Puerta de enlace de escritorio remoto – Puerta de enlace RDS

En resumen, Remote Desktop Gateway permite acceder a recursos (servidores / computadoras) accesibles desde fuera de la empresa en el puerto 443 (https) sin necesidad de establecer una conexión VPN y aplicando estrategias de seguridad.

Instalación de la puerta de enlace de servicios de escritorio remoto

Vaya a Descripción general de servicios de escritorio remoto 1 y haga clic en Puerta de enlace de servicios … 2. Esto abrirá el asistente de instalación de roles para la granja de RDS.

Vue ensemble de la ferme RDS

Seleccione el servidor 1 donde se instalará la función y haga clic en Siguiente 2.

Sélectionner le serveur qui va avoir le rôle

Introduzca el nombre del certificado SSL 1 (normalmente el nombre de la publicación de Internet) y haga clic en Siguiente 2.

Création du certificat

Haga clic en Agregar 1 para iniciar la instalación.

Confirmer le rôle

Espere durante la instalación …

Installation en cours...

Instalación finalizada, haga clic en Cerrar 1.

Installation terminée

Instalación de Remote Desktop Gateway Manager en Broker Server

Recordatorio: todas las operaciones se realizan desde el servidor broker. Durante la instalación de RDS Gateway, la consola de administración se instaló en el servidor de destino.

Abra un símbolo del sistema de PowerShell como administrador.

Ingrese la siguiente línea para instalar la consola:

Install-WindowsFeature RSAT-RDS-GATEWAY

Comprensión del papel de la puerta de enlace de escritorio remoto

Para utilizar la puerta de enlace RDS con un certificado autofirmado, debe implementarse en las estaciones de trabajo cliente como una autoridad de certificación raíz de confianza.

Para operar la puerta de enlace de escritorio remoto se utilizan 2 tipos de estrategias:

  • Políticas de autorización de conexión: definen quién puede conectarse a la puerta de enlace (usuarios y estaciones de trabajo), qué dispositivos se redirigen y el período de tiempo de espera de la sesión.
  • Políticas de autorización de acceso a recursos: definen quién puede conectarse a qué.

Abra la consola, desde el Administrador del servidor, Herramientas 1 / Servicios de terminal 2 / Administrador de puerta de enlace de escritorio remoto 3.

Ouvrir la console de Gestion

Haga clic en Conectar al servidor de puerta de enlace de escritorio remoto 1. En la nueva ventana, marque Servidor remoto 2, ingrese el nombre del servidor donde está instalado el rol 3 y luego haga clic en Aceptar 4.

Connexion au serveur

Al instalar el rol, el asistente creó dos políticas 1 que hacen que la puerta de enlace se pueda utilizar normalmente.

Aperçu de la console

El hecho de haber agregado un registro DNS para la granja RDS (rds.rdr-it.intra) y de configurar el acceso de clientes con este registro, es necesario modificar la política de acceso a recursos o agregar un computadora en Active Directory con este nombre.

En el menú Acciones, haga clic en Propiedades 1. Se abre una ventana con varias pestañas disponibles que le permite modificar las opciones y el comportamiento del servicio Remote Desktop Gateway.

Propriétés du rôle

Por defecto, durante la instalación se crea un certificado SSL autofirmado, es posible modificarlo desde la pestaña Certificado SSL o desde el administrador del servidor en la sección Servicios de Escritorio Remoto.

Políticas de autorización de conexión

En el menú de la izquierda, vaya a la carpeta Política de autorización de conexión 1. Desde aquí es posible ver y gestionar las estrategias implementadas. Haga doble clic en la estrategia RDG_CAP_AllUsers 2.

Stratégie d'autorisation des connexions

Pestaña General: desde aquí es posible cambiar el nombre de la política y si está activada o no marcando la casilla Activar esta política.

Général

Pestaña Configuración requerida: definición de la configuración del usuario para poder conectarse a los servicios de pasarela. Perteneciente a un grupo para el usuario, este parámetro es obligatorio. La otra configuración opcional pero muy útil para aumentar el nivel de seguridad es la pertenencia al grupo de la computadora. Al definir esta opción, es posible, por ejemplo, evitar que un empleado se conecte desde su computadora personal.

Configuration requise

Pestaña Device Redirection: cómo para la configuración de la colección, es posible definir qué dispositivos se redireccionan a través de la puerta de enlace. La configuración de la política tiene prioridad sobre la configuración de la colección. Es decir que si las impresoras están autorizadas en la colección y no autorizadas por la pasarela, durante una conexión que pase por la pasarela el usuario no tendrá las impresoras.

Redirection de périphériques

Políticas de autorización de acceso a recursos

En el menú de la izquierda, vaya a la carpeta Políticas de autorización de acceso a recursos 1. Desde aquí es posible ver y gestionar las estrategias implementadas. Haga doble clic en la estrategia RDG_AllDomainComputers 2.

Stratégies d'autorisation d'accès aux ressources

Pestaña General: desde aquí es posible cambiar el nombre de la política y si está activada o no marcando la casilla Activar esta política.

Général

Pestaña Grupos de usuarios: defina quién puede utilizar esta política.

Groupes d'utilisateurs

Pestaña de recursos de red: a qué proporciona acceso esta política.

Ressource réseau

Pestaña Puertos permitidos: si el acceso al escritorio remoto se ha configurado en un puerto diferente al 3389, debe configurarse aquí.

Configuración

En esta parte, veremos cómo hacer que la puerta de enlace se pueda utilizar para la granja de RDS. Hay varios métodos y soluciones disponibles. La mejor solución debe elegirse en función de su entorno y el nivel de seguridad deseado.

Método 1: permitir el acceso a todos los recursos (obsoleto)

Abra la política RDG_AllDomainComputers y vaya a la pestaña Recursos de red 1, marque Permitir que los usuarios se conecten a cualquier recurso de red 2. Haga clic en los botones Aplicar 3 y Aceptar 4.

Autoriser l'accès à tout

Explicación: este método autoriza el acceso a todas las computadoras (incluso fuera del dominio) con el escritorio remoto habilitado. En producción no es recomendable utilizar esta solución.

Método 2: use la configuración predeterminada

Como se explicó al principio de este tutorial, el uso de un alias DNS para los servidores host evita la conexión al apagado de RDS porque la computadora RDS (objeto AD) no existe.

Vaya al controlador de dominio y abra la consola Usuarios y equipos de Active Directory y vaya a la unidad organizativa RDS 1.

Utilisateurs et ordinateurs Active Directory

Haga clic derecho en UO 1, vaya a Nuevo 2 y haga clic en Equipo 3.

Ajouter un objet Ordinateur

Introduzca el Nombre de la computadora 1 que debe corresponder a su alias y luego haga clic en Aceptar 2.

Configuration de l'objet

Se crea el equipo 1 y un miembro del grupo: Equipos en el dominio 2.

Vérification de l'objet

Con este método, las reglas predeterminadas funcionan con la granja de RDS.

Explicación: este método permite el acceso a todas las computadoras del dominio. Agregar una computadora ficticia permite que la puerta de enlace valide que la computadora rds.rdr-it.intra es parte del grupo AD y permite el acceso.

Método 3: permitir el acceso a un grupo de Active Directory restringido en la granja de RDS

Requisito previo: haber completado el procedimiento del método 2.

Este método consiste en crear un grupo, en el que colocaremos los servidores RDS y lo declararemos en la política de acceso a recursos.

Vuelva a la consola Usuarios y equipos de Active Directory y vaya a RDS OU 1.

Utilisateurs et ordinateurs Active Directory

Haga clic en el icono 1 que permite la creación de un grupo en el contenedor.

Ajouter un groupe

Introduzca el Nombre del grupo 1 y haga clic en Aceptar 2.

Paramètres du groupe

Seleccione los objetos Computadoras 1 para agregar al grupo, haga clic derecho y haga clic en Agregar al grupo 2.

Ajouter les ordinateurs au groupe

Introduzca el nombre del grupo 1 que acaba de crear y haga clic en Aceptar 2.

Sélectionner le groupe

Haga clic en Aceptar 1 para cerrar la ventana de confirmación.

Confirmation de l'action

Haga doble clic en el grupo 1, vaya a la pestaña Miembros 2 y verifique que se hayan agregado las Computadoras 3.

Vérification des membres

Regrese a la consola de administración de la puerta de enlace, vaya a la carpeta Políticas de autorización de acceso a recursos 1 y haga doble clic en la política predeterminada 2.

Modifier la stratégie

Vaya a la pestaña Recursos de red 1 y haga clic en Examinar … 2.

Modifier les ressources

Introduzca el nombre del grupo 1 y haga clic en Aceptar 2.

Entrer le nom du groupe

Haga clic en Aplicar 1 y Aceptar 2.

Valider les modifications

El cambio de grupo 1 es visible en el resumen de la estrategia.

Visualisation des modifications

Para usar RemoteApps desde fuera de la red (Internet), el servidor de agente debe agregarse al grupo.

Método 4: uso de grupos administrados por la puerta de enlace

Este método es equivalente al método 3 con una diferencia, los grupos utilizados para los permisos son administrados directamente por la puerta de enlace, lo que permite agregar equipos desde fuera del dominio o desde otro dominio sin una relación de confianza.

En la consola de administración de la puerta de enlace, vaya a la carpeta Políticas de autorización de acceso a recursos 1 y haga doble clic en la política predeterminada 2.

Modifier la stratégie

Vaya a la pestaña Recursos de red 1, seleccione la opción Seleccionar o crear un grupo administrado por la puerta de enlace de Escritorio remoto 2 y haga clic en Examinar … 3.

Ressource réseau - groupe géré

Haga clic en Crear un nuevo grupo … 1.

Ajouter un groupe

Ingrese el Nombre del grupo 1 y vaya a la pestaña Recursos de red 2.

Nom du groupe

Ingrese el nombre del servidor fqdn del servidor 1 y haga clic en Agregar 2.

Déclarer les serveurs

Agregue todos los servidores host que componen la granja de RDS, así como el alias 1 y haga clic en Aceptar 2.

Serveur de la ferme

Seleccione el grupo 1 que acaba de crear y haga clic en Aceptar 2.

Sélectionner le groupe

Verifique que el grupo esté correctamente seleccionado 1, valide los servidores que lo componen 2 luego haga clic en Aplicar 3 y OK 4.

Valider les parametres

El cambio de grupo 1 es visible en la descripción general de la política.

Stratégie modifiée

En cuanto al método 3, si desea utilizar RemoteApps desde fuera de su red, debe agregar el servidor del agente al grupo.

Vaya más allá con la puerta de enlace de escritorio remoto

Ahora vamos a implementar las estrategias necesarias para permitir que los administradores accedan a todos los recursos.

Hay dos métodos para crear estrategias:

  1. Creación mediante el asistente que nos guiará en la configuración de las estrategias de conexión y recursos.
  2. Crear las dos estrategias por separado.

En este tutorial usaremos el asistente.

Desde la consola de administración, vaya a la carpeta Políticas 1 y haga clic en Crear políticas de autorización 2.

Ouvrir l'assistant de création

Marque la primera opción 1 para crear las dos reglas y haga clic en Siguiente 2.

Choix du type de stratégie

Dé un nombre 1 para la política de autorización de conexión y haga clic en Siguiente 2.

Nom de la stratégie d'autorisation des connexions

Haga clic en Agregar 1 para los parámetros de un grupo.

Ajouter un groupe

Seleccione el grupo Administradores de dominio 1 y haga clic en Aceptar 2.

Sélection du groupe

Para aumentar el nivel de seguridad, es posible agregar un grupo de equipos. Haga clic en Siguiente 1.

Passer à l'étape suivante

Active o desactive la redirección de dispositivos 1 y haga clic en Siguiente 2.

Configuration de la redirection des périphériques

Configure los tiempos de sesión 1 y haga clic en Siguiente 2.

Délais des sessions

Se muestra un resumen de la política, haga clic en Siguiente 1 para ir a la política de acceso a recursos.

Résumé de la stratégie

Nombre la estrategia 1 y haga clic en Siguiente 2.

Nommer la stratégie d'autorisation d'accès aux ressources

El grupo de miembros ya está definido, haga clic en Siguiente 1.

Groupe à qui s'applique la stratégie

Seleccione la opción Permitir que los usuarios se conecten a cualquier recurso de red (computadora) 1 y haga clic en Siguiente 2.

Ressources disponibles

Dependiendo de los puertos utilizados, adapte los parámetros 1 y haga clic en Siguiente 2.

Configuration des ports autorisés

Se muestra un resumen de la estrategia, haga clic en Finalizar 1.

Résumé de la stratégie

Se crean las estrategias, haga clic en Cerrar 1.

Confirmation de création

Vaya a la carpeta que contiene las políticas de autorización de conexión 1 y seleccione la nueva política 2.

Stratégie ajoutée dans la console

Las políticas de conexión se leen como las reglas de un firewall de arriba a abajo (Orden). Al seleccionar una estrategia, es posible modificar su orden usando el menú Acciones a la derecha de la consola.

Hemos terminado con el rol de Puerta de enlace de escritorio remoto. Ahora veremos el Administrador de licencias de Servicios de escritorio remoto.




Deja un comentario