Kerberos-kulcsterjesztési központ proxyjának konfigurálása
A biztonságtudatos ügyfelek, például a pénzügyi vagy kormányzati szervezetek gyakran smartcardokkal jelentkeznek be. Az intelligens kártyák többtényezős hitelesítés (MFA) megkövetelésével teszik biztonságosabbá az üzemelő példányokat. Az Azure Virtual Desktop-munkamenet RDP-részében azonban a smartcardok közvetlen kapcsolatot vagy "látóvonalat" igényelnek a Kerberos-hitelesítéshez szükséges Active Directory (AD) tartományvezérlővel. E közvetlen kapcsolat nélkül a felhasználók nem tudnak automatikusan bejelentkezni a szervezet hálózatára távoli kapcsolatokból. Az Azure Virtual Desktop-telepítés felhasználói a KDC proxyszolgáltatással proxyzhatják ezt a hitelesítési forgalmat, és távolról jelentkezhetnek be. A KDC-proxy lehetővé teszi egy Azure Virtual Desktop-munkamenet távoli asztali protokolljának hitelesítését, így a felhasználó biztonságosan bejelentkezhet. Ez sokkal egyszerűbbé teszi az otthoni munkát, és lehetővé teszi bizonyos vészhelyreállítási forgatókönyvek zökkenőmentesebb futtatását.
A KDC-proxy beállításához azonban általában hozzá kell rendelni a Windows Server Gateway szerepkört a Windows Server 2016-os vagy újabb verziójában. Hogyan használhat távoli asztali szolgáltatások szerepkört az Azure Virtual Desktopba való bejelentkezéshez? Ennek megválaszolásához vessünk egy pillantást az összetevőkre.
Az Azure Virtual Desktop szolgáltatásnak két összetevőt kell hitelesítenie:
- Az Azure Virtual Desktop-ügyfél hírcsatornája, amely felsorolja a felhasználók számára azokat az elérhető asztalokat vagy alkalmazásokat, amelyekhez hozzáféréssel rendelkeznek. Ez a hitelesítési folyamat a Microsoft Entra-azonosítóban történik, ami azt jelenti, hogy ez az összetevő nem a jelen cikk középpontjában áll.
- Az RDP-munkamenet, amely egy olyan felhasználótól származik, aki kiválasztja az elérhető erőforrások egyikét. Ez az összetevő Kerberos-hitelesítést használ, és KDC-proxyt igényel a távoli felhasználók számára.
Ez a cikk bemutatja, hogyan konfigurálhatja a hírcsatornát az Azure Virtual Desktop-ügyfélben az Azure Portalon. Ha meg szeretné tudni, hogyan konfigurálhatja a TÁVOLI ASZTALI átjáró szerepkört, olvassa el a Távoli asztali átjáró szerepkör üzembe helyezését ismertető témakört.
Előfeltételek
Az Azure Virtual Desktop munkamenetgazda KDC-proxyval való konfigurálásához a következő dolgokra lesz szüksége:
- Hozzáférés az Azure Portalhoz és egy Azure-rendszergazdai fiókhoz.
- A távoli ügyfélgépeknek legalább Windows 10 rendszerűnek kell lenniük, és telepítve kell lenniük a Windows Desktop-ügyfélnek . A webes ügyfél jelenleg nem támogatott.
- A számítógépen már telepítve kell lennie egy KDC-proxynak. Ennek módjáról az Azure Virtual Desktop RD Gateway-szerepkörének beállítása című témakörben olvashat.
- A gép operációs rendszerének Windows Server 2016-os vagy újabb verziójának kell lennie.
Miután meggyőződett arról, hogy megfelel ezeknek a követelményeknek, készen áll az első lépésekre.
A KDC-proxy konfigurálása
A KDC-proxy konfigurálása:
Jelentkezzen be az Azure Portal felületére rendszergazdaként.
Lépjen az Azure Virtual Desktop lapra.
Válassza ki azt a gazdagépkészletet, amelyhez engedélyezni szeretné a KDC-proxyt, majd válassza az RDP-tulajdonságok lehetőséget.
Válassza a Speciális lapot, majd adjon meg egy értéket a következő formátumban szóközök nélkül:
kdcproxyname:s:<fqdn>
Válassza a Mentés lehetőséget.
A kijelölt gazdagépkészletnek most már olyan RDP-kapcsolatfájlokat kell kiadnia, amelyek tartalmazzák a 4. lépésben megadott kdcproxyname értéket.
Következő lépések
A Távoli asztali szolgáltatások KDC-proxy távoli asztali szolgáltatások oldalának kezeléséről és a távoli asztali átjáró szerepkör hozzárendeléséről a Távoli asztali átjáró szerepkör üzembe helyezése című témakörben olvashat.
Ha szeretné skálázni a KDC-proxykiszolgálóit, megtudhatja, hogyan állíthatja be a magas rendelkezésre állást a KDC-proxyhoz a Magas rendelkezésre állás hozzáadása a távoli asztali webes és átjáró webes előtérhez című témakörben.