- Что такое remote desktop gateway?
- Что такое ssl vpn
- Выбор существующего сертификата для шлюза удаленных рабочих столов
- Как настроить remote desktop gateway
- Настраиваем ssl vpn
- Настройка аутентификации пользователей
- Настройка двухфакторной аутентификации на сервере windows со службой rd gateway
- Настройка шлюза ts на использование сертификата
- Публикация ресурса. вариант №1
- Публикация ресурса. вариант №2
- Создание сертификата для шлюза служб удаленных рабочих столов
- Типовые ошибки и часто задаваемые вопросы – портал дистанционной работы уц ао “нииас”
- Установка роли
- Установка службы шлюза ts
- Заключение
Что такое remote desktop gateway?
Примечание: начиная с Windows Server 2008 R2 все службы удаленных рабочих столов были переименованы. Службы Terminal Services были переименованы в .
Что такое ssl vpn
Итак, давайте посмотрим, как SSL VPN может облегчить нам жизнь и сэкономить время и нервы. Описывать технологию смысла не вижу, чтобы не докучать сухой технической информацией продвинутому читателю. Освежить знания по SSL VPN можно
. Мы же остановимся на практике использования и подумаем, чем же так хорош SSL VPN в сравнении с классическим IPSec VPN.
Суть технологии SSL VPN состоит в следующем: клиент подключается по 443 порту к шлюзу, который в свою очередь инициирует соединение с удаленным сервером (в нашем случае – это 1С), как прокси-сервер.
Во-первых, это удобно. Можно организовать доступ к любому сервису/ресурсу с любого пользовательского устройства из любого места, где есть Интернет. Не надо устанавливать никаких VPN-клиентов, настраивать их, как в случае использования IPSec VPN, достаточно в браузере ввести адрес, аутентифицироваться и работать. Пользователь сможет получить удаленный доступ к корпоративному ресурсу даже через публичный или гостевой Wi-Fi, т.к. 443 порт открыт почти во всех сетях.
Выбор существующего сертификата для шлюза удаленных рабочих столов
Нажмите кнопку ОК, чтобы закрыть диалоговое окно Свойства сервера Шлюз удаленных рабочих столов.
Если сопоставление сертификата Шлюз удаленных рабочих столов выполняется в первый раз, после окончания сопоставления просмотрите область Состояние сервера шлюза удаленных рабочих столов в Диспетчер шлюза удаленных рабочих столов и убедитесь, что оно выполнено успешно. В противном случае в разделах Состояние конфигурации и Задачи настройки появится предупреждение о том, что сертификат сервера не установлен либо не выбран, а гиперссылка Просмотр и изменение свойств сертификата будет скрыта.
Как настроить remote desktop gateway
В инструкции описана установка и настройка шлюза удаленных рабочих столов Remote Desktop Gateway (Terminal Services Gateway) в домене Active Directory. Описана настройка SSL-сертификата для шлюза и пример подключения.
Настраиваем ssl vpn
Описывать процесс установки прошивки с поддержкой ГОСТ на шлюз SSL VPN и его первоначальной настройки не буду, все это можно найти в
. Так что условимся, что у нас есть чистый Stonesoft SSL с установленными криптобиблиотеками КритоПро CSP, сгенерированными ключами, импортированными сертификатами шлюза и доверенного Удостоверяющего центра.
Ниже приведены сертификаты шлюза Stonesoft SSL и пользователя, выпущенные на тестовом Удостоверяющем центре.
Сертификат шлюза SSL VPN:
Настройку шлюза SSL VPN можно разделить на следующие шаги:
Ниже приведено подробное описание настроек со скриншотами.
Настройка аутентификации пользователей
Сначала настроим аутентификацию пользователей. Мы выбрали следующую схему: аутентификация по сертификатам, выданным только доверенным УЦ без привязки к какому-либо хранилищу пользователей. Т.е. если у пользователя есть сертификат, выданный УЦ, который шлюз считает доверенным, то пользователь может аутентифицироваться. Итак, заходим на
Настройка двухфакторной аутентификации на сервере windows со службой rd gateway
В статье описывается настройка Windows сервера для включения двухфакторной аутентификации при подключении удаленного рабочего стола (RDP) со службой RD Gateway.
RD Gateway — компонент Windows сервера, позволяющий подключаться к рабочему столу через шлюз, который выполняет функции VPN, а именно создает зашифрованное подключение по протоколу TLS. Кроме того, шлюз позволяет ограничивать таймаут сессии, контролировать доступ пользователей к дискам, USB, буферу обмена, принтеру и сетевым ресурсам.
- Windows Server 2021 R2
- Windows Server 2021
- Windows Server 2021
Возможные способы аутентификации:
- Telegram
- Звонок (нужно принять вызов и нажать #)
- Мобильное приложение (скоро)
Для настройки второго фактора аутентификации вам потребуется установить и настроить MultiFactor Radius Adapter.
Настройка шлюза ts на использование сертификата
После создания сертификата, необходимо настроить шлюз терминалов на его использование:
- Откройте меню «Администрирование», выберите «Службы терминалов (удаленных рабочих столов)», выберите Шлюз терминальных серверов.
- Слева выберите сервер, которой будет выполнять роль шлюза. Будет отображена информация о шагах, необходимых для завершения конфигурации.
- Выберите опцию «Показать или изменить свойства сертификата».
- Во вкладке «SSL Сертификат» проверьте активность опции «Выбрать существующий сертификат для SSL шифрования» и выберите Просмотр сертификатов для отображения оснастки для установки сертификатов. Выберите и установите ранее сгенерированный сертификат.
- После указания сертификата следует настроить политики авторизации подключений и авторизации ресурсов. Политика авторизации подключения (CAP – Сonnection Authorization Policy) позволяет контролировать полномочия клиентов при их подключении к терминалам через шлюз:
Откройте меню «Политики авторизации соединений», находящуюся во вкладке «Политики» – > «Создать новую политику» -> Мастер(Wizard), на вкладке «Политики авторизации» -> выберите Cоздать только TS CAP. Вводим имя создаваемой политики. В нашем случае «1cloud Gateway». На вкладке «Требования» активируем требование пароля, а затем указываем группы пользователей, которым необходимо предоставить доступ в инфраструктуру терминалов – введите имя добавляемой группы и кликните «Проверить имена (Check Names)».
Разрешите перенаправление устройств для всех клиентских устройств. Вы также можете отключить перенаправление для некоторых типов уст-в. На странице Результаты параметров TS CAP проверяем выбранные ранее параметры и завершаем мастер конфигурации.
- Теперь настройте политику авторизации ресурсов (Resource Authorization Policy – RAP), определящую доступные для подключения извне серверы и рабочие станции:
Для этого перейдите в меню «Политика авторизации ресурсов» панели Менеджер шлюзов серверов терминалов (удаленных рабочих столов), выберите пункт «Создать новую политику» -> Мастер -> Создать только TS RAP.
Введите имя создаваемой политики. Во вкладке Группы пользователей выберите группы, затрагиваемые создаваемой политикой. На вкладке Группа компьютеров укажите серверы и рабочие станции, к которым применяется политика RAP. В данном примере мы выбрали опцию «Разрешить пользователям подключаться к любому ресурсу (компьютеру) сети» для разрешения подключений ко всем хостам сети. Проверьте параметры TS RAP и завершите мастер конфигурации.
- На этом настройку шлюза серверов терминалов (удаленных рабочих столов) можно считать завершенной.
Публикация ресурса. вариант №1
Теперь надо опубликовать ресурс, чтобы он был доступен пользователю на портале приложений шлюза SSL VPN. Сначала рассмотрим Вариант №1: 1С-клиент подключается к серверу 1С и работает с базой в СУБД.
Процесс создания и публикации ресурса можно описать следующим образом:
Идем на вкладку
Manage Resource Access – Tunnel Resources
, жмем
Add Tunnel Resource Host…
Заполняем имя ресурса, IP-адрес и порты, по которым мы хотим получить доступ к серверу 1С.
Manage Resource Access – Tunnel Sets, жмем Add Tunnel Set и заполняем имя, выбираем иконку, которая будет видна пользователю (можно выбрать из готовых или загрузить свою), в поле Link Text пишем текст, который будет отображаться под иконкой.
Add Dynamic Tunnel to the Set… и из выпадающего списка в поле Resource выбираем хост с сервером 1С. Все остальные поля заполняются автоматически в соответствии со свойствами ресурса, который мы выбрали.
«C:Program Files1cv88.3.1.531bin1cv8c.exe» /S«10.30.0.2381c». Стоит помнить о том, что если пользователей несколько, то у всех путь к исполняемому файлу должен быть одинаковым. Если это по каким-то причинам невозможно, то можно поле Startup Command оставить пустым, тогда клиент 1С придется запускать вручную и указывать все параметры после открытия ресурса на портале приложений.
Публикация ресурса. вариант №2
Теперь настроим другой сценарий – пользователь жмет на иконке 1С на портале приложений и получает доступ к папке с базой на сервере 1С.
Заходим на консоль администрирования шлюза, идем на вкладку Manage Resource Access – Standard Resources – File Sharing Resources – Microsoft Windows File Share и жмем Add this Standard Resource.
Создание сертификата для шлюза служб удаленных рабочих столов
Для инициирования SSL-подключений от клиентов RDP, для шлюза должен быть создан соответствующий сертификат:
- В меню Администрирование выберите оснастку IIS Manager
- В левой части появившегося окна выберите необходимый сервер, а затем пункт Сертификаты сервера -> Создать сертификат домена
- На странице Определенные свойства имени укажите требуемые сведения. Обратите внимание на поле Общее имя – оно должно соответствовать имени, указанному в настройках клиентов служб RDP.
- На следующей странице Интерактивный центр сертификации выбираем имя Enterprise CA, от имени которого должен быть выдан сертификат, и вводим значение параметра Сетевое имя.
Теперь сведения о созданном сертификате отображаются в окне Сертификаты сервера. При двойном клике на этом сертификате можно увидеть информацию об объекте назначения и о наличии закрытого ключа для данного сертификата (без которого сертификат не используется).
Типовые ошибки и часто задаваемые вопросы – портал дистанционной работы уц ао “нииас”
Появляется окно «Аутентификация пользователя КриптоПро NGate Клиент» с текстом «Авторизуем новое VPN-соединение с …»
Решение: отправить на почту helpniias@pkitrans.ru письмо с темой «Правила NGate», в содержании написать «Прошу установить правила на NGate» и указать ФИО
Появляется окно «Подключение к удалённому рабочему столу»
Решение: в поле «Компьютер» введите IP-адрес или имя Вашего рабочего компьютера (указан на выданном листе). Нажмите «Подключить».
Введите учётные данные
Появляется окно «Безопасность Windows» с текстом «Введите учётные данные»
Решение: нажать «Больше вариантов», в расширенном окне «Безопасность Windows» выбрать «Использовать другую учётную запись»:
В поле «Имя пользователя» укажите Ваш логин в формате «VNIIAS.RUi.ivanov», если Ваша почта находится в домене VNIIAS.RU, или в формате «CTTi.ivanov», если Ваша почта находится в домене CTT. В поле «Пароль» введите пароль от Вашей учётной записи на рабочем компьютере. Нажмите «ОК».
Удаленному рабочему столу не удалось подключиться к удаленному компьютеру по одной из следующих причин
Подключение было запрещено, так как учётная запись пользователя не имеет прав для удалённого входа в систему
Появляется окно «Подключение к удалённому рабочему столу» с текстом «Подключение было запрещено, так как учётная запись пользователя не имеет прав для удалённого входа в систему»
Решение: отправить на почту karantin@vniias.ru письмо с темой «Права для удалённого входа в систему», в содержании написать «Прошу предоставить права для удалённого входа в систему» и указать ФИО
При тестировании возникает ошибка «Проверка доступа к ресурсам НИИАС – Не удаётся получить доступ к серверам DNS»
Решение: запустить приложение «Удалённый рабочий стол НИИАС» 
и при возникновении ошибки искать способы её решения в этом перечне.
Появляется окно «Подключение к удалённому рабочему столу» с текстом «Удалённому рабочему столу не удалось подключиться к удаленному компьютеру по одной из следующих причин»
Решение:
- Убедиться, что Ваш рабочий компьютер включен и не находится в спящем режиме.
- Проверить цвет щита в программе КриптоПро NGate Клиент.
Если щит серого цвета - Запустить приложение «Удаленный рабочий стол»
. - Если ошибка повторяется, то нажмите на клавиатуре одновременно клавиши «Win»
и «R». Появится окно «Выполнить», в котором нужно ввести «cmd» и нажать «ОК».
Появится консоль Windows, в которой нужно ввести команду «ping 192.168.0.16» и нажать «Enter». Должен начаться обмен пакетами, в результате которого покажется статистика. Обратите внимание на значение «Получено».
Если это значение больше 0, то отправьте на почту karantin@vniias.ru письмо с темой «Удалённый вход в систему», в содержании напишите «Ping 192.168.0.16 проходит, удаленному рабочему столу не удалось подключиться к удаленному компьютеру» и укажите ФИО.
Если это значение равно 0, то отправьте на почту helpniias@pkitrans.ru письмо с темой «Коллизия DNS-адресов», в содержании напишите «Щит зелёного цвета, ping 192.168.0.16 не проходит» и укажите ФИО.
Щит КриптоПро NGate Клиент серого цвета
Отсутствуют сертификаты в окне «Аутентификация пользователя» с текстом «Выберите сертификат для аутентификации» в КриптоПро NGate Клиенте
Решение:
Установка сертификата в хранилище “Личные”
Установка цепочек сертификатов
Появляется окно «Сертификат удаленной стороны» с текстом «Сертификат удаленной стороны не может идентифицировать шлюз NGate (`ngate.pkitrans.ru`).
Потому шлюз сочтен недоверенным и небезопасным для подключения. VPN соединение прекращено.»
Решение: установить цепочки сертификатов
Появляется окно «License check error» с текстом «Please check correctness of installed CSP license»
Решение: работа программного обеспечения для удалённого доступа совместно с ViPNet
Работа программного обеспечения для удалённого доступа совместно с ViPNet
Запустите ViPNet CSP. В левом меню перейдите откройте вкладку «Дополнительно».
Снимите галочку «Поддержка работы ViPNet CSP через Microsoft CryptoAPI».
Нажмите «Применить», затем «ОК».
Компьютер будет перезагружен, после чего конфликта в работе программ быть не должно.
Появляется окно «mstsc.exe» с текстом «Не удается найти указанный файл. C:WindowsSysWOW64mstsc.exe.MUI»
Решение: необходимо установить обновление протокола удаленного рабочего стола (RDP) для Вашей операционной системы.
Ошибка наиболее распространена в ОС Windows 7, обновление для ОС Windows 7 можно скачать по ссылке https://www.microsoft.com/ru-ru/download/details.aspx?id=35387.
Появляется окно «Сведения о программе установки Единый клиент JaCarta» с текстом «Ошибка при установке сборки “Microsoft.VC80.CRT,type=”win32″,version=”8.0.50727.6195″,publicKeyToken=”1fc8b3b9a1e18e3b”,processorArchitecture=”amd64″”.
Для получения дополнительных сведений обратитесь в Центр справки и поддержки.»
Решение: необходимо установить обновление Microsoft Visual C . Скачать его можно по ссылке https://www.microsoft.com/en-us/download/details.aspx?id=26347.
https://kbp.aladdin-rd.ru/index.php?View=entry&EntryID=155
Появляется окно «Certchain» с текстом «UpdateECP. Не удается получить доступ к политикам безопасности (TSP: DefaultTSPURL)»
Решение: установить цепочки сертификатов
Компьютер на работе автоматически выключается или переходит в спящий режим
Решение: нажмите на клавиатуре одновременно клавиши «Win» и «R». Появится окно «Выполнить», в котором нужно ввести «control» и нажать «ОК».
Откроется панель управления. Убедитесь, что в поле «Просмотр» выбрано «Крупные значки». Откройте раздел «Электропитание».
В левом меню выберите пункт «Настройка перехода в спящий режим».
Убедитесь, что для параметра «Переводить компьютер в спящий режим» установлено значение «Никогда».
Нажмите «Изменить дополнительные параметры питания». Откроется окно с дополнительными параметрами электропитания. Убедитесь, что в параметре «Сон после» установлено значение «Никогда» и в параметре «Разрешить гибридный спящий режим» установлено значение «Выкл». Если это не так, измените значения, после чего нажмите «Применить».
Установка роли
Откройте Диспетчер серверов и выберите пункт Add roles and features .
В качестве типа установки укажите Role-based or feature-based installation .
Выберите ваш сервер из пула.
В следующем окне отметьте Remote Desktop Services .
Далее вы увидите краткую информацию о роли.
Далее добавьте сервис Remote Desktop Gateway .
Для работы этого сервиса необходимо веб-сервер IIS и дополнительные административные инструменты, они будут предложены автоматически, если не были установлены ранее.
Установите все выбранные компоненты на VPS с помощью кнопки Install.
Установка службы шлюза ts
Для установки шлюза служб терминала на соответствующей машине под управлением Windows Server 2008/2021 выполните следующие действия:
- Откройте утилиту Server Manager (Управление сервером) -> вкладка Роли -> Добавить роль
- На странице выбора ролей сервера выберите Службы терминала (Службы удаленных рабочих столов)
- В окне выбора служб ролей выберите Шлюз TS (Шлюз служб удаленных рабочих столов) и нажмите Далее
- На странице выбора сертификата аутентификации сервера для шифрования SSL выберите опцию Выбрать сертификат для SSL-шифрования позже. Этот выбор обусловлен тем, что соответствующий сертификат шлюза TS еще не сгенерирован.
- На появившейся странице создания политик авторизации для шлюза выберите опцию Позже
- На странице выбора служб ролей должна быть отмечена служба Сервер сетевой политики (Network Policy Server)
- Установите требуемые службы ролей, которые будут отмечены системой по умолчанию.
Заключение
Таким образом, мы настроили шлюз SSL VPN для удаленной работы с сервером 1С в двух вариантах по зашифрованному ГОСТовыми алгоритмами каналу и позволили нашим пользователям безопасно работать с корпоративными ресурсами через толстые клиенты.
Это далеко не все, на что способен Stonesoft SSL VPN. Приведенную конфигурацию несложно будет «оттюнинговать» под свои потребности.
Надеемся, эта статья будет вам полезна. В дальнейшем мы планируем продолжить делиться с хабражителями нашим опытом в области информационной безопасности. Будем рады вопросам и пожеланиям в комментах.
Всем спасибо за внимание!
newmaxidrom