Сетевая схема:

Примечания:
- в данной инструкции Indeed AM Server и Radius Server установлены на одной машине.
- в данной инструкции в качестве примера терминального сервера выступает контроллер домена, а группа пользователей - администраторы домена. В зависимости от задачи, в RDGW Вы можете настроить любой необходимый терминальный сервер из доменной сети и/или группу, которая будет иметь доступ к целевым машинам.
Предусловия:
Настройка на RDGW сервере
На RDG сервере необходимо все RADIUS запросы пересылать на сторонний NPS сервер с установленным Indeed AM RADIUS Extension:
- В оснастке "Remote Desktop Gateway Manager" правой кнопкой мыши нажать на "RDGW (Local)", а затем в появившемся листе открыть "Properties".

- В появившемся окне открыть вкладку "RD CAP Store", выбрать "Central server running NPS". Чуть ниже ввести IP-адрес NPS сервера, на который будет осуществлено перенаправление и нажать на кнопку "Add".

- В новом окне ввести секрет, который мы в дальнейшем введём на NPS сервере с установленным и настроенным расширением Indeed NPS RADIUS Extension, создавая RADIUS-клиент, и нажать "ОК".

- В окне "RDGW Properties", которое было ранее, нажать "Apply" и закрыть его.

- Открыть оснастку "Network Policy Server". Раскрыть раздел "RADIUS Clients and Servers", в папке нажать на "Remote RADIUS Server Groups", справа нажать правой кнопкой мыши на "TS GATEWAY SERVER GROUP", а затем открыть "Properties".

- В появившемся окне нажать на задаваемый ранее IP-адрес NPS сервера, а затем на кнопку “Edit…”.

- В новом окне перейти во вкладку "Load Balancing". На параметрах выставить следующие значения:
- Number of seconds without response before request is considered dropped: 30
- Number of seconds between request when server is identified as unavailable: 35

- Перейти в раздел "Policies", справа, правой кнопкой мыши, нажать на "TS GATEWAY AUTHORIZATION POLICY" и открыть "Properties".

- В открывшемся окне перейти во вкладку "Settings", открыть раздел "Authentication" и в нём удостовериться, что выбрано значение "Forward request to the following remote RADIUS server group for authentication".

Настройка на NPS сервере с расширением Indeed AM NPS RADIUS Extension
На NPS серверe, с установленным и настроенным Indeed NPS RADIUS Extension, необходимо создать RADIUS-client и соответствующие политики, которые будут обрабатывать запросы с RDG сервера.
- Зарегистрируем NPS сервер в Active Directory. Необходимо открыть оснастку "Network Policy Server". Нажать правой кнопкой мыши на "NPS (Local)", а затем "Register server in Active Directory". В двух окнах, которые появятся нажать "OK".

- Раскрыть раздел "RADIUS Clients and Servers", нажать правой кнопкой мыши на "RADIUS Clients" и далее нажать "New".

- В появившемся окне заполнить следующие поля:
- Friendly name: rdgw
- Address (IP or DNS): rdgw.indeed6.local
- Shared secret: "секрет, который мы вводили ранее на RDG сервере"
- Confirm shared secret: "секрет, который мы вводили ранее на RDG сервере"
Нажать на кнопку “Verify…”.

- В появившемся окне, в поле ввести IP-адрес или DNS имя RDG сервера, нажать на кнопку "Resolve" и нажать "OK". В предыдущем окне, также нажать "OK".

- Должен отобразиться новый RADIUS-клиент.

- В оснастке "Network Policy Server", в разделе "Policies" в "Network Policies" справа нажать правой кнопкой мыши на "Connections to other access servers", а затем на "Duplicate Policy".

- Нажать правой кнопкой мыши на только что созданную копию "Copy of Connections to other access servers", а затем на "Properties".

- В появившемся окне заполнить поле с именем политики и выбрать соответствующие значения:
- Policy name: "RDG_CAP".
- Policy enabled: поставить галочку.
- Grant access. "Grant access if the connection request matches this policy".
- Type of network access server: "Remote Desktop Gateway".

- Открыть вкладку "Conditions" и добавить нужные условия, например группу "INDEED6\RDGAccess", которая также указывается на RDG сервере.

- Открыть вкладку "Constraints", в разделе "Authentication Methods" поставить галочку на "Allow clients to connect without negotiating an authentication method", нажать кнопку "Apply", а затем "OK".

- Удостовериться, что настроенная политика включена и находится в списке с высоким приоритетом.

Настройка в MC консоли
Необходимо настроить в MC консоли RADIUS приложение и политику.
- В MC консоли, во вкладке "Приложения" нажать на кнопку "Добавить приложение".

- В появившемся окне в выбрать "Модуль интеграции: NPS RADIUS Extension" и написать название для приложения, например RDG.

- Открыть созданное RADIUS приложение, в поле "IP адрес сервера приложений (клиента RADIUS)" ввести IP-адрес RADIUS клиента, то есть сервера RDG и нажать кнопку “Сохранить”.

- Во вкладке "Политики", в "Приложения" нажать на кнопку "Добавить приложение".

- В появившемся окне выбрать созданное ранее RADIUS приложение с именем RDG.

- Открыть добавленное приложение и выбрать "Метод аутентификации": Indeed Key и нажать на кнопку "Сохранить".

Проверка работоспособности
- Зайти в приложение mstsс.exe на машине, с которой предполагается подключение, ввести имя машины и доменные учётные данные пользователя необходимые для подключения.

- Ввести доменный пароль пользователя и начать инициализацию RDP подключения.

- Ожидаем Push-уведомление на телефоне в приложении Indeed Key.

- Подтверждаем Push-уведомление.

- Ожидаем завершения подключения и получаем доступ к целевой машине.

|