Шлюз удаленных рабочих столов и сервер Многофакторной идентификации, использующие проверку подлинности RADIUSRemote Desktop Gateway and Azure Multi-Factor Authentication Server using RADIUS

Часто шлюз удаленных рабочих столов использует локальные службы политик сети (NPS) для аутентификации пользователей.Often, Remote Desktop (RD) Gateway uses the local Network Policy Services (NPS) to authenticate users. В этой статье объясняется, как перенаправлять RADIUS-запросы из шлюза удаленных рабочих столов (через локальную службу NPS) на сервер Многофакторной идентификации.This article describes how to route RADIUS requests out from the Remote Desktop Gateway (through the local NPS) to the Multi-Factor Authentication Server. Сочетание Azure MFA и шлюза удаленных рабочих столов означает, что пользователи могут подключаться к своим рабочим средам из любой точки мира, выполняя строгую аутентификацию.The combination of Azure MFA and RD Gateway means that your users can access their work environments from anywhere while performing strong authentication.

Поскольку Server 2012 R2 не поддерживает аутентификацию Windows для служб терминалов, для интеграции с сервером многофакторной идентификации нужно использовать шлюз удаленных рабочих столов и RADIUS.Since Windows Authentication for terminal services is not supported for Server 2012 R2, use RD Gateway and RADIUS to integrate with MFA Server.

Установите сервер Многофакторной идентификации на отдельном сервере, который будет передавать RADIUS-запрос обратно в службу NPS на сервере шлюза удаленных рабочих столов.Install the Azure Multi-Factor Authentication Server on a separate server, which proxies the RADIUS request back to the NPS on the Remote Desktop Gateway Server. Когда NPS проверит имя пользователя и пароль, он вернет ответ на сервер Многофакторной идентификации.After NPS validates the username and password, it returns a response to the Multi-Factor Authentication Server. Затем сервер MFA выполнит второй этап аутентификации и вернет результат в шлюз.Then, the MFA Server performs the second factor of authentication and returns a result to the gateway.

Важно!

Начиная с 1 июля 2019 г. Корпорация Майкрософт больше не предоставляет многофакторной проверки Подлинности сервера для новых развертываний.As of July 1, 2019, Microsoft will no longer offer MFA Server for new deployments. Новых клиентов, которые хотите требовать многофакторную проверку подлинности от пользователей, их следует использовать многофакторную идентификацию Azure на основе облака.New customers who would like to require multi-factor authentication from their users should use cloud-based Azure Multi-Factor Authentication. Существующие клиенты, которые активировали сервера MFA до 1 июля будет иметь возможность загрузить последнюю версию, будущие обновления и создать учетные данные активации обычным образом.Existing customers who have activated MFA Server prior to July 1 will be able to download the latest version, future updates and generate activation credentials as usual.

Технические условияPrerequisites

Примечание

Эта статья предназначена только для развертываний серверов MFA. Она не предназначена для облачных развертываний Azure MFA.This article should be used with MFA Server deployments only, not Azure MFA (Cloud-based).

Настройка шлюза удаленных рабочих столовConfigure the Remote Desktop Gateway

Настройте на шлюзе удаленных рабочих столов отправку RADIUS-запросов на аутентификацию на сервер Многофакторной идентификации Azure.Configure the RD Gateway to send RADIUS authentication to an Azure Multi-Factor Authentication Server.

  1. В диспетчере шлюза удаленных рабочих столов щелкните правой кнопкой мыши имя сервера и выберите пункт Свойства.In RD Gateway Manager, right-click the server name and select Properties.
  2. Откройте вкладку Хранилище политики авторизации подключений к удаленным рабочим столам и выберите Центральный сервер политики сети.Go to the RD CAP Store tab and select Central server running NPS.
  3. Добавьте один или несколько серверов Многофакторной идентификации Azure в качестве серверов RADIUS. Для этого введите имя или IP-адрес каждого сервера.Add one or more Azure Multi-Factor Authentication Servers as RADIUS servers by entering the name or IP address of each server.
  4. Создайте для каждого сервера общий секрет.Create a shared secret for each server.

Настройка NPSConfigure NPS

Шлюз удаленных рабочих столов использует NPS для отправки запроса RADIUS в службу Многофакторной идентификации Azure.The RD Gateway uses NPS to send the RADIUS request to Azure Multi-Factor Authentication. Для настройки службы NPS сначала измените параметры времени ожидания, чтобы на шлюзе удаленных рабочих столов не истекало время ожидания до завершения двухэтапной проверки.To configure NPS, first you change the timeout settings to prevent the RD Gateway from timing out before the two-step verification has completed. Затем внесите изменения в службу NPS, чтобы она получала RADIUS-запросы на аутентификацию с сервера Многофакторной идентификации.Then, you update NPS to receive RADIUS authentications from your MFA Server. Ниже описаны действия по настройке службы NPS.Use the following procedure to configure NPS:

Изменение политики времени ожиданияModify the timeout policy

  1. В службе NPS в столбце слева откройте меню RADIUS-клиенты и серверы и выберите Группы внешних RADIUS-серверов.In NPS, open the RADIUS Clients and Server menu in the left column and select Remote RADIUS Server Groups.
  2. Выберите TS Gateway Server Group (Группа серверов со шлюзами служб терминалов).Select the TS GATEWAY SERVER GROUP.
  3. Откройте вкладку Балансировка нагрузки.Go to the Load Balancing tab.
  4. В полях Число секунд без ответа, после которого запрос считается отброшенным и Число секунд между запросами, после которого сервер считается недоступным установите значение в диапазоне 30–60 секунд.Change both the Number of seconds without response before request is considered dropped and the Number of seconds between requests when server is identified as unavailable to between 30 and 60 seconds. Если вы обнаружите, что на сервере все равно истекает время ожидания аутентификации, вернитесь сюда еще раз и увеличьте количество секунд.(If you find that the server still times out during authentication, you can come back here and increase the number of seconds.)
  5. Откройте вкладку Authentication/Account (Аутентификация/Учетная запись) и убедитесь, что указанные RADIUS-порты соответствуют портам, на которых сервер Многофакторной идентификации ожидает передачи данных.Go to the Authentication/Account tab and check that the RADIUS ports specified match the ports that the Multi-Factor Authentication Server is listening on.

Подготовка службы NPS к получению запросов на аутентификацию с сервера Многофакторной идентификацииPrepare NPS to receive authentications from the MFA Server

  1. В столбце слева в меню "RADIUS-клиенты и серверы" щелкните правой кнопкой мыши пункт RADIUS-клиенты и выберите Создать.Right-click RADIUS Clients under RADIUS Clients and Servers in the left column and select New.
  2. Добавьте сервер Многофакторной идентификации Azure как клиента RADIUS.Add the Azure Multi-Factor Authentication Server as a RADIUS client. Выберите понятное имя и укажите общий секретный ключ.Choose a Friendly name and specify a shared secret.
  3. В столбце слева откройте меню Политики и выберите Политики запросов на подключение.Open the Policies menu in the left column and select Connection Request Policies. Вы должны увидеть политику с именем TS GATEWAY AUTHORIZATION POLICY (Политика аутентификации шлюза службы терминалов), которая была создана при настройке шлюза удаленных рабочих столов.You should see a policy called TS GATEWAY AUTHORIZATION POLICY that was created when RD Gateway was configured. Эта политика направляет запросы RADIUS на сервер Многофакторной идентификации.This policy forwards RADIUS requests to the Multi-Factor Authentication Server.
  4. Щелкните правой кнопкой мыши политику TS GATEWAY AUTHORIZATION POLICY (Политика аутентификации шлюза службы терминалов) и выберите пункт Повторяющаяся политика.Right-click TS GATEWAY AUTHORIZATION POLICY and select Duplicate Policy.
  5. Откройте новую политику и перейдите на вкладку Условия.Open the new policy and go to the Conditions tab.
  6. Добавьте условие, сопоставляющее понятное имя клиента с понятным именем, заданным на шаге 2 для RADIUS-клиента сервера Многофакторной идентификации Azure.Add a condition that matches the Client Friendly Name with the Friendly name set in step 2 for the Azure Multi-Factor Authentication Server RADIUS client.
  7. Откройте вкладку Параметры и выберите Проверка подлинности.Go to the Settings tab and select Authentication.
  8. Укажите для поставщика проверки подлинности значение Проверять подлинность запросов на этом сервере.Change the Authentication Provider to Authenticate requests on this server. Эта политика гарантирует, что когда служба NPS получит от сервера Azure MFA RADIUS-запрос, аутентификация будет выполняться локально. Иными словами, RADIUS-запрос не будет отправляться на сервер Многофакторной идентификации Azure, так как это может привести к зацикливанию операции.This policy ensures that when NPS receives a RADIUS request from the Azure MFA Server, the authentication occurs locally instead of sending a RADIUS request back to the Azure Multi-Factor Authentication Server, which would result in a loop condition.
  9. Чтобы избежать зацикливания, в области Политики запросов на подключение новая политика должна находиться иерархически ВЫШЕ исходной политики.To prevent a loop condition, make sure that the new policy is ordered ABOVE the original policy in the Connection Request Policies pane.

Настройка Многофакторной идентификации AzureConfigure Azure Multi-Factor Authentication

Между шлюзом удаленных рабочих столов и NPS сервер Многофакторной идентификации Azure настраивается как прокси-сервер RADIUS.The Azure Multi-Factor Authentication Server is configured as a RADIUS proxy between RD Gateway and NPS. Он должен быть установлен на сервере, присоединенном к домену, который отличается от сервера шлюза удаленных рабочих столов.It should be installed on a domain-joined server that is separate from the RD Gateway server. Для настройки сервера Многофакторной идентификации Azure используйте следующую процедуру.Use the following procedure to configure the Azure Multi-Factor Authentication Server.

  1. Откройте сервер Многофакторной идентификации Azure и щелкните значок аутентификации RADIUS.Open the Azure Multi-Factor Authentication Server and select the RADIUS Authentication icon.
  2. Установите флажок Включить проверку подлинности RADIUS.Check the Enable RADIUS authentication checkbox.
  3. Порты на вкладке "Клиенты" должны соответствовать тем, что указаны в параметрах службы NPS. Если это так, нажмите кнопку Добавить.On the Clients tab, ensure the ports match what is configured in NPS then select Add.
  4. Добавьте IP-адрес сервера шлюза удаленных рабочих столов, имя приложения (необязательно) и общий секрет.Add the RD Gateway server IP address, application name (optional), and a shared secret. На сервере Многофакторной идентификации Azure и на шлюзе удаленных рабочих столов должен быть указан один и тот же общий секрет.The shared secret needs to be the same on both the Azure Multi-Factor Authentication Server and RD Gateway.
  5. Перейдите на вкладку Целевой объект и выберите переключатель Серверы RADIUS.Go to the Target tab and select the RADIUS server(s) radio button.
  6. Щелкните Добавить и введите IP-адрес, общий секрет и порты сервера NPS.Select Add and enter the IP address, shared secret, and ports of the NPS server. Если не используется центральная служба NPS, RADIUS-клиент и целевой RADIUS-объект будут совпадать.Unless using a central NPS, the RADIUS client and RADIUS target are the same. Общий секретный ключ должен соответствовать ключу, заданному в разделе клиентов RADIUS сервера NPS.The shared secret must match the one setup in the RADIUS client section of the NPS server.

Проверка подлинности RADIUS на сервере MFA

Дальнейшие действияNext steps