Ideco NGFW
Скачать PDF
v19
v19
  • Об Ideco NGFW
  • Общая информация
    • Лицензирование
    • Системные требования
      • Выбор аппаратной платформы
      • Виртуальная платформа
      • Производительность платформы
    • Техническая поддержка
      • Информация о поддержке версий Ideco NGFW
  • Быстрый старт Ideco NGFW
    • Рекомендации при первоначальной настройке
    • Подготовка платформы к установке
      • Настройка гипервизора
      • Настройка программно-аппаратных комплексов Ideco NGFW
      • Создание загрузочного USB-накопителя
    • Установка
    • Первоначальная настройка
    • Регистрация сервера
    • Получение доступа в интернет
  • Настройка Ideco NGFW
    • Панель мониторинга
    • Пользователи
      • Учетные записи
        • Управление учетными записями и группами
        • Настройка пользователей
      • Авторизация пользователей
        • Веб-аутентификация
        • IP и MAC авторизация
          • Авторизация по IP-адресу
          • Авторизация по MAC-адресу
        • Авторизация по подсетям
        • Авторизация пользователей терминальных серверов
      • Двухфакторная аутентификация
      • VPN-подключение
        • Подключение по PPTP
        • Подключение по IKEv2/IPsec
        • Подключение по SSTP
        • Подключение по L2TP/IPsec
        • Особенности маршрутизации и организации доступа
        • Инструкция по запуску PowerShell скриптов
      • Ideco Client
        • Установка и настройка Ideco Client на Windows
        • Установка и настройка Ideco Client на MacOS
        • Установка и настройка Ideco Client на Linux
        • Настройка Device VPN
        • Создание сертификатов для Device VPN
        • Балансировка VPN-подключений
        • Кастомная настройка Ideco Client
      • Профили устройств
      • Active Directory/Samba DC
        • Импорт пользователей
        • Аутентификация пользователей AD/Samba DC
          • Настройка сервера Active Directory
          • Настройка клиентских машин
          • Скрипты автоматической разавторизации
      • RADIUS
      • ALD Pro
      • Обнаружение устройств
      • Wi-Fi-сети
    • Мониторинг
      • Сессии администраторов
      • Сессии пользователей
      • Сессии ЛК
      • Графики загруженности
      • Монитор трафика
      • Telegram-бот
      • SNMP
      • Zabbix-агент
      • Netflow
    • Правила трафика
      • Файрвол
        • Таблицы файрвола (FORWARD, DNAT, INPUT и SNAT)
        • Примеры создания правил файрвола
        • Логирование
        • Тестирование правил
        • Предварительная фильтрация
        • Аппаратная фильтрация
      • Контент-фильтр
        • Правила
        • Описание категорий контент-фильтра
        • Морфологические словари
        • Настройки
        • Настройка фильтрации HTTPS
      • Ограничение скорости
      • Антивирус
      • Предотвращение вторжений
        • Группы сигнатур
        • Пользовательские сигнатуры
        • Настройки
      • Исключения
      • Объекты
    • Профили безопасности
      • Web Application Firewall
      • Контроль приложений
        • Особенности создания профилей
        • Пример создания иерархической структуры
        • Настройка фильтрации трафика, для которого в таблице FORWARD нет правил
      • Предотвращение вторжений
    • Сервисы
      • Сетевые интерфейсы
        • Внешние и локальные интерфейсы
        • Агрегированные интерфейсы (LACP)
        • Туннельные интерфейсы (GRE)
        • VCE-интерфейсы
        • SPAN-интерфейсы
      • Балансировка и резервирование
      • Маршрутизация
      • BGP
      • OSPF
      • IGMP Proxy
      • Прокси
        • Исключения
        • Настройка прямого подключения к прокси
        • Настройка прокси с одним интерфейсом
      • Обратный прокси
      • ЛК/Портал SSL VPN
      • Защита и управление DNS
        • Внешние DNS-серверы
        • Master-зоны
        • Forward-зоны
        • DDNS
      • DHCP-сервер
      • NTP-сервер
      • IPsec
        • Подключение между двумя Ideco NGFW в туннельном режиме работы
        • Подключение между двумя Ideco NGFW в транспортном режиме работы
        • Подключение Ideco NGFW и Mikrotik по IPsec в туннельном режиме
        • Подключение Ideco NGFW и Mikrotik по IPsec в транспортном режиме
        • Подключение MikroTik и Ideco NGFW по L2TP/IPsec
        • Подключение Cisco IOS и Ideco NGFW по IPsec в туннельном режиме
        • Подключение Cisco IOS и Ideco NGFW по IPsec в транспортном режиме
        • Подключение Cisco IOS и Ideco NGFW по route-based IPsec
        • Подключение pfSense к Ideco NGFW по IPsec
        • Подключение Kerio Control и Ideco NGFW по IPsec
        • Подключение Keenetic по SSTP или IPsec
      • ГОСТ VPN
      • Сертификаты
        • Загрузка SSL-сертификата на сервер
        • Создание самоподписанного сертификата c помощью PowerShell
        • Создание сертификата c помощью openssl
      • USB-токены
    • Отчеты и журналы
      • Трафик
      • Системный журнал
      • Журнал веб-трафика
      • Журнал трафика
      • События безопасности
      • Действия администраторов
      • Журнал аутентификации
      • Журнал авторизации ЛК
      • Конструктор отчетов
      • Syslog
    • Управление сервером
      • Администраторы
      • Ideco Center
      • VCE
      • Кластеризация
        • Настройка кластера
        • Обновление кластера
      • Обновления
      • Бэкапы
      • Терминал
        • Примеры использования утилит
      • Лицензия
      • Дополнительно
    • Почтовый релей
      • Основные настройки
        • Web-почта
        • Настройка почтового релея
        • Настройка почтового сервера
      • Расширенные настройки
        • Настройка домена у регистратора/держателя зоны
      • Антиспам и антивирус
      • Правила
        • Переадресация почты
      • Почтовая очередь
      • Настройка почтовых клиентов
      • Схема фильтрации почтового трафика
    • Публикация ресурсов
      • Доступ из внешней сети без NAT
      • Публикация веб-приложений (обратный прокси-сервер)
      • Настройка публичного IP-адреса на компьютере в локальной сети
      • Портмаппинг (проброс портов, DNAT)
    • Интеграция NGFW и SkyDNS
    • Полный цикл обработки трафика в Ideco NGFW
  • Настройка MY.IDECO
    • О личном кабинете MY.IDECO
    • NGFW
    • Центральная консоль
    • Monitoring Bot и Security
    • Личные данные и Компании
  • Настройка Ideco Center
    • Об Ideco Center
    • Установка Ideco Center
    • Серверы
    • Мониторинг
    • Политики и объекты
    • Профили безопасности
    • Сервисы
    • Отчеты и журналы
    • Управление сервером
  • Популярные инструкции и диагностика проблем
    • FAQ
      • Инструкции по созданию VPN-подключений
        • Создание VPN-подключения в Alt Linux
        • Создание VPN-подключения в Ubuntu
        • Создание VPN-подключения в Fedora
        • Создание подключения в Astra Linux
        • Создание подключения в Windows
        • Создание VPN-подключения на мобильных устройствах
        • Создание подключения в Mac OS
        • Подключение по SSTP Wi-Fi роутеров Keenetic
      • Подлючение к серверу по COM-порту и настройка Ideco NGFW
      • Анализ трафика
      • Режим удаленного помощника
      • Настройка LACP на Hyper-V
      • Разрешить интернет всем: диагностика неполадок
      • Как разрешить доступ к ресурсам в ограниченной сети
      • Удаленный доступ к серверу
      • Тестирование оперативной памяти сервера
      • Как избавиться от асимметричной маршрутизации трафика
      • Что делать если ваш IP попал в черные списки DNSBL
      • Как восстановить доступ к Ideco NGFW
      • Как восстановиться на прошлую версию после обновления Ideco NGFW
      • Проверка настроек фильтрации с помощью security ideco
      • Поддержка устаревших алгоритмов шифрования
      • Настройка программы Proxifier для прямых подключений к прокси серверу
      • Блокировка популярных ресурсов
      • Настройка прозрачной авторизации на Astra Linux
      • Настройка автоматической веб-аутентификации на Ideco NGFW на Linux
      • Перенос данных и настроек на другой сервер
      • Порядок обработки веб-трафика в Ideco NGFW
      • Интеграция Ideco NGFW и брокера сетевых пакетов DS Integrity NG
      • Настройка совместной работы ViPNet Координатор с Ideco NGFW
      • Блокировка чат-ботов
      • Таблица портов Ideco NGFW, доступных из локальной и внешних сетей
      • Источники данных
      • Как Ideco Client осуществляет обработку запросов с редиректом на сервер Ideco NGFW
      • Как включить таймер при загрузке Ideco NGFW
    • Диагностика проблем
      • Ошибка при открытии сайта ERR_CONNECTION_TIMED_OUT или Не открывается сайт
      • Что делать если не работает интернет
      • Ошибка при авторизации "The browser is outdated"
      • Если соединение по IPsec не устанавливается
      • Ошибка 400 Bad Request Request Header Or Cookie Too Large при авторизации в браузерах
  • API
    • Описание основных хендлеров
    • Управление интеграцией с Active Directory
    • Управление интеграцией с ALD Pro
    • Управление администраторами
    • Управление пользователями
    • Управление Ideco Client
    • Мониторинг и журналы
    • Управление правилами трафика
      • Файрвол
      • Контроль приложений
      • Контент-фильтр
      • Предотвращение вторжений
      • Исключения
    • Управление профилями безопасности
    • Управление сетевыми интерфейсами
    • Управление VPN
    • Управление обратным прокси
    • DHCP-сервер
    • DNS-сервер
    • Настройка удаленной передачи системных логов
    • Управление Ideco Center
    • Бэкапы и возврат к предыдущей версии
    • Почтовый релей
      • Расширенные настройки
      • Антиспам и антивирус
      • Правила
      • Почтовая очередь
    • Примеры использования
      • Редактирование пользовательской категории контент-фильтра
      • Создание правила FORWARD
  • changelog
    • Ideco NGFW 19.X
    • ФСТЭК Ideco UTM 19.X
    • Ideco Center 19.Х
Powered by GitBook
On this page
  • Настройка Remote Desktop IP Virtualization на Windows Server 2012
  • Настройка Remote Desktop IP Virtualization на Windows Server 2022
  • Условия
  • Настройка
  • Диагностика

Was this helpful?

  1. Настройка Ideco NGFW
  2. Пользователи
  3. Авторизация пользователей

Авторизация пользователей терминальных серверов

Используется для удаленной работы пользователей с предоставлением каждому отдельного рабочего стола.

PreviousАвторизация по подсетямNextДвухфакторная аутентификация

Last updated 4 months ago

Was this helpful?

Особенности работы для пользователей терминальных серверов AD:

  • Пользователи имеют один IP-адрес, поэтому правила Файрвола и Контроля приложений, примененные для одного пользователя, будут действовать на всех;

  • Контент-фильтр распознает этих пользователей, поэтому его правила применяются для отдельных пользователей и групп;

  • Сессии авторизации не создаются, так как пользователи терминальных серверов обращаются с одним IP-адресом;

  • Работает только при прямых подключениях к прокси;

  • В Журнале веб-доступа не отображаются события по терминальным пользователям.

Для авторизации пользователей терминальных серверов установите флаг Авторизовать пользователей терминальных серверов и укажите IP-адрес терминального сервера в одноименной строке. Отправляющие запросы с этих IP-адресов пользователи считаются пользователями терминальных серверов и авторизуются через SSO.

Обратите внимание, что при большом количестве пользователей на сервере терминалов может потребоваться с одного адреса в дополнительных параметрах безопасности.

Возможна раздельная авторизация пользователей терминального сервера, работающего под управлением ОС Windows Server 2008 R2 и Windows Server 2012, с помощью авторизации через или по . При этом сам сервер по IP авторизовывать не нужно.

Для раздельной авторизации пользователей терминального сервера:

  • На сервере терминалов настройте ;

  • На сервере Ideco NGFW настройте авторизацию пользователей через или .

Авторизация пользователей терминального сервера по логам контроллера домена AD пока не реализована.

Настройка Remote Desktop IP Virtualization на Windows Server 2012

Для работы функции на одном из Windows-серверов должна быть добавлена роль DHCP-сервера (с другими DHCP-серверами эта функция может работать некорректно) и выделена область IP-адресов для пользователей терминального сервера.

В Редакторе управления групповыми политиками перейдите по пути: Computer Configation –> Policies –> Administrative Templates –> Windows Components -> Remote Desktop Service –> Remote Desktop Session Host –> Application Compatibility.

Путь для русскоязычной версии: Конфигурация компьютера –> Административные шаблоны –> Компоненты Windows -> Служба удаленных рабочих столов –> Узел сеансов удаленных рабочих столов –> Совместимость приложений. Включите опцию Turn on Remote Desktop IP Virtualization (Включить IP-виртуализацию удаленных рабочих столов) в групповой политике с параметром Per Session (Для сеансов):

Рекомендуется включить опцию Do not use Remote Desktop Session Host server IP address when virtual IP address is not available (Не использовать IP-адрес сервера узла сеансов удаленных рабочих столов, если виртуальный IP-адрес недоступен).

Командой gpupdate /force выполнить обновление всех политик.

Проверьте изменение настроек командой в PowerShell:

Get-WmiObject -Namespace root\cimv2\TerminalServices -query "select * from Win32_TSVirtualIP"

Значения:

  • VirtualIPActive = 1 - вкл. виртуализация;

  • VirtualIPMode=0 - для сессии.

Настройка Remote Desktop IP Virtualization на Windows Server 2022

Не подтверждено, что Remote Desktop IP Virtualization работает на Windows Server 2019. Рекомендуем обновить терминальный сервер до Windows Server 2022.

Условия

1. Windows Server 2022 с ролью контроллера домена;

2. Windows Server 2022 с ролью терминального сервера. Отдельный сервер опционален, можно добавить эту роль серверу с ролью контроллера домена;

3. Ideco NGFW, введен в домен опционально;

4. Клиентские Windows-машины, введенные в домен;

5. (опционально) Windows Server 2022 с ролью DHCP-сервера для динамической раздачи виртуальных IP-адресов. Конфликтует в ролью терминального сервера, поэтому DHCP-сервер и терминальный сервер должны быть разными машинами. DHCP-сервер используется на базе Windows Server. DHCP-сервер на Ideco NGFW, например, не подойдет.

Настройка

Все настройки выполняются от имени администратора.

Установите все последние обновления Windows Server и перезагрузите серверы.

На сервере с ролью терминального сервера выполните следующие действия:

1. Отключите WinSock2. Переместите (рекомендуется) или удалите раздел реестра по указанному пути с помощью Редактора реестра (regedit):

Путь: HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\WinSock2\Parameters\AppId_Catalog\2C69D9F1

2. Включите компонент IPFilterBitmaps:

Добавление параметра через глобальную политику реестра с помощью Редактора реестра (regedit) (рекомендуется)

Путь: HKEY_LOCAL_MACHINE\SOFTWARE\Policies\Microsoft\Windows NT\Terminal Services

Ключ: IPFilterBitmaps

Тип: REG_DWORD

Значение: 1

Добавление параметра через групповую политику реестра с помощью Редактора реестра (regedit)

Путь: HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Terminal Server\TSAppSrv\VirtualIP

Ключ: IPFilterBitmaps

Тип: REG_DWORD

Значение: 1

3. Перезагрузите сервер.

4. Настройте IP-виртуализацию удаленных рабочих столов на сервере с ролью терминального сервера.

Далее описана настройка для режима Для сеансов, который выдает виртуальный IP-адрес каждой пользовательской сессии:

Через редактирование объекта WMI-инфраструктуры (глобальную политику реестра) в PowerShell (рекомендуется)

Значение для метода SelectNetworkAdapter - MAC-адрес сетевого интерфейса, который будет использоваться для IP-виртуализации. Выполните команду:

$obj = gwmi -namespace "Root/CIMV2/TerminalServices" Win32_TSVirtualIP
$obj.SelectNetworkAdapter('52-54-00-00-90-01')
$obj.SetVirtualMode(0)
$obj.SetVirtualIPActive(1)

После выполнения команды убедитесь, что все параметры выставлены правильно, введя $obj.

Через групповую политику с помощью Редактора локальной групповой политики (gpedit.msc)

1. Перейдите в раздел Политика Локальный компьютер –> Конфигурация компьютера –> Административные шаблоны –> Компоненты Windows –> Службы удаленных рабочих столов –> Узел сеансов удаленных рабочих столов –> Совместимость приложений.

Путь для англоязычной версии: Local Computer Policy –> Computer Configuration –> Administrative Templates –> Windows Components –> Remote Desktop Services –> Remote Desktop Session Host –> Application Compatibility.

2. Включите параметр политики Включить IP-виртуализацию удаленных рабочих столов с параметром Для сеансов.

Англоязычная версия: Turn on Remote Desktop IP Virtualization с параметром Per Session.

3. Включите параметр политики Выбрать сетевой адаптер, используемый для IP-виртуализации удаленных рабочих столов в параметр IP-адрес с маской сетевого интерфейса, который будет использоваться для IP-виртуализации (например, 192.168.100.200/24).

Англоязычная версия: Select the network adapter to be used for Remote Desktop IP Virtualization в параметр IP adress and network mask corresponding to the network adapter to be used for Remote Desktop IP Virtualization.

4. (опционально) Включите параметр политики Не использовать IP-адрес сервера узла сеансов рабочих столов, если IP-адрес недоступен (Do not use Remote Desktop Session Host server IP address when virtual IP address is not available).

5. Повторно перезагрузите сервер.

Настройте выдачу виртуальных IP-адресов:

Для статической выдачи виртуальных IP-адресов на сервере с ролью терминального сервера

Включите компонент IPPool. Через групповую политику реестра с помощью Редактора реестра (regedit) добавьте параметр:

Путь: HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Terminal Server\TSAPPSrv\VirtualIP

Ключ: IPPool

Тип: REG_SZ (строковый параметр)

Значение: %SystemRoot%\system32\TSVIPool.dll

Настройте статический диапазон IP-адресов:

1. Создайте новый раздел IPPool по пути HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Terminal Server\TSAPPSrv\VirtualIP через групповую политику реестра с помощью Редактора реестра (regedit).

2. Добавьте в новый раздел параметры типа REG_SZ (строковый параметр):

  • Ключ Start, значение - начало диапазона IP-адресов (например, 192.168.100.200);

  • Ключ End, значение - конец диапазона IP-адресов (например, 192.168.100.210);

  • Ключ SubnetMask, значение - маска подсети (например, 255.255.255.0).

3. Перезагрузите сервер с ролью терминального сервера.

Для динамической выдачи виртуальных IP-адресов на сервере с ролью DHCP-сервера

Выдайте DHCP-серверу необходимые привилегии через групповую политику реестра с помощью Редактора реестра» (regedit):

Путь: HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\Dhcp

Ключ: RequiredPrivileges

Тип: REG_MULTI_SZ (многострочный параметр)

Значение:

SeChangeNotifyPrivilege
SeCreateGlobalPrivilege
SeImpersonatePrivilege

Перезагрузите сервер с ролью DHCP-сервера.

В случае успешной настройки на интерфейс, выбранный для IP-виртуализации, при подключении клиентов будут выдаваться виртуальные IP-адреса, которые исходящие запросы будут использовать в качестве источника.

Диагностика

Виртуальные IP-адреса не выдаются

На сервере с ролью терминального сервера проверьте работоспособность службы IP-виртуализации. Для этого перейдите в раздел Просмотр событий (локальный компьютер) –> Журналы приложений и служб –> Microsoft –> Windows –> Terminal Services-TSAppSrv-TSVIP –> Администратор.

Путь для англоязычной версии: Event Viewer (Local) –> Applications and Services Logs –> Misrosoft –> Windows –> Terminal Services-TSAppSrv-TSVIP –> Administrator.

Успешно запущенная служба произведет события 100 и 112 после запуска и 103, 104 при подключении/отключении клиента:

В объекте WMI-инфраструктуры (независимо от вида настройки самой IP-виртуализации) в PowerShell выполните:

$obj = gwmi -namespace "Root/CIMV2/TerminalServices" Win32_TSVirtualIP
$obj

Убедитесь, что параметр IP.VirtualIPActive = 1.

Если что-то отличается, убедитесь, что все инструкции по настройке выполнены правильно, а DHCP-сервер работает исправно. При необходимости выполните настройку заново рекомендуемыми способами.

Подключения используют основной IP-адрес терминального сервера

Использовать IP-виртуализацию будут только Windows-приложения, работающие на WinSock, то есть приложения, использующие протоколы TCP или UDP. ICMP-приложения вроде ping не будут использовать IP-виртуализацию.

Подключения будут использовать основной IP-адрес терминального сервера также в случае, когда запрашиваемый адрес недоступен (например, Destination Unreachable).

IP-виртуализация работает только для пользователей, подключенных к терминальному серверу через службу mstsc (Подключение к удаленному рабочему столу).

увеличить количество одновременных сессий
Ideco Client
SSO (NTLM)
Remote Desktop IP Virtualization
Ideco Client
веб-аутентификацию (SSO или NTLM)
Remote Desktop IP Virtualization