Tunnelling-Richtlinien für Secure Gateways
Mithilfe von Tunnelling-Richtlinien kann die Last in Verbindungen verteilt werden, indem eine Gruppe von RD-Sitzungshosts einem bestimmten RAS Secure Gateway oder einer RAS Secure Gateway-IP-Adresse zugewiesen wird.
Um die Tunnelling-Richtlinien zu konfigurieren, navigieren Sie zu Serverfarm > <Site> > Secure Gateways und klicken dann im rechten Fensterausschnitt auf die Registerkarte Tunneling-Richtlinien.
Bei der Richtlinie <Standard> handelt es sich um eine vorkonfigurierte Regel. Sie fragt immer als letzte alle nichtkonfigurierten Secure Gateway-IP-Adressen ab und verteilt die Last der Sitzungen auf alle Server in der Serverfarm. Sie können die Richtlinie <Standard> konfigurieren, indem Sie mit der rechten Maustaste darauf klicken und dann im Kontextmenü auf Eigenschaften klicken.
Hinzufügen einer neuen Tunnelling-Richtlinie
So fügen Sie eine neue Richtlinie hinzu:
- Klicken Sie auf Aufgaben > Hinzufügen.
- Wählen Sie eine Secure Gateway-IP-Adresse.
- Geben Sie an, an welche RD-Sitzungshosts die Benutzer weitergeleitet werden sollen, die eine Verbindung zu diesem spezifischen Secure Gateway herstellen. Wenn Sie Keine (keine Weiterleitung) wählen, lesen Sie den Abschnitt Beschränkung des RDP-Zugriffs weiter unten.
Verwalten einer Tunneling-Richtlinie
Um eine bestehende Tunnelling-Richtlinie zu ändern, klicken Sie mit der rechten Maustaste darauf und dann im Kontextmenü auf Eigenschaften.
Beschränkung des RDP-Zugriffs
Mithilfe von Tunneling-Richtlinien können Sie RDP-Zugriffe über den RAS Secure Gateway-Port einschränken. Wählen Sie dazu auf der Registerkarte Tunneling-Richtlinien die Option Keine unten auf der Registerkarte aus (dies ist die Standardeinstellung in einer neuen Parallels-RAS-Installation). Auf diese Weise beschränken Sie den Zugriff des nativen MSTSC auf das Gateway über dessen Port (der Standardport ist 80). Wenn jemand versucht, MSTSC unter der IP-Adresse:80 zu benutzen, wird der Zugriff verweigert. Dasselbe gilt für eine RDP-Verbindung von einem Parallels Client.
Es gibt eine Reihe von Gründen, warum Sie den Zugang zum RDP einschränken sollten. Die erste ist, wenn Sie möchten, dass sich Ihre Benutzer mit der RAS-Farm nur über die Parallels-RAS-Verbindung, nicht aber über RDP verbinden. Der zweite Grund ist, einen DDoS-Angriff zu verhindern.
Ein häufiges Anzeichen für einen DDoS-Angriff ist, wenn sich Ihre Benutzer ohne ersichtlichen Grund nicht bei einer RAS-Farm anmelden können. Wenn das passiert, können Sie sich die Datei Controller.log (auf dem RAS Connection Broker-Server, Pfad C:\ProgramData\Parallels\RASLogs) ansehen und sehen, dass sie voller Meldungen ähnlich der folgenden ist:
- [I 06/0000003E] Mon May 22 10:37:00 2018 - Native RDP LB Connection from Public IP x.x.x.x, Private IP xxx.xxx.xx.xx, on Secure Gateway xxx.xxx.xx.xx, Using Default Rule
- [I 06/00000372] Mon May 22 10:37:00 2018 - CLIENT_IDLESERVER_REPLY UserName hello@DOMAIN, ClientName , AppName , PeerIP xxx.xxx.xx.xx, Secure GatewayIP xxx.xx.x.xx, Server , Direct , desktop 0
- [I 05/0000000E] Mon May 22 10:37:00 2018 - Maximum amount of sessions reached.
- [I 06/00000034] Mon May 22 10:37:00 2018 - Resource LB User 'hello' No Servers Available!
- [W 06/00000002] Mon May 22 10:37:00 2018 - Request for "" by User hello, Client , Address xxx.xxx.xx.xx, was not served error code 14.
Diese Meldungen weisen darauf hin, dass eine DDoS-Attacke auf den RDP-Port im Gange ist. Indem Sie den RDP-Zugriff durch Secure Gateway-Tunneling-Richtlinien einschränken, können Sie dies verhindern.