При подключении с клиентского ПК по RDP будет ли работать USB ключ?
Большинство USB устройств при подключении по протоколу RDP с помощью DistKontrolUSB работают точно так же, как и при подключении в консольном режиме. Но тем не менее подключение по RDP имеет ряд особенностей: возможные ограничения самих ключей, ограничения протокола и прочее.
Логика подключения USB устройств такая же как при подключении без концентратора.
Следовательно, для проверки возможности работы с ключом в RDP в первую очередь рекомендуется подключить ключ к физическому порту терминального сервера, подключиться к нему по RDP и убедиться в работоспособности.
Наиболее вероятно, через DistKontrolUSB работать будет так же, но рекомендуется проверить данную возможность до покупки устройства.
Так же, с помощью концентратора можно решить ряд проблем, которые не решаемы даже с помощью непосредственного подключения USB устройств к серверу терминалов.
Например:
Система работы с токенами VPN-Key-TLS предусматривает защиту от удаленного обращения к ключу, поэтому если попытаться запустить ключ из удаленного рабочего стола (когда ключ вставлен в сервер, а запустить его пытается клиент RDP), то ключ может работать не корректно.
Существует два варианта решения проблемы:
1. Через DistKontrolUSB подключить ключ к компьютеру с которого подключаетесь к RDP серверу и после этого подключиться к удаленному рабочему столу, с использование стандартных средств проброса смарт карт (в настройках подключения поставить галочку - подключать смарт карты).
2. Или использовать не RDP, а программы типа VNC, Radmin и подобные для консольного доступа.
Подробнее описано статьях:
http://support.distkontrol.ru/knowledgebase.php?article=16
https://dev.rutoken.ru/display/KB/RU1084
Так же необходимо иметь ввиду, что бывают варианты, когда производитель предусматривает защиту от запуска в терминальной сессии. Например, Рутокен TLS используемый ПАО «Сбербанк». Смарт карта не будет работать в терминальном режиме ни при физическом подключении ее к серверу, ни при физическом подключении ее к клиентской рабочей станции с последующим пробросом в терминальную сессию. Естественно такой же результат будет и при использовании концентратора DistKontrolUSB. Если же Рутокен TLS всё-таки нужно использовать удаленно, то решением в данной ситуации является использование концентратора с программами консольного доступа к рабочей станции (см. ссылку выше).
В целом, при возникновении проблем с работой смарт карт в терминальном режиме (по RDP) в первую очередь рекомендуем:
1. Убедиться, что служба "Смарт-карты" на сервере запущена и запускается автоматически.
2. Установить с консоли сервера (не через RDP) через установку приложений на сервер терминалов
- драйвер ключа
- криптопровайдер
3. Подключить смарт карту к серверу физически или средствами проброса в гипервизоре (при возможности). Подключиться к серверу сначала в консольном, затем в терминальном режиме и в обоих режимах проверить работоспособность ключа.
4. Подключить ключ к рабочей станции, в настройках подключения локальных ресурсов поставить галочку подключения смарт-карт, проверить его видимость в терминальной сессии пользователя.
5. Установить необходимое криптографическое ПО и сертификаты в терминальной сессии пользователя.
6. Проверить работоспособность ключа в терминальной сессии пользователя (авторизация, подписание документов и т.д.).
При использовании сервера терминалов в домене AD необходимо убедиться в корректной настройке параметра групповой политики для сервера:
"Конфигурация компьютера" - "Административные шаблоны" - "Компоненты Windows" - "Службы удалённых рабочих столов" - "Узел сеансов удалённых рабочих столов" - "Перенаправление устройств и ресурсов" - "Не разрешать перенаправление устройства чтения смарт-карт" = "Отключить".
Дополнительно рекомендуем ознакомиться:
Как удаленно подключить Rutoken
http://support.distkontrol.ru/knowledgebase.php?article=89
Удаленная работа с токенами и смарт-картами
https://dev.rutoken.ru/display/KB/RU1084
Рутокен и Удаленный рабочий стол (RDP)
https://dev.rutoken.ru/display/KB/RU1003
https://forum.rutoken.ru/topic/1430/
Настройка службы смарт карт