RDP over SSLからRDPゲートウェイへのUDPの無効化
Azureに接続したいVM(Windows 2012 R2)SSL経由でRDPゲートウェイサービスでAFAIKが可能です。ただし、これは通常、代わりに他のローカルネットワークマシンに接続するために使用されます。ゲートウェイ自体。
SSLを介してゲートウェイ自体にRDPすることは可能ですか?その場合、RDP設定で何を指定して接続しますか?
また、ゲートウェイが使用するUDP接続を無効にできますか?その場合、何が失われますか?
ありがとう!
Azure VMと異なるかどうかはわかりませんが、技術的にはRDPでTLS(SSL)を使用するためにRDPゲートウェイサービスは必要ありません。ネイティブRDPサービスは、そのように構成する限り、TLSを介してすべて単独で問題なく実行されます。質問がポート443での接続に沿っている場合は、リスニングポートを3389から443に変更するだけです。
ここに方法です
したがって、これらの設定のmostを構成して適用する最も簡単な方法は、明らかにグループポリシーを使用することです。以内 Windows Components - Remote Desktop Services - Remote Desktop Sesstion Host - Securityセクションには、次のポリシーがあります。
- クライアント接続の暗号化レベルを設定します(これを「高レベル」に設定します)
- リモート(RDP)接続に特定のセキュリティレイヤーの使用を要求(これを「SSL(TLS 1.0)」に設定)
- ネットワークレベル認証を使用してリモート接続にユーザー認証を要求する(これは技術的にSSLとは関係ありませんが、クライアントがSSLをサポートしている場合は良い考えです)
これらの設定は、2008 R2のリモートデスクトップセッションホスト構成で使用可能であった2012年以降に廃止された次のホストレベルのGUI設定に対応しています。
2012+ホストでグループポリシーなしでこれらのオプションを手動で設定する場合、最も簡単な方法はPowerShellとWMIを使用することです。 Win32_TSGeneralSetting クラスには、次のように使用できる SetEncryptionLevel 、 SetSecurityLayer 、および SetUserAuthenticationRequired メソッドがあります。
$rdp = gwmi "Win32_TSGeneralSetting" -namespace "root\cimv2\terminalservices" -Filter "TerminalName='RDP-tcp'"
$rdp.SetEncryptionLevel(3)
$rdp.SetSecurityLayer(2)
$rdp.SetUserAuthenticationRequired(1)
残念ながら、リスニングポートを設定するためのGUIまたはエレガントなWMIメソッドはありません。これは、手動によるレジストリの変更とTermServiceサービスの手動による再起動です。ファイアウォールを使用している場合は、ファイアウォールにルールを追加する必要もあります。技術的にはグループポリシーの基本設定を使用して値セットを維持することができますが、これは真のグループポリシーではありません。
Set-ItemProperty -Path HKLM:\SYSTEM\CurrentControlSet\Control\Terminal Server\WinStations\RDP-Tcp -Name PortNumber -Value 443
netsh advfirewall firewall add rule name="RDP Alternate Port" protocol=TCP dir=in localport=443 action=allow
Restart-Service -Name TermService -Force
もう時間はありませんが、実際の証明書に関する追加の説明を求めて戻ってくる可能性があります。
はい、MSTSCクライアントでRDゲートウェイを指定します。そして、コンピュータ名をゲートウェイサーバーの名前として設定します。
RDゲートウェイポリシーで許可されている限り、RDゲートウェイサーバーに接続します。
はい、UDPトランスポートを無効にできます。これは、RD 2012のマルチメディアおよびその他の拡張機能の一部として使用されます。UDPトラフィックは引き続きDTLSを介して保護されますが、ご安心ください。