Cómo configurar un servidor de puerta de enlace de servicios de escritorio remoto en Windows Server 2022, 2019 o 2016

Introducción

Un servidor de puerta de enlace de RDS es útil para permitir el acceso seguro a un entorno RDS para los usuarios de Internet.

Un servidor de gateway de servicios de escritorio remoto (RDS) utiliza un certificado SSL para cifrar la comunicación entre los clientes y los servidores RDS.

IIS se utiliza para la autenticación y para configurar políticas con el fin de definir de manera granular qué usuarios deben tener acceso a qué recursos. 

En esta guía se supone que ya existe una implementación de RDS (que contiene las funciones Rds Connection Broker, Licensing y Session Hosts).

Para obtener más información sobre la configuración de la implementación básica o avanzada de RDS, consulte el artículo de la base de conocimientos de Dell 217251 Cómo: implementación de servicios de escritorio remoto estándar: paso a paso. Otro artículo para ver es el artículo de la base de conocimientos 215230 Instalar y activar un host de sesión de RDS sin un agente de conexión (grupo de trabajo): Windows Server 2022. 

Implemente la función de servidor de puerta de enlace de RD.

1. En el equipo con Windows Server que aloja la función Agente de conexión para la implementación de RDS, en administrador del servidor, haga clic en Administrar y, a continuación, en Agregar funciones y características. Haga clic en Next (Siguiente) en la pantalla de bienvenida.

2. Seleccione una instalación basada en funciones o en funciones y haga clic en Siguiente.
3. Seleccione el servidor de destino para la función de puerta de enlace de RD de esta implementación y haga clic en Siguiente. En la captura de pantalla debajo del servidor de destino, aparece "rdsfarm". 
4. En la pantalla Funciones, expanda Servicios de escritorio remoto y haga clic en la casilla de verificación Puerta de enlace de escritorio remoto .

5. Haga clic en Agregar funciones para instalar los requisitos previos y, a continuación, en Siguiente hasta la pantalla de confirmación y, a continuación, haga clic en Instalar.

6. Espere a que termine de instalar y, a continuación, haga clic en Cerrar.

7. De vuelta en Administradores de servidores del agente de conexión, en el nodo Servicios de escritorio remoto, haga clic en el círculo verde con el signo más sobre la puerta de enlace de RD.

8. Seleccione el servidor que está configurado como puerta de enlace de RD. Muévalo al lado derecho y haga clic en Siguiente.

9. Ingrese el FQDN del servidor de puerta de enlace de RD. (Este paso configura el asunto en el certificado autofirmado creado por este asistente. Este no es el certificado que se utiliza en esta guía). Haga clic en Next (Siguiente).

10. Haga clic en Agregar para confirmar la adición a la implementación, espere a que termine de instalar la función y, a continuación, haga clic en Cerrar.

Configure el certificado.

11. Aún en el Administrador del servidor, en El agente de conexión, en Descripción general de la implementación, haga clic en Tareas y, a continuación, en Editar propiedades de implementación.
      
    

12. Haga clic en el nodo Certificados.

¡Importante!
Para fines de prueba, es posible usar un certificado autofirmado creado aquí o como el certificado que se creó automáticamente anteriormente en el asistente. Sin embargo, se debe configurar un ambiente rds de producción para usar un certificado de una autoridad de certificación pública o basada en dominio de confianza.
En esta guía se muestra cómo configurar un certificado de una autoridad de certificación pública de confianza. De esa manera, no es necesario instalar este certificado en las computadoras cliente.
 

13. Haga clic en Seleccionar un certificado existente. Ingrese la ruta al certificado. En esta demostración, el certificado se copió a la raíz de la unidad C:\ en la controladora de dominio. Ingrese la contraseña con la que se guardó.

14. Haga clic para marcar la casilla de verificación "Permitir que el certificado se agregue al almacén de certificados autoridades de certificación raíz de confianza en los equipos de destino" y haga clic en Aceptar.

15. Observe el estado Listo para aplicar en la pantalla de configuración de la implementación. Haga clic en Aplicar.

16. Después de unos momentos, la pantalla muestra que la operación se completó correctamente y la columna level reconoce el certificado como "Trusted".

17. Haga clic en la función de acceso web de RD y repita los pasos 13 a 16 para configurarla. De esa manera, se utiliza el mismo certificado para IIS. Haga clic en Aceptar para salir de la pantalla de configuración de la implementación.

Configure una política de autorización de conexión y una política de autorización de recursos.

Antes de que los usuarios puedan conectarse a la implementación mediante el servidor de gateway de RD, es necesario configurar un CAP y un RAP.

Una política de autorización de conexión (CAP) le permite especificar quién puede conectarse al servidor de gateway de RDS.

Una política de autorización de recursos (RAP) le permite especificar a qué servidores o computadoras tienen acceso los usuarios autorizados.
 

18. En el servidor de la puerta de enlace de RDS, abra Administrador del servidor, haga clic en Herramientas, Servicios de escritorio remoto y, a continuación, administrador de puerta de enlace de escritorio remoto.

19. Haga clic con el botón secundario en el nombre del servidor (RDSFARM en la imagen) y, a continuación, haga clic en Propiedades.

20. En la pestaña Granja de servidores, agregue el nombre del servidor de gateway de RD (nuevamente, RDSFARM en la imagen) y haga clic en Aplicar. 
    
    

21. Ignore el error acerca de un balanceador de carga. Se espera. Haga clic en Aceptar, Aplicar una vez más y el estado ahora se muestra En buen estado.

22. En la pestaña Certificado SSL, es posible ver y cambiar la configuración del certificado del servidor de gateway de RD. Incluso cree un nuevo certificado autofirmado si es necesario. Sin embargo, todo esto ya se configuró en el agente de conexión.

23. Haga clic en Aceptar para salir de la pantalla propiedades.

24. Vuelva a la pantalla principal del administrador de puerta de enlace de RD, expanda el servidor y, a continuación, las políticas.
     

25. Haga clic con el botón secundario en Políticas de autorización de conexión y, a continuación, haga clic en Crear nueva política y, a continuación, en Asistente.

26. Seleccione Create an RD CAP and an RD RAP (recommended). Haga clic en Next (Siguiente).

27. Ingrese un nombre para el CAP de RD. Haga clic en Next (Siguiente).

28. Haga clic en Agregar grupo e ingrese el nombre del grupo que contiene los usuarios que pueden conectarse. Los usuarios de dominio se utilizan para esta imagen de guía. Haga clic en Next (Siguiente).

29. Deje los valores predeterminados en los pasos Device Redirection (Redireccionamiento del dispositivo ) y Session Timeout (Tiempo de espera agotado de sesión), haga clic en Next (Siguiente) en ambas pantallas y en la pantalla Summary (Resumen ) y, a continuación, continúe con RD RAP.

30. Ingrese un nombre y haga clic en Siguiente. Deje el valor predeterminado en la sección Grupo de usuarios. Haga clic en Siguiente nuevamente.

31. En la pantalla Recurso de red , si hay un grupo de Active Directory que contiene las cuentas de computadora de los servidores de hosts de sesión de esta implementación de RDS, especifíquelo. De lo contrario, seleccione la opción "Permitir que los usuarios se conecten a cualquier recurso de red (equipo)". Haga clic en Next (Siguiente).

32. Deje el puerto predeterminado de 3389 para la comunicación de gateway de intranet a hosts de sesión de RDS. Haga clic en Next (Siguiente).

33. Haga clic en Finish (Finalizar) en la pantalla summary (Resumen) y luego en Close (Cerrar).

El servidor de gateway de RDS está listo para colocarse más allá del firewall, frente a los usuarios de Internet. Un usuario que intenta conectarse a los hosts de sesión de RDS desde una ubicación de oficina remota o doméstica a través de Internet debe pasar primero por este servidor de gateway de RDS.

Conectarse a la implementación

1. Para conectarse a la implementación de RDS mediante la puerta de enlace de RD recién configurada, en la aplicación Conexión a escritorio remoto de la máquina cliente, ingrese el nombre del host de sesión de RD o la máquina de destino.

2. Haga clic en el botón Mostrar opciones , en la pestaña Opciones avanzadas y, en la sección Conectar desde cualquier lugar , haga clic en Configuración.

3. Haga clic en el botón de relación "Use these RD Gateway server settings" e ingrese el nombre DNS público de la puerta de enlace de RDS.

4. Haga clic en OK (Aceptar) y Connect (Conectar). Ingrese el nombre de usuario y la contraseña del dominio para el servidor de puerta de enlace de RD y el host de sesión de destino. La conexión debe realizarse correctamente.

Monitorear las conexiones de puerta de enlace de RD

Nuevamente en la máquina de gateway de RDS, en el administrador de puerta de enlace de RD y en Monitoring, los detalles de conexión están visibles.