Virtualização: Use o padrão RD Gateway

O Gateway da Área de Trabalho Remota pode ajudar você a fornecer acesso seguro a máquinas virtuais em redes públicas.

Kristin Griffin

Você pode usar o serviço de função do acesso de Web de área de trabalho remota (RD) para publicar a sessões de usuário e máquinas virtuais (VMs). No entanto, que só funciona em sua LAN. Para habilitar o acesso seguro às sessões e VMs em redes públicas, você terá que usar o Gateway RD.

Há razões específicas, você deve usar o Gateway RD para redes públicas e privadas, você deve configurá-lo em uma implantação típica de maneiras e maneiras você deve configurar as diretivas de acesso necessários — a maioria tendo a ver com a manutenção de um canal seguro. Há também muitos hotfixes útil que pertencem ao utilizar este serviço de função.

Acesso seguro com o Gateway de RD

Você sempre pode acessar RemoteApps, áreas de trabalho remotas e VMs em sua rede interna. Se você ou seus usuários deseja acessar esses recursos de seu café favorito ou seu laptop, sentado na praia? Você pode abrir a porta 3389 (RDP) em seu firewall para permitir o acesso de redes públicas, mas que iria deixá-lo vulnerável a ataques.

Isso é onde o Gateway RD entra em jogo. O serviço de função Gateway RD fornece acesso seguro através do estabelecimento de um túnel SSL do cliente para o Gateway RD. O Gateway RD atua como o intermediário. Ele passa o tráfego de e para o cliente pela porta 443 e de e para o recurso interno pela porta 3389. Qualquer comunicação entre o Gateway de RD e o cliente externo também é criptografada.

Uma diferença entre o uso do Gateway de área de trabalho remota e uma solução típica de rede privada Virtual (VPN) é que as VPNs fornecem acesso total à rede para qualquer pessoa que possa se conectar. O Gateway RD usa diretivas de autorização para determinar quem pode usar o serviço e os recursos específicos para que eles estão permitidos acesso.

Você pode configurar conjuntos de permissões diferentes para pessoas dependendo se estiver conectando de dentro ou fora da rede. RD Gateway usa um modelo de lista branca de duas camadas. Os usuários devem ser explicitamente permitidos usar Gateway RD. Eles também devem ter permissão explícita para acessar os recursos que desejam usar por meio do gateway (ver Figura 1).

Figura 1 RD Gateway define permissões para usuários específicos e os recursos aos quais eles têm acesso.

Um cliente remoto irá tentar acessar um recurso RDS através do Gateway de área de trabalho remota. O gateway permitirá e fazer a conexão se o cliente está autorizado a acessar o Gateway de área de trabalho remota e tem permissão para acessar o recurso solicitado. Ele irá criar um túnel seguro entre o cliente e o servidor de Gateway RD. Se o cliente não está autorizado a se conectar ao Gateway RD, o cliente será negado acesso (consulte Figura 2).

Figura 2 isto é o que você verá se você tentar um acesso não autorizado.

Se o cliente está autorizado a acessar RD Gateway, mas não autorizado a acessar o recurso solicitado, o cliente ainda será negado acesso (consulte Figura 3).

Figura 3 se você tiver acesso para o Gateway de área de trabalho remota, mas não o recurso, você ainda vai ser negada.

Filtragem de acesso

O Gateway RD controla o acesso ao próprio e recursos internos de RDS separadamente com dois tipos diferentes de diretivas de acesso: políticas de acesso de recursos RD (RD RAPs) e políticas de acesso de conexão de RD (RD CAPs). RD RAPs controlar os recursos (servidores de terminal e áreas de trabalho com a área de trabalho remota habilitada, inclusive em pool ou pessoais desktop VMs) qualquer usuário pode acessar. Controle de RD CAPs os utilizadores (e, opcionalmente, computadores) têm permissão para se conectar ao Gateway RD.

RD CAPs também controlar:

• Suporte para métodos de autenticação (os usuários podem autenticar via cartão inteligente ou senha)
• O que você pode redirecionar durante a conexão de dispositivos (se você desabilitar o redirecionamento de dispositivo de Gateway de RD, será desactivado mesmo se é permitido pelo RD cliente e servidor)
• Tempos limite opcional para sessões ativos e inativo

RD Gateway oferece uma interface simple com o qual você pode criar estas políticas. Seu local de armazenamento depende do tipo de política de acesso. Criar e armazenar RD RAPs no Gateway RD. RD CAPs são realmente as diretivas de rede NPS. Depois que você cria RD CAPs, eles estarão visíveis no Gateway de RD sob a pasta de diretivas de autorização de conexão. Você também pode abrir o serviço de diretivas de rede (NPS) e consulte a diretiva de rede correspondente (consulte a Figura 4).

Figura 4 você pode abrir o NPS para exibir a diretiva de rede correspondente.

Estas são realmente as mesmas políticas. RD Gateway apenas dá-lhe uma visão diferente e uma maneira mais simples de gerenciar as políticas que dizem respeito ao Gateway RD.

Você pode criar diretivas de acesso granular usando vários RD CAPs e RD RAPs, mas há uma regra simple: um usuário deve atender aos requisitos pelo menos uma RD CAP e uma RD RAP para se conectar com êxito para o Gateway RD (e posteriormente a recursos internos de RDS). O usuário deve primeiro conectar para o Gateway de área de trabalho remota (CAP RD). Uma vez que já foram autorizados a estabelecer uma conexão de Gateway RD, que o usuário, em seguida, precisa de permissão para acessar um recurso RDS (RD RAP). Uma política é realmente não é bom sem o outro.

Implantação do Gateway RD

O "Microsoft Windows Server 2008 R2 Remote Desktop Services Resource Kit" (Microsoft Press, 2010) explica como configurar o Gateway RD. Um alto nível, você deve tomar estas etapas:

• Adicionar o certificado SSL necessário para o servidor
• Instalar o serviço de função Gateway RD
• Criar grupos gerenciados pelo Gateway RD para referência em RD RAPs
• Criar ou tweak RD CAPs e RD RAPs
• Adicione o endereço do servidor Gateway RD para acesso via Web RD, Gerenciador de RemoteApp e conexão RD — ou para arquivos RDP pré-criados.

O Assistente de instalação do Gateway de RD irá criar e instalar um certificado SSL auto-assinado para usar enquanto você estiver testando o Gateway RD. Você também poderia criar esse certificado auto-assinado posteriormente. Certificados auto-assinados não são verificados por uma terceira parte confiável, embora. Você teria que adicionar um certificado auto-assinado para armazenamento de autoridades de certificação raiz confiáveis do cada máquina cliente, para que o cliente confia e se conectar com o servidor de Gateway RD. Isso é impraticável se a máquina cliente não é um computador gerenciado.

Para ambientes em tempo real, você vai querer usar um certificado emitido por uma CA pública ou uma solução PKI interna. Se você já tiver instalado um certificado SSL, selecioná-lo quando solicitado pelo assistente antes de instalar o Gateway RD. Instale um certificado SSL, adicionando-o ao armazenamento de certificados de computador pessoal do servidor por meio do snap-in do MMC certificados.

Em seguida, abra o Gerenciador do servidor e instalar o serviço de função Gateway RD. Você também pode instalar essa função usando o Windows PowerShell, mas algumas das opções que você obterá se você instalar usando o Gerenciador do servidor não estarão disponíveis. O serviço de função Gateway RD requer o IIS e o NPS serviços de função para executar funções-chave, portanto ele instalará automaticamente-los se eles já não estão instalados.

RD Gateway usa o IIS para fazer chamadas RPC sobre HTTPS e cria diretivas de rede NPS (RD Gateway chamado diretivas de autorização de conexão de área de trabalho remota) para controlar quem tem permissão para se conectar. O assistente solicitará o certificado SSL que deseja usar para conexões seguras. Ele também orientará criando uma RD CAP e uma RD RAP política.

Em seguida, você precisará configurar quaisquer grupos gerenciados pelo Gateway RD, que você talvez precise fazer referência no seu RD RAPs. Um grupo gerenciado pelo Gateway RD é um grupo de computadores, mantido por um Gateway de RD, em vez do Active Directory. Na maioria das vezes, especificar grupos de computadores do Active Directory em RD RAPs vai fazer mais sentido. Se você tiver um farm de servidores de terminal, porém, você terá que criar um grupo gerenciado pelo Gateway de área de trabalho remota para controlar o acesso à fazenda através do Gateway RD. Do Active Directory não tem uma maneira de identificar vários servidores de terminal por seu nome de farm de servidores.

Para criar um grupo gerenciado pelo Gateway RD, selecione a pasta de diretivas de autorização de recursos sob o servidor de Gateway RD no Gerenciador de Gateway RD. Clique no link Gerenciar grupos locais de computador no painel de ações do lado direito da janela do Gerenciador de Gateway RD. Depois que você cria um grupo gerenciado RD Gateway que contém membros do farm de servidores de terminal, você pode adicionar esse grupo para uma RD RAP.

Quando a instalação estiver concluída, você pode ajustar seu RD CAPs e RD RAPs. Você também pode criar diretivas de autorização mais no Gerenciador de Gateway RD. Por exemplo, você pode querer usar um conjunto de diretivas de autorização para a equipe de vendas e outro para a equipe de TI.

Para criar mais RD CAPs e RD RAPs, clique com o botão direito na pasta de políticas sob o servidor de Gateway RD listado no Gerenciador de Gateway RD e selecione Criar novas diretivas de autorização. Isso iniciará a criar diretivas de autorização para o Assistente de Gateway RD. Clique duas vezes em uma existente RD CAP ou RAP para editar suas propriedades.

As políticas existentes estão localizadas nas pastas de diretivas de autorização de conexão e diretivas de autorização de recursos listadas sob o servidor de Gateway RD no Gerenciador de Gateway RD. Depois que você tiver implementado um Gateway de RD, os clientes precisam fazer referência o endereço do Gateway de área de trabalho remota quando acessam recursos RDS:

• Se você publica RemoteApps no acesso via Web RD ou usa conexões de área de trabalho e RemoteApps no Windows 7, adicione o endereço do servidor Gateway RD para o RemoteApp Manager em cada servidor de terminal.
• Se você implementou Virtual Desktop Infrastructure agrupado e VMs pessoais, você precisará adicionar o endereço do servidor Gateway RD para recursos de Desktops virtuais e a seção de configuração do Gerenciador de conexões do agente de conexão RD RD.
• Se você distribuir arquivos RDP pré-criado, adicione o endereço do Gateway de RD para o arquivo RDP, editando o arquivo. Abra o arquivo RDP, clique no botão Opções, selecione a guia Avançado, clique no botão Configurações na seção Connect From Anywhere e adicionar o endereço do servidor Gateway RD. Em seguida, salve o arquivo RDP.

Verificando e Solucionando problemas de Gateway RD

Depois que você tiver configurado o serviço, você deve testá-lo antes de disponibilizá-lo amplamente. Para testar a conectividade de Gateway RD, abra um navegador e navegue até a pasta RPC no servidor de Gateway RD.Você deve ser solicitado para credenciais. Em seguida, você deve obter uma página em branco. Este é o comportamento esperado para um trabalho de implementação de Gateway RD.

Análise de logs de eventos no servidor Gateway RD pode ajudá-lo a entender por que um usuário pode ser negado o acesso a RD Gateway ou um recurso solicitado RDS e como resolver a situação. Logs de Gateway RD são armazenadas no Visualizador de eventos em: evento Viewer\Applications e Logs\Microsoft\Windows\TerminalServices-Gateway de serviços de*.*

Especifica os tipos de eventos que RD Gateway registrará marcando ou desmarcando as caixas de seleção próximo a eventos de auditoria listados na guia Auditoria da página Propriedades do Gerenciador de Gateway RD. Aqui estão alguns exemplos dos tipos de evento IDs, você pode ver, e o que você deve fazer se você tiver usuários inadvertidamente negado o acesso por meio do Gateway RD:

• Visualizar eventos 302 e 303 quando um usuário se conecta e desconecta de um recurso RDS por meio do Gateway RD.
• Eventos de 200 e 300 indicam que um usuário cumpriu os requisitos de uma RD CAP e uma RD RAP, respectivamente.
• Evento 201 indica não estavam preenchidos os requisitos de RD CAP e o usuário não pôde se conectar ao Gateway RD. Altere o RD CAP para permitir ao usuário o acesso apropriado, incluindo um grupo de usuário do Active Directory do qual o usuário é um membro.
• ID do evento 304 indica o RD CAP e RD RAP requisitos foram cumpridos, mas o usuário não foi capaz de ligar para o recurso solicitado. Nesse caso, verifique se o recurso solicitado está operacional, e que o usuário é adicionado ao grupo usuários da área de trabalho remota de recursos.

O NPS também registra eventos no log de segurança do visualizador quando os usuários são concedidos ou negados acesso por meio do Gateway RD eventos. Estes são alguns exemplos:

• Detalhes de autenticação de IDs 6272 e 6278 indicar o servidor NPS concedido um acesso de usuário e deu a conexão de evento no log, incluindo o nome da diretiva de rede que deu o acesso do usuário.
• A ID de evento 6273 mostra um usuário satisfaz os requisitos da diretiva de rede chamado "-Diretiva de marcador de leit.." Esta é a política padrão que nega o acesso a Gateway RD. Se nenhuma outra diretiva de rede for satisfeita (ou seja, o usuário não atende a quaisquer requisitos de RD CAP), então os requisitos desta política e o usuário tem acesso negado.

Estes são os fundamentos do Gateway RD, incluindo porque você usaria este serviço de função para fornecer acesso remoto, como configurar o serviço de função e como configurar as diretivas de acesso que definem as regras de acesso remoto. No mês que vem, vamos discutir como certificados de combinam com a credencial Security Support Provider para ativar um recurso chamado de autenticação no nível de rede (NLA) que melhora a experiência de logon do usuário.

**Kristin Griffin**é um MVP de serviços de Desktop remoto. Ela modera um fórum Microsoft dedicado a ajudar a Comunidade computação baseada em servidor (serviços de área de trabalho remota) e mantém um blog RDS no blog.kristinlgriffin.com. Ela é um colaborador "Mastering Windows Server 2008" de Mark Minasi (Sybex, 2008) e "Dominando o Windows Server 2008 R2" (Sybex, 2010). Ela também co-autor de "Microsoft Windows Server 2008 Terminal Services Resource Kit" (Microsoft Press, 2008) e "Microsoft Windows Server 2008 R2 Remote Desktop Services Resource Kit" (Microsoft Press, 2010) com Christa Anderson.

Conteúdo relacionado

• Microsoft Windows Server 2008 R2 RDS Resource Kit
• Implantando o guia passo a passo de Gateway de área de trabalho remota
• Implantação de RD Gateway em uma rede de perímetro & Regras de firewall
• Configurar NAP integração com Gateway RD guia passo a passo
• Implantação de servidor RD Gateway R2 com NAP
• Configurar clientes de serviços de Terminal como clientes de imposição do Network Access Protection (NAP) para o Gateway TS

As seguintes correcções sobre RD Gateway também são úteis:

• Serviço de Gateway de área de trabalho remoto cai sob uma pesada carga de trabalho no Windows Server 2008 R2
• Autenticação de cartão inteligente não funciona quando você usa VDI e RD Gateway para cliente RDC no Windows 7 ou no Windows Server 2008 R2

RD Gateway, perguntas e respostas

**P.**Quantas conexões pode acomodar o Gateway RD?
**R.**O Gateway RD pode acomodar muitas conexões. Na verdade, um servidor de processador duplo com 4 GB de RAM pode ac­comodato mais de 1.200 conexões. Leia o white paper Microsoft, "planejamento de capacidade de Gateway RD no Windows 2008 R2," para obter mais informações sobre produtos de análise de testes e resultados de capacidade RD Gateway realizada pela Microsoft. Da perspectiva do licenciamento, o Gateway RD está limitado a 256 conexões simultâneas no Windows Server 2008 R2 Standard edition e 50 conexões simultâneas em edição de Windows Server 2008 R2 Foundation. Conexões de Gateway de área de trabalho remota no Windows Server 2008 R2 Datacenter e Enterprise edições são ilimitadas.

**P.**Pode usar o Gateway RD atrás de um ISA server? O Forefront Threat Management Gateway (TMG)?
**R.**Sim, você pode fazer isso. Uso esse script para publicar RD Gateway em um ISA server. Você também pode implementar RD Gateway por trás do Forefront TMG. O Configurando o Forefront ameaça Management Gateway integração com guia de passo a passo de Gateway RD mostra a você como usar TMG como dispositivo na frente de RD Gateway de ponte SSL.

**P.**Que tipo de certificado SSL é necessário usar ao configurar o Gateway RD?
**R.**Você pode usar um certificado SSL regular, um certificado curinga (*. domain.com) ou um certificado de SAN (um certificado com vários nomes, como rdg.domain.com, rdwa.domain.com, rds.domain.com) com Gateway de RD.

**P.**Como você pode forçar conexões na página de áreas de trabalho remotas do acesso via Web RD para usar RD Gateway?
**R.**Não há nenhuma caixa de seleção na guia de áreas de trabalho remotas do site acesso via Web RD para forçar o uso de Gateway RD, mas você pode fazê-lo acontecer editando o arquivo Desktop.aspx com isso:

if ((DefaultTSGateway != null) && (DefaultTSGateway.length> 0)) { RDPstr += "gatewayusagemethod:i:2\n";

para isso:

if ((DefaultTSGateway != null) &&(DefaultTSGateway.length> 0)) { RDPstr += "gatewayusagemethod:i:1\n";

Forçar explicitamente o uso do Gateway RD vai acelerar também conexões porque não há nenhum atraso enquanto a conexão tenta conectar-se diretamente pela porta 3389, tempo limite e, em seguida, tenta novamente pela porta SSL 443.