Авторизация пользователей терминальных серверов
Используется для удаленной работы пользователей с предоставлением каждому отдельного рабочего стола.
Last updated
Используется для удаленной работы пользователей с предоставлением каждому отдельного рабочего стола.
Last updated
Особенности работы для пользователей терминальных серверов AD:
Пользователи имеют один IP-адрес, поэтому правила Файрвола и Контроля приложений, примененные для одного пользователя, будут действовать на всех;
Контент-фильтр распознает этих пользователей, поэтому его правила применяются для отдельных пользователей и групп;
Сессии авторизации не создаются, так как пользователи терминальных серверов обращаются с одним IP-адресом;
Работает только при прямых подключениях к прокси;
В Журнале веб-доступа не отображаются события по терминальным пользователям.
Для авторизации пользователей терминальных серверов установите флаг Авторизовать пользователей терминальных серверов и укажите IP-адрес терминального сервера в одноименной строке. Пользователи, отправляющие запросы с этих IP-адресов, считаются пользователями терминальных серверов и авторизуются через SSO.
Обратите внимание, что при большом количестве пользователей на сервере терминалов может потребоваться с одного адреса в дополнительных параметрах безопасности.
Возможна раздельная авторизация пользователей терминального сервера, работающего под управлением ОС Windows Server 2008 R2 и Windows Server 2012, с помощью авторизации через или по . При этом сам сервер по IP авторизовать не нужно.
Для раздельной авторизации пользователей терминального сервера:
На сервере терминалов настройте ;
На сервере Ideco NGFW настройте авторизацию пользователей через или .
Авторизация пользователей терминального сервера по логам контроллера домена AD пока не реализована.
Для работы функции на одном из Windows-серверов должна быть добавлена роль DHCP-сервера (с другими DHCP-серверами эта функция может работать некорректно) и выделена область IP-адресов для пользователей терминального сервера.
В Редакторе управления групповыми политиками перейдите по пути: Computer Configation –> Policies –> Administrative Templates –> Windows Components -> Remote Desktop Service –> Remote Desktop Session Host –> Application Compatibility.
Путь для русскоязычной версии: Конфигурация компьютера –> Административные шаблоны –> Компоненты Windows -> Служба удаленных рабочих столов –> Узел сеансов удаленных рабочих столов –> Совместимость приложений. Включите опцию Turn on Remote Desktop IP Virtualization (Включить IP-виртуализацию удаленных рабочих столов) в групповой политике с параметром Per Session (Для сеансов):
Рекомендуется также включить опцию Do not use Remote Desktop Session Host server IP address when virtual IP address is not available (Не использовать IP-адрес сервера узла сеансов удаленных рабочих столов, если виртуальный IP-адрес недоступен).
Командой gpupdate /force
выполнить обновление всех политик.
Проверьте, что настройки изменились, командой в PowerShell:
Get-WmiObject -Namespace root\cimv2\TerminalServices -query "select * from Win32_TSVirtualIP"
Значения:
VirtualIPActive = 1
- вкл. виртуализация;
VirtualIPMode=0
- для сессии.
Не подтверждено, что Remote Desktop IP Virtualization работает на Windows Server 2019. Рекомендуем обновить терминальный сервер до Windows Server 2022.
1. Windows Server 2022 с ролью контроллера домена;
2. Windows Server 2022 с ролью терминального сервера. Отдельный сервер опционален, можно добавить эту роль серверу с ролью контроллера домена;
3. Ideco NGFW, введен в домен опционально;
4. Клиентские Windows-машины, введенные в домен;
5. (опционально) Windows Server 2022 с ролью DHCP-сервера для динамической раздачи виртуальных IP-адресов. Конфликтует в ролью терминального сервера, поэтому DHCP-сервер и терминальный сервер должны быть разными машинами. DHCP-сервер используется на базе Windows Server. DHCP-сервер на Ideco NGFW, например, не подойдёт.
Все настройки выполняются от имени администратора.
Установите все последние обновления Windows Server и перезагрузите серверы.
На сервере с ролью терминального сервера выполните следующие действия:
1. Отключите WinSock2. Переместите (рекомендуется) или удалите раздел реестра по указанному пути с помощью Редактора реестра (regedit):
Путь: HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\WinSock2\Parameters\AppId_Catalog\2C69D9F1
2. Включите компонент IPFilterBitmaps:
3. Перезагрузите сервер;
4. Настройте IP-виртуализацию удалённых рабочих столов на сервере с ролью терминального сервера;
Далее описана настройка для режима Для сеансов, который выдаёт виртуальный IP-адрес каждой пользовательской сессии.
5. Повторно перезагрузите сервер.
Настройте выдачу виртуальных IP-адресов:
В случае успешной настройки на интерфейс, выбранный для IP-виртуализации, при подключении клиентов будут выдаваться виртуальные IP-адреса, которые исходящие запросы будут использовать в качестве источника.
На сервере с ролью терминального сервера проверьте работоспособность службы IP-виртуализации. Для этого перейдите в раздел Просмотр событий (локальный компьютер) –> Журналы приложений и служб –> Microsoft –> Windows –> Terminal Services-TSAppSrv-TSVIP –> Администратор.
Путь для англоязычной версии: Event Viewer (Local) –> Applications and Services Logs –> Misrosoft –> Windows –> Terminal Services-TSAppSrv-TSVIP –> Administrator.
Успешно запущенная служба произведёт события 100 и 112 после запуска и 103, 104 при подключении/отключении клиента:
В объекте WMI-инфраструктуры (независимо от вида настройки самой IP-виртуализации) в PowerShell выполните:
Убедитесь, что параметр IP.VirtualIPActive = 1.
Если что-то отличается, убедитесь, что все инструкции по настройке выполнены правильно, а DHCP-сервер работает исправно. При необходимости выполните настройку заново рекомендуемыми способами.
Использовать IP-виртуализацию будут только Windows-приложения, работающие на WinSock, то есть приложения, использующие протоколы TCP или UDP. ICMP-приложения вроде ping не будут использовать IP-виртуализацию.
Подключения будут использовать основной IP-адрес терминального сервера также в случае, когда запрашиваемый адрес недоступен (например, Destination Unreachable).
IP-виртуализация работает только для пользователей, подключённых к терминальному серверу через службу mstsc (Подключение к удалённому рабочему столу).