Share via

Konfigurace proxy centra distribuce klíčů Kerberos

  • Článek

Zákazníci s vědomím zabezpečení, jako jsou finanční nebo vládní organizace, se často přihlašují pomocí čipových karet. Čipové karty usnadňují nasazení tím, že vyžadují vícefaktorové ověřování (MFA). V případě části RDP relace služby Azure Virtual Desktop ale čipové karty vyžadují přímé připojení nebo "dohled" s řadičem domény Active Directory (AD) pro ověřování protokolem Kerberos. Bez tohoto přímého připojení se uživatelé nemůžou automaticky přihlásit k síti organizace ze vzdálených připojení. Uživatelé v nasazení služby Azure Virtual Desktop můžou pomocí proxy služby KDC tento ověřovací provoz a vzdáleně se přihlásit. Proxy služby KDC umožňuje ověřování protokolu Vzdálené plochy relace služby Azure Virtual Desktop a bezpečné přihlášení uživatele. Díky tomu je práce z domova mnohem jednodušší a umožňuje plynulejší spouštění určitých scénářů zotavení po havárii.

Nastavení proxy služby KDC ale obvykle zahrnuje přiřazení role Brány Windows Serveru ve Windows Serveru 2016 nebo novějším. Jak se pomocí role Vzdálená plocha přihlašujete k Azure Virtual Desktopu? Abychom na to mohli odpovědět, pojďme se rychle podívat na komponenty.

Služba Azure Virtual Desktop má dvě komponenty, které je potřeba ověřit:

  • Informační kanál v klientovi Služby Azure Virtual Desktop, který uživatelům poskytuje seznam dostupných desktopů nebo aplikací, ke kterým mají přístup. K tomuto procesu ověřování dochází v MICROSOFT Entra ID, což znamená, že tato komponenta není zaměřená na tento článek.
  • Relace protokolu RDP, která je výsledkem toho, že uživatel vybere některý z dostupných prostředků. Tato komponenta používá ověřování protokolem Kerberos a pro vzdálené uživatele vyžaduje proxy KDC.

V tomto článku se dozvíte, jak nakonfigurovat informační kanál v klientovi Služby Azure Virtual Desktop na webu Azure Portal. Pokud chcete zjistit, jak nakonfigurovat roli Brána VP, přečtěte si téma Nasazení role Brána VP.

Požadavky

Pokud chcete nakonfigurovat hostitele relace služby Azure Virtual Desktop pomocí proxy služby KDC, budete potřebovat následující věci:

  • Přístup k webu Azure Portal a účtu správce Azure
  • Na vzdálených klientských počítačích musí běžet minimálně Windows 10 a musí být nainstalovaný desktopový klient Windows. Webový klient se v současné době nepodporuje.
  • Na počítači už musíte mít nainstalovaný proxy server služby KDC. Informace o tom, jak to udělat, najdete v tématu Nastavení role Brána VP pro Azure Virtual Desktop.
  • Operační systém počítače musí být Windows Server 2016 nebo novější.

Jakmile se ujistíte, že splňujete tyto požadavky, jste připraveni začít.

Postup konfigurace proxy služby KDC

Konfigurace proxy služby KDC:

  1. Přihlaste se k Azure Portal jako správce.

  2. Přejděte na stránku Služby Azure Virtual Desktop.

  3. Vyberte fond hostitelů, pro který chcete povolit proxy služby KDC, a pak vyberte Vlastnosti protokolu RDP.

  4. Vyberte kartu Upřesnit a zadejte hodnotu v následujícím formátu bez mezer:

    kdcproxyname:s:<fqdn>

    A screenshot showing the Advanced tab selected, with the value entered as described in step 4.

  5. Zvolte Uložit.

  6. Vybraný fond hostitelů by teď měl začít vydávat soubory připojení RDP, které obsahují hodnotu kdcproxyname, kterou jste zadali v kroku 4.

Další kroky

Informace o správě strany služby Vzdálená plocha proxy služby KDC a přiřazení role Brána VP najdete v tématu Nasazení role Brána VP.

Pokud vás zajímá škálování proxy serverů KDC, zjistěte, jak nastavit vysokou dostupnost proxy serveru služby KDC a přidat vysokou dostupnost do webového frontu VP a brány.