Для авторизации пользователей терминальных серверов установите флаг Авторизовать пользователей терминальных серверов и укажите IP-адрес терминального сервера в одноименной строке. Пользователи, отправляющие запросы с этих IP-адресов, считаются пользователями терминальных серверов и авторизуются через SSO.

Обратите внимание, что при большом количестве пользователей на сервере терминалов может потребоваться увеличить количество одновременных сессий с одного адреса в дополнительных параметрах безопасности.

Возможна раздельная авторизация пользователей терминального сервера, работающего под управлением ОС Windows Server 2008 R2 и Windows Server 2012, с помощью авторизации через Ideco Client или по SSO (NTLM). При этом сам сервер по IP авторизовать не нужно.

Для раздельной авторизации пользователей терминального сервера:

• На сервере терминалов настройте Remote Desktop IP Virtualization;

• На сервере Ideco NGFW настройте авторизацию пользователей через Ideco Client или веб-аутентификацию (SSO или NTLM).

Настройка Remote Desktop IP Virtualization на Windows Server 2012

Для работы функции Remote Desktop IP Virtualization на одном из Windows-серверов должна быть добавлена роль DHCP-сервера (с другими DHCP-серверами эта функция может работать некорректно) и выделена область IP-адресов для пользователей терминального сервера.

В Редакторе управления групповыми политиками перейдите по пути: Computer Configation –> Policies –> Administrative Templates –> Windows Components -> Remote Desktop Service –> Remote Desktop Session Host –> Application Compatibility.

Путь для русскоязычной версии: Конфигурация компьютера –> Административные шаблоны –> Компоненты Windows -> Служба удаленных рабочих столов –> Узел сеансов удаленных рабочих столов –> Совместимость приложений. Включите опцию Turn on Remote Desktop IP Virtualization (Включить IP-виртуализацию удаленных рабочих столов) в групповой политике с параметром Per Session (Для сеансов):

Рекомендуется также включить опцию Do not use Remote Desktop Session Host server IP address when virtual IP address is not available (Не использовать IP-адрес сервера узла сеансов удаленных рабочих столов, если виртуальный IP-адрес недоступен).

Командой gpupdate /force выполнить обновление всех политик.

Проверьте, что настройки изменились, командой в PowerShell:

Get-WmiObject -Namespace root\cimv2\TerminalServices -query "select * from Win32_TSVirtualIP"

Значения:

• VirtualIPActive = 1 - вкл. виртуализация;

• VirtualIPMode=0 - для сессии.

Настройка Remote Desktop IP Virtualization на Windows Server 2019/2022

Условия

1. Windows Server 2019/2022 с ролью контроллера домена;

2. Windows Server 2019/2022 с ролью терминального сервера. Отдельный сервер опционален, можно добавить эту роль серверу с ролью контроллера домена;

3. Ideco NGFW, введен в домен опционально;

4. Клиентские Windows-машины, введенные в домен;

5. (опционально) Windows Server 2019/2022 с ролью DHCP-сервера для динамической раздачи виртуальных IP-адресов. Конфликтует в ролью терминального сервера, поэтому DHCP-сервер и терминальный сервер должны быть разными машинами. DHCP-сервер используется на базе Windows Server. DHCP-сервер на Ideco NGFW, например, не подойдёт.

Настройка

Установите все последние обновления Windows Server и перезагрузите серверы.

На сервере с ролью терминального сервера выполните следующие действия:

1. Отключите WinSock2. Переместите (рекомендуется) или удалите раздел реестра по указанному пути с помощью Редактора реестра (regedit):

Путь: HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\WinSock2\Parameters\AppId_Catalog\2C69D9F1

2. Включите компонент IPFilterBitmaps:

3. Перезагрузите сервер;

4. Настройте IP-виртуализацию удалённых рабочих столов на сервере с ролью терминального сервера;

$obj = gwmi -namespace "Root/CIMV2/TerminalServices" Win32_TSVirtualIP
$obj.SelectNetworkAdapter('52-54-00-00-90-01')
$obj.SetVirtualMode(0)
$obj.SetVirtualIPActive(1)

5. Повторно перезагрузите сервер.

Настройте выдачу виртуальных IP-адресов:

SeChangeNotifyPrivilege
SeCreateGlobalPrivilege
SeImpersonatePrivilege

В случае успешной настройки на интерфейс, выбранный для IP-виртуализации, при подключении клиентов будут выдаваться виртуальные IP-адреса, которые исходящие запросы будут использовать в качестве источника.

Диагностика

Виртуальные IP-адреса не выдаются

На сервере с ролью терминального сервера проверьте работоспособность службы IP-виртуализации. Для этого перейдите в раздел Просмотр событий (локальный компьютер) –> Журналы приложений и служб –> Microsoft –> Windows –> Terminal Services-TSAppSrv-TSVIP –> Администратор.

Путь для англоязычной версии: Event Viewer (Local) –> Applications and Services Logs –> Misrosoft –> Windows –> Terminal Services-TSAppSrv-TSVIP –> Administrator.

Успешно запущенная служба произведёт события 100 и 112 после запуска и 103, 104 при подключении/отключении клиента:

В объекте WMI-инфраструктуры (независимо от вида настройки самой IP-виртуализации) в Powershell выполните:

$obj = gwmi -namespace "Root/CIMV2/TerminalServices" Win32_TSVirtualIP
$obj

Убедитесь, что параметр IP.VirtualIPActive = 1.

Если что-то отличается, убедитесь, что все инструкции по настройке выполнены правильно, а DHCP-сервер работает исправно. При необходимости выполните настройку заново рекомендуемыми способами.

Подключения используют основной IP-адрес терминального сервера

Использовать IP-виртуализацию будут только Windows-приложения, работающие на WinSock, то есть приложения, использующие протоколы TCP или UDP. ICMP-приложения вроде ping не будут использовать IP-виртуализацию.

Подключения будут использовать основной IP-адрес терминального сервера также в случае, когда запрашиваемый адрес недоступен (например, Destination Unreachable).

IP-виртуализация работает только для пользователей, подключённых к терминальному серверу через службу mstsc (Подключение к удалённому рабочему столу).