Virtualisation : Utiliser la passerelle Bureau à distance

La passerelle Bureau à distance vous permet d'offrir un accès sécurisé aux ordinateurs virtuels via les réseaux publics.

Kristin Griffin

Vous pouvez utiliser le service de rôle de Remote Desktop (RD) Web Access pour publier les sessions utilisateur et machines virtuelles (SSN). Cependant, qui fonctionne uniquement sur votre LAN. Afin de permettre un accès sécurisé aux séances et VMs sur des réseaux publics, vous devrez utiliser la passerelle RD.

Il existe des raisons spécifiques, vous devez utiliser la passerelle RD pour réseaux publics et privés, vous devez mis en place dans un déploiement typique des façons et moyens, vous devez configurer les politiques d'accès requis — la plupart ayant trait à maintenir un canal sécurisé. Il y a aussi de nombreux correctifs utiles qui ont trait à l'utilisation de ce service de rôle.

Accès sécurisé avec la passerelle RD

Vous pouvez toujours accéder à RemoteApps, bureaux à distance et VMs sur votre réseau interne. Si vous ou vos utilisateurs veulent accéder à ces ressources de votre ordinateur portable ou de votre café préféré assis sur la plage ? Vous pourraient ouvrir le port 3389 (le port RDP) dans votre pare-feu pour autoriser l'accès de réseaux publics, mais que vous laisserais vulnérable aux attaques.

C'est là la passerelle RD entre en jeu. Le service de rôle de RD Gateway offre un accès sécurisé en établissant un tunnel SSL du client à la passerelle RD. La passerelle RD agit comme intermédiaire. Elle passe du trafic du client sur le port 443 et à partir de la ressource interne sur le port 3389. Toute communication entre la passerelle RD et le client externe est également cryptée.

Une différence entre l'utilisation de la passerelle de la RD et une solution de réseau privé virtuel (VPN) typique est que VPN fournir accès réseau complet à toute personne qui peut se connecter. La passerelle RD utilise des politiques d'autorisation pour déterminer qui peut utiliser le service et les ressources spécifiques auxquels ils sont autorisés à accéder.

Vous pouvez configurer des Jeux d'autorisations différentes pour les personnes dépendant si ils êtes reliant partir au sein ou en dehors du réseau. RD Gateway utilise un modèle à deux niveaux d'autorisation. Utilisateurs doivent être explicitement autorisés à utiliser la RD Gateway. Ils doivent également avoir permission explicite pour accéder aux ressources qu'ils veulent utiliser via la passerelle (voir Figure 1).

La figure 1 RD Gateway définit des autorisations pour des utilisateurs spécifiques et les ressources auxquelles ils ont accès.

Un client distant tente d'accéder à une ressource RDS via la passerelle RD. La passerelle permettra et faire le lien, si le client est autorisé à accéder à la passerelle de RD et est autorisé à accéder à la ressource demandée. Il va ensuite créer un tunnel sécurisé entre le client et le serveur de passerelle RD. Si le client n'est pas autorisé à se connecter à la passerelle de RD, le client sera refusé accès (voir Figure 2).

La figure 2 c'est ce que vous verrez si vous essayez un accès non autorisé.

Si le client est autorisé à accéder aux RD Gateway, mais pas autorisé à accéder à la ressource demandée, le client sera toujours refusé accès (voir Figure 3).

La figure 3 si vous avez accès à la passerelle de RD, mais pas la ressource, vous aurez toujours refusé.

Filtrage des accès

La passerelle RD contrôle l'accès à elle-même et ressources internes de RDS séparément avec deux types de politiques d'accès différents: RD ressources politiques d'accès (RD PA) et politiques d'accès connexion RD (RD sélections). RD RAPs contrôler les ressources (hôte de la Session RD serveurs et ordinateurs de bureau avec le Bureau à distance activé, y compris les VMs Bureau commun ou personnels) n'importe quel utilisateur peut accéder. Contrôle de la RD CAPs quels utilisateurs (et éventuellement les ordinateurs) est autorisés à se connecter à la passerelle de la RD.

RD CAPs également contrôler :

• Prise en charge des méthodes d'authentification (les utilisateurs peuvent s'authentifier via la carte à puce ou mot de passe)
• Quels appareils vous pouvez rediriger au cours de la connexion (si vous désactivez la redirection du dispositif en RD Gateway, elle sera désactivé même si elle est accueillie par la RD client et le serveur)
• Délais d'attente facultatif pour les sessions actives et inactives

RD Gateway vous offre une interface simple, avec laquelle vous pouvez créer ces politiques. Leur emplacement de stockage dépend du type de politique d'accès. Vous créez et stockez RD RAPs en RD Gateway. RD bouchons sont vraiment les stratégies de réseau IP. Une fois que vous créez RD CAPs, ils seront visibles dans la passerelle RD sous le dossier de stratégies d'autorisation de connexion. Vous pouvez également ouvrir le Service de la politique de réseau (NPS) et consultez la politique de réseau correspondant (voir Figure 4).

La figure 4 vous pouvez ouvrir le NPS pour consulter la politique de réseau correspondant.

Ce sont vraiment les mêmes politiques. RD Gateway vous donne juste un point de vue différent et d'une façon plus simple de gérer les politiques qu'ils se rapportent à la passerelle de la RD.

Vous pouvez créer des politiques d'accès granulaire à l'aide de multiples casquettes RD et RD RAPs, mais il y a une règle simple : un utilisateur doit satisfaire aux exigences d'au moins un plafonnement de RD un RD RAP afin de connecter avec succès à la passerelle RD (et par la suite aux ressources internes de RDS). L'utilisateur doit tout d'abord vous connecter à la passerelle RD (RD PAC). Une fois qu'ils ont été autorisés pour établir une connexion RD Gateway, l'utilisateur doit alors la permission d'accéder à une ressource RDS (RD RAP). Une politique est vraiment rien sans l'autre.

Déploiement de passerelle RD

Le "Microsoft Windows Server 2008 R2 Remote Desktop Services Resource Kit" (Microsoft Press, 2010) explique comment configurer la passerelle RD. À un niveau élevé, vous devez prendre ces étapes :

• Ajouter le certificat SSL requis au serveur
• Installer le service de rôle de passerelle RD
• Créer des groupes de passerelle RD-géré pour référence en RD RAPs
• Créer ou de modifier des sélections de la RD et RD RAPs
• Ajouter l'adresse de serveur de passerelle RD à RD Web Access, RemoteApp Manager et agent de connexion RD — ou à des fichiers RDP précréés.

L'Assistant d'Installation de RD Gateway créera et installer un certificat SSL auto-signé à utiliser alors que vous songiez à RD Gateway. Par la suite, vous pourriez également créer ce certificat auto-signé. Certificats autosignés ne sont pas vérifiées par un tiers de confiance, cependant. Vous devez ajouter un certificat auto-signé au magasin d'autorités de Certification racine de confiance de la machine de chaque client pour le client faire confiance et de se connecter au serveur de passerelle RD. Ce n'est pas pratique si la machine client n'est pas un ordinateur géré.

Pour les environnements vivants, vous voudrez utiliser un certificat délivré par une autorité de certification publique ou une solution PKI interne. Si vous avez déjà installé un certificat SSL, sélectionnez-le lorsque vous êtes invité par l'Assistant avant d'installer la passerelle RD. Installer un certificat SSL en l'ajoutant à un magasin de certificats du serveur ordinateur personnel via le composant logiciel enfichable MMC de certificats.

Ensuite, ouvrez le gestionnaire de serveur et installer le service de rôle de passerelle RD. Vous pouvez également installer ce rôle à l'aide de Windows PowerShell, mais certaines de ces options, que vous obtiendrez si vous installer à l'aide du gestionnaire de serveur ne seront pas disponible. Le service de rôle de passerelle RD exige l'IIS et le NPS services de rôle aux fonctions clés, donc cela installera automatiquement leur, si elles ne sont pas déjà installées.

RD Gateway utilise IIS pour faire des appels RPC sur HTTPS et crée des stratégies de réseau NPS (appelé RD connexion autorisation politiques en RD Gateway) à un contrôle qui est autorisé à se connecter. L'Assistant vous invite pour le certificat SSL que vous souhaitez utiliser pour sécuriser les connexions. Il sera également vous guide à travers créant un CAP de RD et une politique de RAP RD.

Ensuite, vous devez tout groupes géré RD Gateway que vous devrez peut-être faire référence dans votre RAPs RD. Un groupe géré RD Gateway est un groupe d'ordinateurs maintenu par une passerelle de RD, au lieu de Active Directory. La plupart du temps, spécifiant les groupes d'ordinateurs Active Directory en RD RAPs fera le sens plus. Si vous avez une ferme de l'hôte de la Session RD, cependant, vous devrez créer un groupe de passerelle RD-géré pour contrôler l'accès à la ferme par passerelle RD. Active Directory n'a pas un moyen d'identifier plusieurs serveurs hôte de la Session RD par leur nom de la ferme.

Pour créer un groupe de passerelle RD-géré, sélectionnez le dossier de politiques d'autorisation des ressources du serveur de passerelle de RD dans le gestionnaire de passerelle RD. Cliquez sur le lien gérer des groupes d'ordinateurs locaux dans le volet Actions sur le côté droit de la fenêtre du gestionnaire de passerelle RD. Une fois que vous créez un groupe de passerelle RD managé contenant des membres de la ferme de RD hôte de la Session, vous pouvez ajouter ce groupe à un RAP RD.

Une fois l'installation terminée, vous pouvez tordre vos sélections RD et RAPs RD. Vous pouvez également créer des politiques autorisation davantage dans le gestionnaire de passerelle RD. Par exemple, vous pouvez utiliser un ensemble de politiques de l'autorisation pour l'équipe de vente et un autre pour l'équipe informatique.

Pour créer plus de sélections de la RD et de RD RAPs, un clic droit sur le dossier de politiques sous le serveur de passerelle RD mentionné dans le gestionnaire de passerelle RD et sélectionnez créer des nouvelles politiques d'autorisation. Cela démarrera les politiques d'autorisation créer pour l'Assistant RD Gateway. Double-cliquez sur un plafond actuel de RD ou RAP à modifier ses propriétés.

Les politiques existantes sont situés dans les dossiers de stratégies d'autorisation de connexion et de politiques d'autorisation des ressources répertoriées sous le serveur de passerelle de RD dans le gestionnaire de passerelle RD. Une fois que vous avez mis en place une passerelle de RD, les clients ont besoin référencer l'adresse de la passerelle RD lorsqu'ils accèdent aux ressources RDS :

• Si vous publiez RemoteApps RD Web Access ou utilisez RemoteApps et connexions Desktop dans Windows 7, ajoutez l'adresse de serveur de passerelle de la RD au gestionnaire de RemoteApp sur chaque serveur hôte de la Session RD.
• Si vous avez implémenté Virtual Desktop Infrastructure mis en commun et VMs personnelles, vous devez ajouter l'adresse de serveur de passerelle de la RD de ressources virtuelles des ordinateurs de bureau et la section de Configuration du gestionnaire de connexion du courtier de connexion RD RD.
• Si vous donnez les fichiers précréés de RDP, ajoutez l'adresse de la passerelle RD au fichier RDP en éditant le fichier. Ouvrez le fichier RDP, cliquez sur le bouton Options, sélectionnez l'onglet avancé, cliquez sur le bouton paramètres dans la section Connect de Anywhere et ajouter l'adresse de serveur de passerelle RD. Puis enregistrez le fichier RDP.

Vérifier et dépannage RD Gateway

Une fois que vous avez configuré le service, vous devez les tester avant de rendre largement accessibles. Pour tester la connectivité de la passerelle de la RD, ouvrez un navigateur et naviguez jusqu'au dossier de la RPC sur votre serveur de passerelle RD.Vous devez être invité pour les informations d'identification. Ensuite, vous devriez obtenir une page vierge. C'est le comportement attendu pour un travail de mise en œuvre RD Gateway.

Analyse des journaux des événements sur le serveur de passerelle RD peut vous aider à comprendre pourquoi un utilisateur pourrait être refusé l'accès à la passerelle RD ou une ressource demandée de RDS et comment remédier à la situation. RD Gateway sont stockés dans l'observateur d'événements à: événement Viewer\Applications et Logs\Microsoft\Windows\TerminalServices-passerelle de Services*.*

Spécifier les types d'événements que rd passerelle se connectent en cochant ou décochant les cases à cocher à côté de l'audit événements listés dans l'onglet de vérification de la page de propriétés du gestionnaire de la passerelle RD. Voici quelques exemples des types d'événement ID vous pourriez voir, et ce que vous devriez faire si vous avez des utilisateurs involontairement refuser l'accès au moyen de la passerelle RD :

• Spectacle d'événements 302 et 303 lorsqu'un utilisateur se connecte et se déconnecte d'une ressource RDS via Gateway RD.
• Les événements 200 et 300 indiquent qu'un utilisateur a satisfait aux exigences d'un plafonnement de la RD RD RAP, respectivement.
• Événement 201 indique les exigences de la RD CAP n'étaient pas respectées, et l'utilisateur n'a pas pu se connecter à RD Gateway. Changer le CAP de la RD pour permettre à l'utilisateur l'accès approprié en incluant un groupe d'utilisateur Active Directory dont l'utilisateur est membre.
• ID de l'événement 304 indique le CAP de la RD et RAP RD exigences ont été respectées, mais l'utilisateur n'a pas été capable de se connecter à la ressource demandée. Dans ce cas, vérifiez que la ressource demandée est opérationnelle et que l'utilisateur est ajouté au groupe utilisateurs du Bureau à distance de ressources.

NPS enregistre également les événements en cas de sécurité Viewer log lorsque les utilisateurs sont accordés ou refusés l'accès au moyen de la passerelle de la RD. En voici des exemples :

• IDs 6272 et 6278 indiquent le serveur NPS accordé un accès de l'utilisateur et a donné la connexion d'authentification détails d'événement dans le journal, y compris le nom de la politique de réseau qui a donné l'accès de l'utilisateur.
• ID de l'événement 6273 montre un utilisateur satisfait aux exigences de la politique de réseau nommé "--DGR marqueur politique. » Il s'agit de la stratégie par défaut qui refuse l'accès à la passerelle de la RD. Si aucune autre politique de réseau n'est remplie (c'est-à-dire, l'utilisateur n'est pas répondre aux exigences de la RD CAP) puis les exigences de cette politique et l'accès est refusé par l'utilisateur.

Ce sont les éléments essentiels de la RD Gateway, y compris pourquoi vous utilisez ce service de rôle pour fournir l'accès à distance, comment configurer le service de rôle et comment configurer les politiques d'accès qui définissent les règles pour l'accès distant. Le mois prochain, nous discuterons comment combinent les certificats avec le fournisseur de soutien de sécurité des titres de compétences pour permettre une fonctionnalité appelée réseau-niveau d'authentification (NLA) qui améliore l'expérience d'ouverture de session de l'utilisateur.

**Kristin Griffin**est un MVP de Services Remote Desktop. Elle modère un forum de Microsoft dédié à aider la communauté informatique sur serveur (Remote Desktop Services) et tient à jour un blog RDS à blog.kristinlgriffin.com. Elle est un contributeur de "Mastering Windows Server 2008" de Mark Minasi (Sybex, 2008) et « Mastering Windows Server 2008 R2 » (Sybex, 2010). Elle a également coauteur de "Microsoft Windows Server 2008 Terminal Services Resource Kit" (Microsoft Press, 2008) et "Microsoft Windows Server 2008 R2 Remote Desktop Services Resource Kit" (Microsoft Press, 2010) avec Christa Anderson.

Contenu associé

• Microsoft Windows Server 2008 R2 RDS Resource Kit
• Déploiement de Guide étape par étape de passerelle distante de bureau
• Déploiement de RD Gateway dans un réseau de périmètre & Règles de pare-feu
• Configuration de NAP intégration avec RD Gateway Guide étape par étape
• Déploiement RD Gateway R2 server avec NAP
• Configurer les Clients des Services Terminal comme Network Access Protection (NAP) d'application Clients pour passerelle TS

Les correctifs suivants au sujet de la RD Gateway sont également utiles :

• Service de passerelle de bureau distant se bloque sous une lourde charge de travail dans Windows Server 2008 R2
• Authentification par carte à puce ne fonctionne pas lorsque vous utilisez VDI et RD Gateway pour le client de la RDC dans Windows 7 ou dans Windows Server 2008 R2

Passerelle RD Q et r

Q. Combien de connexions peuvent accueillir la passerelle RD ? **R :**La passerelle RD peut accueillir nombre de connexions. En fait, un serveur biprocesseur avec 4 Go de RAM peut ac­Commodat plus de 1 200 connexions. Lisez le livre blanc de Microsoft, "RD Gateway capacité planification dans Windows 2008 R2," pour plus d'informations sur la RD Gateway capacité mise à l'essai et les résultats analyse effectuée par Microsoft. Dans une perspective d'octroi de licences, RD Gateway est limitée à 256 connexions simultanées dans Windows Server 2008 R2 Standard edition et 50 connexions simultanées dans l'édition de Windows Server 2008 R2 Foundation. RD Gateway connexions dans les éditions de Windows Server 2008 R2 Datacenter et Enterprise sont illimitées.

Q. Est-ce que je peux utiliser de la passerelle RD derrière un serveur ISA ? Qu'en est-il de Forefront Threat Management Gateway (TMG) ? **R :**Oui, vous pouvez le faire. Utilisation ce script à publier RD Gateway sur un serveur ISA. Vous pouvez également implémenter RD Gateway derrière Forefront TMG. Le Configuration Forefront menace Management Gateway intégration avec RD Gateway Step Guide vous montre comment utiliser les TMG comme un SSL combler le dispositif en face de la porte d'entrée RD.

Q. Quel type de certificat SSL dois-je utiliser lorsque configurer RD Gateway ? **R :**Vous pouvez utiliser un certificat SSL régulier, d'un certificat de caractère générique (*. domain.com) ou un certificat de SAN (un certificat avec plusieurs noms, comme rdg.domain.com, rdwa.domain.com, rds.domain.com) avec la passerelle RD.

Q. Comment est-ce que vous pouvez forcer connexions à partir de la page de bureaux à distance de la RD Web Access pour utiliser la passerelle RD ? **R :**Il n'y a aucune case à cocher dans l'onglet de bureaux à distance du site Web de RD Web Access de forcer l'utilisation de passerelle de RD, mais vous pouvez le faire arriver en éditant le fichier Desktop.aspx à partir de cela :

if ((DefaultTSGateway != null) && (DefaultTSGateway.length> 0)) { RDPstr += "gatewayusagemethod:i:2\n";

par :

if ((DefaultTSGateway != null) &&(DefaultTSGateway.length> 0)) { RDPstr += "gatewayusagemethod:i:1\n";

Forçant explicitement l'utilisation de RD passerelle sera également accélérer les connexions parce qu'il n'y a aucun retard tandis que la connexion tente de se connecter directement sur le port 3389, arrive à expiration et tente alors de nouveau sur le port 443 SSL.