Настройка RD Gateway с двухфакторной аутентификацией Мультифактор на Windows Server 2025

Пошаговое руководство по установке Remote Desktop Gateway, интеграции с NPS и агентом Мультифактор через RADIUS — для надёжного и безопасного удалённого доступа по RDP.

Windows Server 2025 | RD Gateway | Multifactor MFARADIUS | NPS | 2FA

Открытый RDP-доступ — одна из наиболее частых точек входа при атаках на корпоративную инфраструктуру. Решение — RD Gateway (Remote Desktop Gateway), который туннелирует RDP-трафик через HTTPS, плюс Мультифактор — российский сервис двухфакторной аутентификации, подтверждающий личность пользователя при каждом входе.

В этой статье мы настроим полную цепочку: RDP-клиент → RD Gateway → NPS → агент Мультифактор → облако Мультифактор.

Предварительные требования

Перед началом убедитесь, что сервер и окружение соответствуют следующим требованиям.

Системные требования сервера

Параметр	Требование
ОС	Windows Server 2025 (RU) с актуальными обновлениями
ОЗУ	Минимум 4 ГБ (рекомендовано 8 ГБ+)
Диск	Минимум 60 ГБ свободного места на системном томе
Сеть	Статический IP, открытый порт 443 из интернета
DNS	FQDN, разрешаемое из интернета (например rdgw.company.ru)
Домен	Членство в домене Active Directory (рекомендуется)
SSL	Валидный сертификат от доверенного УЦ или Let’s Encrypt

Необходимые сетевые порты

Порт / протокол	Назначение
TCP 443 (вх.)	RDP over HTTPS — подключения клиентов к RD Gateway
UDP 3391 (вх., опц.)	RD Gateway UDP transport — ускорение RDP-сессий
UDP 1812 (лок.)	RADIUS — между RD Gateway / NPS и агентом Мультифактор
TCP 443 (исх.)	Агент Мультифактор → api.multifactor.ru
TCP 3389 (вн. сеть)	RDP от RD Gateway к целевым серверам

СОВЕТ

Для лабораторной или небольшой production-среды все компоненты (RD Gateway, NPS, агент Мультифактор) можно установить на один сервер. Для нагруженных сред рекомендуется выделенный NPS-сервер.

Установка роли RD Gateway

Способ 1: через Server Manager (GUI)

1. Откройте Server Manager → «Управление» → «Добавить роли и компоненты».
2. Тип установки: «Установка ролей или компонентов» → «Далее».
3. Выберите текущий сервер из пула → «Далее».
4. В списке ролей разверните «Службы удалённых рабочих столов» и установите флажок «Шлюз удалённых рабочих столов». Система предложит добавить зависимые компоненты (IIS, RPC over HTTP Proxy, NPS) — подтвердите.
5. Убедитесь, что в «Компоненты» выбрана «Политика сети и службы доступа (NPS)».
6. Нажмите «Установить». Дождитесь завершения (~5–10 минут). Перезагрузка не требуется.

Способ 2: через PowerShell (быстрее)

Откройте PowerShell от имени администратора и выполните одну команду:

POWERSHELL

# Установка роли RD Gateway и NPS со всеми инструментами управления
Install-WindowsFeature -Name RDS-Gateway, NPAS -IncludeManagementTools

Проверка установки

POWERSHELL

# Проверяем, что роли установлены
Get-WindowsFeature RDS-Gateway, NPAS | Select-Object Name, Installed

# Проверяем статус службы шлюза
Get-Service -Name TSGateway | Select-Object Status, StartType

ВНИМАНИЕ

Если служба TSGateway не запущена, выполните: Start-Service TSGateway

Настройка SSL-сертификата

RD Gateway требует SSL-сертификат для шифрования HTTPS. DNS-имя сертификата должно совпадать с FQDN шлюза (rdgw.company.ru).

Вариант A: Импорт коммерческого сертификата (.pfx)

POWERSHELL

# Импорт PFX-сертификата в хранилище компьютера
Import-PfxCertificate -FilePath 'C:\Certs\rdgw_cert.pfx' `
    -CertStoreLocation 'Cert:\LocalMachine\My' `
    -Password (ConvertTo-SecureString 'ВашПарольOtPfx' -AsPlainText -Force)

Вариант B: Самоподписанный сертификат (только для теста)

POWERSHELL

$cert = New-SelfSignedCertificate `
    -DnsName 'rdgw.company.ru' `
    -CertStoreLocation 'Cert:\LocalMachine\My' `
    -NotAfter (Get-Date).AddYears(2) `
    -KeyAlgorithm RSA -KeyLength 2048

Write-Host "Thumbprint:" $cert.Thumbprint

Привязка сертификата к RD Gateway (GUI)

1. Откройте Диспетчер шлюза удалённых рабочих столов (tsgateway.msc).
2. ПКМ по имени сервера → «Свойства» → вкладка «SSL Certificate».
3. Выберите «Select an existing certificate» → «Browse Certificates» → найдите нужный сертификат → «Установить».
4. Нажмите «Apply». Служба TSGateway перезапустится автоматически.

ПРИМЕЧАНИЕ

Для автоматического обновления сертификата Let’s Encrypt на Windows рекомендуем утилиту win-acme (wacs.exe) — она умеет обновлять сертификат и перепривязывать его к RD Gateway.

Настройка политик CAP и RAP

RD Gateway управляет доступом через две политики: CAP (кто может подключаться к шлюзу) и RAP (к каким внутренним ресурсам).

Создание CAP (Connection Authorization Policy)

1. В tsgateway.msc: «Политики» → «Политики авторизации подключений» → ПКМ → «Создать новую политику» → «Мастер».
2. Имя: CAP_AllUsers_MFA → «Далее».
3. Метод аутентификации: «Пароль» — именно этот вариант корректно работает с RADIUS/MFA. → «Далее».
4. Группы пользователей: добавьте нужную группу AD (например RDGateway_Users или Domain Users) → «Далее» → «Готово».

Создание RAP (Resource Authorization Policy)

1. «Политики авторизации ресурсов» → ПКМ → «Создать новую политику» → «Мастер».
2. Имя: RAP_InternalServers → укажите те же группы пользователей.
3. Сетевые ресурсы: создайте группу ресурсов и добавьте FQDN или IP целевых RDP-серверов. Разрешённый порт: 3389.
4. Нажмите «Готово».

СОВЕТ ПО БЕЗОПАСНОСТИ

Не используйте «Разрешить подключение к любому ресурсу» в production. Создайте явную группу с конкретными серверами — это снизит радиус поражения при компрометации учётной записи.

Регистрация в Мультифактор и получение API-ключей

Мультифактор — российский облачный MFA-сервис. Для интеграции с RD Gateway используется RADIUS-агент, получающий ключи из личного кабинета.

Создание ресурса в личном кабинете

1. Перейдите на multifactor.ru → войдите в личный кабинет или зарегистрируйтесь.
2. Раздел «Ресурсы» → «Добавить ресурс» → тип: «VPN или другое приложение с RADIUS».
3. Введите название: RD Gateway → «Сохранить».
4. В настройках ресурса скопируйте NAS Identifier (API Key) и NAS Secret (API Secret). Сохраните их — они потребуются в следующем шаге.

Параметр ЛК	Что это
NAS Identifier	API Key — уникальный идентификатор ресурса для агента
NAS Secret	API Secret — секретный ключ для аутентификации агента

Выбор методов второго фактора

В настройках ресурса → «Методы аутентификации» рекомендуем включить:

• Push-уведомления в мобильном приложении Мультифактор — основной метод
• TOTP (Google Authenticator, Яндекс.Ключ) — резервный метод при отсутствии интернета
• Telegram-бот Мультифактор — удобная альтернатива, но в сложившейся ситуации скорее всего уже не совсем актуально.

Установка и настройка RADIUS-агента Мультифактор

Скачивание агента

Скачайте актуальный релиз MultifactorRadiusAdapter с официального GitHub-репозитория:

URL
https://github.com/MultifactorLab/MultifactorRadiusAdapter/releases

Конфигурация агента (appsettings.json)

Откройте appsettings.json в папке агента и заполните:

{
  "MultifactorApiUrl": "https://api.multifactor.ru",
  "NasIdentifier": "ВСТАВЬТЕ_API_KEY",        // из ЛК Мультифактор
  "MultiFactorApiKey": "ВСТАВЬТЕ_API_SECRET",    // из ЛК Мультифактор

  "RadiusSharedSecret": "StrongSharedSecret123!", // секрет между NPS и агентом
  "FirstFactorAuthenticationSource": "ActiveDirectory",

  "ActiveDirectory": {
    "Domain": "company.ru",
    "UsersDn": "DC=company,DC=ru"
  },

  "Logging": {
    "LogLevel": { "Default": "Information" }
  }
}

ВАЖНО ПРО RADIUSSHAREDSECRET

RadiusSharedSecret — это не пароль пользователя. Это общий секрет между NPS (RADIUS-клиент) и агентом Мультифактор (RADIUS-сервер). Используйте случайную строку длиной 20+ символов. Этот секрет понадобится на следующем шаге при настройке NPS.

Установка агента как службы Windows

POWERSHELL (ОТ АДМИНИСТРАТОРА)

cd C:\MultifactorRadius

# Регистрация как службы
.\MultifactorRadiusAdapter.exe install

# Настройка автозапуска
Set-Service -Name MultifactorRadiusAdapter -StartupType Automatic

# Запуск и проверка
Start-Service MultifactorRadiusAdapter
Get-Service MultifactorRadiusAdapter

ПРИМЕЧАНИЕ

По умолчанию агент слушает RADIUS на порту UDP 1812 (localhost). Для работы с NPS убедитесь, что этот порт не блокируется брандмауэром Windows на локальном интерфейсе.

Интеграция RD Gateway с NPS и Мультифактор

Здесь настраивается цепочка: RD Gateway → NPS → агент Мультифактор. Используются два разных RADIUS-секрета: один для связи RD Gateway↔NPS, другой — NPS↔агент.

Шаг 1: Создание группы RADIUS-серверов в NPS

1. Откройте консоль NPS (nps.msc) → «RADIUS-клиенты и серверы» → «Группы удалённых серверов RADIUS» → ПКМ → «Создать».
2. Имя группы: MultifactorGroup → «Добавить».
3. Адрес сервера: 127.0.0.1 (агент на том же сервере). Общий секрет: значение RadiusSharedSecretиз appsettings.json. Порты: 1812 (auth) и 1813 (acct). → «OK».

Шаг 2: Добавление RD Gateway как RADIUS-клиента в NPS

1. «RADIUS-клиенты» → ПКМ → «Создать».
2. Понятное имя: RDGateway. Адрес: 127.0.0.1. Общий секрет: придумайте новый (например, RDGWSecret456!) — запомните его, он нужен в следующем шаге. → «OK».

Шаг 3: Политика запросов на подключение в NPS

1. «Политики» → «Политики запросов на подключение» → ПКМ → «Создать».
2. Имя: ForwardToMultifactor → «Далее».
3. В условиях добавьте: «Тип порта NAS» → Виртуальный (VPN) или оставьте без условий для перехвата всех запросов.
4. Параметры → «Перенаправление запроса на подключение»: «Переслать запросы в группу RADIUS-серверов» → выберите MultifactorGroup. → «Готово».
5. Убедитесь, что ForwardToMultifactor стоит выше стандартных политик (перетащите вверх при необходимости).

Шаг 4: Настройка RD Gateway на использование NPS

1. В tsgateway.msc: ПКМ по серверу → «Свойства» → вкладка «Политика авторизации».
2. Выберите «Центральный сервер политики сети». Адрес NPS: 127.0.0.1. Общий секрет: RDGWSecret456! (тот, что задали в шаге 2). → «Apply» → «OK».
3. Перезапустите службу: Restart-Service TSGateway

Проверка и тестирование

Тестовое подключение через mstsc

1. На клиентском ПК откройте mstsc.exe → вкладка «Дополнительно» → «Параметры» → «Подключение из любого места» → «Параметры».
2. Установите «Использовать следующие параметры сервера шлюза» → введите FQDN: rdgw.company.ru.
3. Введите имя целевого сервера (например srv01.company.ru) → запустите подключение → введите логин/пароль домена.
4. Должен прийти запрос второго фактора (Push в приложении, OTP и т.д.). Подтвердите — RDP-сессия установится.

Проверка сетевого доступа к API

POWERSHELL

# Проверка доступа к облаку Мультифактор
Test-NetConnection -ComputerName api.multifactor.ru -Port 443
# Ожидаемый результат: TcpTestSucceeded = True

# Проверка RADIUS-порта агента (локально)
Test-NetConnection -ComputerName 127.0.0.1 -Port 1812

# Статус всех связанных служб
Get-Service TSGateway, NPS, MultifactorRadiusAdapter | Select-Object Name, Status

Где смотреть журналы

# Журналы RD Gateway (Event Viewer)
Журналы приложений и служб → Microsoft → Windows
    → TerminalServices-Gateway → Operational

# Журналы NPS
Журналы приложений и служб → Microsoft → Windows → MPSSVC-Rule-Level-Policy-Change

# Журналы агента Мультифактор (текстовые файлы)
C:\MultifactorRadius\logs\

Устранение неисправностей

Симптом	Возможная причина и решение
Ошибка 0x800704DD при подключении	SSL-сертификат не привязан или истёк. Проверьте настройки в tsgateway.msc.
Запрос второго фактора не приходит	Агент не запущен или нет доступа к api.multifactor.ru:443. Проверьте службу и брандмауэр.
Ошибка аутентификации после 2FA	Несоответствие RadiusSharedSecret между агентом и NPS. Сверьте значения.
Служба TSGateway не запускается	Конфликт порта 443 (IIS занял). Проверьте: netstat -ano | findstr :443
NPS не перенаправляет в Мультифактор	Политика ForwardToMultifactor не первая в списке. Переместите выше.
Пользователь не проходит первый фактор	Неверные Domain или UsersDn в appsettings.json. Проверьте FQDN домена.
Таймаут аутентификации	Стандартный таймаут NPS (5 сек) мал для Push. Увеличьте до 30–60 сек в настройках NPS.

Заключение

Вы настроили полноценный стек безопасного удалённого доступа: RDP-трафик зашифрован через HTTPS, подключение требует двух факторов аутентификации, а вся цепочка проходит через корпоративный сервер без прямого доступа к RDP из интернета.

Итоговая схема защиты:

• RD Gateway — туннелирует RDP через HTTPS :443, скрывает внутренние серверы от интернета
• NPS — перенаправляет запросы аутентификации в агент Мультифактор
• Мультифактор — добавляет второй фактор (Push, TOTP, Telegram) к каждому входу
• Политики CAP/RAP — ограничивают, кто и к каким серверам может подключаться

Дополнительно рекомендуем настроить ограничение входящих подключений на порт 443 по IP (если у пользователей фиксированные адреса), а также включить мониторинг журналов RD Gateway в вашей SIEM-системе.