Сетевая схема:

Примечания:

• в данной инструкции Indeed AM Server и Radius Server установлены на одной машине.
• в данной инструкции в качестве примера терминального сервера выступает контроллер домена, а группа пользователей - администраторы домена. В зависимости от задачи, в RDGW Вы можете настроить любой необходимый терминальный сервер из доменной сети и/или группу, которая будет иметь доступ к целевым машинам.

Предусловия:

• Установленный и настроенный Indeed AM 8.2.3 и выше.
• Установленный и настроенный Indeed Key: сервер и провайдер.
• Установленный и настроенный NPS RADIUS Extension на внешнем NPS сервере, отдельном от RDGW.
• Установленный и настроенный RDGW сервер.

Настройка на RDGW сервере

На RDG сервере необходимо все RADIUS запросы пересылать на сторонний NPS сервер с установленным Indeed AM RADIUS Extension:

1. В оснастке "Remote Desktop Gateway Manager" правой кнопкой мыши нажать на "RDGW (Local)", а затем в появившемся листе открыть "Properties".
   
2. В появившемся окне открыть вкладку "RD CAP Store", выбрать "Central server running NPS". Чуть ниже ввести IP-адрес NPS сервера, на который будет осуществлено перенаправление и нажать на кнопку "Add".
   
3. В новом окне ввести секрет, который мы в дальнейшем введём на NPS сервере с установленным и настроенным расширением Indeed NPS RADIUS Extension, создавая RADIUS-клиент, и нажать "ОК".
4. В окне "RDGW Properties", которое было ранее, нажать "Apply" и закрыть его.
   
5. Открыть оснастку "Network Policy Server". Раскрыть раздел "RADIUS Clients and Servers", в папке нажать на "Remote RADIUS Server Groups", справа нажать правой кнопкой мыши на "TS GATEWAY SERVER GROUP", а затем открыть "Properties".
   
6. В появившемся окне нажать на задаваемый ранее IP-адрес NPS сервера, а затем на кнопку “Edit…”.
   
7. В новом окне перейти во вкладку "Load Balancing". На параметрах выставить следующие значения:
   • Number of seconds without response before request is considered dropped: 30
   • Number of seconds between request when server is identified as unavailable: 35
     
8. Перейти в раздел "Policies", справа, правой кнопкой мыши, нажать на "TS GATEWAY AUTHORIZATION POLICY" и открыть "Properties".
   
9. В открывшемся окне перейти во вкладку "Settings", открыть раздел "Authentication" и в нём удостовериться, что выбрано значение "Forward request to the following remote RADIUS server group for authentication".
   

Настройка на NPS сервере с расширением Indeed AM NPS RADIUS Extension

       На NPS серверe, с установленным и настроенным Indeed NPS RADIUS Extension, необходимо создать RADIUS-client и соответствующие политики, которые будут обрабатывать запросы с RDG сервера.

1. Зарегистрируем NPS сервер в Active Directory. Необходимо открыть оснастку "Network Policy Server". Нажать правой кнопкой мыши на "NPS (Local)", а затем "Register server in Active Directory". В двух окнах, которые появятся нажать "OK".
   
2. Раскрыть раздел "RADIUS Clients and Servers", нажать правой кнопкой мыши на "RADIUS Clients" и далее нажать "New".
3. В появившемся окне заполнить следующие поля:
   • Friendly name: rdgw
   • Address (IP or DNS): rdgw.indeed6.local
   • Shared secret: "секрет, который мы вводили ранее на RDG сервере"
   • Confirm shared secret: "секрет, который мы вводили ранее на RDG сервере"
     Нажать на кнопку “Verify…”.
     
4. В появившемся окне, в поле ввести IP-адрес или DNS имя RDG сервера, нажать на кнопку "Resolve" и нажать "OK". В предыдущем окне, также нажать "OK".
   
   
5. Должен отобразиться новый RADIUS-клиент.
   
6. В оснастке "Network Policy Server", в разделе "Policies" в "Network Policies" справа нажать правой кнопкой мыши на "Connections to other access servers", а затем на "Duplicate Policy".
7. Нажать правой кнопкой мыши на только что созданную копию "Copy of Connections to other access servers", а затем на "Properties".
8. В появившемся окне заполнить поле с именем политики и выбрать соответствующие значения:
   • Policy name: "RDG_CAP".
   • Policy enabled: поставить галочку.
   • Grant access. "Grant access if the connection request matches this policy".
   • Type of network access server: "Remote Desktop Gateway".
     
9. Открыть вкладку "Conditions" и добавить нужные условия, например группу "INDEED6\RDGAccess", которая также указывается на RDG сервере.
10. Открыть вкладку "Constraints", в разделе "Authentication Methods" поставить галочку на "Allow clients to connect without negotiating an authentication method", нажать кнопку "Apply", а затем "OK".
11. Удостовериться, что настроенная политика включена и находится в списке с высоким приоритетом.
    

Настройка в MC консоли

Необходимо настроить в MC консоли RADIUS приложение и политику.

1. В MC консоли, во вкладке "Приложения" нажать на кнопку "Добавить приложение".
2. В появившемся окне в выбрать "Модуль интеграции: NPS RADIUS Extension" и написать название для приложения, например RDG.
3. Открыть созданное RADIUS приложение, в поле "IP адрес сервера приложений (клиента RADIUS)" ввести IP-адрес RADIUS клиента, то есть сервера RDG и нажать кнопку “Сохранить”.
4. Во вкладке "Политики", в "Приложения" нажать на кнопку "Добавить приложение".
   
5. В появившемся окне выбрать созданное ранее RADIUS приложение с именем RDG.
   
6. Открыть добавленное приложение и выбрать "Метод аутентификации": Indeed Key и нажать на кнопку "Сохранить".
   

Проверка работоспособности

1. Зайти в приложение mstsс.exe на машине, с которой предполагается подключение, ввести имя машины и доменные учётные данные пользователя необходимые для подключения.
   
2. Ввести доменный пароль пользователя и начать инициализацию RDP подключения.
   
3. Ожидаем Push-уведомление на телефоне в приложении Indeed Key.
   
   
4. Подтверждаем Push-уведомление.
   
5. Ожидаем завершения подключения и получаем доступ к целевой машине.