Зачем RDP Gateway, если есть VPN?

RDG работает через 443 HTTPS без клиента VPN, проще для пользователей. VPN лучше для полного доступа в сеть, RDG — только для RDP.

Какой сертификат нужен?

Публичный от Let's Encrypt или коммерческий на внешнее FQDN. Самоподписанный работает, но требует установки корня на каждом клиенте.

Как добавить MFA к RDG?

Через NPS с расширением Azure MFA, либо через Duo Security Authentication Proxy. Бесплатно — через SMS-шлюз и RADIUS.

Можно ли использовать RDG для одного сервера?

Да, но минимальная схема — RDG на отдельной ВМ в DMZ, RAP указывает на целевой сервер в локальной сети.

Сколько RDG выдерживает одновременных сессий?

Windows Server Standard — 250 CAL, физически 2-4 vCPU и 8 ГБ RAM держат 100-150 активных туннелей.

Безопасность 11 февраля 2026 · 16 мин чтения

RDP Gateway: безопасный удалённый доступ через HTTPS без VPN-клиента

Меня зовут Семёнов Евгений Сергеевич, директор АйТи Фреш. За 15+ лет я видел все варианты организации удалённого доступа: от простого проброса 3389 на роутере (самое опасное) до сложного Always-On VPN с сертификатами. RD Gateway для большинства офисов до 50 рабочих мест — золотая середина: клиенту не нужно ничего ставить, доступ только к нужным машинам, на внешней границе один 443 порт.

Что такое RD Gateway и как он работает

RDG туннелирует RDP-трафик внутри HTTPS на порт 443. Пользователь открывает обычный mstsc, указывает в настройках Connection → Advanced → Gateway servers, и все запросы идут через шлюз. RDP-пакеты упаковываются в HTTPS, проходят межсетевой экран, распаковываются на RDG и летят в корпоративную сеть по RDP.

Архитектура и требования

Рекомендую ставить RDG в DMZ на отдельной виртуалке. Прямой доступ — только 443 с интернета и RDP на целевые серверы изнутри. У нас на практике минимальная конфигурация: 2 vCPU, 4 ГБ RAM, 60 ГБ диск, Windows Server 2022 Standard.

Установка роли

Install-WindowsFeature -Name RDS-Gateway, RSAT-RDS-Gateway `
  -IncludeManagementTools

# Создание самоподписанного сертификата для теста
New-SelfSignedCertificate -DnsName "rdg.company.ru" `
  -CertStoreLocation "Cert:\LocalMachine\My"
# Для прода — Let's Encrypt через win-acme

Сертификат Let's Encrypt

# Скачиваем win-acme
# https://www.win-acme.com/

wacs.exe --target manual --host rdg.company.ru `
  --validation selfhosting --store centralssl `
  --certificatestore My --installation iis

# В консоли RDG → Server Properties → SSL Certificate —
# выбираем установленный сертификат

Политики CAP и RAP

Два типа политик критичны для безопасности:

CAP (Connection Authorization Policy) — кто имеет право пользоваться шлюзом.
RAP (Resource Authorization Policy) — к каким ресурсам можно подключаться.

# PowerShell
Import-Module RemoteDesktopServices

# CAP: только группа RDG_Users, требуется пароль
New-Item -Path RDS:\GatewayServer\CAP -Name "Corp-CAP" `
  -UserGroups "CORP\RDG_Users" -AuthMethod 1

# RAP: разрешаем только к группе серверов ApplicationServers
New-Item -Path RDS:\GatewayServer\RAP -Name "Corp-RAP" `
  -UserGroups "CORP\RDG_Users" `
  -ComputerGroupType 1 `
  -ComputerGroup "CORP\ApplicationServers"

Интеграция с MFA

Без 2FA шлюз — это просто удобная входная дверь. Я всегда настраиваю интеграцию через NPS с одним из решений:

Решение	Плюсы	Минусы
Azure MFA NPS Extension	Бесплатно с M365, push	Требует Azure AD
Duo Security	Лёгкая установка	От $3/user/мес
MultiFactor.ru	Российский, 152-ФЗ	Платный
privacyIDEA	Open-source, TOTP	Требует Linux-сервера

Настройка клиента mstsc

# RDP-файл для раздачи пользователям
full address:s:app01.internal.local
gatewayhostname:s:rdg.company.ru
gatewayusagemethod:i:1
gatewaycredentialssource:i:0
gatewayprofileusagemethod:i:1
username:s:CORP\user
prompt for credentials:i:1
use redirection server name:i:1

Мини-кейс: доступ для ритейл-сети

Январь 2026, клиент — сеть из 22 магазинов по Подмосковью. Директорам и кассирам нужен доступ к центральной 1С из магазинов и из дома. Раньше был проброс 3389 с простыми паролями, за два года два инцидента с шифровальщиком. Поставил RDG на Windows Server 2022 в дата-центре МТС, сертификат Let's Encrypt, Azure MFA с push-уведомлениями. 48 пользователей, RAP только на 3 терминальных сервера. Переход с проброса на RDG занял 2 дня, обучение персонала — 30 минут на магазин. За 3 месяца — ноль инцидентов. Стоимость внедрения — 95 000 руб.

Мониторинг и типичные ошибки

Сертификат не на FQDN — клиенты получают ошибку 0x907. Сертификат должен быть на то же имя, что в mstsc.
Забыли CRL публичный — внешние клиенты не могут проверить отзыв.
RAP на Active Directory сайт вместо группы — работает непредсказуемо при репликации.
Только один RDG без кластера — SPoF, для >30 пользователей минимум два за NLB.
NPS не логирует — поставьте логирование в файл через NPS → Accounting.

Поставим RDP Gateway с 2FA под ключ за 1 день

Установка роли, Let's Encrypt или корпоративный сертификат, политики CAP/RAP, интеграция с Azure MFA или MultiFactor. Обучение пользователей.

Телефон: +7 903 729-62-41
Telegram: @ITfresh_Boss
Семёнов Евгений Сергеевич, директор АйТи Фреш

FAQ — частые вопросы

Зачем RDP Gateway, если есть VPN?: RDG работает через 443 HTTPS без клиента VPN, проще для пользователей. VPN лучше для полного доступа в сеть, RDG — только для RDP.
Какой сертификат нужен?: Публичный от Let's Encrypt или коммерческий на внешнее FQDN. Самоподписанный работает, но требует установки корня на каждом клиенте.
Как добавить MFA к RDG?: Через NPS с расширением Azure MFA, либо через Duo Security Authentication Proxy. Бесплатно — через SMS-шлюз и RADIUS.
Можно ли использовать RDG для одного сервера?: Да, но минимальная схема — RDG на отдельной ВМ в DMZ, RAP указывает на целевой сервер в локальной сети.
Сколько RDG выдерживает одновременных сессий?: Windows Server Standard — 250 CAL, физически 2-4 vCPU и 8 ГБ RAM держат 100-150 активных туннелей.