Blog de David LACHARI

A la decouverte des technologies Server 2008

A la conquête de la Remote Desktop Gateway …

Remote Desktop Gateway …   Qu’est ce que cela peut bien être ?

En lisant le titre du post, vous vous êtes surement posez la question … 

Rassurez-vous, il s’agit tout simplement du nouveau nom donné par Microsoft à la Gateway des services Terminal Services.

En effet, dans Windows Server 2008 R2, prochain système d’exploitation serveur x64, les services Terminal Services sont renommés en Remote Desktop Services (RDS).

Très bien ! Mais cela ne nous explique toujours pas son fonctionnement …

 

 

La Remote Desktop Gateway (RD Gateway) est un nouveau rôle de service permettant à des comptes utilisateurs autorisés d’établir des sessions Remote Desktop Protocol (RDP) via une connexion Internet.

Ainsi, les Remote Desktop clients pourront accéder aux ressources, situées derrière un pare-feu, d’un réseau privé d’entreprise.

Les connexions RDP à la Gateway sont sécurisées et encryptées par le protocole Secure Sockets Layer (SSL), port généralement ouvert sur les pare-feu pour les trafics SSL.

Encore un port en moins à ouvrir sur votre pare-feu …

Les accès à la Gateway et aux ressources sont contrôlés par trois fonctionnalités requises :

  • Un serveur d’authentification
  • Une stratégie CAP (Connection Authorization Policies)
  • Une stratégie RAP (Ressource Authorization Policies)              

 

 

Cet article a pour but de vous faire découvrir cette fonctionnalité de Windows Server 2008 R2 de son implémentation à sa configuration.

 

 

 


1. Les pré-requis nécessaires à l’implémentation

  • Un contrôleur de domaine Windows Server 2008 R2
  • Une autorité de certification
  • Un serveur membre du domaine hébergeant la RD Gateway

     Le scénario mis en place pour le déploiement de la Remote Desktop Gateway est
     l’implémentation de celle-ci sur le réseau interne de l’entreprise.

 

Untitled

 

 

 

 

2. Installation du rôle RD Gateway

    Avant de commencer le processus d’installation et de configuration, il est préférable que
    votre infrastructure dispose d’une autorité de certification et d’un Remote Desktop Server
    configurés.

    C’est parti pour le processus d’installation !

    La Remote Desktop Gateway peut s’installer de deux façons différentes. En fonction de
    vos affinités, vous choisirez celle qui vous convient le mieux …

 

  • Pour les scripteurs fous, l’installation peut s’effectuer via un script en utilisant l’outil servermanagercmd.exe.

Install_bat

 

  • Pour les adeptes du Suivant ou les fainéants, l’installation peut s’effectuer par la célèbre interface graphique chère à notre cœur.

 

          En ce qui me concerne, je serai d’humeur fainéante aujourd’*** … Je resterai donc
          fidèle a mon amie l’interface graphique.

  • Ouvrir la console Gestionnaire de Serveur

          -  Sélectionner le rôle Remote Desktop Services
          -  Faire un click droit
          -  Sélectionner Add Role Services

Server Manager

 

 

  • Sélectionner le service de rôle RD Gateway (ça peut être pratique pour l’utiliser …)

Server Manager 3

         Un message apparaît alors vous demandant d’ajouter des rôles de services requis
         pour l’installation de la Gateway.

         Cliquer sur Ajouter pour installer le serveur Web IIS

 

 

  • Choisir votre certificat SSL

          Pour rappel, la RD Gateway utilise le protocole Secure Sockets Layer (SSL) pour
          communiquer avec les clients afin d’encrypter le trafic réseau.

Server Authentication Certificate

 

 

  • Les stratégies d’autorisation pour la passerelle Remote Desktop permettent de spécifier les utilisateurs habilités (stratégie CAP) à se connecter à la Gateway.

          Il est également possible de spécifier les ressources autorisées (stratégie RAP)
          auxquelles les utilisateurs auront accès.

Authorization Policies

 

 

  • Sélectionner les utilisateurs ou groupes autorisés à se connecter à la Gateway

          En ce qui me concerne, j’ai préféré créé un groupe de domaine local regroupant
          l’ensemble de mes utilisateurs autorisés à se connecter à ma Gateway :

          DS_Users_Gateway

User Groups

 

 

  • Entrer le nom de la stratégie RD CAP pour votre Gateway et préciser le type d’authentification par lequel les utilisateurs se connecteront :

          - RD Gateway CAP 
          - Authentification par mot de passe

Create CAP

 

 

  • Entrer le nom de la stratégie RD RAP pour votre Gateway et préciser les comptes d’ordinateurs sur lesquels les utilisateurs pourront se connecter :

          - RD Gateway RAP 
          - Le groupe DS_Computers_Allow dans lequel j’ai mis mes comptes ordinateur  

Create RAP

 

 

  • L’assistant propose d’installer un serveur NPS (Network Policy Server). Celui-ci permet de créer des stratégies d’accès aux ressources internes d’un réseau d’entreprise.

NPS

 

 

  • Une série de click sur Suivant est obligatoire jusqu’à la finalisation de l’installation

Installation Results

 

 

  • Une fois l’installation terminée, il est préférable de vérifier que votre passerelle soit correctement démarrée dans les services associés :

RD Gateway Services

  L’installation de la Remote Desktop Gateway est enfin terminée … Une chose de faite !

 

 

 

 

3. Disposer d’un nom pour la Gateway externe

    Le but de la Remote Desktop Gateway est de permettre à un utilisateur autorisé de se
    connecter aux ressources d’un réseau privé d’entreprise, de manières sécurisées, aussi  
    bien en interne qu’en externe.

    En revanche, la Gateway n’accepte qu’un seul nom de certificat. Par conséquent, il vous
    sera difficile de faire la différence entre une connexion interne ou externe.

    Mon collègue Benoit SAUTIERE a publié un excellent post permettant au certificat de la
    passerelle de disposer d’un nom externe différent du nom interne.

    Je vous recommande très fortement de lire son article qui est fort instructif …

    Petit clin d’œil à mon magicien !

 

 

 

 

4. Créer les stratégies d’autorisation de connexions et d’accès aux ressources

    Avant de partir dans des interminables Suivant et click droit, faisons un petit rappel sur
    les différentes stratégies à mettre en place sur la console de gestion de la passerelle.

    Disposer d’une passerelle totalement paramétrée et sécurisée serait préférable …

  •     RD CAPs

              Les stratégies CAP (Connection Authorization Policies) permettent de spécifier
              quel utilisateur peut se connecter à la RD Gateway.

              Il est également possible de spécifier un groupe d’utilisateurs existant sur le
              serveur local RD Gateway ou dans un domaine Active Directory.

 

  •     RD RAPs

              Les stratégies RAP (Connection Authorization Policies) permettent de spécifier
              sur quelles ressources, du réseau interne, les utilisateurs peuvent accéder à
              travers la passerelle.

 

 

    Créer une stratégie CAP

    Si nous faisons un retour vers le passé, lors de l’installation de la Gateway, il était
    possible de nommer une stratégie d’autorisation de connexion.

    Je l’avais appelé RD Gateway CAP. Il ne me restait plus qu’à la paramétrer sur la
    console de gestion de la passerelle après l’installation.

    Mais pourquoi faire simple quand on peut faire compliquer ! Qui a dit que nous allions
    chaumer aujourd’*** ?
    Nous allons paramétrer une nouvelle CAP …

    Pour notre première stratégie (notre bébé), nous allons en créer une vierge (alélouyah) en
    ouvrant la console RD Gateway Manager.

 

RD Gateway Manager

 

 

    Lors de la création de notre stratégie d’autorisation de connexion, l’assistant nous
    propose trois options :

  1. Créer une stratégie d’autorisation CAP et une stratégie d’accès RAP simultanément
  2. Créer une stratégie d’autorisation de connexion seulement
  3. Créer une stratégie d’accès aux ressources seulement

Wizard creation CAP

     Nous allons opté pour l’option 2 … 

     Bien évidement, il est tout à fait possible de créer une stratégie CAP et RAP en même
     temps dans l’assistant : il s’agit de l’option 1.

     Assez parlé ! Reprenons notre processus de création …

 

 

     Indiquer le nom de votre stratégie :

RD CAP

 

 

     Indiquer le mode d’authentification souhaité ainsi que les utilisateurs autorisés à se
     connecter à la passerelle :

RD CAP 2 
     Il est également possible d’ajouter des comptes ordinateurs autorisés à se connecter à
     la passerelle.

 

 

     Indiquer si vous autorisez ou refusez l’accès aux matériels local et ressources lors de
     l’établissement d’une session distante au serveur :

RD CAP 3 

 

 

     Indiquer le temps d’inactivité ainsi que la durée de vie maximale d’une session :

RD CAP 7

     Le paramètre " idle timeout " indique le temps pendant lequel une session reste
     inactive avant d’être déconnectée.

     En cas de non configuration de ce paramètre, la valeur par défaut est de 30 minutes.

     Il est important de préciser que cette option n’existait pas sous Windows Server 2008.

 

 

     La création de votre stratégie d’autorisation de connexion est terminée !

RD CAP 5

 

 

 

    Créer une stratégie RAP

    Le processus de création d’une stratégie d’accès aux ressources d’un réseau privé
    d’entreprise se réalise de la même manière qu’une stratégie d’autorisation de connexion.

    Ne vous inquiétez pas ! Je vais tout de même vous montrer les étapes importantes pour
    paramétrer une belle stratégie …

 

    Indiquer le nom de votre stratégie :

RD RAP 

 


     Indiquer les utilisateurs autorisés à accéder aux ressources de l’entreprise :

RD RAP 2

 

 

     Indiquer les ressources réseau sur lesquelles les utilisateurs ont le droit d’accéder :

     Trois options s’offrent à vous pour spécifier les ressources disponible aux utilisateurs
     distants :  

  • Sélectionner groupe faisant parti d’un domaine Active Directory
  • Sélectionner un groupe d’ordinateurs existant gérés par la passerelle ou en créer un
  • Autoriser les utilisateurs à se connecter à n’importe quelle ressource réseau

RD RAP 3

 

 

     Les connexions RDP à la Gateway sont sécurisées et encryptées par le protocole
     Secure Sockets Layer (SSL), port 3389 généralement ouvert sur les pare-feu pour les
     trafics SSL.

     Par mesure de sécurité, il est préférable d’autoriser les connexions à travers le port
     indiqué ci-dessus.

RD RAP 4

 

 

     La création de votre stratégie d’accès aux ressources est terminée !

RD RAP 5

 

 

 

 

 

5.  Gérer les connexions clients par GPOs

     Il existe trois GPOs (Group Policy Object) permettant de centraliser, simplifier la
     gestion et l'administration des stratégies de la passerelle liées aux connexions clients.

 

     Les paramètres permettant de gérer la stratégie sont de type utilisateur et ordinateur. 
    
     Stratégie Utilisateur :

     Configuration utilisateur / Modèles d’administration / Composants Windows /
     Services Terminal / TS Gateway

     Stratégie Ordinateur :

     Configuration ordinateur / Modèles d’administration / Système / Délégation de
     Crédentiels 

     Configuration ordinateur / Paramètres Windows / Paramètres de sécurité /
     Stratégies de clé publique / Autorités de certification racine approuvées

 

 

    Configuration de la stratégie Utilisateur

  1. Paramétrer la méthode d’authentification

          Cette stratégie permet de spécifier quelle méthode d’authentification les utilisateurs
          devront utiliser lors de la connexion au serveur RD via la passerelle.

          Il existe trois méthodes d’authentification :

          - protocole NTLM (Network LAN Manager)
          - protocole basique
          - utiliser les crédentiels d’ouverture de session
          - utiliser une smart-card

                                
  • Ouvrir la console de Gestion des Objets de Stratégies de Groupes (gpmc.msc)

GPMC 

 

  • Ouvrir le paramètre " Définir la méthode d’authentification de la TS Gateway "

Authentication 2 
     Les utilisateurs utiliseront la méthode d’authentification NTLM pour établir des sessions
     à la passerelle.

 

 

 

     2.  Paramétrer la connexion via une passerelle TS

          Cette stratégie permet de connecter les clients Remote Desktop aux ressources
          réseau via la passerelle quand ceux-ci ne peuvent pas se connecter directement aux
          ressources du réseau d’entreprise.

Connexion 

 

 

     3.  Définir l’adresse du serveur de la RD Gateway

          Cette stratégie permet de spécifier le nom de domaine pleinement qualifié (FQDN)
          du serveur de la passerelle.

          ATTENTION !  Le nom doit correspondre au nom apparaissant dans le certificat SSL
          utilisé pour le serveur de la passerelle.

Adresse RDG

 

 

 

    Configuration de la stratégie Ordinateur

  1. Paramétrer l’authentification SSO

          Le processus SSO (Single-Sign-On) permet de centraliser l’authentification afin de
          permettre à l’utilisateur d’accéder à toutes les ressources autorisées du réseau en
          étant identifié une seule fois.

          Le but du SSO est donc de propager les crédentiels de l’utilisateur aux services
          réseau afin de ne pas être obligé de retaper maintes et maintes fois un mot de
          passe.

 

          Ouvrir la stratégie " Autoriser la délégation d’informations d’identification "
          située à l’emplacement :

          Configuration ordinateur / Modèles d’administration / Système / Délégation
          de Crédentiels 

 

Delegating credentials 


         En activant cette stratégie, il est possible de spécifier les serveurs sur lesquels la
         délégation d’informations d’identification est autorisée.

         Pour cela, il suffit d’ajouter les serveurs désirés à la liste en cliquant sur Policy 

 

         Il est possible de spécifier sur quels serveurs du domaine la délégation de
         crédentiels doit être effectuée :

         -  toutes les machines exécutant les services Remote Desktop
         -  une seule machine exécutant les services Remote Desktop

TERMSRV

        En paramétrant ma stratégie telle quelle, je précise que l’authentification SSO sera
        appliquée sur l’ensemble des machines de mon domaine exécutant les services
        Remote Desktop.

 

 

 

     2.  Paramétrer l’importation et l’installation du certificat  

          Afin d’envoyer les crédentiels utilisateur de façon sécurisée, le compte ordinateur
          client doit tout d’abord vérifier et approuver l’identité du serveur RD Gateway.

          Pour cela, le client doit approuver le certificat racine du serveur. Pour se faire, nous
          l’importerons par GPO.

 

          L’assistant d’importation de certificat s’affiche :

Certificate Import

 

          Spécifier l’emplacement du certificat :

Certificate Import 2

 

          L’importation de votre certificat est terminé :

Certificate Import 4

 

          Notre importation s’est déroulée avec succès et le certificat est installé dans le
          magasin des autorités de certification racine approuvées :

GPMC Root Certificate

 

 

 

 

 

6. A la conquête de la Remote Desktop Gateway … 

    Notre installation et paramétrage enfin terminés, nous allons pouvoir nous connecter à la
    passerelle en utilisant le client du bureau à distance (mstsc).

    Pour information, il faut disposer du client RDP 6.0 minimum pour pouvoir établir une
    session sur la passerelle.

    Pour pouvoir établir une session sur celle-ci, je me suis logué sur une machine du
    domaine avec un compte utilisateur autorisé à se connecter au serveur hébergeant la
    Gateway.

    Pour vérifier que la stratégie se soit bien appliquée, il suffit de cliquer sur l’onglet Avancé
    du bureau à distance et de sélectionner le bouton Paramètres.

    En lançant le client RDP, nous pouvons nous apercevoir que notre compte utilisateur a
    bien pris en compte la stratégie paramétrant notre passerelle :

 

Client RDP 

 

    Nous allons pouvoir nous connecter à notre chère et tendre passerelle …

    Dans l’onglet Général de notre client RDP, renseigner :

    -  le nom de domaine pleinement qualifié (FQDN) de votre passerelle 
    -  le login de votre utilisateur 

 

Client RDP 2


 

    Il vous faut renseigner vos crédentiels utilisateurs :

Client RDP 3

 

Vous voilà enfin connecté au serveur Remote Desktop gérant la passerelle !

Vous avez bien travaillé …  Je pense qu’une augmentation de salaire n’est pas de refus !

 

 

 

Désormais, la Remote Desktop Gateway n’aura plus de secrets pour vous ! Vous pourrez l’implémenter et la paramétrer correctement au sein de votre réseau d’entreprise.

Ce nouveau rôle de serveur implémenté dans Windows Server 2008 et Windows Server 2008 R2 permettra à vos utilisateurs d’accéder de façon sécurisée aux ressources réseau de votre entreprise que ce soit en interne ou en externe.

Afin d’agrémenter un peu plus la sécurité au niveau de votre passerelle, il est tout à fait possible de mettre en place une architecture NAP (Network Access Protection).

La Gateway de Microsoft a encore de beaux jours devant elle … même si Direct Access pointe le bout de son nez …

 

 

David LACHARI - Le savoir ne vaut que s’il est partagé …

Share this post:                                       
Posted: Jun 23 2009, 11:16 PM by David LACHARI | with 3 comment(s) |
Filed under: ,

Comments

BenoitS said:

Bonsoir, pour être totalement dans le move de Windows Server 2008 R2, il aurrait fallu un peu de Powershell comme du Add-WindowsFeature pour installer le rôle.

Ca m'en fera un de moins à faire

BenoîtS - Simple by Design

# June 23, 2009 5:55 PM

Mayki said:

Salut David,

Super post!

Bon courage et peut être à un de ces jours...

Le savoir ne vaut que s'il est partagé ;)

Amic,

Michaël BERTUIT

# June 24, 2009 3:18 PM

David LACHARI said:

PowerShell 2.0 , nouvelle version de l’outil intégrée dans Windows Server 2008 R2, permet d’automatiser

# February 28, 2010 12:34 PM