Virtualization: Utilizzo del Gateway Desktop remoto

Il Gateway Desktop remoto consente di fornire un accesso protetto alle macchine virtuali attraverso reti pubbliche.

Kristin Griffin

È possibile utilizzare il servizio ruolo Accesso Web Desktop remoto (RD) per pubblicare le sessioni utente e macchine virtuali (VM). Tuttavia, che funziona solo su vostra LAN. Per abilitare l'accesso sicuro alle sessioni e VMs su reti pubbliche, dovrete utilizzare il Gateway RD.

Ci sono motivi specifici è necessario utilizzare il Gateway RD per reti pubbliche e private, è necessario impostare in una tipica distribuzione di modi e modi, è necessario configurare i criteri di accesso richiesto — più avere a che fare con il mantenimento di un canale sicuro. Ci sono anche molti aggiornamenti rapidi utili che si riferiscono all'utilizzo di questo servizio ruolo.

Accesso sicuro con il Gateway RD

È sempre possibile accedere RemoteApps, desktop remoto e macchine virtuali sulla rete interna. Cosa succede se voi o i vostri utenti desiderano accedere quelle risorse dal vostro negozio di caffè preferito o il vostro computer portatile mentre seduta sulla spiaggia? Si potrebbe aprire la porta 3389 (la porta RDP) nel firewall per consentire l'accesso da reti pubbliche, ma che vorrei lasciare vulnerabili agli attacchi.

Questo è dove il Gateway RD entra in gioco. Il servizio ruolo Gateway Desktop remoto offre accesso sicuro stabilendo un tunnel SSL dal client al Gateway RD. TS Gateway agisce come intermediario. Passa il traffico da e verso il client tramite la porta 443 e da e per la risorsa interna sulla porta 3389. Qualsiasi comunicazione tra il Gateway RD e il client esterno anche viene crittografata.

Una differenza tra l'utilizzo del Gateway Desktop remoto e una soluzione di rete privata virtuale (VPN) tipica è che VPNs forniscono accesso completo alla rete a chiunque può connettersi. TS Gateway utilizza i criteri di autorizzazione per determinare chi può utilizzare il servizio e le risorse specifiche a cui è consentiti l'accesso.

È possibile configurare i set di autorizzazioni diverse per persone a seconda se stai collegando all'interno o all'esterno della rete. TS Gateway utilizza un modello a due livelli whitelist. Gli utenti devono essere esplicitamente autorizzati a utilizzare Gateway Desktop remoto. Devono anche avere permesso esplicito di accedere alle risorse che desiderano utilizzare attraverso il gateway (vedere Figura 1).

Figura 1 TS Gateway imposta le autorizzazioni per gli utenti specifici e le risorse a cui hanno accesso.

Un client remoto tenterà di accedere a una risorsa RDS attraverso il Gateway RD. Il gateway permetterà e rendere la connessione, se il cliente è autorizzato ad accedere al Gateway RD e dispone dell'autorizzazione per accedere alla risorsa richiesta. Sarà quindi creare un tunnel sicuro tra il client e il server Gateway Desktop remoto. Se il cliente non è autorizzato a connettersi al Gateway RD, il cliente verrà negato accesso (vedere Figura 2).

Figura 2 questo è quello che vedrete se si cerca un accesso non autorizzato.

Se il cliente è autorizzato ad accedere ai Gateway Desktop remoto, ma non autorizzato ad accedere alla risorsa richiesta, il cliente verrà ancora negato accesso (vedere Figura 3).

Figura 3 se avete accesso al Gateway RD, ma non la risorsa, voi avrete ancora essere negato.

Filtraggio dell'accesso

Il Gateway RD controlla l'accesso a se stesso e le risorse interne di RDS separatamente con due diversi tipi di criteri di accesso: criteri di accesso delle risorse RD (RAPs RD) e criteri di accesso connessione RD (RD CAPs). RD RAPs controllare le risorse (Host sessione Desktop remoto server e desktop con desktop remoto abilitato, inclusi nel pool o personali desktop VMs) qualsiasi utente può accedere. Controllo tappi RD quali utenti (e facoltativamente computer) è autorizzato a connettersi al Gateway Desktop remoto.

RD CAPs anche controllare:

• Metodi di autenticazione supportati (gli utenti possono essere autenticati tramite smart card o la password)
• Quali dispositivi è possibile reindirizzare durante la connessione (se si disattiva il reindirizzamento della periferica in TS Gateway, esso verrà disabilitato anche se è consentito da RD client e server)
• Timeout opzionale per le sessioni attive e inattive

TS Gateway fornisce una semplice interfaccia con cui è possibile creare queste politiche. Loro percorso di archiviazione dipende dal tipo di criterio di accesso. Creare e memorizzare RAPs RD in Gateway Desktop remoto. RD CAPs sono davvero NPS criteri di rete. Una volta che si crea RD CAPs, essi saranno visibili in TS Gateway sotto la cartella criteri di autorizzazione delle connessioni. È anche possibile aprire il servizio NPS (Network Policy) e vedere il criterio di rete corrispondente (vedi figura 4).

Figura 4 È possibile aprire dei criteri di rete per visualizzare la politica di rete corrispondente.

Queste sono davvero le stesse politiche. TS Gateway dà solo una visione diversa e un modo più semplice per gestire le politiche come essi si riferiscono a Gateway Desktop remoto.

È possibile creare criteri di accesso granulare utilizzando più RD CAPs e RAPs RD, ma c'è una semplice regola: un utente deve soddisfare i requisiti di almeno un CAP RD e uno RD RAP perché la connessione al Gateway RD (e successivamente alle risorse interne di RDS). L'utente deve prima connettersi al Gateway RD (CAP RD). Una volta hai autorizzate per stabilire una connessione Gateway Desktop remoto, che l'utente deve quindi permesso di accedere a una risorsa RDS (RD RAP). Una politica è davvero non va bene senza l'altra.

Distribuzione di Gateway Desktop remoto

Il "Microsoft Windows Server 2008 R2 Remote Desktop Services Resource Kit" (Microsoft Press, 2010) spiega come impostare Gateway Desktop remoto. A un livello elevato, si devono prendere questi passaggi:

• Aggiungere il certificato SSL richiesto al server
• Installare il servizio ruolo Gateway Desktop remoto
• Creare gruppi gestiti TS Gateway per riferimento in RAPs RD
• Creare o modificare RD CAPs e RAPs RD
• Aggiungere l'indirizzo del server Gateway Desktop remoto per l'accesso Web desktop remoto, Gestione RemoteApp e RD Connection Broker — o ai file RDP creato in precedenza.

L'installazione guidata di RD Gateway creerà e installare un certificato SSL autofirmato per utilizzare mentre sta testando fuori Gateway Desktop remoto. È anche possibile creare questo certificato autofirmato in seguito. Certificati autofirmati non sono verificati da terze parti attendibili, però. Dovete aggiungere un certificato autofirmato Archivio di autorità di certificazione principale attendibili di ogni macchina client per il client di fiducia e connettersi al server TS Gateway. Questo è impraticabile, se la macchina client non è un computer gestito.

Per gli ambienti dal vivo, ti consigliamo di utilizzare un certificato rilasciato da una CA pubblica o una soluzione PKI in-House. Se è già stato installato un certificato SSL, selezionarlo quando richiesto dalla procedura guidata prima di installare il Gateway RD. Installare un certificato SSL aggiungendo all'archivio di certificati di Personal Computer del server tramite lo snap-in MMC Certificati.

Successivamente, aprire Server Manager e installare il servizio ruolo Gateway Desktop remoto. È inoltre possibile installare questo ruolo utilizzando Windows PowerShell, ma alcune delle opzioni che si otterrà se si installa utilizzando Server Manager non sarà disponibile. Il servizio ruolo Gateway Desktop remoto richiede servizi ruolo IIS sia dei criteri di rete per svolgere funzioni chiave, in modo che installerà automaticamente li se non sono già installati.

TS Gateway utilizza IIS per effettuare chiamate RPC su HTTPS e crea NPS criteri di rete (chiamata RD criteri di autorizzazione delle connessioni in TS Gateway) per controllare chi è autorizzato a connettersi. La procedura guidata vi verrà chiesto per il certificato SSL che si desidera utilizzare per garantire connessioni. Camminerà anche attraverso la creazione di una calotta RD e una politica di RAP RD.

Successivamente è necessario impostare alcun gruppo gestito da Gateway Desktop remoto che potrebbe essere necessario fare riferimento nel vostro RAPs RD. Un gruppo gestito da Gateway Desktop remoto è un gruppo di computer gestito da un Gateway RD, invece di Active Directory. La maggior parte del tempo, specificando tutti i gruppi di computer di Active Directory in RD RAPs renderà più senso. Se avete una farm Host sessione Desktop remoto, però, dovrete creare un gruppo gestito da Gateway Desktop remoto per controllare l'accesso alla farm tramite Gateway Desktop remoto. Di Active Directory non ha un modo di identificare più server Host sessione Desktop remoto con il loro nome di fattoria.

Per creare un gruppo gestito da Gateway Desktop remoto, selezionare la cartella criteri di autorizzazione delle risorse server TS Gateway in Gestione Gateway di RD. Clicca sul link di gestire gruppi di Computer locale nel riquadro azioni sul lato destro della finestra di gestione Gateway RD. Una volta che si crea un gruppo gestito TS Gateway contenenti membri farm Host sessione Desktop remoto, è possibile aggiungere tale gruppo a un RAP RD.

Una volta completata l'installazione, è possibile modificare una vostra RD CAPs e RAPs RD. È inoltre possibile creare ulteriori criteri di autorizzazione in Gestione Gateway RD. Per esempio, si potrebbe voler utilizzare un set di criteri di autorizzazione per il team di vendita e un altro per il team IT.

Per creare più RD CAPs e RAPs RD, pulsante destro del mouse nella cartella politiche sotto server TS Gateway elencati in Gestione Gateway di RD e selezionare creare nuovi criteri di autorizzazione. Verrà avviata il creare criteri di autorizzazione per la procedura guidata di Gateway Desktop remoto. Fare doppio clic su un CAP RD esistenti o RAP per modificare le sue proprietà.

Le politiche esistenti si trovano nelle cartelle criteri di autorizzazione delle connessioni e criteri di autorizzazione delle risorse elencate sotto server TS Gateway in Gestione Gateway di RD. Una volta che è stato implementato un Gateway RD, i client devono fare riferimento all'indirizzo Gateway Desktop remoto quando accedono a risorse RDS:

• Se pubblicare RemoteApps in accesso Web desktop remoto o utilizzare RemoteApps e connessioni Desktop in Windows 7, aggiungere l'indirizzo del server Gateway Desktop remoto per Gestione RemoteApp su ciascun server Host sessione Desktop remoto.
• Se hai implementato il Virtual Desktop Infrastructure in pool e VMs personali, è necessario aggiungere l'indirizzo del server Gateway Desktop remoto alle risorse desktop virtuali RD Connection Manager di gestore di connessione desktop remoto e la sezione di configurazione.
• Se si danno i file RDP creati in precedenza, aggiungere l'indirizzo Gateway Desktop remoto al file RDP modificando il file. Aprire il file RDP, fare clic sul pulsante Opzioni, selezionare la scheda Avanzate, fare clic sul pulsante impostazioni nella sezione connettersi da ovunque e aggiungere l'indirizzo del server Gateway Desktop remoto. Quindi salvare il file RDP.

Verifica e la risoluzione dei problemi di Gateway Desktop remoto

Una volta che hai impostato il servizio, è importante verificare prima di fare ampiamente disponibile. Per verificare la connettività di Gateway Desktop remoto, aprire un browser e selezionare la cartella RPC sul vostro server Gateway Desktop remoto.Dovrebbe essere richiesta delle credenziali. Poi si dovrebbe ottenere una pagina vuota. Questo è il comportamento previsto per un lavoro di implementazione di Gateway Desktop remoto.

Analizzando i log eventi del server TS Gateway può aiutare a capire perché un utente potrebbe essere negato l'accesso al Gateway Desktop remoto o una risorsa richiesta RDS e come porre rimedio alla situazione. Registri TS Gateway sono archiviati nel Visualizzatore eventi presso: evento Viewer\Applications e registri-Gateway*.*

Specificare i tipi di eventi che Gateway Desktop remoto verrà accede selezionando o deselezionando le caselle di controllo accanto al controllo eventi elencati nella scheda Auditing della pagina delle proprietà di gestione Gateway RD. Ecco alcuni esempi dei tipi di evento ID si potrebbe vedere, e che cosa si dovrebbe fare se avete utenti involontariamente negato l'accesso tramite Gateway Desktop remoto:

• Visualizza eventi 302 e 303 quando un utente si connette e si disconnette da una risorsa RDS attraverso Gateway Desktop remoto.
• Eventi 200 e 300 indicano che un utente ha soddisfatto i requisiti di un CAP RD e RAP RD, rispettivamente.
• Evento 201 indica non erano soddisfatti i requisiti di CAP RD e l'utente non poteva connettersi al Gateway Desktop remoto. Modificare la terminazione RD per consentire all'utente l'accesso adeguato includendo un gruppo di utenti di Active Directory di cui l'utente è un membro.
• ID evento 304 indica il CAP RD e requisiti RD RAP sono state soddisfatte, ma l'utente non era in grado di connettersi alla risorsa richiesta. In questo caso, verificare che la risorsa richiesta è operativa, e che l'utente sia stato aggiunto al gruppo utenti Desktop remoto risorse.

NPS registra anche gli eventi in caso di sicurezza Visualizzatore registro quando gli utenti sono concesso o negati l'accesso tramite Gateway Desktop remoto. Ecco alcuni esempi:

• ID 6272 e 6278 indicare il server dei criteri di rete concesso un accesso utente e ha dato la connessione autenticazione dettagli dell'evento nel log, compreso il nome del criterio di rete che ha dato all'utente l'accesso.
• ID evento 6273 mostra un utente soddisfatto i requisiti dei criteri di rete denominata "-RDG Marker politica." Questo è il criterio predefinito che nega l'accesso al Gateway RD. Se nessun altro criterio di rete viene soddisfatta (cioè, l'utente non soddisfa tutti i requisiti CAP RD) poi siano rispettate le prescrizioni di questa politica e all'utente viene negato l'accesso.

Questi sono gli elementi essenziali del Gateway RD, tra cui il motivo per cui usereste questo servizio ruolo per fornire accesso remoto, come impostare il servizio ruolo e come configurare i criteri di accesso che definiscono le regole per l'accesso remoto. Il mese prossimo, discuteremo come certificati combinano con Credential Security Support Provider per attivare una funzionalità denominata autenticazione a livello di rete (NLA) che migliora l'esperienza di accesso utente.

**Kristin Griffin**è un MVP per Servizi Desktop remoto. Lei moderati un forum Microsoft dedicato ad aiutare la comunità informatica basata su server (servizi di Desktop remoto) e mantiene un blog RDS a blog.kristinlgriffin.com. Lei è un collaboratore "Mastering Windows Server 2008" di Mark Minasi (Sybex, 2008) e "Mastering Windows Server 2008 R2" (Sybex, 2010). Lei anche coautore di "Microsoft Windows Server 2008 Terminal Services Resource Kit" (Microsoft Press, 2008) e "Microsoft Windows Server 2008 R2 Remote Desktop Services Resource Kit" (Microsoft Press, 2010) con Christa Anderson.

Contenuto correlato

• R2 RDS Resource Kit di Microsoft Windows Server 2008
• Distribuzione di Gateway Desktop remoto guida passo per passo
• Distribuzione di Gateway Desktop remoto in una rete perimetrale & Regole del firewall
• Configurazione di protezione accesso alla rete integrazione con TS Gateway guida passo-passo
• RD Gateway R2 server con protezione accesso alla rete di distribuzione
• Configurare i client di servizi Terminal come client di imposizione di Network Access Protection (NAP) per il gateway di servizi terminal

Gli aggiornamenti rapidi seguenti per quanto riguarda il TS Gateway sono anche utili:

• Servizio di Gateway Desktop remoto si blocca sotto un pesante carico di lavoro in Windows Server 2008 R2
• Autenticazione smart card non funziona quando si utilizza VDI e Gateway Desktop remoto per client RDC in Windows 7 o in Windows Server 2008 R2

TS Gateway Q & a

D. Quante connessioni può ospitare TS Gateway? **R.**TS Gateway può ospitare molte connessioni. In realtà, un server biprocessore con 4 GB di RAM può ac­comodato più di 1.200 connessioni. Leggere il white paper Microsoft "RD Gateway capacità Planning in Windows 2008 R2," per ulteriori informazioni su TS Gateway capacità test e risultati analisi eseguita da Microsoft. Dal punto di vista delle licenze, TS Gateway è limitata a 256 connessioni simultanee in Windows Server 2008 R2 Standard edition e 50 connessioni simultanee in edizione di Windows Server 2008 R2 Foundation. Connessioni di Gateway Desktop remoto in Windows Server 2008 R2 Datacenter ed Enterprise edizioni sono illimitate.

D. Posso usare il TS Gateway dietro un server ISA? Che cosa circa Forefront Threat Management Gateway (TMG)? **R.**Sì, è possibile farlo. Uso questo script a pubblicare Gateway Desktop remoto su un server ISA. È anche possibile implementare TS Gateway dietro Forefront TMG. Il Configurazione Forefront Threat Management Gateway integrazione con guida dettagliata al Gateway RD vi mostra come utilizzare TMG come un dispositivo di fronte TS Gateway di bridging SSL.

D. Che tipo di certificato SSL ho bisogno di utilizzare quando configuro TS Gateway? **R.**È possibile utilizzare un certificato SSL regolare, un certificato con caratteri jolly (*. dominio.com) o un certificato di SAN (un certificato con più nomi, come rdg.domain.com, rdwa.domain.com, rds.domain.com) con Gateway Desktop remoto.

D. Come si possono forzare le connessioni dalla pagina di accesso per utilizzare TS Gateway Web desktop remoti? **R.**Non non c'è nessuna casella di controllo nella scheda Desktop remoti del sito Web di accesso Web RD per forzare l'utilizzo di Gateway Desktop remoto, ma si può fare accadere modificando il file Desktop.aspx da questo:

if ((DefaultTSGateway != null) && (DefaultTSGateway.length> 0)) { RDPstr += "gatewayusagemethod:i:2\n";

in:

if ((DefaultTSGateway != null) &&(DefaultTSGateway.length> 0)) { RDPstr += "gatewayusagemethod:i:1\n";

Costringendo esplicitamente l'uso di Gateway Desktop remoto sarà anche accelerare connessioni perché non non c'è nessun ritardo, mentre la connessione tenta di connettersi direttamente tramite la porta 3389, timeout e tenta quindi nuovamente attraverso porta SSL 443.