gateway

RDCB1-2014-09-04 13_32_42-Диспетчер шлюза удаленных рабочих столов

Теперь настройка Шлюза удаленных рабочих столов Завершена.

Далее настройка использования сертификатов.


Информация, используемая при написании статьи.

http://technet.microsoft.com/en-us/library/cc754191.aspx

http://technet.microsoft.com/en-us/library/dd983941%28v=ws.10%29.aspx

http://blogs.msdn.com/b/rds/archive/2013/03/14/what-s-new-in-windows-server-2012-remote-desktop-gateway.aspx

http://blog.mpecsinc.ca/2014/01/rd-gateway-and-remoteapp-error-remote.html


 

Реклама

Об авторе Alexander Shestakov

MCITP, MCSE. Компания "Динамика"
Запись опубликована в рубрике RDS 2012 R2 с метками , , , . Добавьте в закладки постоянную ссылку.

17 комментариев на «Шаг 4. Настройка высокой доступности Шлюза удаленных рабочих столов (RD Gateway High Availability).»

  1. А добавлять сервера в ферму не надо?

    Нравится

  2. zenia:

    Это же не High Availability, а балансировка. Если один шлюз упадет, пользователи же не переключатся на работающий сервер. DNS RR не проверяет доступность узла и даже если удалить запись в ДНС, то из-за кеша DNS пользователи не сразу будут ходить только на работающий сервер.

    Нравится

    • Да в общем то все правильно. Единственное что, современные клиенты (outlook, lync, веб браузеры & etc.) умеют довольно быстро переключаться в случаях балансировки нагрузки DNS RR при выходе из строя основного узла. Скорость переключения, конечно, должна зависеть от масштабов использования. Так что такую балансировку, я считаю, можно назвать высокой доступностью. 🙂

      Нравится

  3. Шурик:

    Ку,
    Все сделал как написано. Внутри все пашет без проблем, но вот снаружи есть проблема.
    С бука (win10) который не в домене, в панели управления в «Подключения к удаленным столам» прописываю адрес, вводу доменную учетку, все подрубается, появляются приложения. Но вот при открытии приложения выскакивает ошибка:
    Ошибка при проверке подлинности (код: 0х607)
    Удаленный компьютер: RDS2.corp.domain.ru — имя сервера RDS.

    Уже мозк сломал…

    Нравится

  4. Александр:

    Александр, а не сталкивались с проблемой, когда у некоторых пользователей при покдлючении через внешку на сайт с опубликованными remoteapp сами приложения октрываются не с 1 раза? Причем ошибка плавающая и чаще наблюдается у пользователей «слабых» каналов (4г модем, adsl и т.д.)Иногда может подключится с 5-10 раза иногда с 1-2.
    На 2 серверах rd gateway настроен nlb кластер. Сам кластер выставлен наружу через ARR.

    Нравится

  5. при разворачивании на 2016 уже есть созданная группа «RDG_RDCBComputers»
    и там добавлен RDCB.
    на моменте «На закладке «Сетевые ресурсы«, надо указать адрес ресурса, исходя из того что используется балансировка DNS RR, необходимо указать общий адрес балансировки, в данном случае это rd.alekssh.com.»
    т.е. брокер нужно удалять и оставить только rd.mydomen.com ?

    Нравится

    • Ну вообще, если по правильному, то должно быть указано общее имя фермы (rd) и имена всех членов фермы, то есть fqdn каждого сервера фермы. Так что удалять не надо, а лучше добавьте остальных участников 🙂

      Нравится

  6. Александр:

    Добрый день! А не сталкивались с проблемой что с медленных каналов (4g модем, например) запуск приложений remoteapp при подключении через шлюз происходит с 2-5 попытки?

    Нравится

    • Доброго дня. Я бы в первую очередь посмотрел на обратный прокси. А вообще странно, в широкополосных соединениях подключается с первого раза?

      Нравится

      • Александр:

        Да, на широкополосных все отлично! Обратный прокси, сам шлюз пересмотрел все хорошо. По логам при подключении с медленных каналов подключение доходит ВСЕГДА до конечного терминального сервера. Однако, в момент когда у пользователя не проходит запуск приложения, видно что сессия была успешно установлена и сброшена через 1 секунду.
        Таймауты на обратном прокси везде стоят гораздо большие по значению.

        Нравится

  7. Николай:

    Заметил большую проблему если пробросить любой диск сотрудника то через шлюз он очень медленно работает… долго открывает папки этого диска, а на прямую через 3389 без шлюза работает все быстро, сталкивались с такой проблемой?

    Нравится

    • Добрый день. Судя по все му проблема частая, попробуйте, в свойствах коллекции, отключить проброс тех устройств, которые не используются, смарт-карты, например. Так же посмотрите есть ли что интересноо в логах TerminalServices-Gateway.

      Нравится

  8. Ильнур:

    Здравствуйте!
    Настрfиваем сервера по Вашей схеме и очень долгое время ломаем голову — все идеально работает при подключении по RDWEB, НО не работает при подключении по RDP (при попытке подключиться не происходит перенаправление, т.е пользователь входит в систему посредник). Мучаемся очень давно и несколько раз уже переделываем все занова.
    В событиях только:
    Службы удаленных рабочих столов затратили слишком много времени на загрузку пользовательской конфигурации с сервера \\ad.bob.local для пользователя asylguzinii

    Клиенту посредника подключений к удаленному рабочему столу не удалось перенаправить пользователя BOB\AsylguzinII.
    Ошибка: NULL

    ПРосим Вашей помощи! Спасибо!

    Нравится

Добавить комментарий

Заполните поля или щелкните по значку, чтобы оставить свой комментарий:

Логотип WordPress.com

Для комментария используется ваша учётная запись WordPress.com. Выход / Изменить )

Фотография Twitter

Для комментария используется ваша учётная запись Twitter. Выход / Изменить )

Фотография Facebook

Для комментария используется ваша учётная запись Facebook. Выход / Изменить )

Google+ photo

Для комментария используется ваша учётная запись Google+. Выход / Изменить )

Connecting to %s