通过 GlobalProtect Clientless VPN 启用对思杰环境的 RDP 访问
54239
Created On 09/25/18 18:56 PM - Last Modified 07/17/19 22:30 PM
Resolution
GlobalProtect Clientless VPN 支持对远程桌面 (RDPs)、VNC 或 SSH 的访问。 本文档提供有关如何通过 GlobalProtect Clientless VPN 为 RDP 提供支持的信息。
为了使用户能够安全、远程地通过 GlobalProtect Clientless VPN 访问思杰环境, 应将思杰部署配置为支持基于 HTML5 的接收器。基于 HTML5 的接收器使用安全了解 websocket 之后远程连接到虚拟传递代理 (VDAs)。这允许用户从浏览器访问已发布的台式机和应用程序, 并且不需要在用户的计算机上安装任何其他插件或软件。
HTML5 的接收器仅支持 HTML5 功能的浏览器。对于不支持的浏览器, 如果在店面配置, 连接将退回到传统的接收器。有关详细的安装指南和支持, 请与思杰支持团队联系。
为 HTML5 配置思杰接收机的步骤:
- 在 VDA 上启用 SSL 支持
- 在店面中启用 HTML5 接收器
- 配置传递控制器以启用了解 websocket 之后
- 在传递控制器上启用 SSL
在 VDA 上启用 SSL 支持
- 获取所有 VDAs 的 SSL 服务器证书。建议由受信任的第三方根 CA 颁发证书问题, 但也可以使用自签名证书。
- 在计算机证书存储区 (而不是用户存储区) 中安装证书。如果 VDA 上的本地证书存储用于生成 CSR, 请确保将私钥标记为可导出。如果 pkcs12 用于安装证书, 请确保在 pkcs12 导入过程中将密钥标记为可导出。
安装证书后, 它必须指示证书私钥可用
- 记下证书指纹, 因为它将用于将证书与 VDA 关联。
- 安装证书后, 导航到 "管理私钥", 并允许 "PorticaService" 的 "完全控制" 和 "读取" 权限。
可以通过在计算机目录下搜索 "NT 服务 \ PorticaService" (不在域下) 来添加此服务。 - 打开 Windows 上的注册表编辑器并编辑以下注册表:
HKLM \ 系统 \ CurrentControlSet \ 控制 \ TerminalServer \ Wds \ icawd
在此注册表中, 需要完成两个步骤:- 编辑 "SSLThumbprint" 的二进制值, 并手动键入从步骤3中保存的指纹
- 将 SSLEnabled 的 DWORD 值更改为 1 (从 0)
启用 HTML5 的接收器
- 从思杰工作室控制台导航到思杰店面
- 在 "存储" 下, 单击 "网站接收器" 选项卡
- 在右侧, 选择 "管理网站的接收器"
- 选择显示的相应条目, 然后单击 "配置"
- 在配置向导中, 单击 "部署思杰接收器"。在此页上, 您可以选择两个部署选项之一:
- 如果本地接收器不可用, 请使用 HTML5 接收器
- 始终使用接收器进行 HTML5
- 单击 "应用并退出"
为了解 websocket 之后配置传递控制器
- 在思杰工作室下, 导航到策略。
- 单击右侧的 "创建策略"。避免编辑默认策略-未筛选
- 在 "创建策略向导" 中, 在 "设置" 页上搜索 "websocket"
- 单击 "了解 websocket 之后连接上的编辑", 然后选择 "允许"。单击 "确定"
- 同样, 编辑了解 websocket 之后端口号并使用值8008。您还可以选中 "使用默认值" 框 value:8008
- 接下来, 编辑了解 websocket 之后受信任的原始服务器列表并使用 "*" 的值
- 在下一页上, 将此策略分配给最初创建的相应传递组。
- 最后, 为策略提供一个名称并选中 "启用策略" 框
在传递控制器服务器上启用 SSL
- 以管理员身份打开 Windows PowerShell
- 一次输入以下命令一次
Asnp 杰
BrokerAccessPolicyRule –DesktopGroupName ' 组名称 ' |设置-BrokerAccessPolicyRule –HdxSslEnabled $true
BrokerSite –DnsResolutionEnabled $true
此时应启用 HTML5 接收器。当用户浏览到店面 URL 时, 他们应该在网页上看到两个选项。安装传统接收器的选项, 或使用轻型版本 (HTML5 版本) 的选项。
选择轻型版本将带他们到登录屏幕, 在那里他们可以使用他们的广告凭据进行身份验证并访问已发布的台式机或应用程序。