Протокол удаленного рабочего стола RDP (Remote Desktop Protocol) позволяет удаленно подключаться к компьютеру под управлением Windows и работать на этом компьютере. Настройка RDP для пользователей облака обеспечивает удобство администрирования ресурсов и удаленный доступ ко всем необходимым приложениям и данным. Публикуем больше мануалов в нашем телеграм-канале, присоединяйтесь, чтобы не пропустить.
Как обеспечить безопасное подключение к терминальному серверу?
Самый удобный вариант - это подключение пользователей к нативному клиенту, который не требует установки, и дальнейшее подключение к терминальному серверу только после аутентификации и авторизации на VPN сервере.
Если пользователи попробуют подключиться напрямую к RDP, доступ будет запрещён и соединение не будет установлено.
В данной статье используется виртуальная машина под управлением ОС Windows Server 2022 с установленными ролями терминального сервера и контроллера домена. Для большей безопасности рекомендуем для этих ролей разворачивать отдельные виртуальные машины.
Итак, первым делом настройте VPN сервер. Для этого перейдите в Диспетчер серверов: Пуск → Диспетчер серверов.
Добавьте новые роли и компоненты: Управление → Добавить роли и компоненты.
В мастере выберите «Установка ролей и компонентов».
Выберите нужный сервер.
Во вкладке «Роли сервера» добавьте роль «Удаленный доступ».
Перейдите во вкладку «Службы ролей » и выберите Direct Access и VPN.
При необходимости поставьте галочку возле поля «Автоматический перезапуск конечного сервера, если потребуется» и нажмите Установить.
После завершения установки закройте мастер.
Перейдите в раздел «Маршрутизация и удаленный доступ»: Диспетчер серверов → Средства → Маршрутизация и удаленный доступ. Там выберите пункт «Настроить и включить маршрутизацию и удаленный доступ».
В появившимся мастере нажмите Далее.
Выберите "Особая конфигурация".
Поставьте галочку напротив пункта «Доступ к виртуальной частной сети (VPN).
Нажмите «Готово».
В появившимся окне нажмите «Запустить службу».
Снова зайдите в меню «Маршрутизация и удаленный доступ» на нажмите «Свойства».
Перейдите во вкладку IPv4 и добавьте пул адресов, который будет раздавать сервер клиентам.
Укажите нужный диапазон и нажмите ОК.
Теперь настройте безопасность подключения к VPN серверу. Перейдите во вкладку Безопасность, поставьте галочку возле «Разрешить пользовательские политики IPSec для L2TP- и IKEv2-подключения» и введите общий ключ в соответствующее поле. После нажмите «Применить» и «ОК».
В появившимся окне нажмите «ОК».
Далее, перезапустите службу маршрутизации. Для этого в диспетчере серверов перейдите в Средства → Службы. Найдите службу «Маршрутизация и удаленный доступ» и перезапустите ее.
Готово. VPN сервер настроен. Для разрешения пользователю подключаться к нему, перейдите в настройки пользователя в подменю «Входящие звонки» и выберите опцию «Разрешить доступ». Нажмите «Применить» и «ОК».
После проверьте, включены ли у вас соответствующие правила в брандмауэре и в случае, если они выключены, включите их.
Готово. VPN-сервер настроен и может принимать подключения от клиентов.
Далее настройте следующую вещь: удаленные пользователи имеют доступ до терминального сервера только при включенном VPN, в противном случае, в доступе будет отказано, или сессия прервется, если VPN отключился.
Для этого переходите в настройки входящих подключений в брандмауэре Windows: Поиск -> Брандмауэр защитника Windows -> Дополнительные параметры -> Входящие подключения.
Далее создайте правило для внешнего подключения и заблокируйте RDP порт для подключений через внешний IP-адрес сервера. Для этого создайте новое правило. В типе правила выберите «Настраиваемое правило».
Выберите «Все программы».
В поле «Тип протокола» выберите TCP, в поле «Локальные порты» укажите «Специальные порты» и введите используемый RDP-порт.
В поле «Локальные IP адреса выберите «Указанные IP адреса», нажмите «Добавить» и введите внешний IP адрес вашего сервера.
Выберите действие «Блокировать подключение».
Укажите необходимые профили, к которым будет применяться правило.
Назовите правило и нажмите «Готово».
Готово!
Теперь терминальный сервер будет принимать только подключения по VPN и блокировать подключения из внешней сети.