Sommario
In sintesi, il Remote Desktop Gateway consente l’accesso alle risorse (server / computer) accessibili dall’esterno dell’azienda sulla porta 443 (https) senza la necessità di stabilire una connessione VPN e applicando strategie di sicurezza.
Installazione del gateway di Servizi Desktop remoto
1. Vai alla Panoramica dei servizi Desktop remoto 1 e fai clic su Service Gateway … 2. Verrà aperta la procedura guidata di installazione del ruolo per la farm RDS.
2. Selezionare il server 1 in cui deve essere installato il ruolo e fare clic su Avanti 2.
3. Immettere il nome del certificato SSL 1 (solitamente il nome della pubblicazione Internet) e fare clic su Avanti 2.
4. Fare clic su Aggiungi 1 per avviare l’installazione.
5. Attendi durante l’installazione …
6. Terminata l’installazione, fare clic su Chiudi 1.
Installazione di Remote Desktop Gateway Manager sul Broker Server
Promemoria: tutte le operazioni vengono eseguite dal server del broker. Durante l’installazione del gateway RDS, la console di gestione è stata installata sul server di destinazione.
1. Apri un prompt dei comandi di PowerShell come amministratore.
2. Immettere il seguente comando per installare la console:
Install-WindowsFeature RSAT-RDS-GATEWAY
Comprensione del ruolo del gateway desktop remoto
Per utilizzare il gateway RDS con un certificato autofirmato, è necessario distribuirlo sulle workstation client come autorità di certificazione radice attendibile.
Per far funzionare il gateway desktop remoto utilizza 2 tipi di strategie:
- Criteri di autorizzazione della connessione: definiscono chi può connettersi al gateway (utenti e workstation), quali dispositivi vengono reindirizzati e il periodo di timeout della sessione.
- Criteri di autorizzazione per l’accesso alle risorse: definiscono chi può connettersi a cosa.
1. Aprire la console, da Server Manager, Strumenti 1 / Terminal Services 2 / Remote Desktop Gateway Manager 3.
2. Fare clic su Connetti al server Gateway Desktop remoto 1. Nella nuova finestra, seleziona Server remoto 2, inserisci il nome del server in cui è installato il ruolo 3 quindi fai clic su OK 4.
3. Durante l’installazione del ruolo, la procedura guidata ha creato due 1 criteri, che rendono il gateway normalmente utilizzabile.
Dopo aver aggiunto un record DNS per la farm RDS (rds.rdr-it.intra) e aver configurato l’accesso client con questo record, è necessario modificare il criterio di accesso alle risorse o aggiungere un computer in Active Directory con questo nome.
4. Nel menu Azioni fare clic su Proprietà 1. Si apre una finestra con varie schede disponibili che consente di modificare le opzioni e il comportamento del servizio Gateway Desktop remoto.
Per impostazione predefinita durante l’installazione viene creato un certificato SSL autofirmato, è possibile modificarlo dalla scheda Certificato SSL o dal server manager nella sezione Servizi Desktop remoto.
Stratégies d’autorisation des connexions
1. Dal menu a sinistra, vai alla cartella Criteri di autorizzazione della connessione 1. Da qui è possibile vedere e gestire le strategie in atto. Fare doppio clic sulla strategia RDG_CAP_AllUsers 2.
2. Scheda Generale: da qui è possibile modificare il nome della polizza e se attivarla o meno selezionando la casella Attiva questa polizza.
3. Scheda Configurazione richiesta: definizione della configurazione utente per potersi connettere ai servizi gateway. Appartenente a un gruppo per l’utente, questo parametro è obbligatorio. L’altra impostazione facoltativa ma molto utile per aumentare il livello di sicurezza è l’appartenenza al gruppo per il computer. Definendo questa opzione è possibile ad esempio impedire ad un dipendente di connettersi dal proprio personal computer.
4. Scheda Reindirizzamento dispositivi: come per la configurazione della raccolta è possibile definire quali dispositivi vengono reindirizzati attraverso il gateway. Le impostazioni dei criteri hanno la precedenza sulle impostazioni di raccolta. Vale a dire che se le stampanti sono autorizzate alla raccolta e non autorizzate dal gateway, durante una connessione che passa attraverso il gateway l’utente non avrà le stampanti.
Criteri di autorizzazione per l’accesso alle risorse
1. Dal menu a sinistra, vai alla cartella Criteri di autorizzazione all’accesso alle risorse 1. Da qui è possibile vedere e gestire le strategie in atto. Fare doppio clic sulla strategia RDG_AllDomainComputers 2.
2. Scheda Generale: da qui è possibile modificare il nome della polizza e se attivarla o meno selezionando la casella Attiva questa polizza.
3. Scheda Gruppi di utenti: definire chi può utilizzare questo criterio.
4. Scheda Risorsa di rete: a cosa fornisce l’accesso con questo criterio.
5. Scheda Porte consentite: se l’accesso al desktop remoto è stato configurato su una porta diversa dalla 3389, è necessario configurarlo qui.
Configurazione
In questa parte vedremo come rendere il gateway utilizzabile per la farm RDS. Sono disponibili diversi metodi e soluzioni. La soluzione migliore dovrebbe essere scelta in base al proprio ambiente e al livello di sicurezza desiderato.
- Metodo 1: consenti l’accesso a tutte le risorse (deprecato)
- Metodo 2: utilizza la configurazione predefinita
- Metodo 3: consentire l’accesso a un gruppo di Active Directory limitato nella farm RDS
- Metodo 4: utilizzo di gruppi gestiti dal gateway
Metodo 1: consenti l’accesso a tutte le risorse (deprecato)
Apri il criterio RDG_AllDomainComputers e vai alla scheda Risorse di rete 1, seleziona Consenti agli utenti di connettersi a qualsiasi risorsa di rete 2. Fare clic sui pulsanti Applica 3 e OK 4.
Spiegazione: questo metodo autorizza l’accesso a tutti i computer (anche esterni al dominio) con desktop remoto abilitato. In produzione, non è consigliabile utilizzare questa soluzione.
Metodo 2: utilizza la configurazione predefinita
Come spiegato all’inizio di questa esercitazione, l’utilizzo di un alias DNS per i server host impedisce la connessione all’arresto di RDS perché il computer RDS (oggetto AD) non esiste.
1. Vai al controller di dominio e apri la console Utenti e computer di Active Directory e vai a RDS OU 1.
2. Fare clic con il tasto destro su OR 1, andare su Nuovo 2 e fare clic su Computer 3.
3. Immettere il nome del computer 1 che deve corrispondere al proprio alias, quindi fare clic su OK 2.
4. Il computer viene creato 1 e fa parte del gruppo: Computer nel dominio 2.
Con questo metodo, le regole predefinite funzionano con la farm RDS.
Spiegazione: questo metodo consente l’accesso a tutti i computer nel dominio. L’aggiunta di un computer fittizio consente al gateway di convalidare che il computer rds.rdr-it.intra fa parte del gruppo AD e consente l’accesso.
Metodo 3: consentire l’accesso a un gruppo di Active Directory limitato nella farm RDS
Prerequisito: aver completato la procedura del metodo 2.
Questo metodo consiste nella creazione di un gruppo, in cui inseriremo i server RDS e lo dichiareremo nella policy di accesso alle risorse.
1. Torna alla console Utenti e computer di Active Directory e vai all’unità organizzativa RDS 1.
2. Fare clic sull’icona 1 che consente la creazione di un gruppo nel contenitore.
3. Immettere il nome del gruppo 1 e fare clic su OK 2.
4. Selezionare gli oggetti Computer 1 da aggiungere al gruppo, fare clic con il tasto destro e fare clic su Aggiungi al gruppo 2.
5. Immettere il nome del gruppo appena creato 1 e fare clic su OK 2.
6. Fare clic su OK 1 per chiudere la finestra di conferma.
7. Fare doppio clic sul gruppo 1, accedere alla scheda Membri 2 e verificare che siano stati aggiunti computer 3.
8. Tornare alla console di gestione del gateway, andare alla cartella Criteri di autorizzazione di accesso alle risorse 1 e fare doppio clic sul criterio predefinito 2.
9. Vai alla scheda Risorse di rete 1 e fai clic su Sfoglia … 2.
10. Immettere il nome del gruppo 1 e fare clic su OK 2.
11. Fare clic su Applica 1 e OK 2.
12. La modifica del gruppo 1 è visibile nella panoramica dei criteri.
Per utilizzare RemoteApps dall’esterno della rete (Internet), il server broker deve essere aggiunto al gruppo.
Metodo 4: utilizzo di gruppi gestiti dal gateway
Questo metodo è equivalente al metodo 3 con una differenza, i gruppi utilizzati per le autorizzazioni sono gestiti direttamente dal gateway, che consente di aggiungere computer dall’esterno del dominio o da un altro dominio senza una relazione di trust.
1. Nella console di gestione del gateway, vai alla cartella Criteri di autorizzazione di accesso alle risorse 1 e fai doppio clic sul criterio predefinito 2.
2. Vai alla scheda Risorse di rete 1, seleziona l’opzione Seleziona o crea un gruppo gestito dal gateway Desktop remoto 2 e fai clic su Sfoglia … 3.
3. Fare clic su Crea un nuovo gruppo … 1.
4. Immettere il nome del gruppo 1 e accedere alla scheda Risorse di rete 2.
5. Immettere il nome del server fqdn del server 1 e fare clic su Aggiungi 2.
6. Aggiungere tutti i server host che compongono la farm RDS nonché l’alias 1 e fare clic su OK 2.
7. Seleziona il gruppo 1 appena creato e fai clic su OK 2.
8. Verificare che il gruppo sia selezionato correttamente 1, convalidare i server che lo compongono 2 quindi fare clic su Applica 3 e OK 4.
9. La modifica del gruppo 1 è visibile nella panoramica dei criteri.
Come per il metodo 3, se vuoi usare RemoteApps dall’esterno della tua rete, devi aggiungere il server broker al gruppo.
Vai oltre con Remote Desktop Gateway
Ora metteremo in atto le strategie necessarie per consentire agli amministratori di accedere a tutte le risorse
Esistono due metodi per creare strategie:
- Creazione tramite il wizard che ci guiderà nell’impostazione delle connessioni e delle strategie delle risorse.
- Crea le due strategie separatamente.
In questo tutorial useremo la procedura guidata.
1. Dalla console di gestione, vai alla cartella Criteri 1 e fai clic su Crea criteri di autorizzazione 2.
2. Seleziona la prima opzione 1 per creare le due regole e fai clic su Avanti 2.
3. Assegnare un nome 1 al criterio di autorizzazione alla connessione e fare clic su Avanti 2.
4. Fare clic su Aggiungi 1 per i parametri di un gruppo.
5. Selezionare il gruppo Domain Admins 1 e fare clic su OK 2.
6. Per aumentare il livello di sicurezza, è possibile aggiungere un gruppo di computer. Fare clic su Avanti 1.
7. Abilitare o disabilitare il reindirizzamento del dispositivo 1 e fare clic su Avanti 2.
8. Configurare gli orari della sessione 1 e fare clic su Avanti 2.
9. Viene visualizzato un riepilogo del criterio, fare clic su Avanti 1 per andare al criterio di accesso alle risorse.
10. Assegna un nome alla strategia 1 e fai clic su Avanti 2.
11. Il gruppo di appartenenza è già definito, fare clic su Avanti 1.
12. Selezionare l’opzione Consenti agli utenti di connettersi a qualsiasi risorsa di rete (computer) 1 e fare clic su Avanti 2.
13. A seconda delle porte utilizzate, adattare i parametri 1 e fare clic su Avanti 2.
14. Viene visualizzato un riepilogo della strategia, fare clic su Fine 1.
15. Le strategie vengono create, fare clic su Chiudi 1.
16. Vai alla cartella contenente i criteri di autorizzazione alla connessione 1 e seleziona il nuovo criterio 2.
I criteri di connessione vengono letti come le regole di un firewall dall’alto verso il basso (ordine). Selezionando una strategia, è possibile modificarne l’ordine utilizzando il menu Azioni a destra della console.
Abbiamo finito con il ruolo Gateway Desktop remoto. Vedremo ora il Gestore licenze Servizi Desktop remoto.