RAS Secure Gateway transportiert alle Parallels RAS-Daten durch einen Tunnel über einen einzelnen Port. Es bietet auch sichere Verbindungen und ist der Verbindungspunkt des Benutzers mit Parallels RAS.

An jeder Site muss mindestens ein RAS Secure Gateway installiert und konfiguriert sein. Hinweis: Wenn eine Site als Mandant mit dem RAS-Mandantenmakler verbunden ist, wird das RAS Secure Gateway nicht benötigt. Einzelheiten dazu finden Sie unter Mandantenfähige RAS-Architektur.

Je nach Ihren Anforderungen können auch mehrere Gateways vorhanden sein. In diesem Kapitel erfahren Sie, wie Sie RAS Secure Gateways hinzufügen, konfigurieren und verwalten.

Sie müssen mindestens ein RAS Secure Gateway installieren, damit Parallels RAS funktioniert. Sie können einer RAS-Site zusätzliche Gateways hinzufügen, um mehr Benutzer zu unterstützen, Lastausgleichverbindungen herzustellen und Redundanz zu gewährleisten.

Installieren eines RAS Secure Gateways auf einem dedizierten Server

Wenn Sie ein RAS Secure Gateway auf einem dedizierten Server installieren, können Sie auch die Parallels RAS-Konsole auf demselben Server installieren. Die Konsole hat eine eingeschränkte Funktionalität, ermöglicht Ihnen aber einige wichtige Verwaltungsoperationen auf dem Gateway durchzuführen, einschließlich:

• Einstellung der Gateway-Betriebsart (normal oder Weiterleitung, Details siehe unten).

• Zuweisen eines RAS Connection Brokers, der das Gateway verwaltet.

• Einstellen des Gateway-Kommunikationsanschlusses.

• Anzeigen der Gateway-Informationen, wie Host-Betriebssystemversion, Parallels RAS-Version, verfügbare IP-Adressen und andere.

Die RAS-Konsole in einem solchen Installationsszenario (wenn sie mit dem lokalen Computer verbunden ist, nicht mit der RAS-Serverfarm) hat nur zwei Kategorien, die Sie im linken Bereich auswählen können: Gateway und Information. Um die Gateway-Einstellungen zu verwalten, wählen Sie Gateway und klicken Sie dann im rechten Bereich auf Eigentümer ändern. Um die Informationen anzuzeigen, wählen Sie die Kategorie Information.

Wenn die RAS-Konsole mit einer Parallels RAS-Serverfarm (d. h. dem Server, auf dem der RAS Connection Broker läuft) verbunden ist, können Sie RAS Secure Gateways verwalten, indem Sie zu Serverfarm > <Site> > Gateways navigieren.

Funktionsweise eines RAS Secure Gateways

Nachstehend wird beschrieben, wie ein RAS Secure Gateway mit den Verbindungsanforderungen von Benutzern umgeht:

1. Ein RAS Secure Gateway empfängt die Anforderung für eine Benutzerverbindung.

2. Anschließend leitet es die Anforderung an den RAS Connection Broker weiter, bei dem es registriert ist (standardmäßig die Einstellung „Bevorzugter Connection Broker“).

3. Ein RAS Connection Broker führt Lastverteilungsprüfungen und eine Sicherheitsnachschau in Active Directory durch, um die Sicherheitsberechtigungen zu erhalten.

4. Wenn der Benutzer, der eine veröffentlichte Ressource anfordert, ausreichende Zugriffsberechtigungen hat, sendet der RAS Connection Broker eine Antwort an das Gateway zurück und übermittelt damit Details über den RD-Sitzungshost, mit dem sich der Benutzer verbinden kann.

5. Je nach Verbindungsmodus verbindet sich der Client entweder über das Gateway oder trennt die Verbindung vom Gateway und verbindet sich dann direkt mit dem RD-Sitzungshost-Server.

Betriebsmodus von RAS Secure Gateways

Ein RAS Secure Gateway kann in einem der folgenden Modi betrieben werden:

• Normalmodus. Ein RAS Secure Gateway im Normalmodus empfängt Verbindungsanforderungen von Benutzern und prüft über den RAS Connection Broker, ob der Benutzer, der die Anforderung gestellt hat, Zugriffsberechtigung erhält. Gateways, die in diesem Modus arbeiten, können eine größere Anzahl von Anforderungen unterstützen und verbessern die Redundanz.

• Weiterleitungsmodus. Ein RAS Secure Gateway im Weiterleitungsmodus leitet Verbindungsanforderungen von Benutzern an ein vorkonfiguriertes Gateway weiter. Gateways im Weiterleitungsmodus sind sinnvoll, wenn kaskadierende Firewalls benutzt werden, um WAN-Bindungen von LAN-Verbindungen zu trennen und eine Trennung der WAN-Segmente zu ermöglichen, wenn Probleme auftreten und das LAN nicht unterbrochen werden soll.

Hinweis: Zum Konfigurieren des Weiterleitungsmodus muss eine Parallels RAS-Serverfarm mehr als ein RAS Secure Gateway aufweisen.

Planung der Hochverfügbarkeit

Wenn Sie RAS Secure Gateways zu einer Site hinzufügen, sollte die N+1-Redundanz konfiguriert werden, um einen unterbrechungsfreien Dienst für Ihre Benutzer zu gewährleisten. Dies ist eine allgemeine Regel, die auch für andere Parallels RAS-Komponenten gilt, wie z. B. Connection Broker oder RD-Sitzungshosts.

Gehen Sie wie folgt vor, um ein RAS Secure Gateway manuell zu installieren und der Serverfarm hinzuzufügen:

1. Melden Sie sich mit einem Administratorkonto bei dem Server an, auf dem Sie das RAS Secure Gateway installieren möchten.

2. Kopieren Sie die Parallels RAS-Installationsdatei (RASInstaller.msi) auf den Server und doppelklicken Sie darauf, um die Installation zu starten.

3. Folgen Sie den Anweisungen auf dem Bildschirm und gehen Sie zur Seite „Installationstyp“. Wählen Sie Benutzerdefiniert und klicken Sie auf Weiter.

4. Klicken Sie in der Strukturdarstellung der Funktionen auf RAS Secure Gateway und wählen Sie Funktion wird vollständig auf lokaler Festplatte installiert.

5. Vergewissern Sie sich, dass alle anderen Komponenten im Baum deaktiviert sind, und klicken Sie auf Weiter.

6. Klicken Sie auf Installieren, um mit der Installation zu beginnen.

7. Nach Abschluss der Installation klicken Sie auf Fertigstellen, um den Assistenten zu verlassen.

8. Öffnen Sie die RAS-Konsole und geben den RAS Connection Broker an, der das Gateway verwaltet.

IP-Adressen für eingehende Clientverbindungen für ein Secure Gateway werden auf der Registerkarte Allgemein des Dialogfelds RAS Secure Gateway-Eigenschaften angegeben. RAS Secure Gateway erkennt sowohl IPv4 als auch IPv6. Standardmäßig wird IPv4 verwendet.

Sie können die folgenden IP-Optionen angeben:

• IP-Version verwenden: Wählen Sie die zu verwendende(n) IP-Version(en) aus.

• IP(s): Geben Sie eine oder mehrere durch ein Semikolon getrennte IP-Adressen an, oder klicken Sie auf Auflösen, um die IP-Adresse automatisch aufzulösen. Dies sind die verfügbaren Adressen auf dem Secure Gateway-Server. Um IP-Adressen anzugeben, die für Client-Verbindungen verwendet werden sollen, verwenden Sie den Abschnitt An IP binden (siehe unten).

• An IP binden: In diesem Abschnitt können Sie angeben, an welcher IP-Adresse (oder an welchen Adressen) das Secure Gateway auf Client-Verbindungen lauschen soll. Sie können eine bestimmte Adresse oder <All available addresses> wählen, wobei in diesem Fall alle im Feld IP(s) angegebenen IP-Adressen verwendet werden.

• Systempuffer entfernen für: Diese Felder (eines für jede IP-Version) können verwendet werden, wenn die Verbindung zwischen dem Secure Gateway und dem Parallels Client eine hohe Latenzzeit hat (wie z. B. das Internet). Diese Option optimiert den Datenverkehr und verbessert die Erfahrung auf der Parallels Client-Seite. Sie können eine bestimmte Adresse, alle verfügbaren Adressen oder keine auswählen. Diese Option verzögert das interne Socket, um die Leistung des externen Sockets anzupassen. Wenn das interne Netzwerk schnell und das externe langsam ist, erkennt RDP den schnellen internen Socket und sendet viele Daten. Das Problem ist, dass diese Daten nicht schnell genug vom Secure Gateway zum Client gesendet werden können, was zu einer schlechten Benutzererfahrung führt. Wenn Sie diese Option aktivieren, wird der Datenaustausch optimiert.

Konfiguration eines RAS Secure Gateways:

1. Navigieren Sie in der RAS-Konsole zu Serverfarm > <Site> > Secure Gateways.

2. Klicken Sie mit der rechten Maustaste im rechten Fensterausschnitt auf ein Secure Gateway. Klicken Sie auf Eigenschaften.

3. Das Dialogfeld RAS Secure Gateway-Eigenschaften wird geöffnet.

Im Folgenden erfahren Sie, wie Sie die Eigenschaften eines RAS Secure Gateways konfigurieren.

Ein RAS Secure Gateway kann im Normal- und Weiterleitungsmodus betrieben werden. Um den gewünschten Modus einzustellen und entsprechende Einstellungen zu konfigurieren, klicken Sie auf die Registerkarte Modus im Dialogfeld RAS Secure Gateway-Eigenschaften.

Verwendung der Standardeinstellungen der Site

Um die Standardeinstellungen der Site zu verwenden, klicken Sie auf die Option Standardeinstellungen erben. Wenn Sie Ihre eigenen Einstellungen festlegen möchten, deaktivieren Sie diese Option. Weitere Informationen finden Sie unter Standardeinstellungen der Site (Gateways).

Einrichten des Normalmodus

Zum Einrichten des Normalmodus wählen Sie in der Dropdownliste Gateway-Modus die Option Normal.

Mit der Option Anforderungen an HTTP-Server weiterleiten können Sie Anforderungen weiterleiten, die nicht zum RAS Secure Gateway gehören (Gateways verarbeiten HTML5-Datenverkehr, Wyse und URL-Schema). Wenn Sie mehrere Server eingeben, trennen Sie sie mit Strichpunkten. Ein HTTP-Server kann mit einer IPv6-Adresse angegeben werden, sofern erforderlich. Beachten Sie, dass ein HTTP-Server die gleiche IP-Version unterstützen muss wie der anfordernde Browser.

Die Dropdownliste Bevorzugter Connection Broker ermöglicht Ihnen die Angabe eines RAS Connection Broker, mit dem sich das Secure Gateway verbinden soll. Das ist hilfreich, wenn die Site-Komponenten in mehreren physischen Sites installiert sind, die über WAN miteinander kommunizieren. Sie können den Netzwerkdatenverkehr verringern, indem Sie einen geeigneteren RAS Connection Broker festlegen. Damit das Secure Gateway einen Connection Broker automatisch auswählt, wählen Sie die Option Automatisch.

Einrichten des Weiterleitungsmodus

Zum Einrichten des Weiterleitungsmodus wählen Sie in der Dropdownliste Gateway-Modus die Option Weiterleitung.

Geben Sie im Feld Weiterleiten von RAS Secure Gateway einen oder mehrere Weiterleitungs-Secure Gateways ein oder wählen Sie diese aus.

Hinweis: Mit dem Weiterleitungsmodus können Sie Daten an ein Secure Gateway weiterleiten, das an einer IPv6-Adresse wartet. Es wird empfohlen, Weiterleitungs-Secure Gateways so zu konfigurieren, dass sie dieselbe IP-Version verwenden.

Um den Status eines RAS Secure Gateways zu überprüfen, klicken Sie mit der rechten Maustaste in die Liste und klicken dann im Kontextmenü auf Status überprüfen. Das Dialogfeld RAS Secure Gateway Informationen wird geöffnet.

Im Dialogfeld werden die Gateway-Informationen angezeigt, wie z. B.:

• Server: Der Name des Servers, auf dem das Gateway installiert ist.

• Gateway: Der Überprüfungsstatus des Gateways (z. B. „Überprüft“‘).

• Version: Die Versionsnummer der Gateway-Software. Die Versionsnummer muss mit der Parallels RAS-Versionsnummer übereinstimmen.

• BS-Typ: Typ und Version des Betriebssystems.

• Status: Hier wird der aktuelle Status des RAS Secure Gateways angezeigt. Wenn der Status auf ein Problem verweist (das Gateway hat beispielsweise nicht geantwortet oder die Version der Gateway-Software ist falsch), klicken Sie auf die Schaltfläche Installieren, um das Gateway per Push-Installation auf dem Server zu installieren. Warten Sie, bis die Installation abgeschlossen ist, und überprüfen Sie den Status erneut.

Über die Registerkarte Netzwerk können die Netzwerkoptionen für RAS Secure Gateway konfiguriert werden.

Verwendung der Standardeinstellungen der Site

Um die Standardeinstellungen der Site zu verwenden, klicken Sie auf die Option Standardeinstellungen erben. Wenn Sie Ihre eigenen Einstellungen festlegen möchten, deaktivieren Sie diese Option. Weitere Informationen finden Sie unter Standardeinstellungen der Site (Gateways).

Konfigurieren des Netzwerks

Standardmäßig wartet das RAS Secure Gateway auf den TCP-Ports 80 und 443, um den gesamten RAS-Verkehr von Parallels zu tunneln. Um den Port zu ändern, geben Sie im Eingabefeld RAS Secure Gateway-Port einen neuen Port ein.

Der RDP-Port 3389 wird für Clients verwendet, die Desktop-Sitzungen mit einfachem Lastausgleich erfordern. Verbindungen mit diesem Port unterstützen KEINE veröffentlichten Ressourcen. Um den RDP-Port an einem Gateway zu ändern, wählen Sie die Option RDP-Port und geben Sie einen neuen Port an. Wenn Sie Ihren eigenen Port einrichten, stellen Sie sicher, dass dieser Port nicht mit der Standardeinstellung für den „Port des RD-Sitzungshosts“ in Konflikt steht.

Hinweis: Wenn der RDP-Port geändert wurde, müssen die Benutzer die Portnummer an ihre Verbindungszeichenfolge im Remotedesktop-Client anhängen (z. B. [IP-Adresse]:[Port]).

RAS Secure Gateway-Adresse übertragen Diese Option kann verwendet werden, um die Übertragung der Secure Gateway-Adresse einzuschalten, sodass Parallels Clients ihre primären Secure Gateways automatisch finden können. Diese Option ist standardmäßig aktiviert.

RDP-UDP-Tunnelling aktivieren. Wählen Sie diese Option (Standardeinstellung), um UDP-Tunnelling auf Windows-Geräten zu aktivieren. Um UDP-Tunnelling zu deaktivieren, entfernen Sie das Häkchen für die Option.

Geräte-Manager-Port. Wählen Sie diese Option, um die Verwaltung von Windows-Geräten aus der Kategorie Geräte-Manager zu ermöglichen. Diese Option ist standardmäßig aktiviert.

Aktiviere RDP DOS Attack-Filter. Wenn diese Option ausgewählt ist, weist sie Ketten unvollständiger Sitzungen von derselben IP-Adresse zurück. Beispiel: Wenn ein Parallels Client mehrere aufeinanderfolgende Sitzungen beginnt und jede Sitzung darauf wartet, dass der Benutzer Anmeldedaten eingibt, verweigert Parallels RAS weitere Versuche. Diese Option ist standardmäßig aktiviert.

Der Datenverkehr zwischen Parallels RAS-Nutzern und einem RAS Secure Gateway kann verschlüsselt werden. Auf der Registerkarte SSL/TLS können Sie Datenverschlüsselungsoptionen konfigurieren.

Verwendung der Standardeinstellungen der Site

Um die Standardeinstellungen der Site zu verwenden, klicken Sie auf die Option Standardeinstellungen erben. Wenn Sie Ihre eigenen Einstellungen festlegen möchten, deaktivieren Sie diese Option. Weitere Informationen finden Sie unter .

Durchsetzung von HSTS

Mit der Schaltfläche Konfigurieren im HSTS-Abschnitt können Sie die HTTP Strict Transport Security (HSTS) erzwingen, einen Mechanismus, der einen Webbrowser dazu bringt, mit dem Webserver nur über sichere HTTPS-Verbindungen zu kommunizieren. Wenn HSTS für ein RAS Secure Gateway durchgesetzt wird, sind alle Webanforderungen an es gezwungen, HTTPS zu verwenden. Das betrifft insbesondere das , das aus Sicherheitsgründen normalerweise nur HTTPS-Anfragen akzeptiert.

Wenn Sie auf die Schaltfläche Konfigurieren klicken, öffnet sich das Dialogfeld HSTS-Einstellungen, in dem Sie Folgendes festlegen können:

• Strenge HTTP-Transportsicherheit (HSTS) durchsetzen: Aktiviert oder deaktiviert HSTS für das Secure Gateway.

• Max. Alter: Gibt das maximale Alter für HSTS an, d. h. die Zeit (in unserem Fall in Monaten), in der der Webbrowser nur über HTTPS mit dem Secure Gateway kommunizieren kann. Der Standardwert (und empfohlene) Wert beträgt 12 Monate. Akzeptable Werte sind 4 bis 120 Monate.

• Subdomains einbeziehen: Gibt an, ob Subdomains eingefügt werden sollen (falls vorhanden).

• Vorab laden: Aktiviert oder deaktiviert das Vorab-Laden von HSTS. Dies ist ein Mechanismus, bei dem eine Liste von Hosts, die die Verwendung von SSL/TLS auf ihrer Site erzwingen möchten, in einem Webbrowser fest kodiert wird. Die Liste wird von Google erstellt und von den Browsern Chrome, Firefox, Safari, Internet Explorer 11 und Edge verwendet. Wenn HSTS Preload verwendet wird, versucht ein Webbrowser nicht einmal, eine Anforderung über HTTP zu senden, sondern verwendet jedes Mal HTTPS. Bitte lesen Sie auch den wichtigen Hinweis unten.

Hinweis: Um HSTS Preload zu verwenden, müssen Sie Ihren Domainnamen für die Aufnahme in die HSTS Preload-Liste von Chrome einreichen. Ihre Domain wird in allen Webbrowsern, die die Liste verwenden, fest kodiert. Wichtig: Die Aufnahme in die Preload-Liste kann nicht ohne weiteres rückgängig gemacht werden. Sie sollten die Aufnahme nur dann beantragen, wenn Sie sicher sind, dass Sie HTTPS für Ihre gesamte Site und alle ihre Subdomains langfristig (in der Regel 1-2 Jahre) unterstützen können.

Beachten Sie auch die folgenden Anforderungen:

• Ihre Site muss über ein gültiges SSL-Zertifikat verfügen. Weitere Hinweise finden Sie unter .

• Alle Subdomains (falls vorhanden) müssen in Ihrem SSL-Zertifikat enthalten sein. Erwägen Sie, ein Wildcard-Zertifikat zu bestellen.

SSL wird konfiguriert

Standardmäßig wird einem RAS Secure Gateway bei der Installation des Gateways ein selbstsigniertes Zertifikat zugewiesen. Jedem RAS Secure Gateway muss ein Zertifikat zugewiesen werden und das Zertifikat sollte den vertrauenswürdigen Stammzertifizierungsstellen auf der Client-Seite hinzugefügt werden, um Sicherheitswarnungen zu vermeiden.

So konfigurieren Sie SSL für einen Secure Gateway:

1. Wählen Sie die Option SSL aktivieren für Port und geben Sie eine Portnummer an (Standardeinstellung ist 443).

2. Wählen Sie in der Dropdownliste Akzeptierte SSL-Versionen die vom RAS Secure Gateway akzeptierte SSL-Version aus.

3. Wählen Sie im Feld Verschlüsselungsstärke eine gewünschte Verschlüsselungsstärke aus.

4. Geben Sie im Feld Verschlüsselung die Verschlüsselung an. Eine stärkere Chiffre ermöglicht eine stärkere Verschlüsselung, wodurch mehr Aufwand erforderlich ist, um sie zu knacken.

5. Die Option Verschlüsselungen entsprechend Serverpräferenz verwenden ist standardmäßig aktiviert. Sie können Client-Einstellungen verwenden, indem Sie diese Option deaktivieren.

6. Die Option <Alle übereinstimmenden Verwendungen> verwendet jedes Zertifikat, das für die Verwendung durch einen Secure Gateway konfiguriert ist. Wenn Sie ein Zertifikat erstellen, geben Sie die Eigenschaft „Verwendung“ an, in der Sie „Gateway“, „HALB“ oder beides auswählen können. Wenn bei dieser Eigenschaft die Option „Gateway“ ausgewählt ist, kann sie mit einem Secure Gateway verwendet werden. Hinweis: Wenn Sie diese Option wählen, aber kein einziges passendes Zertifikat vorhanden ist, wird eine Warnung angezeigt und Sie zuerst ein Zertifikat erstellen müssen.

Verschlüsseln der Parallels Client-Verbindung

Standardmäßig ist die einzige Art Verschlüsselung eine Verbindung zwischen einem Secure Gateway und Backend-Servern. Um eine Verbindung zwischen Parallels Client und einem Secure Gateway zu verschlüsseln, müssen Sie auch die Verbindungseigenschaften auf der Client-Seite konfigurieren. Öffnen Sie dazu in Parallels Client die Verbindungseigenschaften und stellen Sie den Verbindungsmodus auf Gateway SSL ein.

Um die Konfiguration des Parallels Clients zu vereinfachen, wird empfohlen, ein Zertifikat zu verwenden, das von einer bekannten vertrauenswürdigen Zertifizierungsstelle eines Drittanbieters ausgestellt wurde. Beachten Sie, dass der Windows-Zertifikatspeicher von einigen Webbrowsern (Chrome, Edge etc.) verwendet wird, wenn sie sich mit dem RAS-Nutzerportal verbinden.

Konfiguration von Parallels Clients

Wenn das Zertifikat selbstsigniert ist oder von einer Unternehmenszertifizierungsstelle ausgestellt wurde, müssen Parallels Clients wie folgt beschrieben konfiguriert werden.

1. Exportieren Sie das Zertifikat im Base-64 kodierten X.509 (.CER)-Format.

2. Öffnen Sie das exportierte Zertifikat in einem Texteditor, wie z. B. Notepad oder WordPad, und kopieren Sie den Inhalt in die Zwischenablage.

Fügen Sie das Zertifikat dann clientseitig der Liste der vertrauenswürdigen Zertifizierungsstellen hinzu und erlauben Sie Parallels Client, sich über SSL mit einem Zertifikat von einer Unternehmenszertifizierungsstelle zu verbinden.

So fügen Sie das Zertifikat in Parallels Client für Windows hinzu:

1. Auf der Client-Seite sollte sich im Verzeichnis C:\Programmdateien\Parallels\Remote Application Server Client\ eine Datei mit dem Namen trusted.pem befinden. Diese Datei enthält Zertifikate bekannter vertrauenswürdiger Stellen.

2. Fügen Sie den Inhalt des exportierten Zertifikats (im Anhang der Liste der anderen Zertifikate) ein.

So fügen Sie das Zertifikat in Parallels Client für Linux hinzu:

• Auf IGEL OS 12:

  1. Öffnen Sie die Datei customtrusted.pem im Verzeichnis /userhome/.config/2X/Client/. Wenn diese Datei nicht vorhanden ist, erstellen Sie sie. In dieser Datei werden Ihre benutzerdefinierten vertrauenswürdigen Zertifikate gespeichert.

  2. Fügen Sie den Inhalt des exportierten Zertifikats in die Datei ein. Wenn die Datei vorhanden ist und andere Zertifikate enthält, fügen Sie das Zertifikat am Ende der Datei hinzu.

• Bei anderen Linux-Distributionen:

  1. Ermitteln Sie den Speicherort Ihrer Datei trusted.pem. Bei den meisten Systemen sollte dies das Verzeichnis /opt/2X/Client/lib sein.

  2. Öffnen Sie die Datei customtrusted.pem in dem Verzeichnis, in dem sich trusted.pem befindet. Wenn diese Datei nicht vorhanden ist, erstellen Sie sie. In dieser Datei werden Ihre benutzerdefinierten vertrauenswürdigen Zertifikate gespeichert.

  3. Fügen Sie den Inhalt des exportierten Zertifikats in die Datei ein. Wenn die Datei vorhanden ist und andere Zertifikate enthält, fügen Sie das Zertifikat am Ende der Datei hinzu.

Sichern von RDP-UDP-Verbindungen

Ein Parallels Client kommuniziert normalerweise mit einem RAS Secure Gateway über eine TCP-Verbindung. Jüngere Windows-Clients verwenden eventuell auch eine UDP-Verbindung, um die WAN-Leistung zu verbessern. Um UDP-Verbindungen mit SSL zu schützen, muss DTLS verwendet werden.

So verwenden Sie DTLS auf einem RAS Secure Gateway:

1. Stellen Sie sicher, dass auf der Registerkarte SSL/TLS die Option SSL aktivieren für Port ausgewählt ist.

Die Parallels Clients müssen für die Verwendung des Modus SSL-Verbindung konfiguriert sein. Diese Option kann clientseitig unter Verbindungseinstellungen > Verbindungsmodus eingestellt werden.

Nachdem die zuvor genannten Optionen korrekt eingestellt wurden, werden sowohl TCP- als auch UDP-Verbindungen über SSL getunnelt.

Das Nutzerportal ist eine in das RAS Secure Gateway integrierte Funktion, mit der Benutzer mithilfe des Parallels Web Clients eine Verbindung zu Parallels RAS herstellen und veröffentlichte Ressourcen über einen Webbrowser öffnen können. Der Client funktioniert ähnlich wie ein plattformspezifischer Parallels Client, erfordert aber keine zusätzliche Software, die auf den Computern oder Geräten der Nutzer installiert werden muss. Alles, was die Benutzer benötigen, ist ein HTML5-kompatibler Webbrowser.

In diesem Abschnitt wird beschrieben, wie das Nutzerportal in der Parallels RAS-Konsole konfiguriert wird. Informationen zur Verwendung finden Sie im Kapitel Parallels Web Client und Nutzerportal.

Hinweis: Um den Web Client und das Nutzerportal zu verwenden, muss SSL auf einem RAS Secure Gateway aktiviert sein. Wenn Sie den Client aktivieren, achten Sie darauf, dass SSL auf der Registerkarte SLL/TLS oder auf Ihrem Netzwerk-Lastausgleich aktiviert ist. Beachten Sie auch: Die Registerkarte Nutzerportal ist nur verfügbar, wenn der Gateway-Modus auf „Normal“ eingestellt ist. Weitere Informationen finden Sie unter Gateway-Modus und Weiterleitungseinstellungen.

Um das Nutzerportal zu konfigurieren, klicken Sie im Eigenschaftsdialog von RAS Secure Gateway auf die Registerkarte Nutzerportal und stellen Sie dann die in den folgenden Abschnitten beschriebenen Optionen ein.

Informationen zur Konfiguration der Web Client-URL und zum Zugriff auf den Client über einen Webbrowser finden Sie unter Lastverteilung für Webanforderungen.

Das Dialogfeld RAS Secure Gateway-Eigenschaften besteht aus Registerkarten, die jeweils einen spezifischen Satz von Optionen enthalten. Alle Registerkarten, mit Ausnahme von Eigenschaften, haben eine gemeinsame Option Standardeinstellungen erben. Wenn Sie diese Option wählen, werden alle Felder auf einer Registerkarte ausgegraut und die Einstellungen werden von den Standardeinstellungen der Site geerbt. Um die Standardeigenschaften der Site für Secure Gateways anzuzeigen (und ggf. zu ändern), klicken Sie auf den Link Standardeinstellungen der Site, der auf allen oben genannten Registerkarten verfügbar ist. Der Link öffnet das Dialogfeld für die Standardeinstellungen der Site. Sie können dieses Dialogfeld auch öffnen, indem Sie auf Aufgaben > Standardeinstellungen der Site klicken, während Sie sich auf der Registerkarte Serverfarm > Site > Secure Gateways befinden.

In den folgenden Abschnitten werden die einzelnen Registerkarten und verfügbaren Optionen im Secure Gateway-Dialogfeld Eigenschaften beschrieben.

Um die Standardeinstellungen der Website auf der Registerkarte Nutzerportal zu verwenden, klicken Sie auf die Option Standardeinstellungen erben. Wenn Sie Ihre eigenen Einstellungen festlegen möchten, deaktivieren Sie diese Option. Weitere Informationen finden Sie unter Standardeinstellungen der Site (Gateways).

Um das Nutzerportal zu aktivieren oder zu deaktivieren, aktivieren oder deaktivieren Sie die Option Nutzerportal aktivieren. Dadurch wird das Nutzerportal aktiviert, sodass die Nutzer sich nicht mehr über den Web Client mit dem Nutzerportal verbinden können.

Bei der Konfiguration von RAS Secure Gateway für die Verwendung von SSL-Verschlüsselung sollten Sie darauf achten, wie der SSL-Server konfiguriert ist, um mögliche Fallen und Sicherheitsprobleme zu vermeiden. Insbesondere sollten die folgenden SSL-Komponenten bewertet werden, um festzustellen, wie gut die Konfiguration ist:

• Das Zertifikat, das gültig und vertrauenswürdig sein soll.

• Das Protokoll, der Schlüsselaustausch und die Verschlüsselung sollten unterstützt werden.

Die Bewertung ist ohne spezifische Kenntnisse über SSL möglicherweise nicht einfach durchzuführen. Aus diesem Grund empfehlen wir Ihnen, den SSL-Server-Test zu verwenden, der in den Qualys SSL Labs erhältlich ist. Dies ist ein kostenloser Online-Dienst, der eine Analyse der Konfiguration eines SSL-Webservers im öffentlichen Internet durchführt. Um den Test auf einem RAS Secure Gateway durchzuführen, müssen Sie es möglicherweise vorübergehend in das öffentliche Internet verschieben.

Der Test ist unter der folgenden URL verfügbar: .

Sie können ein Papier von Qualys SSL Labs, das die bei der Bewertung verwendete Methodik beschreibt, unter folgender URL lesen: .

Der Abschnitt Zugriff auf Netzwerklastausgleich ist für Bereitstellungsszenarien vorgesehen, bei denen Frontend-Lastausgleiche von Drittanbietern wie Amazon Web Services (AWS) Elastic Load Balancers (ELBs) verwendet werden. Es ermöglicht Ihnen, einen alternativen Hostnamen und eine alternative Portnummer zu konfigurieren, die vom Network Load Balancer (NLB) verwendet werden. Dies ist notwendig, um Hostnamen und Ports zu trennen, auf denen TCP- und HTTPS-Kommunikation durchgeführt wird, da der AWS Load Balancer nicht beide spezifischen Protokolle über den gleichen Port unterstützt.

Folgende Optionen stehen zur Verfügung:

• Anderen Hostnamen verwenden: Wählen Sie diese Option und geben Sie einen alternativen Hostnamen an. Wenn der alternative Hostname aktiviert ist, verwenden alle plattformspezifischen Parallels Clients diesen Hostnamen, um sich mit der RAS-Serverfarm oder der Site zu verbinden.

• Anderen Port verwenden: Wählen Sie diese Option und geben Sie eine alternative Portnummer an. Der Port darf nicht von anderen Komponenten der RAS-Serverfarm oder der Site verwendet werden. Um die Portnummer auf den Standardwert zurückzusetzen, klicken Sie auf Standard. Wenn der alternative Port aktiviert ist, verwenden alle plattformspezifischen Parallels Clients diesen Port, um sich mit der RAS-Serverfarm oder der Site zu verbinden. Beachten Sie, dass RDP-Sitzungen im Web Client weiterhin eine Verbindung zum Standard-SSL-Port (443) herstellen.

Hinweis: Bitte beachten Sie, dass die Verwendung eines alternativen Hosts oder Ports in einer mandantenfähigen Umgebung nicht geeignet ist, da der Mandantenmakler RAS Secure Gateways zwischen den Mandanten gemeinsam genutzt werden, was unterschiedliche Konfigurationen erfordern würde.

Darüber hinaus unterstützt der AWS Application Load Balancer (ALB), der den vom Parallels Web Client benötigten HTTP/s-Verkehr verarbeitet, nur bestimmte Cookies, die normalerweise automatisch generiert werden. Wenn ein Load Balancer zum ersten Mal eine Anforderung von einem Client erhält, leitet er die Anforderung an ein Ziel weiter und erzeugt ein Cookie namens AWSALB, das Informationen über das ausgewählte Ziel kodiert. Der Load Balancer verschlüsselt dann das Cookie und nimmt es in die Antwort an den Client auf. Wenn Sticky Sessions aktiviert sind, verwendet der Load Balancer das vom Client empfangene Cookie, um den Datenverkehr an das gleiche Ziel weiterzuleiten, vorausgesetzt, das Ziel ist erfolgreich registriert und gilt als gesund. Standardmäßig verwendet Parallels RAS sein eigenes ASP.NET-Cookie mit dem Namen _SessionId. In diesem Fall müssen Sie das Cookie jedoch anpassen und das erwähnte AWS-Cookie für Sticky-Sitzungen angeben. Dies kann über das Feld Web-Cookie auf der Registerkarte Webanforderungen konfiguriert werden. Bitte beachten Sie, dass diese Funktion in Parallels RAS 17.1 oder neuer verfügbar ist.

Sie können den Benutzerzugriff auf ein Secure Gateway basierend auf einer MAC-Adresse erlauben oder verweigern. Dies kann über die Registerkarte Sicherheit im Dialogfeld RAS Secure Gateway-Eigenschaften erfolgen.

Verwendung der Standardeinstellungen der Site

Um die Standardeinstellungen der Site zu verwenden, klicken Sie auf die Option Standardeinstellungen erben. Wenn Sie Ihre eigenen Einstellungen festlegen möchten, deaktivieren Sie diese Option. Weitere Informationen finden Sie unter Standardeinstellungen der Site (Gateways).

Konfigurieren der Sicherheit

Um eine Liste der zulässigen und nicht zulässigen MAC-Adressen zu konfigurieren, klicken Sie auf die Registerkarte Sicherheit und wählen Sie eine der folgenden Optionen:

• Alle MAC-Adressen zulassen außer. Alle Geräte im Netzwerk dürfen sich mit dem Secure Gateway verbinden, mit Ausnahme derer, die in dieser Liste enthalten sind. Klicken Sie auf Aufgaben > Hinzufügen, um ein Gerät auszuwählen oder eine MAC-Adresse anzugeben.

• Nur folgende MAC-Adressen zulassen. Nur die Geräte mit den in dieser Liste aufgeführten MAC-Adressen dürfen eine Verbindung zum Secure Gateway herstellen. Klicken Sie auf Aufgaben > Hinzufügen, um ein Gerät auszuwählen oder eine MAC-Adresse anzugeben.

Die Filterung der MAC-Adressen der Secure Gateways basiert auf ARP, sodass sich Client und Server im selben Netzwerk befinden müssen, damit die Filterung funktioniert. Sie funktioniert nicht über Netzwerkgrenzen hinaus.

Im Abschnitt Client können Sie Methoden zum Starten von Anwendungen und andere Web Client-Einstellungen festlegen.

• Sitzungen starten mit: Wenn ein Benutzer versucht, eine Ressource von der Benutzerportal-Webseite zu öffnen, kann die Ressource direkt im Webbrowser geöffnet oder in einem plattformspezifischen Parallels Client gestartet werden, der auf dem Computer des Benutzers installiert ist (z. B. Parallels Client für Windows). Diese Option gibt an, welcher Client verwendet wird. Im Vergleich zum Web Client enthält der plattformspezifische Parallels Client eine größere Anzahl an Funktionen und bietet Endanwendern eine bessere allgemeine Benutzererfahrung. Wählen Sie eine der folgenden Optionen:

  1. Nur Browser: Benutzer können Remote-Anwendungen und -Desktops nur mit Parallels Web Client ausführen. Verwenden Sie diese Option, wenn Sie nicht möchten, dass Ihre Benutzer einen plattformspezifischen Parallels Client installieren.

  2. Nur Parallels Client: Benutzer können Remote-Anwendungen und -Desktops nur in Parallels Client ausführen. Wenn sich ein Benutzer über Parallels Web Client mit Parallels RAS verbindet, wird er aufgefordert, den plattformspezifischen Parallels Client zu installieren, bevor er Remote-Anwendungen und -Desktops starten kann. Dem Benutzer wird eine Meldung mit einem Download-Link für die Parallels Client-Installationsdatei anzeigt. Nachdem der Benutzer Parallels Client installiert hat, kann er immer noch eine Remote-Anwendung oder einen Desktop in Parallels Web Client auswählen, diese bzw. dieser wird dann aber stattdessen in Parallels Client geöffnet.

  3. Parallels Client mit Fallback zum Browser: Remote-Anwendungen und Desktops können sowohl in Parallels Client als auch in einem Browser (HTML5) gestartet werden. Parallels Client ist die primäre Methode; Parallels Web Client wird als Ausweichmethode verwendet, wenn eine veröffentlichte Ressource aus irgendeinem Grund nicht in Parallels Client gestartet werden kann. Der Benutzer wird informiert, wenn eine Ressource nicht in Parallels Client geöffnet werden konnte und erhält die Möglichkeit sie stattdessen im Browser zu öffnen.

• (Parallels Client mit Fallback zum Browser und nur Parallels Cient) Außerdem können Sie die Erkennung von Parallels Client konfigurieren, indem Sie auf die Schaltfläche Konfigurieren klicken:

  • Client erkennen: Wählen Sie aus, wann Parallels RAS versucht, den plattformspezifischen Parallels Client zu erkennen.

    • Automatisch bei Anmeldung: Parallels RAS versucht, den plattformspezifischen Parallels Client sofort zu erkennen.

    • Manuell bei Eingabeaufforderung: Parallels RAS zeigt Benutzern eine Eingabeaufforderung, in der sie auswählen können, ob sie den plattformspezifischen Parallels Client erkennen möchten.

  • Zeitüberschreitung bei der Client-Erkennung: Zeitspanne, in der Parallels RAS versucht, den plattformspezifischen Parallels Client zu erkennen.

• Den Benutzern erlauben, eine Startmethode auszuwählen: Wenn diese Option ausgewählt ist, können die Benutzer entscheiden, ob sie Remote-Anwendungen in einem Browser oder in Parallels Client öffnen. Sie können diese Option aktivieren, wenn die Option Sitzung starten mit (oben) auf Parallels Client mit Fallback zum Browser (d. h. beide Methoden sind erlaubt) gesetzt wurde.

• Öffnen von Anwendungen in einer neuen Registerkarte erlauben: Wenn diese Option ausgewählt ist, können Benutzer Remote-Anwendungen in einer neuen Registerkarte im Web-Browser öffnen.

• Anmeldeformat von Prä-Windows 2000 verwenden: Aktiviert das Legacy-Anmeldeformat (vor Windows 2000).

• Einbettung des Nutzerportals in andere Webseiten zulassen: Wenn diese Option ausgewählt ist, kann die Nutzerportal-Webseite in andere Webseiten eingebettet werden. Beachten Sie, dass sich daraus ein potenzielles Sicherheitsrisiko durch sogenanntes Clickjacking ergibt.

• Dateiübertragungsbefehl zulassen: Aktiviert die Dateiübertragung in einer Remotesitzung. Um die Dateiübertragung zu aktivieren, klicken Sie auf die Schaltfläche Konfigurieren. Wählen Sie im sich öffnenden Dialogfeld Nur Client zu Server (Dateien nur vom Client zum Server übertragen), Nur Server zu Client (Dateien nur vom Server zum Client übertragen), Bidirektional (Dateien in beide Richtungen übertragen). Weitere Informationen finden Sie unter Konfigurieren der Remote-Dateiübertragung.

• Zwischenablagebefehl zulassen: Aktiviert die Nutzung der Zwischenablage (Kopieren/Einfügen) in einer Remotesitzung. Um die Zwischenablage zu aktivieren, klicken Sie auf die Schaltfläche Konfigurieren. Wählen Sie im sich öffnenden Dialogfeld Nur Client zu Server (kopieren und einfügen nur vom Client zum Server), Nur Server zu Client (kopieren und einfügen nur vom Server zum Client), Bidirektional (kopieren und einfügen in beide Richtungen). Weitere Informationen zur Verwendung der Zwischenablage finden Sie unter Verwenden des Remote Clipboards.

• Ursprungsübergreifende Ressourcenfreigabe erlauben: Aktiviert ursprungsübergreifende Ressourcenfreigabe (CORS = cross-origin resource sharing). Um CORS zu aktivieren, klicken Sie auf die Schaltfläche Konfigurieren. Geben Sie in dem sich öffnenden Dialogfeld eine oder mehrere Domänen an, für die der Zugriff auf Ressourcen erlaubt werden soll. Wenn Sie keine Domänen angeben, wird die Option automatisch deaktiviert. Geben Sie im Feld Browser-Cache-Zeit an, wie lange der Browser des Endbenutzers eine Ressource zwischenspeichern soll.

• Client-IP-Erkennungsdienst verwenden: Wenn diese Option ausgewählt ist, können Sie einen IP-Erkennungsdienst konfigurieren, der IP-Adressen von verbundenen Parallels Web Client-Anwendungen meldet. Um einen Client-IP-Erkennungsdienst zu aktivieren, klicken Sie auf die Schaltfläche Konfigurieren. Geben Sie in dem sich öffnenden Dialogfeld die URL des IP-Erkennungsdienstes an, den Sie verwenden möchten. Sie können auf die Schaltfläche Test klicken, um sicherzustellen, dass die API wie erwartet funktioniert. Wenn Sie auf die Schaltfläche Test klicken, übernimmt der Connection Broker die Rolle des Clients und ruft die API auf. Wenn Sie erfolgreich sind, wird ein Fenster mit der IP-Adresse des Connection Brokers angezeigt

Ein RAS Secure Gateway ist standardmäßig aktiviert. Um ein Secure Gateway zu aktivieren oder zu deaktivieren, öffnen Sie das Dialogfeld RAS Secure Gateway-Eigenschaften. Auf der Registerkarte Allgemeines aktivieren oder deaktivieren Sie die Option RAS Secure Gateway in Site aktivieren.

Ein RAS Secure Gateway wird überwacht und es werden Protokolle mit relevanten Informationen erstellt. Um die Protokollierung zu konfigurieren und vorhandene Protokolldateien abzurufen oder zu löschen, klicken Sie mit der rechten Maustaste auf ein Gateway, wählen Sie Fehlerbehebung > Protokollierung im Kontextmenü und klicken Sie dann auf Konfigurieren, Abrufen oder Löschen, je nachdem, was Sie tun möchten. Weitere Informationen zur Durchführung dieser Aufgaben finden Sie im Abschnitt Protokollierung.

Um Anwendungen aus Parallels RAS mit Wyse thinOS auf Thin Clients zu veröffentlichen, wählen Sie die Option Wyse ThinOS-Unterstützung aktivieren auf der Registerkarte Wyse.

Hinweis: Die Registerkarte „Wyse“ ist nur verfügbar, wenn der Gateway-Modus auf „normal“ eingestellt ist. Weitere Informationen finden Sie unter .

Wenn Sie diese Option aktivieren, fungiert das RAS Secure Gateway als Wyse-Makler. Sie müssen dafür Sorge tragen, dass die DHCP-Option 188 auf Ihrem DHCP-Server auf die IP-Adresse dieses Gateways für Thin-Clients festgelegt ist, die über dieses Secure Gateway hochfahren. Nachdem der DHCP-Server konfiguriert wurde, klicken Sie auf die Schaltfläche Testen, um die DHCP-Servereinstellungen zu prüfen.

Die Option Keine Warnung bei nicht überprüftem Server-Zertifikat kann ausgewählt (aktiviert) werden, wenn ein Wyse-Gerät bei der Verbindung mit einem RAS Secure Gateway eine SSL-Warnung anzeigt, weil der Hostname nicht mit dem Zertifikat übereinstimmt. Wenn die Option ausgewählt ist, sendet das Secure Gateway den Wyse-Clients die folgenden Parameter in der Datei wnos.ini: SecurityPolicy=low TLSCheckCN=no, womit SSL-Prüfungen deaktiviert werden. Beachten Sie, dass die Option nicht erforderlich ist, wenn ein Zertifikat die folgenden Eigenschaften hat:

• Der CNAME ist auf den FQDN des RAS Secure Gateway gesetzt.

• Der SAN ist auf die IP-Adresse des RAS Secure Gateway gesetzt.

Beachten Sie, dass bei Verwendung einer benutzerdefinierten wnos.ini im Ordner „C:\Programme (x86)\Parallels\ApplicationServer\AppData\wnos“ auf dem Secure Gateway das Secure Gateway die SSL-Prüfparameter nicht sendet.

Falls Sie DHCP-Option 188 so konfigurieren, dass die Makleradresse an ein bestimmtes Secure Gateway gesendet wird, können Sie dies durch Klicken auf die Schaltfläche Test verifizieren.

Hinweis: Die Registerkarte Web ist nur verfügbar, wenn der Gateway-Modus auf normal eingestellt ist. Weitere Informationen finden Sie unter .

Auf der Registerkarte Web können Sie Einstellungen vornehmen, die für die Lastverteilung in bestimmten Szenarien erforderlich sind. Hier können Sie eine Umleitungs-URL für Webanforderungen und einen Sitzungs-Cookie-Namen angeben, um die Persistenz zwischen einem Client und einem Server zu erhalten.

Umleitungs-URL

Eine Webanforderung kann das Gateway auf eine der beiden folgenden Arten erreichen:

• Die Anforderung wird über das lokale Netzwerk unter Verwendung der IP-Adresse oder des FQDN direkt an das Gateway gesendet. Zum Beispiel https://192.168.10.10.

• Die Anfrage wird an ein HALB-Gerät gesendet, das dieses und andere Gateways in der Serverfarm ausgleicht. Das HALB-Gerät ist häufig dem Internet zugewandt (d. h. in der DMZ), sodass sein DNS-Name in der ursprünglichen Anforderungs-URL verwendet werden kann. Zum Beispiel: https://ras.msp.com. Das HALB-Gerät verteilt dann die Anforderung an ein Gateway.

Wenn das Gateway die Webanforderung empfängt, nimmt es die auf der Registerkarte Web angegebene URL und sendet sie zur Weiterleitung an den Webbrowser zurück.

Technisch gesehen können Sie hier eine beliebige URL eingeben, und die ursprüngliche Webanfrage wird auf diese URL umgeleitet. Der Hauptzweck dieses Feldes besteht jedoch darin, den Endbenutzern einen einfachen Zugang zum Nutzerportal von ihren Webbrowsern aus zu ermöglichen. Funktionsweise:

1. Ein Benutzer gibt den Load Balancer-DNS-Namen in einem Webbrowser ein. Zum Beispiel: https://ras.msp.com.

2. Der Load Balancer empfängt die Anforderung und verteilt sie zur Verarbeitung an das am wenigsten ausgelastete RAS Secure Gateway.

3. Das Gateway empfängt die Original-URL und ersetzt sie durch die im Feld Standard-URL angegebene URL. Siehe folgenden Unterabschnitt Standard-URL-Format.

4. Die ersetzte URL wird dann an den Webbrowser zurückgeschickt, der sie zum Öffnen der Nutzerportal-Anmeldeseite verwendet.

Standard-URL-Format

Das Standard-URL-Format ist das folgende:

https://%hostname%/userportal

• Die Variable %hostname% wird automatisch durch den Namen des Servers ersetzt, der die ursprüngliche Anfrage erhalten hat, in unserem Beispiel der Load Balancer-DNS-Name. Wenn Sie möchten, können Sie die Variable durch einen bestimmten Hostnamen oder eine IP-Adresse (z. B. dieses oder ein anderes Gateway) ersetzen. Zum Beispiel https://192.168.5.5/userportal. Wenn Sie dies tun, werden die Webanforderungen immer an den angegebenen Host weitergeleitet und dort wird das Nutzerportal geöffnet. Die Hardcodierung eines Hosts mag nicht sehr praktisch sein, aber Sie können dies dennoch tun.

• Das Nutzerportal ist eine Konstante und ist der Pfad zur Nutzerportal-Anmeldeseite.

In unserem Beispiel lautet die resultierende URL, die der Webbrowser für den Zugriff auf das Nutzerportal verwenden wird, wie folgt:

https://ras.msp.com/userportal

Tatsache ist, dass ein Benutzer von Anfang an einfach die obige URL verwenden könnte, aber dank der Umleitungsfunktion brauchen Benutzer nur den DNS-Namen des Servers (oder den FQDN bzw. die IP-Adresse im lokalen Netzwerk) anstelle der gesamten URL einzugeben.

Öffnen eines bestimmten Nutzerportal-Schemas

Die Standard-URL der Webanfrage öffnet das Standardschema. Um ein bestimmtes Schema zu öffnen, fügen Sie den Namen des Schemas am Ende der URL wie folgt hinzu:

https://%hostname%/userportal/?theme=<theme-name>

wobei <Schemaname> der Name eines Schemas ohne Klammern oder Anführungszeichen ist.

Damit Benutzer ein bestimmtes Thema öffnen können, muss die URL, die sie in einem Webbrowser eingeben, den Namen des Themas enthalten, aber in diesem Fall ist das Format so einfach wie das folgende:

https://<Servername>/<Schemaname>

Wenn Sie unser Load-Balancer-DNS-Namensbeispiel von oben verwenden, kann die URL wie folgt aussehen:

https://ras.msp.com/Theme-E1

Web-Cookie

So fügen Sie ein RAS Secure Gateway zu einer Site hinzu:

1. Navigieren Sie in der RAS-Konsole zu Serverfarm > <Site> > Secure Gateways.

2. Wählen Sie im rechten Fensterausschnitt die Registerkarte Secure Gateways und klicken Sie auf Aufgaben > Hinzufügen, um den AssistentenRAS Secure Gateway hinzufügen zu starten.

3. Geben Sie den FQDN oder die IP-Adresse des Servers ein (oder klicken Sie auf die Schaltfläche [...], um einen Server aus der Liste auszuwählen). Um die IP-Adresse automatisch in den FQDN aufzulösen, aktivieren Sie die globale Namensauflösung. Detaillierte Informationen finden Sie unter Hostnamenauflösung.

4. Wählen Sie in der Dropdownliste Modus den Gateway-Modus aus.

5. Wenn Sie im vorherigen Schritt den Modus Weiterleitung ausgewählt haben, müssen Sie jetzt in der Dropdownliste Weiterleiten an das Ziel-Gateway auswählen. Sie können auch eine spezifische IP-Adresse aus der Dropdownliste Auf IP auswählen, wenn der Gateway-Server mehr als eine IP-Adresse hat.

6. Wählen Sie die Option HTML5-Gateway aktivieren, um automatisch ein selbstsigniertes Zertifikat hinzuzufügen, SSL zu aktivieren und HTML5-Unterstützung zu aktivieren. Weitere Informationen finden Sie unter Konfigurieren des Nutzerportals.

7. Wählen Sie Firewall-Regeln hinzufügen, um automatisch die Firewall auf dem Server zu konfigurieren, auf dem das Gateway gehostet wird. Weitere Informationen finden Sie unter Port-Referenz.

8. Klicken Sie auf Weiter.

9. Klicken Sie auf der nächsten Seite auf Installieren, um die Installation von RAS Secure Gateway zu starten.

10. Klicken Sie auf Fertig, wenn die Installation abgeschlossen ist.

Sie können die zusammengefassten Informationen für alle verfügbaren RAS Secure Gateways an einer Stelle wie folgt anzeigen:

1. Wählen Sie in der RAS-Konsole die Kategorie Serverfarm und dann den Knoten Site im mittleren Fensterausschnitt.

2. Die verfügbaren Secure Gateways werden in der Gruppe Gateways im rechten Fensterausschnitt angezeigt.

3. Um zur Haupt-Ansicht bzw. dem Editor des Gateways zu gelangen, klicken Sie mit der rechten Maustaste auf einen Server und wählen Sie Im Editor anzeigen.

Sie können die detaillierten Informationen über ein RAS Secure Gateway auch einsehen, indem Sie in der Parallels RAS-Konsole zu Informationen > Site navigieren. Die Informationen auf dieser Seite enthalten allgemeine Daten, wie z. B. Betriebssystemversion, RAS-Version, Gateway-Modus, sowie Informationen über verschiedene Arten von Verbindungen, Sitzungen, zwischengespeicherte Sockets und Threads.

Mithilfe von Tunnelling-Richtlinien kann die Last in Verbindungen verteilt werden, indem eine Gruppe von RD-Sitzungshosts einem bestimmten RAS Secure Gateway oder einer RAS Secure Gateway-IP-Adresse zugewiesen wird.

Um die Tunnelling-Richtlinien zu konfigurieren, navigieren Sie zu Serverfarm > <Site> > Secure Gateways und klicken dann im rechten Fensterausschnitt auf die Registerkarte Tunneling-Richtlinien.

Bei der Richtlinie <Standard> handelt es sich um eine vorkonfigurierte Regel. Sie fragt immer als letzte alle nichtkonfigurierten Secure Gateway-IP-Adressen ab und verteilt die Last der Sitzungen auf alle Server in der Serverfarm. Sie können die Richtlinie <Standard> konfigurieren, indem Sie mit der rechten Maustaste darauf klicken und dann im Kontextmenü auf Eigenschaften klicken.

Hinzufügen einer neuen Tunnelling-Richtlinie

So fügen Sie eine neue Richtlinie hinzu:

1. Klicken Sie auf Aufgaben > Hinzufügen.

2. Wählen Sie eine Secure Gateway-IP-Adresse.

3. Geben Sie an, an welche RD-Sitzungshosts die Benutzer weitergeleitet werden sollen, die eine Verbindung zu diesem spezifischen Secure Gateway herstellen. Wenn Sie Keine (keine Weiterleitung) wählen, lesen Sie den Abschnitt Beschränkung des RDP-Zugriffs weiter unten.

Verwalten einer Tunneling-Richtlinie

Um eine bestehende Tunnelling-Richtlinie zu ändern, klicken Sie mit der rechten Maustaste darauf und dann im Kontextmenü auf Eigenschaften.

Beschränkung des RDP-Zugriffs

Mithilfe von Tunneling-Richtlinien können Sie RDP-Zugriffe über den RAS Secure Gateway-Port einschränken. Wählen Sie dazu auf der Registerkarte Tunneling-Richtlinien die Option Keine unten auf der Registerkarte aus (dies ist die Standardeinstellung in einer neuen Parallels-RAS-Installation). Auf diese Weise beschränken Sie den Zugriff des nativen MSTSC auf das Gateway über dessen Port (der Standardport ist 80). Wenn jemand versucht, MSTSC unter der IP-Adresse:80 zu benutzen, wird der Zugriff verweigert. Dasselbe gilt für eine RDP-Verbindung von einem Parallels Client.

Es gibt eine Reihe von Gründen, warum Sie den Zugang zum RDP einschränken sollten. Die erste ist, wenn Sie möchten, dass sich Ihre Benutzer mit der RAS-Farm nur über die Parallels-RAS-Verbindung, nicht aber über RDP verbinden. Der zweite Grund ist, einen DDoS-Angriff zu verhindern.

Ein häufiges Anzeichen für einen DDoS-Angriff ist, wenn sich Ihre Benutzer ohne ersichtlichen Grund nicht bei einer RAS-Farm anmelden können. Wenn das passiert, können Sie sich die Datei Controller.log (auf dem RAS Connection Broker-Server, Pfad C:\ProgramData\Parallels\RASLogs) ansehen und sehen, dass sie voller Meldungen ähnlich der folgenden ist:

• [I 06/0000003E] Mon May 22 10:37:00 2018 - Native RDP LB Connection from Public IP x.x.x.x, Private IP xxx.xxx.xx.xx, on Secure Gateway xxx.xxx.xx.xx, Using Default Rule

• [I 06/00000372] Mon May 22 10:37:00 2018 - CLIENT_IDLESERVER_REPLY UserName hello@DOMAIN, ClientName , AppName , PeerIP xxx.xxx.xx.xx, Secure GatewayIP xxx.xx.x.xx, Server , Direct , desktop 0

• [I 05/0000000E] Mon May 22 10:37:00 2018 - Maximum amount of sessions reached.

• [I 06/00000034] Mon May 22 10:37:00 2018 - Resource LB User 'hello' No Servers Available!

• [W 06/00000002] Mon May 22 10:37:00 2018 - Request for "" by User hello, Client , Address xxx.xxx.xx.xx, was not served error code 14.

Diese Meldungen weisen darauf hin, dass eine DDoS-Attacke auf den RDP-Port im Gange ist. Indem Sie den RDP-Zugriff durch Secure Gateway-Tunneling-Richtlinien einschränken, können Sie dies verhindern.

Das Feld Öffentliche Adresse auf der Registerkarte Allgemein gibt einen öffentlichen FQDN oder eine IP-Adresse des Secure Gateways an. Diese Einstellung wird von der Funktion „Bevorzugtes Routing“ verwendet, um eine Clientverbindung umzuleiten. Nähere Informationen finden Sie unter Bevorzugtes Routing konfigurieren.

Sie können Standardaufgaben der Computerverwaltung auf einem Server ausführen, der das RAS Secure Gateway direkt von der RAS-Konsole aus hostet. Dazu gehören Remotedesktopverbindung, PowerShell, Computerverwaltung, Dienstverwaltung, Ereignisanzeige, IPconfig, Neustarten und andere. Um auf das Menü Tools zuzugreifen, wählen Sie einen Server aus, klicken Sie auf Aufgaben (oder mit der rechten Maustaste) > Tools und wählen Sie ein gewünschtes Tool. Informationen zu Anforderungen und Verwendung finden Sie unter Tools zur Computerverwaltung.