Hola. En este video, demostraré los pasos necesarios para configurar un servidor de gateway de servicios de escritorio remoto. Un servidor de puerta de enlace de RDS es útil si desea permitir el acceso al entorno de RDS a los usuarios que están fuera del firewall corporativo. Un servidor de gateway de RDS utiliza SSL para cifrar la comunicación entre los clientes y los servidores RDS.
Esto es posible gracias a un certificado instalado en el servidor de puerta de enlace RDS que es de confianza para el dispositivo del usuario final. Otra parte del componente de gateway de RDS es IIS, que se utiliza para la autenticación. Gracias a IIS podemos crear ciertas políticas para definir de forma granular qué usuarios deben tener acceso a qué recursos. También mostraré eso más adelante en este video. En esta demostración, se supone que ya existe una implementación de RDS.
Si necesita más información sobre cómo configurar una implementación de RDS básica o avanzada desde cero, le sugiero que consulte los videos anteriores de esta serie. Aquí les muestro las máquinas virtuales que usaré. RDSlab-DC es una controladora de dominio. También tiene instalada la función de licenciamiento de RD. Todas las demás máquinas virtuales se unen al dominio alojado en esta controladora de dominio. 'RDSlab-CB' es el agente de conexión para el despliegue. "SH1" y "SH2" son los hosts de la sesión en la granja de servidores. A esta otra máquina virtual la llamé "RDSFarm" y es la máquina que configuraré como el servidor de gateway de RDS. También aloja la función de acceso web de RD. Creé este entorno de RDS con estas cinco líneas de PowerShell, que incluí en la descripción del video y que analicé en videos anteriores.
Por lo tanto, para configurar el servidor de puerta de enlace de RD, abriré la consola en la máquina virtual que aloja la función de agente de conexión para la implementación. Abra "Server Manager" y haga clic en el nodo "Remote Desktop Services". La sección servers muestra que todas las funciones están configuradas para esta implementación, excepto la función de gateway de RD. Es por eso que esta función aparece con un signo más verde aquí, en la sección Overview, lo que indica que está pendiente de implementación.
Para configurarla, primero agregue la función al servidor de destino. Haga clic en "Administrar" y, a continuación, en "Agregar funciones y características". Seleccione "Instalación basada en funciones o basada en funciones", seleccionaré el servidor de destino para la función de puerta de enlace de RD en esta implementación y, a continuación, haré clic en "Siguiente". Expanda "Servicios de escritorio remoto" y haga clic en la casilla de verificación "Gateway de escritorio remoto". Haga clic en "Agregar funciones" para instalar los requisitos previos, luego en "Siguiente" en la pantalla de confirmación y finalmente en "Instalar". Espere a que termine de instalarse y luego haga clic en 'Cerrar'. En el Administrador del servidor, si hago clic para actualizar la implementación, no hay cambios. Esto se debe a que los archivos binarios se han instalado, pero la implementación en sí no se ha configurado con un servidor de puerta de enlace de Escritorio remoto.
Entonces, para solucionarlo, haga clic en el signo más verde sobre 'RD Gateway' para iniciar el asistente. Seleccione el servidor que se configurará como puerta de enlace de RD, muévalo al lado derecho y, a continuación, haga clic en "Siguiente". Este asistente me pedirá que configure un certificado de autofirma y necesito ingresar el nombre de dominio calificado del sujeto en ese certificado aquí. Sin embargo, este no es el certificado que usaré para esta demostración. Por ahora, haga clic en 'Siguiente'. Haga clic en "Add" para confirmar la adición a la implementación. Espere a que termine de instalar la función y, a continuación, observe la advertencia que indica que se debe configurar un certificado, pero haga clic en close por ahora. Al actualizar la implementación una vez más, se muestra que ahora hay un servidor de puerta de enlace de RD presente en "Descripción general de la implementación", haga clic en "Tareas" y, luego, en "Editar propiedades de implementación". Tenga en cuenta que la sección "RD Gateway" se configuró automáticamente con algunos ajustes. Haga clic en el nodo "Certificados" y observe que no hay ningún certificado configurado para RD Web Access, ni los roles de puerta de enlace de RD. En primer lugar, haré clic en la función Gateway de RD. Aquí tenemos una opción para crear un nuevo certificado.
Para fines de prueba, es posible usar un certificado autofirmado creado aquí o similar al que se creó automáticamente anteriormente en el asistente. Para esta demostración, configuraré un certificado de una autoridad de certificación pública de confianza. De este modo, no es necesario instalar este certificado en los equipos cliente; Simplemente confiarán en él desde el primer momento. Entonces, haré clic en 'Select existing certificate' aquí. Necesito ingresar la ruta al certificado. Para esta demostración, lo copié en la raíz de la unidad C en el controlador de dominio. A continuación, ingresaré la contraseña con la que se guardó, haré clic para marcar esta casilla de verificación 'Permitir' y, a continuación, haré clic en 'Aceptar'. Observe el estado "Listo para aplicar" en la pantalla de configuración de la implementación.
Entonces, hagamos clic en 'Aplicar'. Después de unos momentos, la pantalla muestra que la operación se completó correctamente y la columna de nivel reconoce el certificado como de confianza. Si estuviera usando un certificado autofirmado, se mostraría de manera diferente. Aplicaríamos el certificado, pero se mostraría como no confiable y tendría que copiar ese certificado en las computadoras cliente y, a continuación, instalarlo. Este es uno de los principales beneficios de usar un certificado de autoridad de certificación pública o basado en dominio, como es el caso en esta demostración. Al hacer clic aquí en 'Ver detalles', se muestra el asunto del certificado, que resulta ser el nombre de host de Windows de la máquina virtual de RD Gateway. Repetiré estos pasos para la función de acceso web de RD, de esa manera se usa ese mismo certificado para IIS. A continuación, haga clic en "OK" para salir de la pantalla de configuración de la implementación.
Eso es todo lo que tenemos que hacer en el corredor de conexión. El siguiente paso es configurar una política de autorización de conexión y una política de autorización de recursos. Hablaré más sobre esto a medida que los creo. Ahora cambiaré a la máquina virtual de la gateway de RDS. Abra el Administrador del servidor, haga clic en "Herramientas", "Servicios de escritorio remoto" y, luego, en "Administrador de puerta de enlace de escritorio remoto". En primer lugar, ajustaremos las propiedades del servidor en la pestaña "Server Farm". Agreguemos este servidor de gateway de RD y hagamos clic en "Apply".
Se espera este error sobre un balanceador de carga. No estoy equilibrando la carga del servicio RD Gateway en esta demostración, es solo un servidor RD Gateway, así que simplemente haga clic en 'OK', 'Apply' una vez más y el estado se muestra ahora como 'OK'. En la pestaña 'Certificado SSL' puedo ver y realizar cambios en la configuración del certificado del servidor RD Gateway, incluso crear un nuevo certificado de autofirma si lo necesito. Sin embargo, todo esto ya se ha configurado en el agente de conexión, por lo que haré clic en 'Aceptar' para salir de la pantalla de propiedad. De vuelta en la pantalla principal de RD Gateway Manager, expandiré el servidor y luego 'Políticas'.
Hay dos tipos de políticas en este contexto, como se muestra aquí: "Políticas de autorización de conexión" le permiten especificar quién puede conectarse a este servidor de puerta de enlace RDS, mientras que las "Políticas de autorización de recursos" le permiten especificar a qué servidores o computadoras tendrán acceso los usuarios autorizados. En pocas palabras, una política es para quién tendrá acceso y la otra para qué tendrá acceso. Haga clic con el botón secundario en "Políticas de autorización de conexión", haga clic en "Crear nueva política" y, luego, en "Asistente". Puede crear la política por separado, pero seguiré la opción recomendada aquí, que es crear la política de autorización de conexión a escritorio remoto y la política de autorización de recursos de escritorio remoto en el mismo asistente y hacer clic en "Siguiente". Ingrese un nombre para el RD CAP, haga clic en "Siguiente", haga clic en "Agregar grupo" y, a continuación, ingrese el nombre del grupo que contiene los usuarios que podrán conectarse. Ingresaré 'Usuarios de dominio' para esta demostración y luego haré clic en 'Siguiente'. Dejo los valores predeterminados en los pasos 'Redirección de dispositivo' y 'Tiempo de espera de sesión' haciendo clic en 'Siguiente' en ambas pantallas, así como en la pantalla de resumen, y luego continúo con la Política de autorización de recursos de RD. Ingrese un nombre y haga clic en "Siguiente".
Deje el valor predeterminado en la sección "Grupos de usuarios" y, a continuación, haga clic en "Siguiente". Nuevamente, aquí en la pantalla 'Recurso de red', si tuviera un grupo de Active Directory que contuviera las cuentas de computadora de los servidores host de sesión de esta implementación de RDS, podría especificar. Sin embargo, para esta demostración, solo elegiré la opción 'Permitir que los usuarios se conecten a cualquier recurso de red o computadora' y luego haré clic en 'Siguiente'. Dejaré el valor predeterminado del puerto 3389 para la gateway de Internet para la comunicación de los hosts de la sesión RDS y, a continuación, haré clic en "Siguiente". Haga clic en "Finalizar" en la pantalla de resumen y, a continuación, haga clic en "Cerrar". Por lo tanto, en este punto, este servidor de puerta de enlace RDS está listo para colocarse más allá del firewall, de cara a los usuarios de Internet. Un usuario que intente conectarse a los hosts de sesión de RDS desde una ubicación de hogar u oficina remota a través de Internet tendría que pasar primero por este servidor de gateway de RDS.
Mostraré aquí, en esta computadora cliente conectada a Internet a través de un enlace que está completamente separado del del servidor de puerta de enlace de RD, cómo un usuario remoto necesitaría configurar la conexión en la aplicación Remote Desktop Connection. Primero, ingresaré el nombre del host de la sesión de RD. Recordemos que este host de sesión no está orientado a Internet, así que haga clic en el botón 'Show Options', en la pestaña 'Advanced' y en la sección 'Connect from anywhere'. Haga clic en 'Configuración'. Haga clic en el botón de opción "Usar la configuración del servidor de esta puerta de enlace RD" e ingrese el nombre DNS público de la puerta de enlace RDS.
Para que esto funcione, este nombre DNS público debe resolverse como la dirección IP pública asignada a la máquina de gateway de RDS. Esto es algo que se debe configurar en los ajustes del servicio DNS público en uso. También haré clic para desmarcar 'Omitir la puerta de enlace de RD para direcciones locales' y para marcar usar mis credenciales de puerta de enlace de RD para la computadora remota, ya que son las mismas credenciales para ambas máquinas. A continuación, haga clic en "Aceptar" y "Conectar". Ingrese el nombre de usuario y la contraseña del dominio y veremos que la conexión se realizó correctamente. Tenga en cuenta que no fue necesario instalar ningún certificado en la máquina cliente.
No había ningún mensaje ni advirtiéndonos sobre la confianza en la máquina a la que el cliente quería conectarse. Esto se debe a que el certificado que estamos utilizando es de una autoridad de certificación pública de confianza. De vuelta en la máquina RDS Gateway en RD Gateway Manager y en 'Monitoreo' podemos ver los detalles de conexión. Además, en el Visor de eventos del registro operativo de la puerta de enlace de Terminal Services, observe una serie de eventos que documentan los pasos. El evento 312 muestra la conexión iniciada desde la computadora del cliente El evento 200 muestra que las credenciales utilizadas cumplieron con la política de autorización de conexión. El evento 300 muestra que también se cumplió la política de autorización de recursos, por lo tanto, el acceso está autorizado y, por último, el evento 302 muestra que la conexión se realiza correctamente y que el protocolo de conexión es HTTP.
Esto se debe a que el tráfico entre el cliente y el gateway de RDS se produce a través de HTTPS, que utiliza el cifrado para la comunicación segura. Si la máquina de la puerta de enlace de RDS está detrás de un firewall o un dispositivo de red, el único puerto que se debe permitir la entrada es el 443. Esto es lo que hice en el dispositivo enrutador utilizado para esta demostración. Se acaba de configurar para reenviar el puerto 443 a la máquina del gateway de RDS. Por lo tanto, esta ha sido una demostración sobre cómo integrar un servidor de puerta de enlace RDS a una implementación estándar de Servicios de Escritorio Remoto, para permitir un acceso cifrado seguro desde un hogar o una ubicación pública de Internet.
Espero que os sea de utilidad, y muchas gracias por vernos.
