Passerelle de Bureau à distance – Gateway RDS
Pour résumé, la passerelle de Bureau à distance permet l’accès à des ressources (serveurs/ordinateurs) accessible depuis l’extérieur de l’entreprise sur le port 443 (https) sans avoir besoin d’établir une connexion VPN et en appliquant des stratégies de sécurité.
Installation de passerelle des services bureau à distance
1. Aller sur la Vue d’ensemble 1 des services de Bureau à distance et cliquer sur Passerelle des service… 2. Ceci va ouvrir l’assistant d’installation du rôle pour la ferme RDS.
2. Sélectionner le serveur 1 où le rôle doit être installé et cliquer sur Suivant 2.
3. Entrer le nom du certificat SSL 1 (généralement le nom de publication sur internet) et cliquer sur Suivant 2.
4. Cliquer sur Ajouter 1 pour lancer l’installation.
5. Patienter pendant l’installation …
6. Installation terminée, cliquer sur Fermer 1.
Installation du Gestionnaire de passerelle des services de Bureau à distance sur le serveur Broker
Rappel : l’ensemble des manipulations sont effectuées depuis le serveur broker. Lors de l’installation de la Gateway RDS la console de gestion a été installé sur le serveur cible.
1. Ouvrir une invite de commande PowerShell en administrateur.
2. Entrer la ligne suivante pour installer la console :
Install-WindowsFeature RSAT-RDS-GATEWAY
Présentation du rôle de la passerelle de Bureau à distance
Pour utiliser la passerelle RDS avec un certificat Auto-signé, il est nécessaire de le déployer sur les postes clients en tant qu’Autorité de certification racine de confiance.
Pour fonctionner la passerelle de bureau à distance utilise 2 types de stratégies :
- Stratégies d’autorisation des connexions : elles définissent qui peut se connecter à la passerelle (utilisateurs et postes), quels périphériques sont redirigés et le délai d’expiration des sessions.
- Stratégies d’autorisation d’accès aux ressources : elles définissent qui peut se connecter à quoi.
1. Ouvrir la console, depuis le Gestionnaire de serveur, Outils 1 / Terminal Services 2 / Gestionnaire de passerelle Bureau à distance 3.
2. Cliquer sur Se connecter au serveur de passerelles Bureau à distance 1. Dans la nouvelle fenêtre cocher Serveur distant 2, entrer le nom du serveur où le rôle est installé 3 puis cliquer sur OK 4.
3. Lors de l’installation du rôle, l’assistant a créé deux stratégies 1, qui rend la passerelle normalement utilisable.
Le fait d’avoir ajouté un enregistrement DNS pour la ferme RDS (rds.rdr-it.intra) et de configurer l’accès clients avec cet enregistrement, il est nécessaire de modifier la stratégie d’accès aux ressources ou d’ajouter un ordinateur dans l’Active Directory avec ce nom.
4. Dans le menu Actions cliquer sur Propriétés 1. Une fenêtre s’ouvre avec différents onglets disponibles qui permet de modifier les options et le comportement du service passerelle de Bureau à distance.
Par défaut lors de l’installation un certificat SSL auto-signé est créé, il est possible de le modifier depuis l’onglet Certificat SSL ou depuis le gestionnaire de serveur dans la partie Services Bureau à distance.
Stratégies d’autorisation des connexions
1. Depuis le menu de gauche, aller sur le dossier Stratégie d’autorisation des connexions 1. D’ici, il est possible de voir et de gérer les stratégies en place. Faire un double clic sur la stratégie RDG_CAP_AllUsers 2.
2. Onglet Général : d’ici il est possible de changer le nom de la stratégie et de l’activé ou non en cochant la case Activer cette stratégie.
3. Onglet Configuration requise : définition de la configuration de l’utilisateur pour pouvoir se connecter aux services de la passerelle. Appartenant à un groupe pour l’utilisateur, ce paramètre est obligatoire. L’autre paramètre facultatif mais très utile pour augmenter le niveau de sécurité est l’appartenance au groupe pour l’ordinateur. En définissant cette option il est possible par exemple d’empêcher un salarié de se connecter depuis son ordinateur personnel.
4. Onglet Redirection de périphériques : comment pour la configuration de la collection, il est possible de définir quels périphériques est redirigé à travers la passerelle. Les paramètres de la stratégie sont prioritaires aux paramètres de la collection. C’est-à-dire que si les imprimantes sont autorisées dans la collection et non autorisées par la passerelle, lors d’une connexion passant par la passerelle l’utilisateur n’aura pas les imprimantes.
Stratégies d’autorisation d’accès aux ressources
1. Depuis le menu de gauche, aller sur le dossier Stratégies d’autorisation d’accès aux ressources 1. D’ici, il est possible de voir et de gérer les stratégies en place. Faire un double clic sur la stratégie RDG_AllDomainComputers 2.
2. Onglet Général : d’ici il est possible de changer le nom de la stratégie et de l’activé ou non en cochant la case Activer cette stratégie.
3. Onglet Groupes d’utilisateurs : définir qui peut utiliser cette stratégie.
4. Onglet Ressource réseau : à quoi cette stratégie permet d’accéder.
5. Onglet Ports autorisés : si l’accès au bureau à distance a été configuré sur un autre port que le 3389, il faut le configurer ici.
Configuration
Dans cette partie, nous allons voir comment rendre la passerelle utilisable pour la ferme RDS. Plusieurs méthodes et solutions sont disponibles. Il convient de choisir la meilleure solution en fonction de votre environnement et du degré de sécurité souhaité.
- Méthode 1 : autoriser l’accès à toutes les ressources (déconseillée)
- Méthode 2 : utiliser la configuration par défaut
- Méthode 3 : autoriser l’accès à un groupe Active Directory limité à la ferme RDS
- Méthode 4 : utilisation des groupes géré par la passerelle
Méthode 1 : autoriser l’accès à toutes les ressources (déconseillée)
Ouvrir la stratégie RDG_AllDomainComputers et aller sur l’onglet Ressource réseau 1, cocher Autoriser les utilisateurs à se connecter à n’importe quelle ressource réseau 2. Cliquer sur les boutons Appliquer 3 et OK 4.
Explication : cette méthode autorise l’accès à l’ensemble des ordinateurs (même hors domaine) ayant le bureau à distance d’activé. En production il n’est pas conseillé d’utiliser cette solution.
Méthode 2 : utiliser la configuration par défaut
Comme expliqué au début de ce tutoriel, l’utilisation d’un alias DNS pour les serveurs hôtes empêche la connexion à la fermer RDS du fait que l’ordinateur RDS (objet AD) n’existe pas.
1. Aller sur le contrôleur de domaine et ouvrir la console Utilisateurs et Ordinateurs Active Directory et aller dans l’OU RDS 1.
2. Faire un clic droit sur OU 1, aller sur Nouveau 2 et cliquer sur Ordinateur 3.
3. Entrer le Nom de l’ordinateur 1 qui doit correspondre à votre alias puis cliquer sur OK 2.
4. L’ordinateur est créé 1 et membre du groupe : Ordinateurs du domaine 2.
Avec cette méthode, les règles par défaut fonctionnent avec la ferme RDS.
Explication : cette méthode autorise l’accès à l’ensemble des ordinateurs du domaine. L’ajout d’un ordinateur fictif permet à la passerelle de valider que l’ordinateur rds.rdr-it.intra fait partie du groupe AD et autorise l’accès.
Méthode 3 : autoriser l’accès à un groupe Active Directory limité à la ferme RDS
Prérequis : avoir fait la procédure de la méthode 2.
Cette méthode consiste a créé un groupe, dans lequel nous allons mettre les serveurs RDS et le déclarer dans la stratégie d’accès aux ressources.
1. Retourner sur la console Utilisateurs et Ordinateurs Active Directory et aller dans l’OU RDS 1.
2. Cliquer sur l’icône 1 permettant la création d’un groupe dans le conteneur.
3. Entrer le Nom du groupe 1 et cliquer sur OK 2.
4. Sélectionner les objets Ordinateurs 1 à ajouter au groupe, faite un clic droit et cliquer sur Ajouter à un groupe 2.
5. Entrer le nom du groupe 1 qui vient d’être créé et cliquer sur OK 2.
6. Cliquer sur OK 1 pour fermer la fenêtre de confirmation.
7. Faire un double clic sur le groupe 1 , aller sur l’onglet Membres 2 et vérifier que les Ordinateurs 3 ont bien été ajoutés.
8. Retourner sur la console de gestion de la passerelle, aller sur le dossier Stratégies d’autorisation d’accès aux ressources 1 et faire un double clic sur la stratégie par défaut 2.
9. Aller sur l’onglet Ressources réseau 1 et cliquer sur Parcourir … 2.
10. Entrer le nom du groupe 1 et cliquer sur OK 2.
11. Cliquer sur Appliquer 1 et OK 2.
12. Le changement de groupe 1 est visible dans l’aperçu de la stratégie.
Pour utiliser les RemoteApp depuis l’extérieur du réseau (Internet), il faut ajouter le serveur broker au groupe.
Méthode 4 : utilisation des groupes géré par la passerelle
Cette méthode est équivalente à la méthode 3 à une différence, les groupes utilisés pour les autorisations sont gérés directement par la passerelle, qui permet d’ajouter des ordinateurs hors domaine ou d’un autre domaine sans relation d’approbation.
1. Sur la console de gestion de la passerelle et aller sur le dossier Stratégies d’autorisation d’accès aux ressources 1 et faite un double clic sur la stratégie par défaut 2.
2. Aller sur l’onglet Ressources réseau 1, sélectionner l’option Sélectionner ou créer un groupe géré par passerelle de Bureau à distance 2 et cliquer sur Parcourir … 3.
3. Cliquer sur Créer un nouveau groupe … 1.
4. Entrer le Nom du groupe 1 et aller sur l’onglet Ressources réseau 2.
5. Entrer le nom du serveur fqdn du serveur 1 et cliquer sur Ajouter 2.
6. Ajouter tous les serveurs hôtes qui composent la ferme RDS ainsi que l’alias 1 et cliquer sur OK 2.
7. Sélectionner le groupe 1 qui vient d’être créé et cliquer sur OK 2.
8. Vérifier que le groupe soit bien sélectionné 1, valider les serveurs qui le composent 2 puis cliquer sur Appliquer 3 et OK 4.
9. Le changement de groupe 1 est visible dans l’aperçu de la stratégie.
Comme pour la méthode 3, si vous souhaitez utiliser les RemoteApp depuis l’extérieure de votre réseau, il faut ajouter au groupe le serveur broker.
Aller plus loin avec la passerelle de Bureau à distance
Maintenant, nous allons mettre en place les stratégies nécessaires pour permettre aux administrateurs d’accéder à toutes les ressources
Pour la création des stratégies, il existe deux méthodes :
- Création à l’aide de l’assistant qui va nous guider pour la mise en place des stratégies connexions et ressources.
- Créer les deux stratégies séparément.
Dans ce tutoriel, nous allons utiliser l’assistant.
1. Depuis la console de gestion, aller sur le dossier Stratégies 1 et cliquer sur Créer des stratégies d’autorisation 2.
2. Cocher la première option 1 pour créer les deux règles et cliquer sur Suivant 2.
3. Donner un nom 1 pour la stratégie d’autorisation des connexions et cliquer sur Suivant 2.
4. Cliquer sur Ajouter 1 pour paramètres un groupe.
5. Sélectionner le groupe Admins du domaine 1 et cliquer sur OK 2.
6. Pour augmenter le niveau de sécurité, il est possible d’ajouter un groupe ordinateur. Cliquer sur Suivant 1.
7. Activer ou désactiver la redirection des périphériques 1 et cliquer sur Suivant 2.
8. Paramétrer les délais des sessions 1 et cliquer sur Suivant 2.
9. Un résumé de la stratégie est affiché, cliquer sur Suivant 1 pour passer à la stratégie d’accès aux ressources.
10. Nommer la stratégie 1 et cliquer sur Suivant 2.
11. Le groupe d’appartenance est déjà défini, cliquer sur Suivant 1.
12. Sélectionner l’option Autoriser les utilisateurs à se connecter à n’importe quelle ressource réseau (ordinateur) 1 et cliquer sur Suivant 2.
13. En fonction des ports utilisés adapter les paramètres 1 et cliquer sur Suivant 2.
14. Un résumé de la stratégie s’affiche, cliquer sur Terminer 1.
15. Les stratégies sont créées, cliquer sur Fermer 1.
16. Aller sur le dossier contenant les stratégies d’autorisation des connexions 1 et sélectionner la nouvelle stratégie 2.
Les stratégies de connexions sont lues comment les règles d’un pare-feu de haut en bas (Ordre). En sélectionnant une stratégie, il est possible de modifier son ordre par le menu Actions à droite de la console.
Nous avons terminé avec le rôle de passerelle de Bureau à distance. Nous allons maintenant voir le Gestionnaire de licences des services de Bureau à distance.