RDS Kommunikations Ports
Wenn man mit den Remote Desktop Services arbeitet kommt man in der Regel an den Punkt, dass man mit dem Remote Desktop Gateway und dem Remote Destop Web Access arbeiten wird. Wenn man dies tut, sollte man unbedingt mit Netzwerksegmentierung arbeiten und mindestens eine DMZ einrichten, in der das Gateway und der Web Access dann stehen sollten. Idealerweise sind die Server auch in einem eigenem VLAN.
Die dafür notwendigen Firewall Ports habe ich hier zusammengetragen. Man darf dabei nicht vergessen, dass der zugrundeliegende Windows Server einen Domain Join durchführen können muss. Das erweitert die notwendigen Ports ziemlich.
Beschreibung
| Bezeichnung | Was ist es |
|---|---|
| DC | Domaincontroller, ggf. mit NPS Funktion (Radius) und Azure AD MFA |
| IPS | Intrusion Prevention System |
| RDCB | Remote Desktop Connection Broker |
| RDGW | Remote Desktop Gateway |
| RDGWPort | Remote Desktop Gateway Port |
| RDSH | Remote Desktop Session Host(s) |
| WAF | Web Application Firewall |
Einschränkung der dynamischen Ports zum Domain Join
Standardmäßig verwendet Windows einen recht großen TCP Portbereich (49152:65535) für den Domain Join. Diesen kann und sollte man für dieses Scenario einschränken. Die Firewallregel (rdgw_to_dc) muss dann entsprechend angepasst werden.
Firewall Servicegruppen
| Servicegruppe | ICMP | TCP | UDP |
|---|---|---|---|
| rdgw_to_rdsh | 3389 | 3389 | |
| rdgw_to_dc | PING | 53, 88, 135, 139, 389, 445, 5985, 49152:65535  | 53, 88, 123, 389, 1812, 1813 |
| rdgw_to_rdcb | 3389, 5504, 5985 | 3389 | |
| rdcb_to_rdgw | 5504, 5985 | 3389 | |
| rdcb_to_rdsh | 445 | ||
| dc_to_rdgw | PING | 161, 1812, 1813 | |
| wan_to_rdgw | 443 | {RDGWPort} | |
| klan_to_rdgw | 80, 443 | {RDGWPort} | |
| klan_to_rdsh | 3389 | 3389 | |
| lan_to_rdgw | 80, 443, 3389 | 3389 | |
| lan_to_rdsh | 3389 | 3389 |
Firewall Regeln
| Name | Von | Auf | Aktion |
|---|---|---|---|
| wan_to_rdgw | WAN | DMZ RDGW | WAF wan_to_rdgw |
| rdgw_to_rdsh | DMZ RDGW | LAN RDSH | rdgw_to_rdsh |
| rdgw_to_dc | DMZ RDGW | LAN DC | rdgw_to_dc |
| dc_to_rdgw | LAN DC | DMZ RDGW | dc_to_rdgw |
| rdgw_to_rdcb | DMZ RDGW | LAN RDCB | rdgw_to_rdcb |
| rdcb_to_rdgw | LAN RDCB | DMZ RDGW | rdcb_to_rdgw |
| rdcb_to_rdsh | LAN RDCB | DMZ RDGW | rdcb_to_rdsh |
| lan_to_rdgw | LAN | DMZ RDGW | lan_to_rdgw |
| lan_to_rdsg | LAN | DMZ RDGW | lan_to_rdsh |
| klan_to_rdcb | LAN | DMZ RDGW | lan_to_rdgw |
| klan_to_rdsh | LAN | DMZ RDGW | lan_to_rdgw |
Schematische Darstellung
graph TD;
LAN --> |lan_to_rdgw| RDGW
LAN --> |lan_to_rdsh| RDSH
KLAN --> |klan_to_rdsh| RDSH
KLAN --> |klan_to_rdcb| RDSH
Internet --> |rdwebgw| RDGW
RDGW --> |rdgw_to_rdsh| RDSH
RDGW --> |rdgw_to_dc| DC
DC --> |dc_to_rdgw| RDGW
RDGW --> |rdgw_to_rdcb| RDCB
RDCB --> |rdcb_to_rdgw| RDGW