En resumen, Remote Desktop Gateway permite acceder a recursos (servidores / computadoras) accesibles desde fuera de la empresa en el puerto 443 (https) sin necesidad de establecer una conexión VPN y aplicando estrategias de seguridad.
Instalación de la puerta de enlace de servicios de escritorio remoto
Vaya a Descripción general de servicios de escritorio remoto 1 y haga clic en Puerta de enlace de servicios … 2. Esto abrirá el asistente de instalación de roles para la granja de RDS.
Seleccione el servidor 1 donde se instalará la función y haga clic en Siguiente 2.
Introduzca el nombre del certificado SSL 1 (normalmente el nombre de la publicación de Internet) y haga clic en Siguiente 2.
Haga clic en Agregar 1 para iniciar la instalación.
Espere durante la instalación …
Instalación finalizada, haga clic en Cerrar 1.
Instalación de Remote Desktop Gateway Manager en Broker Server
Recordatorio: todas las operaciones se realizan desde el servidor broker. Durante la instalación de RDS Gateway, la consola de administración se instaló en el servidor de destino.
Abra un símbolo del sistema de PowerShell como administrador.
Ingrese la siguiente línea para instalar la consola:
Install-WindowsFeature RSAT-RDS-GATEWAY
Comprensión del papel de la puerta de enlace de escritorio remoto
Para utilizar la puerta de enlace RDS con un certificado autofirmado, debe implementarse en las estaciones de trabajo cliente como una autoridad de certificación raíz de confianza.
Para operar la puerta de enlace de escritorio remoto se utilizan 2 tipos de estrategias:
- Políticas de autorización de conexión: definen quién puede conectarse a la puerta de enlace (usuarios y estaciones de trabajo), qué dispositivos se redirigen y el período de tiempo de espera de la sesión.
- Políticas de autorización de acceso a recursos: definen quién puede conectarse a qué.
Abra la consola, desde el Administrador del servidor, Herramientas 1 / Servicios de terminal 2 / Administrador de puerta de enlace de escritorio remoto 3.
Haga clic en Conectar al servidor de puerta de enlace de escritorio remoto 1. En la nueva ventana, marque Servidor remoto 2, ingrese el nombre del servidor donde está instalado el rol 3 y luego haga clic en Aceptar 4.
Al instalar el rol, el asistente creó dos políticas 1 que hacen que la puerta de enlace se pueda utilizar normalmente.
El hecho de haber agregado un registro DNS para la granja RDS (rds.rdr-it.intra) y de configurar el acceso de clientes con este registro, es necesario modificar la política de acceso a recursos o agregar un computadora en Active Directory con este nombre.
En el menú Acciones, haga clic en Propiedades 1. Se abre una ventana con varias pestañas disponibles que le permite modificar las opciones y el comportamiento del servicio Remote Desktop Gateway.
Por defecto, durante la instalación se crea un certificado SSL autofirmado, es posible modificarlo desde la pestaña Certificado SSL o desde el administrador del servidor en la sección Servicios de Escritorio Remoto.
Políticas de autorización de conexión
En el menú de la izquierda, vaya a la carpeta Política de autorización de conexión 1. Desde aquí es posible ver y gestionar las estrategias implementadas. Haga doble clic en la estrategia RDG_CAP_AllUsers 2.
Pestaña General: desde aquí es posible cambiar el nombre de la política y si está activada o no marcando la casilla Activar esta política.
Pestaña Configuración requerida: definición de la configuración del usuario para poder conectarse a los servicios de pasarela. Perteneciente a un grupo para el usuario, este parámetro es obligatorio. La otra configuración opcional pero muy útil para aumentar el nivel de seguridad es la pertenencia al grupo de la computadora. Al definir esta opción, es posible, por ejemplo, evitar que un empleado se conecte desde su computadora personal.
Pestaña Device Redirection: cómo para la configuración de la colección, es posible definir qué dispositivos se redireccionan a través de la puerta de enlace. La configuración de la política tiene prioridad sobre la configuración de la colección. Es decir que si las impresoras están autorizadas en la colección y no autorizadas por la pasarela, durante una conexión que pase por la pasarela el usuario no tendrá las impresoras.
Políticas de autorización de acceso a recursos
En el menú de la izquierda, vaya a la carpeta Políticas de autorización de acceso a recursos 1. Desde aquí es posible ver y gestionar las estrategias implementadas. Haga doble clic en la estrategia RDG_AllDomainComputers 2.
Pestaña General: desde aquí es posible cambiar el nombre de la política y si está activada o no marcando la casilla Activar esta política.
Pestaña Grupos de usuarios: defina quién puede utilizar esta política.
Pestaña de recursos de red: a qué proporciona acceso esta política.
Pestaña Puertos permitidos: si el acceso al escritorio remoto se ha configurado en un puerto diferente al 3389, debe configurarse aquí.
Configuración
En esta parte, veremos cómo hacer que la puerta de enlace se pueda utilizar para la granja de RDS. Hay varios métodos y soluciones disponibles. La mejor solución debe elegirse en función de su entorno y el nivel de seguridad deseado.
- Método 1: permitir el acceso a todos los recursos (obsoleto)
- Método 2: use la configuración predeterminada
- Método 3: permitir el acceso a un grupo de Active Directory restringido en la granja de RDS
- Método 4: uso de grupos administrados por la puerta de enlace
Método 1: permitir el acceso a todos los recursos (obsoleto)
Abra la política RDG_AllDomainComputers y vaya a la pestaña Recursos de red 1, marque Permitir que los usuarios se conecten a cualquier recurso de red 2. Haga clic en los botones Aplicar 3 y Aceptar 4.
Explicación: este método autoriza el acceso a todas las computadoras (incluso fuera del dominio) con el escritorio remoto habilitado. En producción no es recomendable utilizar esta solución.
Método 2: use la configuración predeterminada
Como se explicó al principio de este tutorial, el uso de un alias DNS para los servidores host evita la conexión al apagado de RDS porque la computadora RDS (objeto AD) no existe.
Vaya al controlador de dominio y abra la consola Usuarios y equipos de Active Directory y vaya a la unidad organizativa RDS 1.
Haga clic derecho en UO 1, vaya a Nuevo 2 y haga clic en Equipo 3.
Introduzca el Nombre de la computadora 1 que debe corresponder a su alias y luego haga clic en Aceptar 2.
Se crea el equipo 1 y un miembro del grupo: Equipos en el dominio 2.
Con este método, las reglas predeterminadas funcionan con la granja de RDS.
Explicación: este método permite el acceso a todas las computadoras del dominio. Agregar una computadora ficticia permite que la puerta de enlace valide que la computadora rds.rdr-it.intra es parte del grupo AD y permite el acceso.
Método 3: permitir el acceso a un grupo de Active Directory restringido en la granja de RDS
Requisito previo: haber completado el procedimiento del método 2.
Este método consiste en crear un grupo, en el que colocaremos los servidores RDS y lo declararemos en la política de acceso a recursos.
Vuelva a la consola Usuarios y equipos de Active Directory y vaya a RDS OU 1.
Haga clic en el icono 1 que permite la creación de un grupo en el contenedor.
Introduzca el Nombre del grupo 1 y haga clic en Aceptar 2.
Seleccione los objetos Computadoras 1 para agregar al grupo, haga clic derecho y haga clic en Agregar al grupo 2.
Introduzca el nombre del grupo 1 que acaba de crear y haga clic en Aceptar 2.
Haga clic en Aceptar 1 para cerrar la ventana de confirmación.
Haga doble clic en el grupo 1, vaya a la pestaña Miembros 2 y verifique que se hayan agregado las Computadoras 3.
Regrese a la consola de administración de la puerta de enlace, vaya a la carpeta Políticas de autorización de acceso a recursos 1 y haga doble clic en la política predeterminada 2.
Vaya a la pestaña Recursos de red 1 y haga clic en Examinar … 2.
Introduzca el nombre del grupo 1 y haga clic en Aceptar 2.
Haga clic en Aplicar 1 y Aceptar 2.
El cambio de grupo 1 es visible en el resumen de la estrategia.
Para usar RemoteApps desde fuera de la red (Internet), el servidor de agente debe agregarse al grupo.
Método 4: uso de grupos administrados por la puerta de enlace
Este método es equivalente al método 3 con una diferencia, los grupos utilizados para los permisos son administrados directamente por la puerta de enlace, lo que permite agregar equipos desde fuera del dominio o desde otro dominio sin una relación de confianza.
En la consola de administración de la puerta de enlace, vaya a la carpeta Políticas de autorización de acceso a recursos 1 y haga doble clic en la política predeterminada 2.
Vaya a la pestaña Recursos de red 1, seleccione la opción Seleccionar o crear un grupo administrado por la puerta de enlace de Escritorio remoto 2 y haga clic en Examinar … 3.
Haga clic en Crear un nuevo grupo … 1.
Ingrese el Nombre del grupo 1 y vaya a la pestaña Recursos de red 2.
Ingrese el nombre del servidor fqdn del servidor 1 y haga clic en Agregar 2.
Agregue todos los servidores host que componen la granja de RDS, así como el alias 1 y haga clic en Aceptar 2.
Seleccione el grupo 1 que acaba de crear y haga clic en Aceptar 2.
Verifique que el grupo esté correctamente seleccionado 1, valide los servidores que lo componen 2 luego haga clic en Aplicar 3 y OK 4.
El cambio de grupo 1 es visible en la descripción general de la política.
En cuanto al método 3, si desea utilizar RemoteApps desde fuera de su red, debe agregar el servidor del agente al grupo.
Vaya más allá con la puerta de enlace de escritorio remoto
Ahora vamos a implementar las estrategias necesarias para permitir que los administradores accedan a todos los recursos.
Hay dos métodos para crear estrategias:
- Creación mediante el asistente que nos guiará en la configuración de las estrategias de conexión y recursos.
- Crear las dos estrategias por separado.
En este tutorial usaremos el asistente.
Desde la consola de administración, vaya a la carpeta Políticas 1 y haga clic en Crear políticas de autorización 2.
Marque la primera opción 1 para crear las dos reglas y haga clic en Siguiente 2.
Dé un nombre 1 para la política de autorización de conexión y haga clic en Siguiente 2.
Haga clic en Agregar 1 para los parámetros de un grupo.
Seleccione el grupo Administradores de dominio 1 y haga clic en Aceptar 2.
Para aumentar el nivel de seguridad, es posible agregar un grupo de equipos. Haga clic en Siguiente 1.
Active o desactive la redirección de dispositivos 1 y haga clic en Siguiente 2.
Configure los tiempos de sesión 1 y haga clic en Siguiente 2.
Se muestra un resumen de la política, haga clic en Siguiente 1 para ir a la política de acceso a recursos.
Nombre la estrategia 1 y haga clic en Siguiente 2.
El grupo de miembros ya está definido, haga clic en Siguiente 1.
Seleccione la opción Permitir que los usuarios se conecten a cualquier recurso de red (computadora) 1 y haga clic en Siguiente 2.
Dependiendo de los puertos utilizados, adapte los parámetros 1 y haga clic en Siguiente 2.
Se muestra un resumen de la estrategia, haga clic en Finalizar 1.
Se crean las estrategias, haga clic en Cerrar 1.
Vaya a la carpeta que contiene las políticas de autorización de conexión 1 y seleccione la nueva política 2.
Las políticas de conexión se leen como las reglas de un firewall de arriba a abajo (Orden). Al seleccionar una estrategia, es posible modificar su orden usando el menú Acciones a la derecha de la consola.
Hemos terminado con el rol de Puerta de enlace de escritorio remoto. Ahora veremos el Administrador de licencias de Servicios de escritorio remoto.