Настройка двухфакторной аутентификации на сервере Windows со службой RD Gateway

В статье описывается настройка Windows сервера для включения двухфакторной аутентификации при подключении удаленного рабочего стола (RDP) со службой RD Gateway.

RD Gateway — компонент Windows сервера, позволяющий подключаться к рабочему столу через защищенный протокол TLS, контролировать диски, USB и буфер обмена, ограничивать таймаут сессии и доступ пользователей к локальным и сетевым ресурсам.

Применимо к версиям:

  • Windows Server 2012 R2
  • Windows Server 2016
  • Windows Server 2019

Возможные способы аутентификации:

  • Telegram
  • Мобильное приложение (скоро)

Двухфакторная аутентификация включается только при подключении через службу RD Gateway по порту 443. Стандартная служба Windows RDP, работающая по порту 3389 будет работать, как обычно, поэтому есть смысл закрыть ее для административного доступа через VPN.

Принцип работы

  1. Пользователь подключается к серверу через удаленный рабочий стол.
  2. Windows сервер проверяет логин и пароль пользователя локально или в Active Directory, в зависимости от конфигурации.
  3. Если логин, пароль и настройки авторизации корректны, Windows сервер запрашивает службу Network Policy Server (NPS) для дополнительной удаленной аутентификации пользователя.
  4. Служба NPS обращается к RADIUS серверу Мультифактора
  5. Мультифактор отправляет запрос на телефон пользователя, получает ответ и разрешает доступ.

Установка служб

Вам потребуется Windows Server с установленными компонентами Remote Desktop Gateway и Network Policy and Access Service. Сервер может работать автономно или быть включен в домен.

Процесс установки детально описан во множестве источников, воспользуйтесь, к примеру этой исчерпывающей статьей.

Настройка Мультифактора

  1. Зайдите в систему управления Мультифактором, зайдите в раздел "Ресурсы" и создайте новый Windows RD Gateway сервер.

В поле адрес укажите NAT IPv4 адрес вашего сервера, чтоб Мультифактор смог его идентифицировать.

После создания вам будут доступен параметр Shared Secret, он потребуется для последующих шагов.

Настройка NPS

  1. Откройте Server Manager -> Tools -> Network Policy Server.
  2. В меню RADIUS Clients and Servers выберите Remote RADIUS Server Groups
  3. Выберите свойства TS GATEWAY SERVER GROUP NPS
  4. Добавьте RADIUS сервер Мультифактора
  • Server: radius.multifactor.ru NPS

На вкладке "Authentication/Accounting":

  • Укажите Shared Secret из настроек ресурса Мультифактора
  • Поставьте флажок "Request must contains message authenticator attribute" NPS

На вкладке "Load Balancing":

  • Priority: 1
  • Таймауты 60 NPS

Сохраните и закройте. NPS

  1. В меню Policies -> Connection Request Policies выберите свойства TS GATEWAY AUTHORIZATION POLICY NPS
  • На вкладке Settings выберите пункт "Forward requests to the following RADIUS server group for authentication" NPS
  • Сохраните и закройте.

Создание пользователей

  1. В системе Мультифактор создайте пользователей, которые будут подключаться к удаленному рабочему столу. Логин должен быть в формате server\user, где server — имя компьютера или домена. Добавьте пользователи в необходимые группы. MF new user

  2. Отправьте пользователям ссылку для настройки второго фактора аутентификации MF new user enroll

Настройка клиента

  1. Запустите удаленный рабочий стол (mstsc)
  2. На вкладке "Дополнительно", "Параметры" укажите адрес вашего сервера и порт 443 (если не меняли по умолчанию)
  3. Сохраните и запустите подключение
  4. Пользователю нужно будет ввести логин (формат server\user), пароль и подтвердить вход в мессенджере MF new user enroll

Важно! Windows Server не передает пароль пользователя в систему Мультифактор, только имя.

Если что-то не работает

Последовательно проверьте, что вы ничего не упустили:

  • На сервере открыт доступ по UDP порту 1812 на адрес radius.multifactor.ru
  • Параметр Shared Secret указан корректно
  • В системе Мультифактор заведен пользователь с таким же логином и ему предоставлен доступ к ресурсу RD Gateway
  • Пользователь настроил способ аутентификации через Telegram

Ошибка Компьютеру не удается проверить удостоверение шлюза удаленных рабочих столов связана с SSL сертификатом:

  • Если вы подключаетесь к серверу по IP, а не DNS имени, то создайте самоподписанный сертификат, где имя сертификата - IP адрес.
  • Самоподписанный сертификат нужно установить на каждый клиентский компьютер в раздел "Доверенные корневые центры сертификации".

Ошибка Удаленному рабочему столу не удалось подключиться к удаленному компьютеру "..." по одной из этих причин::

  • проверьте журнал EventLog\Custom Views\Server Roles\Network Polcy and Access Services.
  • если в нем есть запись "The remote RADIUS (Remote Authentication Dial-In User Service) server did not process the authentication request.", значит вы не создали пользователя в системе Мультифактор. Логин пользователя должен быть в формате server\user, где server — это имя компьютера или домена.
  • проверьте журнал "Запросы доступа" в системе Мультифактор. Если есть отклоненная попытка доступа, то ознакомьтесь с причиной.
  • если есть запись в статусе "Ожидает аутентификации", то увеличьте таймаут запроса в свойствах Remote Radius Server на вкладке "Load Balancing".
  • иногда бывает необходимо перезагрузить службу NPS

Если ничего не сработало, обращайтесь, поможем.

Смотрите также:

Last updated on 2020-3-29
Интеграция для ASP.NETНастройка Network Policy Server