Déployer une ferme RDS Windows 2012R2/2016/2019

Passerelle de Bureau à distance - Gateway RDS

Pour résumé, la passerelle de Bureau à distance permet l’accès à des ressources (serveurs/ordinateurs) accessible depuis l’extérieur de l’entreprise sur le port 443 (https) sans avoir besoin d’établir une connexion VPN et en appliquant des stratégies de sécurité.

Installation de passerelle des services bureau à distance

1. Aller sur la Vue d’ensemble 1 des services de Bureau à distance et cliquer sur Passerelle des service… 2. Ceci va ouvrir l’assistant d’installation du rôle pour la ferme RDS.

Vue ensemble de la ferme RDS

2. Sélectionner le serveur 1 où le rôle doit être installé et cliquer sur Suivant 2.

Sélectionner le serveur qui va avoir le rôle

3. Entrer le nom du certificat SSL 1 (généralement le nom de publication sur internet) et cliquer sur Suivant 2.

Création du certificat

4. Cliquer sur Ajouter 1 pour lancer l’installation.

Confirmer le rôle

5. Patienter pendant l’installation …

Installation en cours...

6. Installation terminée, cliquer sur Fermer 1.

Installation terminée

Installation du Gestionnaire de passerelle des services de Bureau à distance sur le serveur Broker

Rappel : l’ensemble des manipulations sont effectuées depuis le serveur broker. Lors de l’installation de la Gateway RDS la console de gestion a été installé sur le serveur cible.

1. Ouvrir une invite de commande PowerShell en administrateur.

2. Entrer la ligne suivante pour installer la console :

Install-WindowsFeature RSAT-RDS-GATEWAY

Présentation du rôle de la passerelle de Bureau à distance

Pour utiliser la passerelle RDS avec un certificat Auto-signé, il est nécessaire de le déployer sur les postes clients en tant qu’Autorité de certification racine de confiance.

Pour fonctionner la passerelle de bureau à distance utilise 2 types de stratégies :

  • Stratégies d’autorisation des connexions : elles définissent qui peut se connecter à la passerelle (utilisateurs et postes), quels périphériques sont redirigés et le délai d’expiration des sessions.
  • Stratégies d’autorisation d’accès aux ressources : elles définissent qui peut se connecter à quoi.

1. Ouvrir la console, depuis le Gestionnaire de serveur, Outils 1 / Terminal Services 2 / Gestionnaire de passerelle Bureau à distance 3.

Ouvrir la console de Gestion

2. Cliquer sur Se connecter au serveur de passerelles Bureau à distance 1. Dans la nouvelle fenêtre cocher Serveur distant 2, entrer le nom du serveur où le rôle est installé 3 puis cliquer sur OK 4.

Connexion au serveur

3. Lors de l’installation du rôle, l’assistant a créé deux stratégies 1, qui rend la passerelle normalement utilisable.

Aperçu de la console

Le fait d’avoir ajouté un enregistrement DNS pour la ferme RDS (rds.rdr-it.intra) et de configurer l’accès clients avec cet enregistrement, il est nécessaire de modifier la stratégie d’accès aux ressources ou d’ajouter un ordinateur dans l’Active Directory avec ce nom.

4. Dans le menu Actions cliquer sur Propriétés 1. Une fenêtre s’ouvre avec différents onglets disponibles qui permet de modifier les options et le comportement du service passerelle de Bureau à distance.

Propriétés du rôle

Par défaut lors de l’installation un certificat SSL auto-signé est créé, il est possible de le modifier depuis l’onglet Certificat SSL ou depuis le gestionnaire de serveur dans la partie Services Bureau à distance.

Stratégies d’autorisation des connexions

1. Depuis le menu de gauche, aller sur le dossier Stratégie d’autorisation des connexions 1. D’ici, il est possible de voir et de gérer les stratégies en place. Faire un double clic sur la stratégie RDG_CAP_AllUsers 2.

Stratégie d'autorisation des connexions

2. Onglet  Général : d’ici il est possible de changer le nom de la stratégie et de l’activé ou non en cochant la case Activer cette stratégie.

Général

3. Onglet Configuration requise : définition de la configuration de l’utilisateur pour pouvoir se connecter aux services de la passerelle. Appartenant à un groupe pour l’utilisateur, ce paramètre est obligatoire. L’autre paramètre facultatif mais très utile pour augmenter le niveau de sécurité est l’appartenance au groupe pour l’ordinateur. En définissant cette option il est possible par exemple d’empêcher un salarié de se connecter depuis son ordinateur personnel.

Configuration requise

4. Onglet Redirection de périphériques : comment pour la configuration de la collection, il est possible de définir quels périphériques est redirigé à travers la passerelle. Les paramètres de la stratégie sont prioritaires aux paramètres de la collection. C’est-à-dire que si les imprimantes sont autorisées dans la collection et non autorisées par la passerelle, lors d’une connexion passant par la passerelle l’utilisateur n’aura pas les imprimantes.

Redirection de périphériques

Stratégies d’autorisation d’accès aux ressources

1. Depuis le menu de gauche, aller sur le dossier Stratégies d’autorisation d’accès aux ressources 1. D’ici, il est possible de voir et de gérer les stratégies en place. Faire un double clic sur la stratégie RDG_AllDomainComputers 2.

Stratégies d'autorisation d'accès aux ressources

2. Onglet  Général : d’ici il est possible de changer le nom de la stratégie et de l’activé ou non en cochant la case Activer cette stratégie.

Général

3. Onglet Groupes d’utilisateurs : définir qui peut utiliser cette stratégie.

Groupes d'utilisateurs

4. Onglet Ressource réseau : à quoi cette stratégie permet d’accéder.

Ressource réseau

5. Onglet Ports autorisés : si l’accès au bureau à distance a été configuré sur un autre port que le 3389, il faut le configurer ici.

Configuration

Dans cette partie, nous allons voir comment rendre la passerelle utilisable pour la ferme RDS. Plusieurs méthodes et solutions sont disponibles. Il convient de choisir la meilleure solution en fonction de votre environnement et du degré de sécurité souhaité.

Méthode 1 : autoriser l’accès à toutes les ressources (déconseillée)

Ouvrir la stratégie RDG_AllDomainComputers et aller sur l’onglet Ressource réseau 1, cocher Autoriser les utilisateurs à se connecter à n’importe quelle ressource réseau 2. Cliquer sur les boutons Appliquer 3 et OK 4.

Autoriser l'accès à tout

Explication : cette méthode autorise l’accès à l’ensemble des ordinateurs (même hors domaine) ayant le bureau à distance d’activé. En production il n’est pas conseillé d’utiliser cette solution.

Méthode 2 : utiliser la configuration par défaut

Comme expliqué au début de ce tutoriel, l’utilisation d’un alias DNS pour les serveurs hôtes empêche la connexion à la fermer RDS du fait que l’ordinateur RDS (objet AD) n’existe pas.

1. Aller sur le contrôleur de domaine et ouvrir la console Utilisateurs et Ordinateurs Active Directory et aller dans l’OU RDS 1.

Utilisateurs et ordinateurs Active Directory

2. Faire un clic droit sur OU 1, aller sur Nouveau 2 et cliquer sur Ordinateur 3.

Ajouter un objet Ordinateur

3. Entrer le Nom de l’ordinateur 1 qui doit correspondre à votre alias puis cliquer sur OK 2.

Configuration de l'objet

4. L’ordinateur est créé 1 et membre du groupe : Ordinateurs du domaine 2.

Vérification de l'objet

Avec cette méthode, les règles par défaut fonctionnent avec la ferme RDS.

Explication : cette méthode autorise l’accès à l’ensemble des ordinateurs du domaine. L’ajout d’un ordinateur fictif permet à la passerelle de valider que l’ordinateur rds.rdr-it.intra fait partie du groupe AD et autorise l’accès.

Méthode 3 : autoriser l’accès à un groupe Active Directory limité à la ferme RDS

Prérequis : avoir fait la procédure de la méthode 2.

Cette méthode consiste a créé un groupe, dans lequel nous allons mettre les serveurs RDS et le déclarer dans la stratégie d’accès aux ressources.

1. Retourner sur le console Utilisateurs et Ordinateurs Active Directory et aller dans l’OU RDS 1.

Utilisateurs et ordinateurs Active Directory

2. Cliquer sur l’icône 1 permettant la création d’un groupe dans le conteneur.

Ajouter un groupe

3. Entrer le Nom du groupe 1 et cliquer sur OK 2.

Paramètres du groupe

4. Sélectionner les objets Ordinateurs 1 à ajouter au groupe, faite un clic droit et cliquer sur Ajouter à un groupe 2.

Ajouter les ordinateurs au groupe

5. Entrer le nom du groupe 1 qui vient d’être créé et cliquer sur OK 2.

Sélectionner le groupe

6. Cliquer sur OK 1 pour fermer la fenêtre de confirmation.

Confirmation de l'action

7. Faire un double clic sur le groupe 1 , aller sur l’onglet Membres 2 et vérifier que les Ordinateurs 3 ont bien été ajoutés.

Vérification des membres

8. Retourner sur le console de gestion de la passerelle, aller sur le dossier Stratégies d’autorisation d’accès aux ressources 1 et faire un double clic sur la stratégie par défaut 2.

Modifier la stratégie

9. Aller sur l’onglet Ressources réseau 1 et cliquer sur Parcourir2.

Modifier les ressources

10. Entrer le nom du groupe 1 et cliquer sur OK 2.

Entrer le nom du groupe

11. Cliquer sur Appliquer 1 et OK 2.

Valider les modifications

12. Le changement de groupe 1 est visible dans l’aperçu de la stratégie.

Visualisation des modifications

Pour utiliser les RemoteApp depuis l’extérieur du réseau (Internet), il faut ajouter le serveur broker au groupe.

Méthode 4 : utilisation des groupes géré par la passerelle

Cette méthode est équivalente à la méthode 3 à une différence, les groupes utilisés pour les autorisations sont gérés directement par la passerelle, qui permet d’ajouter des ordinateurs hors domaine ou d’un autre domaine sans relation d’approbation.

1. Sur la console de gestion de la passerelle et aller sur le dossier Stratégies d’autorisation d’accès aux ressources 1 et faite un double clic sur la stratégie par défaut 2.

Modifier la stratégie

2. Aller sur l’onglet Ressources réseau 1, sélectionner l’option Sélectionner ou créer un groupe géré par passerelle de Bureau à distance 2 et cliquer sur Parcourir3.

Ressource réseau - groupe géré

3. Cliquer sur Créer un nouveau groupe … 1.

Ajouter un groupe

4. Entrer le Nom du groupe 1 et aller sur l’onglet Ressources réseau 2.

Nom du groupe

5. Entrer le nom du serveur fqdn du serveur 1 et cliquer sur Ajouter 2.

Déclarer les serveurs

6. Ajouter tous les serveurs hôtes qui composent la ferme RDS ainsi que l’alias 1 et cliquer sur OK 2.

Serveur de la ferme

7. Sélectionner le groupe 1 qui vient d’être créé et cliquer sur OK 2.

Sélectionner le groupe

8. Vérifier que le groupe soit bien sélectionné 1, valider les serveurs qui le composent 2 puis cliquer sur Appliquer 3 et OK 4.

Valider les parametres

9. Le changement de groupe 1 est visible dans l’aperçu de la stratégie.

Stratégie modifiée

Comme pour la méthode 3, si vous souhaitez utiliser les RemoteApp depuis l’extérieure de votre réseau, il faut ajouter au groupe le serveur broker.

Aller plus loin avec la passerelle de Bureau à distance

Maintenant, nous allons mettre en place les stratégies nécessaires pour permettre aux administrateurs d’accéder à toutes les ressources

Pour la création des stratégies, il existe deux méthodes :

  1. Création à l’aide de l’assistant qui va nous guider pour la mise en place des stratégies connexions et ressources.
  2. Créer les deux stratégies séparément.

Dans ce tutoriel, nous allons utiliser l’assistant.

1. Depuis la console de gestion, aller sur le dossier Stratégies 1 et cliquer sur Créer des stratégies d’autorisation 2.

Ouvrir l'assistant de création

2. Cocher la première option 1 pour créer les deux règles et cliquer sur Suivant 2.

Choix du type de stratégie

3. Donner un nom 1 pour la stratégie d’autorisation des connexions et cliquer sur Suivant 2.

Nom de la stratégie d'autorisation des connexions

4. Cliquer sur Ajouter 1 pour paramètres un groupe.

Ajouter un groupe

5. Sélectionner le groupe Admins du domaine 1 et cliquer sur OK 2.

Sélection du groupe

6. Pour augmenter le niveau de sécurité, il est possible d’ajouter un groupe ordinateur. Cliquer sur Suivant 1.

Passer à l'étape suivante

7. Activer ou désactiver la redirection des périphériques 1 et cliquer sur Suivant 2.

Configuration de la redirection des périphériques

8. Paramétrer les délais des sessions 1 et cliquer sur Suivant 2.

Délais des sessions

9. Un résumé de la stratégie est affiché, cliquer sur Suivant 1 pour passer à la stratégie d’accès aux ressources.

Résumé de la stratégie

10. Nommer la stratégie 1 et cliquer sur Suivant 2.

Nommer la stratégie d'autorisation d'accès aux ressources

11. Le groupe d’appartenance est déjà défini, cliquer sur Suivant 1.

Groupe à qui s'applique la stratégie

12. Sélectionner l’option Autoriser les utilisateurs à se connecter à n’importe quelle ressource réseau (ordinateur) 1 et cliquer sur Suivant 2.

Ressources disponibles

13. En fonction des ports utilisés adapter les paramètres 1 et cliquer sur Suivant 2.

Configuration des ports autorisés

14. Un résumé de la stratégie s’affiche, cliquer sur Terminer 1.

Résumé de la stratégie

15. Les stratégies sont créées, cliquer sur Fermer 1.

Confirmation de création

16. Aller sur le dossier contenant les stratégies d’autorisation des connexions 1 et sélectionner la nouvelle stratégie 2.

Stratégie ajoutée dans la console

Les stratégies de connexions sont lues comment les règles d’un pare-feu de haut en bas (Ordre). En sélectionnant une stratégie, il est possible de modifier son ordre par le menu Actions à droite de la console.

Nous avons terminé avec le rôle de passerelle de Bureau à distance. Nous allons maintenant voir le Gestionnaire de licences des services de Bureau à distance.