Implantar um farm RDS do Windows 2012R2/2016/2019


Windows Server 2022

Gateway de área de trabalho remota – Gateway RDS

Resumindo, o Remote Desktop Gateway permite o acesso a recursos (servidores/computadores) acessíveis de fora da empresa na porta 443 (https) sem a necessidade de estabelecer uma conexão VPN e aplicando estratégias de segurança.

Instalando o Gateway de Serviços de Área de Trabalho Remota

Vá para Visão geral dos serviços de área de trabalho remota 1 e clique em Gateway de serviços… 2. Isso abrirá o assistente de instalação de função para o farm RDS.

Vue ensemble de la ferme RDS

Selecione o servidor 1 onde a função deverá ser instalada e clique em Próximo 2.

Sélectionner le serveur qui va avoir le rôle

Insira o nome do certificado SSL 1 (geralmente o nome da publicação na Internet) e clique em Avançar 2.

Création du certificat

Clique em Adicionar 1 para iniciar a instalação.

Confirmer le rôle

Aguarde durante a instalação…

Installation en cours...

Instalação concluída, clique em Fechar 1.

Installation terminée

Instalando o Remote Desktop Gateway Manager no Broker Server

Lembrete: todas as manipulações são realizadas a partir do servidor da corretora. Durante a instalação do RDS Gateway, o console de gerenciamento foi instalado no servidor de destino.

Abra um prompt de comando do PowerShell como administrador.

Digite a seguinte linha para instalar o console:

Install-WindowsFeature RSAT-RDS-GATEWAY

Compreendendo a função do Gateway de Área de Trabalho Remota

Para usar o gateway RDS com um certificado autoassinado, é necessário implantá-lo nas estações de trabalho clientes como uma autoridade de certificação raiz confiável.

Para funcionar, o gateway de desktop remoto utiliza 2 tipos de estratégias:

  • Políticas de autorização de conexão: definem quem pode se conectar ao gateway (usuários e estações), quais dispositivos serão redirecionados e o tempo de expiração da sessão.
  • Políticas de autorização de acesso a recursos: definem quem pode se conectar a quê.

Abra o console, em Gerenciador de Servidores, Ferramentas 1 / Serviços de Terminal 2 / Gerenciador de Gateway de Área de Trabalho Remota 3.

Ouvrir la console de Gestion

Clique em Conectar ao servidor gateway de área de trabalho remota 1. Na nova janela marque Servidor remoto 2, digite o nome do servidor onde a função está instalada 3 e clique em OK 4.

Connexion au serveur

Ao instalar a função, o assistente criou duas políticas 1, o que torna o gateway normalmente utilizável.

Aperçu de la console

Após adicionar um registro DNS para o farm RDS (rds.rdr-it.intra) e configurar o acesso do cliente com este registro, é necessário modificar a política de acesso a recursos ou adicionar um computador no Active Directory com este nome.

No menu Ações clique em Propriedades 1. Uma janela é aberta com diferentes guias disponíveis que permitem modificar as opções e o comportamento do serviço Remote Desktop Gateway.

Propriétés du rôle

Por padrão durante a instalação é criado um certificado SSL autoassinado, é possível modificá-lo na guia Certificado SSL ou no gerenciador do servidor na seção Serviços de Área de Trabalho Remota.

Políticas de autorização de conexão

No menu esquerdo, vá para a pasta Política de autorização de conexão 1. A partir daqui é possível ver e gerenciar as estratégias implementadas. Clique duas vezes na estratégia RDG_CAP_AllUsers 2.

Stratégie d'autorisation des connexions

Aba Geral: a partir daqui é possível alterar o nome da estratégia e se ela está ativada ou não marcando a caixa Habilitar esta estratégia.

Général

Aba Requisitos: definição da configuração do usuário para poder se conectar aos serviços do gateway. Pertencente a um grupo do usuário, este parâmetro é obrigatório. A outra configuração opcional, mas muito útil, para aumentar o nível de segurança é a associação ao grupo do computador. Ao definir esta opção é possível, por exemplo, impedir que um funcionário se conecte a partir do seu computador pessoal.

Configuration requise

Aba Redirecionamento de Dispositivos: para a configuração da coleta é possível definir quais dispositivos serão redirecionados através do gateway. As configurações de política têm precedência sobre as configurações de coleta. Ou seja, se as impressoras estiverem autorizadas na coleção e não autorizadas pelo gateway, durante uma conexão passando pelo gateway o usuário não terá as impressoras.

Redirection de périphériques

Políticas de autorização de acesso a recursos

No menu esquerdo, vá para a pasta Políticas de autorização de acesso a recursos 1. A partir daqui é possível ver e gerenciar as estratégias implementadas. Clique duas vezes na política RDG_AllDomainComputers 2.

Stratégies d'autorisation d'accès aux ressources

Aba Geral: a partir daqui é possível alterar o nome da estratégia e se ela está ativada ou não marcando a caixa Habilitar esta estratégia.

Général

Aba Grupos de Usuários: defina quem pode usar esta política.

Groupes d'utilisateurs

Guia Recursos de Rede: Ao que esta política permite acesso.

Ressource réseau

Aba Portas Autorizadas: se o acesso remoto à área de trabalho tiver sido configurado em uma porta diferente de 3389, ele deverá ser configurado aqui.

Configuração

Nesta parte, veremos como tornar o gateway utilizável para o farm RDS. Vários métodos e soluções estão disponíveis. Você deve escolher a melhor solução com base no seu ambiente e no nível de segurança desejado.

Método 1: permitir acesso a todos os recursos (não recomendado)

Abra a política RDG_AllDomainComputers e vá para a guia Recurso de rede 1, marque Permitir que os usuários se conectem a qualquer recurso de rede 2. Clique nos botões Aplicar 3 e OK 4.

Autoriser l'accès à tout

Explicação: este método autoriza o acesso a todos os computadores (mesmo fora do domínio) com a área de trabalho remota habilitada. Na produção não é recomendado usar esta solução.

Método 2: use a configuração padrão

Comme expliqué au début de ce tutoriel, l’utilisation d’un alias DNS pour les serveurs hôtes empêche la connexion à la fermer RDS du fait que l’ordinateur RDS (objet AD) n’existe pas.

Vá para o controlador de domínio, abra o console Usuários e Computadores do Active Directory e vá para a UO RDS 1.

Utilisateurs et ordinateurs Active Directory

Clique com o botão direito em OR 1, vá em Novo 2 e clique em Computador 3.

Ajouter un objet Ordinateur

Insira o Nome do Computador 1 que deve corresponder ao seu alias e clique em OK 2.

Configuration de l'objet

O computador é criado 1 e membro do grupo: Computadores no domínio 2.

Vérification de l'objet

Com esse método, as regras padrão funcionam com o farm RDS.

Explicação: Este método autoriza o acesso a todos os computadores do domínio. Adicionar um computador fictício permite que o gateway valide que o computador rds.rdr-it.intra faz parte do grupo AD e permite acesso.

Método 3: permitir acesso a um grupo do Active Directory limitado ao farm RDS

Pré-requisitos: ter concluído o procedimento do método 2.

Este método consiste em criar um grupo, no qual colocaremos os servidores RDS e declararemos na política de acesso aos recursos.

Retorne ao console Usuários e Computadores do Active Directory e vá para a UO RDS 1.

Utilisateurs et ordinateurs Active Directory

Clique no ícone 1 permitindo a criação de um grupo no container.

Ajouter un groupe

Insira o nome do grupo 1 e clique em OK 2.

Paramètres du groupe

Selecione os objetos Computadores 1 para adicionar ao grupo, clique com o botão direito e clique em Adicionar ao Grupo 2.

Ajouter les ordinateurs au groupe

Digite o nome do grupo 1 que acabou de ser criado e clique em OK 2.

Sélectionner le groupe

Clique em OK 1 para fechar a janela de confirmação.

Confirmation de l'action

Clique duas vezes no grupo 1, vá até a aba Membros 2 e verifique se os Computadores 3 foram adicionados.

Vérification des membres

Retorne ao console de gerenciamento do gateway, vá para a pasta Resource Access Authorization Policies 1 e clique duas vezes na política padrão 2.

Modifier la stratégie

Vá para a guia Recursos de rede 1 e clique em Procurar… 2.

Modifier les ressources

Insira o nome do grupo 1 e clique em OK 2.

Entrer le nom du groupe

Clique em Aplicar 1 e OK 2.

Valider les modifications

A mudança de grupo 1 é visível na visão geral da política.

Visualisation des modifications

Para usar RemoteApps de fora da rede (Internet), você deve adicionar o servidor intermediário ao grupo.

Método 4: usando grupos gerenciados por gateway

Este método equivale ao método 3 com uma diferença, os grupos utilizados para autorizações são gerenciados diretamente pelo gateway, o que permite adicionar computadores de fora do domínio ou de outro domínio sem relação de confiança.

No console de gerenciamento do gateway, vá para a pasta Políticas de autorização de acesso a recursos 1 e clique duas vezes na política padrão 2.

Modifier la stratégie

Vá para a guia Recursos de Rede 1, selecione a opção Selecionar ou criar um grupo gerenciado pelo Gateway de Área de Trabalho Remota 2 e clique em Procurar… 3.

Ressource réseau - groupe géré

Clique em Criar novo grupo… 1.

Ajouter un groupe

Insira o Nome do Grupo 1 e vá para a guia Recursos de Rede 2.

Nom du groupe

Insira o nome do servidor fqdn do servidor 1 e clique em Adicionar 2.

Déclarer les serveurs

Adicione todos os servidores host que compõem o farm RDS, bem como o alias 1 e clique em OK 2.

Serveur de la ferme

Selecione o grupo 1 que acabou de ser criado e clique em OK 2.

Sélectionner le groupe

Verifique se o grupo está selecionado 1, valide os servidores que o compõem 2 e clique em Aplicar 3 e OK 4.

Valider les parametres

A mudança de grupo 1 é visível na visão geral da política.

Stratégie modifiée

Assim como no método 3, se desejar usar RemoteApps de fora da rede, você deverá adicionar o servidor intermediário ao grupo.

Vá mais longe com o Remote Desktop Gateway

Agora implementaremos as políticas necessárias para permitir que os administradores acessem todos os recursos

Existem dois métodos para criar estratégias:

  1. Criação através do assistente que nos guiará na configuração de estratégias de conexão e recursos.
  2. Créer les deux stratégies séparément.

Neste tutorial, usaremos o assistente.

No console de gerenciamento, acesse a pasta Políticas 1 e clique em Criar políticas de autorização 2.

Ouvrir l'assistant de création

Marque a primeira opção 1 para criar as duas regras e clique em Próximo 2.

Choix du type de stratégie

Dê um nome 1 para a política de autorização de conexão e clique em Próximo 2.

Nom de la stratégie d'autorisation des connexions

Clique em Adicionar 1 para configurar um grupo.

Ajouter un groupe

Selecione o grupo Administradores de Domínio 1 e clique em OK 2.

Sélection du groupe

Para aumentar o nível de segurança, é possível adicionar um grupo de computadores. Clique em Próximo 1.

Passer à l'étape suivante

Ative ou desative o redirecionamento de dispositivo 1 e clique em Avançar 2.

Configuration de la redirection des périphériques

Configure os prazos das sessões 1 e clique em Próximo 2.

Délais des sessions

Um resumo da política é exibido, clique em Próximo 1 para passar para a política de acesso a recursos.

Résumé de la stratégie

Nomeie a política 1 e clique em Próximo 2.

Nommer la stratégie d'autorisation d'accès aux ressources

O grupo de membros já está definido, clique em Próximo 1.

Groupe à qui s'applique la stratégie

Selecione a opção Permitir que os usuários se conectem a qualquer recurso de rede (computador) 1 e clique em Avançar 2.

Ressources disponibles

Dependendo das portas utilizadas, adapte os parâmetros 1 e clique em Próximo 2.

Configuration des ports autorisés

Um resumo da política é exibido, clique em Concluir 1.

Résumé de la stratégie

As estratégias estão criadas, clique em Fechar 1.

Confirmation de création

Acesse a pasta que contém as políticas de autorização de conexão 1 e selecione a nova política 2.

Stratégie ajoutée dans la console

As políticas de conexão são lidas como regras de firewall de cima para baixo (Ordem). Ao selecionar uma estratégia, é possível modificar sua ordem utilizando o menu Ações à direita do console.

Concluímos a função Remote Desktop Gateway. Veremos agora o Gerenciador de licenças de serviços de área de trabalho remota.




Deixe um comentário