Gateway Desktop remoto – Gateway RDS

Sommario

Distribuire una farm RDS di Windows 2012R2 / 2016/2019
Preparare l’ambiente
Distribuzione dei ruoli del server
Configurare una raccolta RDS
Pubblica RemoteApps
Gateway Desktop remoto – Gateway RDS
Gestione licenze desktop remoto
Utilizzo della farm RDS – Client
Amministrare e personalizzare l’ambiente RDS
Risoluzione dei problemi
Domande frequenti

In sintesi, il Remote Desktop Gateway consente l’accesso alle risorse (server / computer) accessibili dall’esterno dell’azienda sulla porta 443 (https) senza la necessità di stabilire una connessione VPN e applicando strategie di sicurezza.

Installazione del gateway di Servizi Desktop remoto

1. Vai alla Panoramica dei servizi Desktop remoto 1 e fai clic su Service Gateway … 2. Verrà aperta la procedura guidata di installazione del ruolo per la farm RDS.

Vue ensemble de la ferme RDS

2. Selezionare il server 1 in cui deve essere installato il ruolo e fare clic su Avanti 2.

Sélectionner le serveur qui va avoir le rôle

3. Immettere il nome del certificato SSL 1 (solitamente il nome della pubblicazione Internet) e fare clic su Avanti 2.

Création du certificat

4. Fare clic su Aggiungi 1 per avviare l’installazione.

Confirmer le rôle

5. Attendi durante l’installazione …

Installation en cours...

6. Terminata l’installazione, fare clic su Chiudi 1.

Installation terminée

Installazione di Remote Desktop Gateway Manager sul Broker Server

Promemoria: tutte le operazioni vengono eseguite dal server del broker. Durante l’installazione del gateway RDS, la console di gestione è stata installata sul server di destinazione.

1. Apri un prompt dei comandi di PowerShell come amministratore.

2. Immettere il seguente comando per installare la console:

Install-WindowsFeature RSAT-RDS-GATEWAY

Comprensione del ruolo del gateway desktop remoto

Per utilizzare il gateway RDS con un certificato autofirmato, è necessario distribuirlo sulle workstation client come autorità di certificazione radice attendibile.

Per far funzionare il gateway desktop remoto utilizza 2 tipi di strategie:

  • Criteri di autorizzazione della connessione: definiscono chi può connettersi al gateway (utenti e workstation), quali dispositivi vengono reindirizzati e il periodo di timeout della sessione.
  • Criteri di autorizzazione per l’accesso alle risorse: definiscono chi può connettersi a cosa.

1. Aprire la console, da Server Manager, Strumenti 1 / Terminal Services 2 / Remote Desktop Gateway Manager 3.

Ouvrir la console de Gestion

2. Fare clic su Connetti al server Gateway Desktop remoto 1. Nella nuova finestra, seleziona Server remoto 2, inserisci il nome del server in cui è installato il ruolo 3 quindi fai clic su OK 4.

Connexion au serveur

3. Durante l’installazione del ruolo, la procedura guidata ha creato due 1 criteri, che rendono il gateway normalmente utilizzabile.

Aperçu de la console

Dopo aver aggiunto un record DNS per la farm RDS (rds.rdr-it.intra) e aver configurato l’accesso client con questo record, è necessario modificare il criterio di accesso alle risorse o aggiungere un computer in Active Directory con questo nome.

4. Nel menu Azioni fare clic su Proprietà 1. Si apre una finestra con varie schede disponibili che consente di modificare le opzioni e il comportamento del servizio Gateway Desktop remoto.

Propriétés du rôle

Per impostazione predefinita durante l’installazione viene creato un certificato SSL autofirmato, è possibile modificarlo dalla scheda Certificato SSL o dal server manager nella sezione Servizi Desktop remoto.

Stratégies d’autorisation des connexions

1. Dal menu a sinistra, vai alla cartella Criteri di autorizzazione della connessione 1. Da qui è possibile vedere e gestire le strategie in atto. Fare doppio clic sulla strategia RDG_CAP_AllUsers 2.

Stratégie d'autorisation des connexions

2. Scheda Generale: da qui è possibile modificare il nome della polizza e se attivarla o meno selezionando la casella Attiva questa polizza.

Général

3. Scheda Configurazione richiesta: definizione della configurazione utente per potersi connettere ai servizi gateway. Appartenente a un gruppo per l’utente, questo parametro è obbligatorio. L’altra impostazione facoltativa ma molto utile per aumentare il livello di sicurezza è l’appartenenza al gruppo per il computer. Definendo questa opzione è possibile ad esempio impedire ad un dipendente di connettersi dal proprio personal computer.

Configuration requise

4. Scheda Reindirizzamento dispositivi: come per la configurazione della raccolta è possibile definire quali dispositivi vengono reindirizzati attraverso il gateway. Le impostazioni dei criteri hanno la precedenza sulle impostazioni di raccolta. Vale a dire che se le stampanti sono autorizzate alla raccolta e non autorizzate dal gateway, durante una connessione che passa attraverso il gateway l’utente non avrà le stampanti.

Redirection de périphériques

Criteri di autorizzazione per l’accesso alle risorse

1. Dal menu a sinistra, vai alla cartella Criteri di autorizzazione all’accesso alle risorse 1. Da qui è possibile vedere e gestire le strategie in atto. Fare doppio clic sulla strategia RDG_AllDomainComputers 2.

Stratégies d'autorisation d'accès aux ressources

2. Scheda Generale: da qui è possibile modificare il nome della polizza e se attivarla o meno selezionando la casella Attiva questa polizza.

Général

3. Scheda Gruppi di utenti: definire chi può utilizzare questo criterio.

Groupes d'utilisateurs

4. Scheda Risorsa di rete: a cosa fornisce l’accesso con questo criterio.

Ressource réseau

5. Scheda Porte consentite: se l’accesso al desktop remoto è stato configurato su una porta diversa dalla 3389, è necessario configurarlo qui.

Configurazione

In questa parte vedremo come rendere il gateway utilizzabile per la farm RDS. Sono disponibili diversi metodi e soluzioni. La soluzione migliore dovrebbe essere scelta in base al proprio ambiente e al livello di sicurezza desiderato.

Metodo 1: consenti l’accesso a tutte le risorse (deprecato)

Apri il criterio RDG_AllDomainComputers e vai alla scheda Risorse di rete 1, seleziona Consenti agli utenti di connettersi a qualsiasi risorsa di rete 2. Fare clic sui pulsanti Applica 3 e OK 4.

Autoriser l'accès à tout

Spiegazione: questo metodo autorizza l’accesso a tutti i computer (anche esterni al dominio) con desktop remoto abilitato. In produzione, non è consigliabile utilizzare questa soluzione.

Metodo 2: utilizza la configurazione predefinita

Come spiegato all’inizio di questa esercitazione, l’utilizzo di un alias DNS per i server host impedisce la connessione all’arresto di RDS perché il computer RDS (oggetto AD) non esiste.

1. Vai al controller di dominio e apri la console Utenti e computer di Active Directory e vai a RDS OU 1.

Utilisateurs et ordinateurs Active Directory

2. Fare clic con il tasto destro su OR 1, andare su Nuovo 2 e fare clic su Computer 3.

Ajouter un objet Ordinateur

3. Immettere il nome del computer 1 che deve corrispondere al proprio alias, quindi fare clic su OK 2.

Configuration de l'objet

4. Il computer viene creato 1 e fa parte del gruppo: Computer nel dominio 2.

Vérification de l'objet

Con questo metodo, le regole predefinite funzionano con la farm RDS.

Spiegazione: questo metodo consente l’accesso a tutti i computer nel dominio. L’aggiunta di un computer fittizio consente al gateway di convalidare che il computer rds.rdr-it.intra fa parte del gruppo AD e consente l’accesso.

Metodo 3: consentire l’accesso a un gruppo di Active Directory limitato nella farm RDS

Prerequisito: aver completato la procedura del metodo 2.

Questo metodo consiste nella creazione di un gruppo, in cui inseriremo i server RDS e lo dichiareremo nella policy di accesso alle risorse.

1. Torna alla console Utenti e computer di Active Directory e vai all’unità organizzativa RDS 1.

Utilisateurs et ordinateurs Active Directory

2. Fare clic sull’icona 1 che consente la creazione di un gruppo nel contenitore.

Ajouter un groupe

3. Immettere il nome del gruppo 1 e fare clic su OK 2.

Paramètres du groupe

4. Selezionare gli oggetti Computer 1 da aggiungere al gruppo, fare clic con il tasto destro e fare clic su Aggiungi al gruppo 2.

Ajouter les ordinateurs au groupe

5. Immettere il nome del gruppo appena creato 1 e fare clic su OK 2.

Sélectionner le groupe

6. Fare clic su OK 1 per chiudere la finestra di conferma.

Confirmation de l'action

7. Fare doppio clic sul gruppo 1, accedere alla scheda Membri 2 e verificare che siano stati aggiunti computer 3.

Vérification des membres

8. Tornare alla console di gestione del gateway, andare alla cartella Criteri di autorizzazione di accesso alle risorse 1 e fare doppio clic sul criterio predefinito 2.

Modifier la stratégie

9. Vai alla scheda Risorse di rete 1 e fai clic su Sfoglia … 2.

Modifier les ressources

10. Immettere il nome del gruppo 1 e fare clic su OK 2.

Entrer le nom du groupe

11. Fare clic su Applica 1 e OK 2.

Valider les modifications

12. La modifica del gruppo 1 è visibile nella panoramica dei criteri.

Visualisation des modifications

Per utilizzare RemoteApps dall’esterno della rete (Internet), il server broker deve essere aggiunto al gruppo.

Metodo 4: utilizzo di gruppi gestiti dal gateway

Questo metodo è equivalente al metodo 3 con una differenza, i gruppi utilizzati per le autorizzazioni sono gestiti direttamente dal gateway, che consente di aggiungere computer dall’esterno del dominio o da un altro dominio senza una relazione di trust.

1. Nella console di gestione del gateway, vai alla cartella Criteri di autorizzazione di accesso alle risorse 1 e fai doppio clic sul criterio predefinito 2.

Modifier la stratégie

2. Vai alla scheda Risorse di rete 1, seleziona l’opzione Seleziona o crea un gruppo gestito dal gateway Desktop remoto 2 e fai clic su Sfoglia … 3.

Ressource réseau - groupe géré

3. Fare clic su Crea un nuovo gruppo … 1.

Ajouter un groupe

4. Immettere il nome del gruppo 1 e accedere alla scheda Risorse di rete 2.

Nom du groupe

5. Immettere il nome del server fqdn del server 1 e fare clic su Aggiungi 2.

Déclarer les serveurs

6. Aggiungere tutti i server host che compongono la farm RDS nonché l’alias 1 e fare clic su OK 2.

Serveur de la ferme

7. Seleziona il gruppo 1 appena creato e fai clic su OK 2.

Sélectionner le groupe

8. Verificare che il gruppo sia selezionato correttamente 1, convalidare i server che lo compongono 2 quindi fare clic su Applica 3 e OK 4.

Valider les parametres

9. La modifica del gruppo 1 è visibile nella panoramica dei criteri.

Stratégie modifiée

Come per il metodo 3, se vuoi usare RemoteApps dall’esterno della tua rete, devi aggiungere il server broker al gruppo.

Vai oltre con Remote Desktop Gateway

Ora metteremo in atto le strategie necessarie per consentire agli amministratori di accedere a tutte le risorse

Esistono due metodi per creare strategie:

  1. Creazione tramite il wizard che ci guiderà nell’impostazione delle connessioni e delle strategie delle risorse.
  2. Crea le due strategie separatamente.

In questo tutorial useremo la procedura guidata.

1. Dalla console di gestione, vai alla cartella Criteri 1 e fai clic su Crea criteri di autorizzazione 2.

Ouvrir l'assistant de création

2. Seleziona la prima opzione 1 per creare le due regole e fai clic su Avanti 2.

Choix du type de stratégie

3. Assegnare un nome 1 al criterio di autorizzazione alla connessione e fare clic su Avanti 2.

Nom de la stratégie d'autorisation des connexions

4. Fare clic su Aggiungi 1 per i parametri di un gruppo.

Ajouter un groupe

5. Selezionare il gruppo Domain Admins 1 e fare clic su OK 2.

Sélection du groupe

6. Per aumentare il livello di sicurezza, è possibile aggiungere un gruppo di computer. Fare clic su Avanti 1.

Passer à l'étape suivante

7. Abilitare o disabilitare il reindirizzamento del dispositivo 1 e fare clic su Avanti 2.

Configuration de la redirection des périphériques

8. Configurare gli orari della sessione 1 e fare clic su Avanti 2.

Délais des sessions

9. Viene visualizzato un riepilogo del criterio, fare clic su Avanti 1 per andare al criterio di accesso alle risorse.

Résumé de la stratégie

10. Assegna un nome alla strategia 1 e fai clic su Avanti 2.

Nommer la stratégie d'autorisation d'accès aux ressources

11. Il gruppo di appartenenza è già definito, fare clic su Avanti 1.

Groupe à qui s'applique la stratégie

12. Selezionare l’opzione Consenti agli utenti di connettersi a qualsiasi risorsa di rete (computer) 1 e fare clic su Avanti 2.

Ressources disponibles

13. A seconda delle porte utilizzate, adattare i parametri 1 e fare clic su Avanti 2.

Configuration des ports autorisés

14. Viene visualizzato un riepilogo della strategia, fare clic su Fine 1.

Résumé de la stratégie

15. Le strategie vengono create, fare clic su Chiudi 1.

Confirmation de création

16. Vai alla cartella contenente i criteri di autorizzazione alla connessione 1 e seleziona il nuovo criterio 2.

Stratégie ajoutée dans la console

I criteri di connessione vengono letti come le regole di un firewall dall’alto verso il basso (ordine). Selezionando una strategia, è possibile modificarne l’ordine utilizzando il menu Azioni a destra della console.

Abbiamo finito con il ruolo Gateway Desktop remoto. Vedremo ora il Gestore licenze Servizi Desktop remoto.




Start the discussion at community.rdr-it.io