Vzdálená plocha brány a server Azure Multi-Factor Authentication využívající protokol RADIUSRemote Desktop Gateway and Azure Multi-Factor Authentication Server using RADIUS

Často, Brána vzdálené plochy (RD) používá místní služby NPS (Network Policy Server) k ověřování uživatelů.Often, Remote Desktop (RD) Gateway uses the local Network Policy Services (NPS) to authenticate users. Tento článek popisuje směrování požadavků protokolu RADIUS ze služby Brána vzdálené plochy (prostřednictvím místního serveru NPS) na Multi-Factor Authentication Server.This article describes how to route RADIUS requests out from the Remote Desktop Gateway (through the local NPS) to the Multi-Factor Authentication Server. Kombinace Azure MFA a služby Brána VP znamená, že při provádění silného ověřování můžou uživatelé ke svým pracovním prostředím přistupovat odkudkoli.The combination of Azure MFA and RD Gateway means that your users can access their work environments from anywhere while performing strong authentication.

Vzhledem k tomu, že ověřování systému Windows pro terminálové služby není podporováno pro Server 2012 R2, použijte pro integraci s MFA Serverem službu Brána VP a protokol RADIUS.Since Windows Authentication for terminal services is not supported for Server 2012 R2, use RD Gateway and RADIUS to integrate with MFA Server.

Nainstalujte Multi-Factor Authentication Server na samostatném serveru, který bude směrovat požadavky protokolu RADIUS přes proxy server zpět na server NPS na serveru služby Brána vzdálené plochy.Install the Azure Multi-Factor Authentication Server on a separate server, which proxies the RADIUS request back to the NPS on the Remote Desktop Gateway Server. Když NPS ověří uživatelské jméno a heslo, vrátí odpověď Multi-Factor Authentication Serveru.After NPS validates the username and password, it returns a response to the Multi-Factor Authentication Server. Potom MFA Server provádí druhý faktor ověřování a vrátí výsledek bráně.Then, the MFA Server performs the second factor of authentication and returns a result to the gateway.

PožadavkyPrerequisites

Konfigurace služby Brána vzdálené plochyConfigure the Remote Desktop Gateway

Nakonfigurujte službu Brána VP na odesílání ověřování RADIUS na Azure Multi-Factor Authentication Server.Configure the RD Gateway to send RADIUS authentication to an Azure Multi-Factor Authentication Server.

  1. V okně Správce brány VP klikněte pravým tlačítkem na název serveru a vyberte Vlastnosti.In RD Gateway Manager, right-click the server name and select Properties.
  2. Přejděte na kartu Úložiště zásad CAP ke Vzdálené ploše a vyberte Centrální server NPS.Go to the RD CAP Store tab and select Central server running NPS.
  3. Přidejte jeden nebo více Azure Multi-Factor Authentication Serverů jako servery RADIUS tak, že pro každý server zadáte název nebo IP adresu.Add one or more Azure Multi-Factor Authentication Servers as RADIUS servers by entering the name or IP address of each server.
  4. Vytvořte pro každý server sdílený tajný klíč.Create a shared secret for each server.

Konfigurace NPSConfigure NPS

Brána VP používá server NPS k odeslání požadavku protokolu RADIUS do Azure Multi-Factor Authentication.The RD Gateway uses NPS to send the RADIUS request to Azure Multi-Factor Authentication. Server NPS nakonfigurujete tak, že nejprve změníte nastavení časového limitu, abyste zabránili vypršení časového limitu služby Brána VP před dokončením dvoustupňového ověření.To configure NPS, first you change the timeout settings to prevent the RD Gateway from timing out before the two-step verification has completed. Potom server NPS aktualizujete pro příjem ověření protokolu RADIUS z MFA Serveru.Then, you update NPS to receive RADIUS authentications from your MFA Server. Ke konfiguraci serveru NPS použijte následující postup:Use the following procedure to configure NPS:

Změna zásad vypršení časového limituModify the timeout policy

  1. Na serveru NPS otevřete nabídku Klienti a server RADIUS v levém sloupci a vyberte Skupiny vzdálených serverů RADIUS.In NPS, open the RADIUS Clients and Server menu in the left column and select Remote RADIUS Server Groups.
  2. Vyberte TS GATEWAY SERVER GROUP.Select the TS GATEWAY SERVER GROUP.
  3. Přejděte na kartu Vyrovnávání zatížení.Go to the Load Balancing tab.
  4. Změňte Počet sekund bez odpovědi, než je žádost považována za zrušenou a Počet sekund mezi požadavky, když je server identifikován jako nedostupný na 30–60 sekund.Change both the Number of seconds without response before request is considered dropped and the Number of seconds between requests when server is identified as unavailable to between 30 and 60 seconds. (Pokud zjistíte, že na serveru stále dochází k vypršení časového limitu během ověřování, můžete se vrátit a zvýšit počet sekund.)(If you find that the server still times out during authentication, you can come back here and increase the number of seconds.)
  5. Přejděte na kartu Ověřování/účet a zkontrolujte, že zadané porty protokolu RADIUS odpovídají portům, na kterých naslouchá Multi-Factor Authentication Server.Go to the Authentication/Account tab and check that the RADIUS ports specified match the ports that the Multi-Factor Authentication Server is listening on.

Příprava serveru NPS na příjem ověření z MFA ServeruPrepare NPS to receive authentications from the MFA Server

  1. V části Klienti a servery RADIUS v levém sloupci klikněte pravým tlačítkem na Klienti RADIUS a vyberte Nový.Right-click RADIUS Clients under RADIUS Clients and Servers in the left column and select New.
  2. Přidejte server Azure Multi-Factor Authentication jako klienta protokolu RADIUS.Add the Azure Multi-Factor Authentication Server as a RADIUS client. Zvolte popisný název a určete sdílený tajný klíč.Choose a Friendly name and specify a shared secret.
  3. Otevřete nabídku Zásady v levém sloupci a vyberte Zásady vyžádání nového připojení.Open the Policies menu in the left column and select Connection Request Policies. Měli byste vidět zásadu TS GATEWAY AUTHORIZATION POLICY, která byla vytvořena při konfiguraci služby Brána VP.You should see a policy called TS GATEWAY AUTHORIZATION POLICY that was created when RD Gateway was configured. Tato zásada předá požadavky protokolu RADIUS serveru Multi-Factor Authentication.This policy forwards RADIUS requests to the Multi-Factor Authentication Server.
  4. Klikněte pravým tlačítkem na TS GATEWAY AUTHORIZATION POLICY a vyberte Duplikovat zásadu.Right-click TS GATEWAY AUTHORIZATION POLICY and select Duplicate Policy.
  5. Otevřete novou zásadu a přejděte na kartu Podmínky.Open the new policy and go to the Conditions tab.
  6. Přidejte podmínku, která odpovídá popisnému názvu klienta s popisným názvem nastaveným v kroku 2 pro klienta RADIUS Azure Multi-Factor Authentication Serveru.Add a condition that matches the Client Friendly Name with the Friendly name set in step 2 for the Azure Multi-Factor Authentication Server RADIUS client.
  7. Přejděte na kartu Nastavení a vyberte Ověřování.Go to the Settings tab and select Authentication.
  8. Změňte poskytovatele ověřování na Ověřit požadavky tímto serverem.Change the Authentication Provider to Authenticate requests on this server. Tato zásada zajistí, že při přijetí požadavku protokolu RADIUS serverem NPS z Azure MFA Serveru dojde k místnímu ověření místo odesílání požadavku protokolu RADIUS zpět na Azure Multi-Factor Authentication Server, což by vytvořilo smyčku.This policy ensures that when NPS receives a RADIUS request from the Azure MFA Server, the authentication occurs locally instead of sending a RADIUS request back to the Azure Multi-Factor Authentication Server, which would result in a loop condition.
  9. Chcete-li zabránit vzniku smyčky, ujistěte se, že v podokně Zásady vyžádání nového připojení je nová zásada v pořadí NAD původní zásadou.To prevent a loop condition, make sure that the new policy is ordered ABOVE the original policy in the Connection Request Policies pane.

Konfigurace Azure Multi-Factor AuthenticationConfigure Azure Multi-Factor Authentication

Server Azure Multi-Factor Authentication je nakonfigurován jako proxy server protokolu RADIUS mezi Bránou VP a serverem NPS.The Azure Multi-Factor Authentication Server is configured as a RADIUS proxy between RD Gateway and NPS. Musí být nainstalován na serveru připojeném k doméně, který je oddělený od serveru Brána VP.It should be installed on a domain-joined server that is separate from the RD Gateway server. Pomocí následujícího postupu nakonfigurujte server Azure Multi-Factor Authentication.Use the following procedure to configure the Azure Multi-Factor Authentication Server.

  1. Otevřete Azure Multi-Factor Authentication Server a vyberte ikonu ověření RADIUS.Open the Azure Multi-Factor Authentication Server and select the RADIUS Authentication icon.
  2. Zaškrtněte políčko Povolit ověřování pomocí protokolu RADIUS.Check the Enable RADIUS authentication checkbox.
  3. Na kartě Klienti ověřte, že se porty shodují s tím, co je nakonfigurováno na serveru NPS, a potom vyberte Přidat.On the Clients tab, ensure the ports match what is configured in NPS then select Add.
  4. Přidejte IP adresu serveru služby Brána VP, název aplikace (volitelné) a sdílený tajný klíč.Add the RD Gateway server IP address, application name (optional), and a shared secret. Sdílený tajný klíč musí být stejný jak na Azure Multi-Factor Authentication Serveru, tak i ve službě Brána VP.The shared secret needs to be the same on both the Azure Multi-Factor Authentication Server and RD Gateway.
  5. Přejděte na kartu Cíl a vyberte přepínač Server(y) RADIUS.Go to the Target tab and select the RADIUS server(s) radio button.
  6. Vyberte Přidat a zadejte IP adresu, sdílený tajný klíč a porty serveru NPS.Select Add and enter the IP address, shared secret, and ports of the NPS server. Pokud nepoužíváte centrální server NPS, klient RADIUS a cíl RADIUS budou stejné.Unless using a central NPS, the RADIUS client and RADIUS target are the same. Sdílený tajný klíč musí odpovídat jednomu nastavení v oddílu klienta protokolu RADIUS serveru NPS.The shared secret must match the one setup in the RADIUS client section of the NPS server.

Ověřování Radius

Další postupNext steps