Virtualización: Use la Puerta de enlace de Escritorio remoto

La Puerta de enlace de Escritorio remoto le permite entregar un acceso seguro a las máquinas virtuales a través de las redes públicas.

Kristin Griffin

Puede utilizar el servicio de rol de acceso Web de escritorio remoto (RD) para publicar las sesiones de usuarios y máquinas virtuales (VMs). Sin embargo, sólo funciona a través de su LAN. Para habilitar el acceso seguro a las sesiones y VMs en redes públicas, deberás utilizar la puerta de enlace de escritorio remoto.

Hay razones específicas debe utilizar la puerta de enlace de escritorio remoto para redes públicas y privadas, se deben establecer en una implementación típica de maneras y formas debe configurar las directivas de acceso requeridos, la mayoría tienen que ver con el mantenimiento de un canal seguro. También hay muchas revisiones útiles que pertenecen al uso de este servicio de rol.

Acceso seguro a la puerta de enlace de escritorio remoto

Siempre puede acceder a RemoteApps, escritorios remotos y VMs en la red interna. ¿Qué sucede si usted o los usuarios desean acceder a esos recursos desde su cafetería favorita o tu portátil mientras estaba sentado en la playa? Se puede abrir puerto 3389 (el Puerto RDP) en su firewall para permitir el acceso de redes públicas, pero que podría dejar vulnerables al ataque.

Esto es donde el Gateway RD entra en juego. El servicio de rol de puerta de enlace de escritorio remoto proporciona acceso seguro mediante el establecimiento de un túnel SSL desde el cliente a la puerta de enlace de escritorio remoto. El Gateway RD actúa como el intermediario. Pasa el tráfico hacia y desde el cliente por el puerto 443 y hacia y desde el recurso interno por el puerto 3389. También se cifran las comunicaciones entre la puerta de enlace de escritorio remoto y el cliente externo.

Una diferencia entre el uso de la puerta de enlace de escritorio remoto y una solución típica de red privada Virtual (VPN) es que VPN proporcionan acceso completo a la red a cualquiera que pueda conectarse. El Gateway RD utiliza directivas de autorización para determinar quién puede utilizar el servicio y los recursos específicos a los que están permitidos acceso.

Puede configurar conjuntos de permisos diferentes para personas dependiendo de si está conectando desde dentro o fuera de la red. RD Gateway utiliza un modelo de lista blanca en dos niveles. Los usuarios explícitamente debe usar puerta de enlace de escritorio remoto. También deben tener permiso explícito para acceder a los recursos que desean utilizar a través de la puerta de enlace (ver figura 1).

Figura 1 Gateway RD establece permisos para usuarios específicos y los recursos a los que tienen acceso.

Un cliente remoto intenta acceder a un recurso RDS a través de la puerta de enlace de escritorio remoto. El gateway de permitirá y realizar la conexión si el cliente está autorizado a acceder a la puerta de enlace de escritorio remoto y tiene permiso de acceso al recurso solicitado. A continuación, creará un túnel seguro entre el cliente y el servidor de puerta de enlace de escritorio remoto. Si el cliente no está autorizado para conectarse a la puerta de enlace de escritorio remoto, el cliente se denegará el acceso (véase figura 2).

Figura 2 esto es lo que verá si se intenta un acceso no autorizado.

Si el cliente está autorizado a acceder a Gateway RD, pero no autorizado para obtener acceso al recurso solicitado, el cliente todavía se denegará el acceso (véase figura 3).

Figura 3 Si tienes acceso a la puerta de enlace de escritorio remoto, pero no el recurso, le vas todavía ser denegado.

Filtrado de acceso

La puerta de enlace de escritorio remoto controla el acceso a sí mismo y recursos internos de RDS por separado con dos tipos diferentes de las directivas de acceso: políticas de acceso de recursos de RD (RD RAPs) y las directivas de acceso de conexión RD (RD CAPs). RD RAPs control de los recursos (servidores Host de sesión de escritorio remoto y escritorios con escritorio remoto habilitado, incluyendo máquinas virtuales de escritorio agrupadas o personales) cualquier usuario puede acceder. Control de RD gorras que los usuarios (y opcionalmente equipos) tiene permiso para conectarse a la puerta de enlace de escritorio remoto.

Gorras de RD también controlar:

• Métodos de autenticación compatibles (los usuarios pueden autenticarse mediante contraseña o tarjeta inteligente)
• ¿Qué dispositivos puede redirigir durante la conexión (Si deshabilita la redirección de dispositivos de puerta de enlace de escritorio remoto, se deshabilitará incluso si es permitido por el servidor y cliente de RD)
• Tiempos de espera opcional de sesiones activas e inactivas

RD Gateway ofrece una sencilla interfaz con la que puede crear estas políticas. Su ubicación de almacenamiento depende del tipo de política de acceso. Puede crear y almacena RD RAPs en Gateway RD. Gorras de RD son realmente las políticas de red de NPS. Una vez creado el RD CAPs, sean visibles en la Gateway RD bajo la carpeta directivas de autorización de conexión. También puede abrir el servicio de directivas de redes (NPS) y consulte la política de red correspondiente (véase la figura 4).

Figura 4 puede abrir NPS para ver la Directiva de red correspondiente.

Estas son realmente las mismas políticas. Gateway RD sólo te da una visión diferente y una manera más simple de administrar las políticas que se relacionan con Gateway RD.

Puede crear directivas de acceso granular mediante múltiples RD gorras y RAPs RD, pero hay una regla simple: un usuario debe cumplir los requisitos de al menos un CAP de RD y un RAP de RD para conectar correctamente a la puerta de enlace de escritorio remoto (y posteriormente a recursos internos de RDS). El usuario debe conectarse a la puerta de enlace de RD (CAP de RD). Una vez que les han permitido establecer una conexión de puerta de enlace de escritorio remoto, dicho usuario entonces necesita permiso para tener acceso a un recurso RDS (RAP de RD). Una política realmente no sirve sin la otra.

Implementación de Gateway RD

El "Microsoft Windows Server 2008 R2 Remote Desktop Services Resource Kit" (Microsoft Press, 2010) explica cómo configurar Gateway RD. A un alto nivel, debe seguir estos pasos:

• Agregar el certificado SSL requerido al servidor
• Instalar el servicio de rol de puerta de enlace de escritorio remoto
• Crear grupos de RD Gateway administrado para referencia en rap de RD
• Crear o retocar RD gorras y RAPs RD
• Añadir la dirección del servidor de puerta de enlace de escritorio remoto a RD Web Access, RemoteApp Manager y agente de conexión a Escritorio remoto, o a los archivos RDP creada previamente.

El Asistente de instalación de puerta de enlace de RD creará y instalar un certificado SSL autofirmado utilizar mientras se está probando a Gateway RD. También podría crear un certificado autofirmado después. Certificados autofirmados no verificados por un tercero de confianza, aunque. Tendría que agregar un certificado al almacén de entidades emisoras raíz de confianza de la máquina de cada cliente para el cliente a confiar y conectar con el servidor de puerta de enlace de escritorio remoto. Esto es práctico si el equipo cliente no es un equipo gestionado.

Para entornos de vivos, deseará utilizar un certificado emitido por una CA pública o una solución PKI interna. Si ya ha instalado un certificado SSL, seleccione cuando lo pida el asistente antes de instalar la puerta de enlace de escritorio remoto. Instalar un certificado SSL agregándolo al almacén de certificados de equipo del servidor mediante el complemento MMC certificados.

A continuación, abra el administrador de servidor y instalar el servicio de rol de puerta de enlace de escritorio remoto. También puede instalar esta función usando Windows PowerShell, pero algunas de las opciones que se obtendrá si se instala con el administrador del servidor no estarán disponibles. El servicio de papel Gateway RD requiere servicios de rol el IIS y NPS para realizar funciones claves, por lo que instalará automáticamente les si no está instalados.

RD Gateway utiliza IIS para hacer llamadas RPC sobre HTTPS y crea las directivas de red de NPS (llamada RD directivas de autorización de conexión en la puerta de enlace de escritorio remoto) para controlar quién puede conectarse. El asistente le pedirá el certificado SSL que desea utilizar para conexiones seguras. También le guiará a través de crear una política de RAP de RD y una CAP de RD.

A continuación, debe configurar cualquier grupos RD Gateway administrado puede que tenga que hacer referencia en su rap de RD. Un grupo de RD Gateway administrado es un grupo de equipos mantenidos por una pasarela de RD, en lugar de Active Directory. La mayoría de las veces, especificar grupos de equipos de Active Directory en RD RAPs hará más sentido. Si tienes una granja de Host de sesión de escritorio remoto, sin embargo, deberás crear un grupo para controlar el acceso a la granja mediante Gateway RD RD Gateway administrado. Active Directory no tiene una forma de identificar varios servidores Host de sesión de escritorio remoto por su nombre de la granja.

Para crear un grupo de RD Gateway administrado, seleccione la carpeta directivas de autorización de recursos en el servidor de puerta de enlace de escritorio remoto en el administrador de puerta de enlace de RD. Haga clic en el vínculo administrar grupos de equipo Local en el panel de acciones en la parte derecha de la ventana del administrador de puerta de enlace de RD. Una vez creado un grupo de RD Gateway administrado que contiene a miembros de la granja de Host de sesión de escritorio remoto, puede agregar este grupo a un RAP de RD.

Una vez finalizada la instalación, se pueden deformar sus gorras RD y RAPs RD. También puede crear directivas de autorización de más en el administrador de puerta de enlace de RD. Por ejemplo, tal vez desee utilizar un conjunto de directivas de autorización para el equipo de ventas y otro para el equipo de TI.

Para crear más Gorras RD y RAPs RD, haga clic en la carpeta de directivas en el servidor de puerta de enlace de escritorio remoto aparece en el administrador de puerta de enlace de RD y seleccione crear nuevas directivas de autorización. Esto iniciará el crear directivas de autorización para el Asistente de Gateway RD. Haga doble clic en un CAP de RD existentes o RAP para editar sus propiedades.

Las políticas existentes se encuentran en las carpetas de las políticas de autorización de conexión y autorización recursos enumeradas en el servidor de puerta de enlace de escritorio remoto en el administrador de puerta de enlace de RD. Una vez que se ha implementado un Gateway RD, clientes necesitan hacer referencia a la dirección de puerta de enlace de escritorio remoto cuando tienen acceso a recursos RDS:

• Si publicar RemoteApps en RD Web Access o usar RemoteApps y las conexiones de escritorio en Windows 7, agregar la dirección del servidor de puerta de enlace de escritorio remoto a RemoteApp Manager en cada servidor Host de sesión de escritorio remoto.
• Si ha implementado la infraestructura de Escritorio Virtual combinaron y VMs personales, necesita agregar la dirección del servidor de puerta de enlace de escritorio remoto a recursos de escritorios virtuales y la sección de configuración RD Connection Manager del agente de conexión a Escritorio remoto.
• Si regalas creada previamente archivos RDP, agregue la dirección de Gateway RD para el archivo RDP editando el archivo. Abra el archivo RDP, haga clic en el botón Opciones, seleccione la ficha Opciones avanzadas, haga clic en el botón Configuración de la conexión de cualquier sección y agregar la dirección del servidor de puerta de enlace de escritorio remoto. A continuación, guarde el archivo RDP.

Verificar y solucionar problemas de Gateway RD

Una vez que haya configurado el servicio, debe probarlo antes de hacer ampliamente disponibles. Para probar la conectividad de Gateway RD, abra un navegador y busque la carpeta RPC en el servidor de puerta de enlace de escritorio remoto.Debe le pedirá las credenciales. A continuación, debe obtener una página en blanco. Este es el comportamiento esperado para un trabajo de aplicación de puerta de enlace de escritorio remoto.

Análisis de registros de sucesos en el servidor de puerta de enlace de escritorio remoto pueden ayudarle a comprender por qué un usuario podría ser negado el acceso a RD Gateway o un recurso solicitado de RDS y cómo remediar la situación. Gateway RD registros se almacenan en el Visor de eventos en: Viewer\Applications de eventos y servicios Logs\Microsoft\Windows\TerminalServices-Gateway*.*

Especificar los tipos de eventos que Gateway RD registrará marcando o desactivar las casillas de verificación junto a los eventos de auditoría que figuran en la ficha Auditoría de página de propiedades del administrador de puerta de enlace de RD. Estos son algunos ejemplos de los tipos de evento IDs se podría ver, y qué debe hacer si tiene usuarios involuntariamente ha denegado el acceso a través de la puerta de enlace de escritorio remoto:

• Mostrar eventos 302 y 303 cuando un usuario se conecta y desconecta un recurso RDS a través de la puerta de enlace de escritorio remoto.
• Eventos de 200 y 300 indican que un usuario ha cumplido con los requisitos de una CAP de RD y RAP de RD, respectivamente.
• Evento 201 indica que no cumplen los requisitos de CAP de RD y el usuario no pudo conectar con la puerta de enlace de escritorio remoto. Cambiar la CAP de RD para permitir al usuario el acceso adecuado mediante la inclusión de un grupo de usuarios de Active Directory que el usuario es miembro.
• Identificador de suceso 304 indica la CAP de RD y se cumplen los requisitos de RAP de RD, pero el usuario no puede conectarse al recurso solicitado. En este caso, compruebe que el recurso solicitado está en funcionamiento, y que el usuario se agrega al grupo usuarios de escritorio remoto de recursos.

NPS también registra eventos en caso de registro de visor seguridad cuando los usuarios se concede o deniega el acceso a través de la puerta de enlace de escritorio remoto. Aquí hay algunos ejemplos:

• Detalles de autenticación de IDs 6272 y 6278 indicar el servidor NPS concede acceso de un usuario y dio conexión de evento en el registro, incluyendo el nombre de la Directiva de red que le dio el acceso de los usuarios.
• ID de evento 6273 muestra un usuario cumple los requisitos de la Directiva de red llamada "--lectura marcador política." Esta es la política predeterminada que deniega el acceso a la puerta de enlace de escritorio remoto. Si no se cumple ninguna otra política de red (es decir, el usuario no satisface cualquier requerimiento de CAP de RD) entonces se cumplen los requisitos de esta política y se deniega el acceso del usuario.

Estos son los elementos esenciales de Gateway RD, incluyendo por qué utilizaría este servicio de papel para proporcionar acceso remoto, cómo configurar el servicio de rol y cómo configurar las directivas de acceso que definen las reglas para el acceso remoto. El mes próximo, analizaremos cómo se combinan los certificados con la credencial Security Support Provider para habilitar una característica denominada red-nivel de autenticación (NLA) que mejora la experiencia del usuario de inicio de sesión.

**Kristin Griffin**es un MVP de servicios de escritorio remoto. Ella modera un foro de Microsoft dedicado a ayudar a la comunidad informática basada en servidor (servicios de escritorio remoto) y mantiene un blog RDS en blog.kristinlgriffin.com. Ella es colaborador "Mastering Windows Server 2008" de Mark Minasi (Sybex, 2008) y "Mastering Windows Server 2008 R2" (Sybex, 2010). También fue coautora "Microsoft Windows Server 2008 Terminal Services Resource Kit" (Microsoft Press, 2008) y "Microsoft Windows Server 2008 R2 Remote Desktop Services Resource Kit" (Microsoft Press, 2010) con Christa Anderson.

Contenido relacionado

• Microsoft Windows Server 2008 R2 RDS Resource Kit
• Implementación de la Guía paso a paso de puerta de enlace de escritorio remoto
• Implementación de puerta de enlace de escritorio remoto en una red perimetral & Reglas de cortafuegos
• Configuración de la integración de NAP con Gateway RD Guía paso a paso
• Implementación de RD Gateway R2 server con NAP
• Configurar a clientes de servicios de Terminal Server como clientes de cumplimiento de protección (NAP) de acceso de red para puerta de enlace de TS

También son útiles las siguientes revisiones sobre la puerta de enlace de escritorio remoto:

• Servicio de puerta de enlace de escritorio remoto deja de funcionar bajo una pesada carga de trabajo en Windows Server 2008 R2
• Autenticación de tarjeta inteligente no funciona cuando se utilizan VDI y puerta de enlace de escritorio remoto para cliente RDC en Windows 7 o Windows Server 2008 R2

Gateway RD Q & a

**Q.**¿Cuántas conexiones puede acomodar el Gateway RD?
**A.**El Gateway RD puede acomodar muchas conexiones. De hecho, un servidor de doble procesador con 4 GB de RAM puede ac­comodato conexiones más de 1.200. Lea el white paper de Microsoft, "la planificación de la capacidad de Gateway RD en Windows 2008 R2," para obtener más información sobre el análisis de pruebas y resultados de la capacidad de Gateway RD realizada por Microsoft. Desde una perspectiva de licencias, Gateway RD está limitado a 256 conexiones simultáneas en Windows Server 2008 R2 Standard edition y 50 conexiones simultáneas en Windows Server 2008 R2 Foundation edition. Conexiones de puerta de enlace de RD en las ediciones de Windows Server 2008 R2 Datacenter y empresa son ilimitadas.

**Q.**¿Puedo usar Gateway RD detrás de un ISA server? ¿Forefront Threat Management Gateway (TMG)?
**A.**Sí, puede hacerlo. Uso este script publicar RD Gateway en un servidor ISA. También puede implementar Gateway RD detrás de Forefront TMG. El Configuración de Forefront amenaza Management Gateway integración con guía paso a paso de RD Gateway le muestra cómo usar TMG como un SSL bridging dispositivo de puerta de enlace de RD.

**Q.**¿Qué tipo de certificado SSL es necesario utilizar cuando configura el Gateway RD?
**A.**Puede utilizar un certificado SSL normal, un certificado de comodín (*. dominio.com) o un certificado de SAN (un certificado con varios nombres, como rdg.domain.com, rdwa.domain.com, rds.domain.com) con puerta de enlace de escritorio remoto.

**Q.**¿Cómo puede forzar a las conexiones desde la página de escritorios remotos de RD Web Access para usar puerta de enlace de escritorio remoto?
**A.**No hay ninguna casilla en la ficha de escritorios remotos del sitio Web de RD Web Access para forzar el uso de Gateway RD, pero puede que ocurra editando el archivo Desktop.aspx de esto:

if ((DefaultTSGateway != null) && (DefaultTSGateway.length> 0)) { RDPstr += "gatewayusagemethod:i:2\n";

a esto:

if ((DefaultTSGateway != null) &&(DefaultTSGateway.length> 0)) { RDPstr += "gatewayusagemethod:i:1\n";

Forzar explícitamente el uso de Gateway RD será también acelerar las conexiones porque no hay ningún retraso mientras la conexión intenta conectarse directamente por el puerto 3389, el tiempo de espera y, a continuación, intenta otra vez por el puerto SSL 443.