В данной статье разберем пример развертывания терминального сервера (RDS) для использования с тонкими клиентами, или для организации удаленной работы. Так, например, можно развернуть удаленный сервер для работы в 1С.
Данный пример мы будем рассматривать на основе Windows Server 2019, но данная инструкция так же будет актуальна для Windows Server 2022, 2016 и более ранних версий.
Первым делом нам необходимо установить на сервер роль “Службы удаленных рабочих столов”, отметив галочки “Remote Desktop Session Host” и “Лицензирование удаленных рабочих столов”.
После окончания установки ролей, нам необходимо открыть диспетчер лицензирования рабочих столов, после чего активировать сервер.
Выбираем метод установки “Авто”, заполняем форму, после чего производим активацию.
Как видим, сервер у нас пометился предупреждающим значком. Данное предупреждение говорит о том, что наш сервер еще не включен в группу серверов лицензирования в Active Directory. Нажмем кнопку “Добавить в группу” и исправим этот недочет.
Следующим этапом нам необходим установить клиентские лицензии (CAL — client access license), их есть два типа:
- На устройство (Per Device CAL) – это тип лицензии, которая назначается компьютеру или устройству, с которого производится подключение к RDS серверу более одного раза (при первом подключении устройства ему выдается временная лицензия).
- На пользователя (Per User CAL) – такой тип лицензии позволяет одному пользователю подключаться к серверу RDS с любого количества компьютеров или устройств. Данный тип лицензий привязывается к учетной записи пользователя в Active Directory на определенный период времени.
Щелкаем правой кнопкой мыши по нашему серверу в диспетчере лицензирования и выбираем “Установить лицензии”.
Откроется мастер установки лицензий. Нажимаем “Далее” и теперь мы должны указать тип добавляемой лицензии. В вашем случае это будет скорее всего “Соглашение Open License”.
Указываем номер вашего соглашения и номер лицензии, после чего нажимаем “Далее”.
Дальше выбираем версию продукта, в нашем случае Windows Server 2019, а так же тип добавляемой лицензии, в нашем примере “На пользователя”. Так же укажем количество пользователей, которое предоставляет вам ваша лицензия, в нашем случае – 50.
Нажимаем “Далее”, начнется установка лицензий.
По окончии установки, сервер лицензирования сможет начать выдавать клиентам лицензии.
Так же вы можете сконвертировать лицензии “На пользователя” в лицензии “На устройство” с помощью контекстного меню в консоли сервера лицензирования.
Теперь нам необходимо указать терминальному серверу, какой сервер лицензирования он должен использовать, сделать это лучше всего с помощью групповых политик.
Создадим на контроллере домена политику RDS и внесем в нее следующие изменения. Перейдем по пути: Конфигурация компьютера – Административные шаблоны – Компоненты Windows – Службы удаленных рабочих столов – Узела сеансов удаленных рабочих столов – Лицензирование и выберем параметр “Использовать указанные серверы лицензирования удаленных рабочих столов”, установим состояние “Включено” и укажем DNS-имя или IP-адрес нашего сервера лицензирования, в нашем случае – SLAVE.
В свойствах терминального сервера укажите пользователей, которые смогут к нему поключаться.
На этом основная подготовка терминального сервера считается завершенной. Проверьте его работу, подключившись через RDP под пользователем, который имеет разрешение на вход. После этого откройте диспетчер лицензирования и убедитесь, что сервер выдал данному пользователю соответствующую лицензию.
Если вы решите открыть доступ к серверу из интернета, вам необходимо пробросить на маршрутизаторе порт 3389 до вашего сервера. Сразу скажу, что я не сторонник такой реализации удаленного подключения и лучше всего будет поднять VPN до вашей сети и подключаться к серверу уже из под него. Но, если все таки такая нужда есть по тем или иным причинам, дам несколько рекомендаций как при такой реализации свести все риски к минимуму.
- При пробросе порта на маршрутизаторе обязательно сделайте внешний порт отличительный от 3389, лучше установить порт из диапазона динамических (49152—65535);
- Если вы подключаетесь к серверу только из одного места, где у вас белый и статичный IP-адрес, создайте в фаерволе на маршрутизаторе правило, которое будет пропускать трафик к вашему серверу только с указанного IP;
- Настройте шифрование на вашем RDS;
- Включите сетевую аутентификацию на вашем RDS.
Настраиваем шифрование. Для этого нам понадобится открыть редактор локальной групповой политики на вашем терминальном сервере.
Выполняем команду:
gpedit.msc
Переходим по следующему пути: Конфигурация компьютера — Административные шаблоны — Компоненты Windows — Службы удаленных рабочих столов — Безопасность
Отрываем параметр “Требовать использования специального уровня безопасности для удаленных подключений по методу RDP” и ставим его в значение “Включено” и “Уровень безопасности” в значение “SSL TLS 1.0”.
Этой настройкой мы включили шифрование, теперь нам нужно сделать так, чтобы применялись только стойкие его алгоритмы, а не какой-нибудь DES 56-bit или RC2. Поэтому в этой же ветке открываем параметр “Установить уровень шифрования для клиентских подключений”. Включаем и выбираем “Высокий уровень” – это даст нам 128-битное шифрование.
Можно пойти дальше и включить использование FIPS 140-1, нужно в этой же оснастке пойти в: Конфигурация компьютера — Конфигурация Windows — Параметры безопасности — Локальные политики — Параметры безопасности и ищем там параметр “Системная криптография: использовать FIPS-совместимые алгоритмы для шифрования, хэширования и подписывания” и включаем его.
И в завершении в обязательном порядке включаем параметр “Требовать безопасное RPC-подключение” по пути: Конфигурация компьютера — Административные шаблоны — Компоненты Windows — Службы удаленных рабочих столов — Безопасность.
Теперь с шифрованием полный порядок.
Последний штрих – включение сетевой аутентификации (NLA). По умолчанию, вы можете подключиться к серверу по RDP не вводя логин и пароль и увидеть экран приветствия удаленного рабочего стола, где уже вас попросят залогиниться, это как раз совсем не безопасно в том плане, что такой удаленный комп легко подвержен DDOS-атакам. Для того, чтобы этого избежать необходимо на сервере включить поддержку сетевой аутентификации (NLA). В той же ветке редактора групповой политики включаем параметр «Требовать проверку подлинности пользователя для удаленных подключений путем проверки подлинности на уровне сети».
На этом основные моменты по настройке безопасности завершены.