Configuration d’un serveur Remote Desktop Services Gateway dans Windows Server 2022, 2019 ou 2016

Introduction

Un serveur RDS Gateway est utile pour permettre un accès sécurisé à un environnement RDS pour les utilisateurs d’Internet.

Un serveur de passerelle RDS (Remote Desktop Services) utilise un certificat SSL pour chiffrer la communication entre les clients et les serveurs RDS.

IIS est utilisé pour l’authentification et pour configurer des stratégies afin de définir de manière granulaire les utilisateurs qui doivent avoir accès aux ressources. 

Ce guide suppose qu’un déploiement RDS (contenant les rôles Broker de connexion RDS, Licences et Hôtes de session) existe déjà.

Pour plus d’informations sur la configuration d’un déploiement RDS de base ou avancé, reportez-vous à l’article de la base de connaissances Dell 217251 Procédure - Déploiement de services bureau à distance standard - Étape par étape. Un autre article à consulter est l’article 215230 de la base de connaissances Installation et activation d’un hôte de session RDS sans broker de connexion (groupe de travail) - Windows Server 2022. 

Déployez le rôle de serveur de passerelle RD.

1. Sur l’ordinateur Windows Server qui héberge le rôle De broker de connexion pour le déploiement RDS, dans le Gestionnaire de serveur, cliquez sur Gérer , puis sur Ajouter des rôles et des fonctionnalités. Cliquez sur Suivant sur l’écran d’accueil.

2. Sélectionnez une installation basée sur les rôles ou les fonctionnalités , puis cliquez sur Suivant.
3. Sélectionnez le serveur cible pour le rôle de passerelle RD de ce déploiement, puis cliquez sur Suivant. Dans la capture d’écran ci-dessous, le serveur cible est « rdsfarm ». 
4. Dans l’écran Rôles, développez Services bureau à distance , puis cochez la case Passerelle Bureau à distance.

5. Cliquez sur Add Features (Ajouter des fonctionnalités ) pour installer les conditions préalables, puis sur Next (Suivant ) jusqu’à l’écran de confirmation, puis cliquez sur Install (Installer).

6. Attendez qu’il termine l’installation, puis cliquez sur Fermer.

7. De retour dans Server Managers of the Connection Broker, dans le nœud Remote Desktop Services, cliquez sur le cercle vert avec le signe plus au-dessus de la passerelle RD.

8. Sélectionnez le serveur configuré en tant que passerelle RD. Déplacez-le vers la droite, puis cliquez sur Suivant.

9. Saisissez le nom de domaine complet du serveur de passerelle RD. (Cette étape configure l’objet du certificat auto-signé créé par cet Assistant. Il ne s’agit pas du certificat utilisé dans ce guide.). Cliquez sur Next.

10. Cliquez sur Add (Ajouter ) pour confirmer l’ajout au déploiement, attendez qu’il termine l’installation du rôle, puis cliquez sur Close (Fermer).

Configurez le certificat.

11. Toujours dans le Gestionnaire de serveur, dans le Broker de connexion, sous Présentation du déploiement, cliquez sur Tâches , puis modifier les propriétés de déploiement.
      
    

12. Cliquez sur le nœud Certificats.

Important!
À des fins de test, il est possible d’utiliser un certificat auto-signé créé ici ou comme le certificat qui a été créé automatiquement précédemment dans l’Assistant. Toutefois, un environnement RDS de production doit être configuré pour utiliser un certificat provenant d’une autorité de certification publique ou de domaine de confiance.
Ce guide explique comment configurer un certificat provenant d’une autorité de certification publique de confiance. De cette façon, ce certificat n’a pas besoin d’être installé sur les ordinateurs clients.
 

13. Cliquez sur Sélectionner un certificat existant. Saisissez le chemin d’accès au certificat. Dans cette démo, le certificat a été copié à la racine du lecteur C :\ dans le contrôleur de domaine. Saisissez le mot de passe avec lequel il a été enregistré.

14. Cochez la case « Autoriser l’ajout du certificat au magasin de certificats autorités de certification racines de confiance sur les ordinateurs de destination », puis cliquez sur OK.

15. Notez l’état Prêt à appliquer dans l’écran de configuration du déploiement. Cliquez sur Appliquer.

16. Après quelques instants, l’écran indique que l’opération s’est terminée avec succès, et la colonne de niveau reconnaît le certificat comme étant « Approuvé ».

17. Cliquez sur le rôle Rd Web Access et répétez les étapes 13 à 16 pour le configurer. De cette façon, le même certificat est utilisé pour IIS. Cliquez sur OK pour quitter l’écran de configuration du déploiement.

Configurez une règle d’autorisation de connexion et une règle d’autorisation de ressource.

Pour que les utilisateurs puissent se connecter au déploiement à l’aide du serveur de passerelle RD, il est nécessaire de configurer un CAP et un RAP.

Une politique d’autorisation de connexion (CAP) vous permet de spécifier qui est autorisé à se connecter au serveur de passerelle RDS.

Une politique d’autorisation des ressources (RAP) vous permet de spécifier les serveurs ou les ordinateurs auxquels les utilisateurs autorisés ont accès.
 

18. Sur le serveur de passerelle RDS, ouvrez le Gestionnaire de serveur, cliquez sur Outils, Services Bureau à distance, puis Gestionnairede passerelle Bureau à distance.

19. Cliquez avec le bouton droit de la souris sur le nom du serveur (RDSFARM dans l’image), puis cliquez sur Propriétés.

20. Sous l’onglet Batterie de serveurs, ajoutez le nom du serveur de passerelle RD (là encore, RDSFARM dans l’image), puis cliquez sur Appliquer. 
    
    

21. Ignorez l’erreur liée à un répartiteur de charge. C’est normal. Cliquez sur OK, appliquez une fois de plus et l’état indique désormais OK.

22. Dans l’onglet Certificat SSL, il est possible d’afficher et de modifier la configuration du certificat du serveur de passerelle RD. Créez même un nouveau certificat auto-signé si nécessaire. Toutefois, tout cela a déjà été configuré dans le broker de connexion.

23. Cliquez sur OK pour quitter l’écran des propriétés.

24. Dans l’écran principal de RD Gateway Manager, développez le serveur, puis les stratégies.
     

25. Cliquez avec le bouton droit de la souris sur Règles d’autorisation de connexion, puis cliquez sur Créer une nouvelle stratégie , puis sur Assistant.

26. Sélectionnez Create an RD CAP and an RD RAP (recommended). Cliquez sur Next.

27. Saisissez un nom pour le CAP RD. Cliquez sur Next.

28. Cliquez sur Ajouter un groupe et saisissez le nom du groupe contenant les utilisateurs autorisés à se connecter. Les utilisateurs de domaine sont utilisés pour cette image de guide. Cliquez sur Next.

29. Conservez les valeurs par défaut dans les étapes Device Redirection (Redirection de périphérique) et Session Timeout (Délai d’expiration de session), en cliquant sur Next (Suivant) sur les deux écrans ainsi que dans l’écran Summary (Résumé), puis passez au RAP RD.

30. Saisissez un nom, puis cliquez sur Suivant. Conservez la valeur par défaut dans la section User Group (Groupe d’utilisateurs ), puis cliquez à nouveau sur Next (Suivant ).

31. Dans l’écran Ressource réseau , s’il existe un groupe Active Directory contenant les comptes d’ordinateur des serveurs hôtes de session de ce déploiement RDS, spécifiez-le. Sinon, sélectionnez l’option « Autoriser les utilisateurs à se connecter à n’importe quelle ressource réseau (ordinateur) ». Cliquez sur Next.

32. Conservez le port par défaut 3389 pour la communication entre la passerelle Intranet et les hôtes de session RDS. Cliquez sur Next.

33. Cliquez sur Terminer dans l’écran récapitulatif, puis sur Fermer.

Le serveur RDS Gateway est prêt à être placé au-delà du pare-feu, face aux utilisateurs d’Internet. Un utilisateur qui tente de se connecter aux hôtes de session RDS à partir d’un site à domicile ou d’un bureau distant sur Internet doit d’abord passer par ce serveur de passerelle RDS.

Connexion au déploiement

1. Pour vous connecter au déploiement RDS à l’aide de la passerelle RD nouvellement configurée, sur l’application Connexion Bureau à distance de la machine client, saisissez le nom de l’hôte de session RD ou de la machine cible.

2. Cliquez sur le bouton Afficher les options , sur l’onglet Avancé et, dans la section Se connecter depuis n’importe où , cliquez sur Paramètres.

3. Cliquez sur le bouton ratio Use these RD Gateway server settings et saisissez le nom DNS public de la passerelle RDS.

4. Cliquez sur OK et connectez-vous. Saisissez le nom d’utilisateur et le mot de passe du domaine du serveur de passerelle RD et de l’hôte de session cible. La connexion doit réussir.

Surveiller les connexions de la passerelle RD

Dans la machine RDS Gateway, dans RD Gateway Manager et sous Monitoring, les détails de connexion sont visibles.