Como configurar um servidor gateway de serviços de desktop remoto no Windows Server 2022, 2019 ou 2016

Introdução

Um servidor RDS Gateway é útil para permitir o acesso seguro a um ambiente RDS para usuários da Internet.

Um servidor gateway do RDS (Remote Desktop Services) usa um certificado SSL para criptografar a comunicação entre os clients e os servidores RDS.

O IIS é usado para autenticação e para configurar políticas para definir granularmente quais usuários devem ter acesso a quais recursos. 

Este guia presume que já exista uma implementação do RDS (que contém as funções intermediador de conexão RDS, licenciamento e hosts de sessão).

Para obter mais informações sobre como configurar a implementação básica ou avançada do RDS, consulte o artigo da base de conhecimento da Dell 217251 How To - Standard Remote Desktop Services Deployment - Passo a passo. Outro artigo a ser visualizado é o artigo da base de conhecimento 215230 Install and Activate an RDS Session Host without a Connection Broker (Workgroup) - Windows Server 2022. 

Implemente a função do servidor do RD Gateway.

1. No computador do Windows Server que hospeda a função connection broker para a implementação do RDS, no Gerenciador de servidores, clique em Gerenciar e, em seguida, em Adicionar funções e recursos. Clique em Avançar na tela de boas-vindas.

2. Selecione uma instalação baseada em função ou recurso e clique em Avançar.
3. Selecione o servidor de destino para a função de gateway de RD desta implementação e clique em Avançar. Na captura de tela abaixo, o servidor de destino é "rdsfarm". 
4. Na tela Funções, expanda Remote Desktop Services e clique na caixa de seleção Remote Desktop Gateway .

5. Clique em Adicionar recursos para instalar os pré-requisitos e, em seguida, em Avançar até a tela de confirmação e, em seguida, clique em Instalar.

6. Aguarde a conclusão da instalação e clique em Fechar.

7. De volta aos Gerenciadores de servidores do Connection Broker, no nó Serviços de área de trabalho remota, clique no círculo verde com o sinal de adição acima do gateway do RD.

8. Selecione o servidor configurado como o gateway do RD. Mova-o para o lado direito e clique em Avançar.

9. Digite o FQDN do servidor do gateway de RD. (Esta etapa configura o assunto no certificado autoassinado criado por esse assistente. Este não é o certificado usado neste guia.). Clique em Next.

10. Clique em Adicionar para confirmar a adição à implementação, aguarde até que ela conclua a instalação da função e, em seguida, clique em Fechar.

Configure o certificado.

11. Ainda no Gerenciador de Servidores, no Connection Broker, em Visão geral da implementação, clique em Tarefas e, em seguida, Edit Deployment Properties.
      
    

12. Clique no nó Certificados.

Importante!
Para fins de teste, é possível usar um certificado autoassinado criado aqui ou como o certificado que foi criado automaticamente anteriormente no assistente. No entanto, um ambiente de RDS de produção deve ser configurado para usar um certificado de uma autoridade de certificação confiável baseada em domínio ou pública.
Este guia demonstra como configurar um certificado de uma autoridade de certificação pública confiável. Dessa forma, esse certificado não precisa ser instalado nos computadores cliente.
 

13. Clique em Select an existing certificate. Digite o caminho para o certificado. Nesta demonstração, o certificado foi copiado para a raiz da unidade C:\ no controlador de domínio. Digite a senha com a qual ela foi salva.

14. Clique para marcar a caixa de seleção "Permitir que o certificado seja adicionado ao armazenamento de certificados autoridades de certificação raiz confiáveis nos computadores de destino" e clique em OK.

15. Observe o estado Pronto para aplicar na tela de configuração de implementação. Clique em Apply.

16. Depois de alguns instantes, a tela mostra que a operação foi concluída com sucesso, e a coluna de nível reconhece o certificado como "Confiável".

17. Clique na função RD Web Access e repita as etapas 13 a 16 para configurá-la. Dessa forma, o mesmo certificado é usado para IIS. Clique em OK para sair da tela de configuração de implementação.

Configurar uma política de autorização de conexão e uma política de autorização de recursos.

Para que os usuários possam se conectar à implementação usando o servidor do RD Gateway, é necessário configurar um CAP e uma RAP.

Uma CAP (Connection Authorization Policy, política de autorização de conexão) permite que você especifique QUEM tem permissão para se conectar ao servidor de gateway do RDS.

Uma Rap (Resource Authorization Policy, política de autorização de recursos) permite especificar QUAIS servidores ou computadores os usuários autorizados têm acesso.
 

18. No servidor do RDS Gateway, abra o Server Manager, clique em Tools, Remote Desktop Services e, em seguida, Remote Desktop GatewayManager.

19. Clique com o botão direito do mouse no nome do servidor (RDSFARM na imagem) e, em seguida, clique em Propriedades.

20. Na guia Server Farm , adicione o nome do servidor de gateway do RD (novamente, RDSFARM na imagem) e clique em Apply. 
    
    

21. Ignore o erro sobre um balanceador de carga. Isso é esperado. Clique em OK, em Aplicar mais uma vez e o status agora mostra OK.

22. Na guia Certificado SSL, é possível visualizar e alterar a configuração do certificado do servidor de gateway do RD. Crie até mesmo um novo certificado autoassinado , se necessário. Tudo isso, no entanto, já foi configurado no agente de conexão.

23. Clique em OK para sair da tela de propriedades.

24. De volta à tela principal do RD Gateway Manager, expanda o servidor e, em seguida, as políticas.
     

25. Clique com o botão direito do mouse em Políticas de autorização de conexão e, em seguida, clique em Criar nova política e, em seguida, em Assistente.

26. Selecione Create an RD CAP and an RD RAP (recommended). Clique em Next.

27. Digite um nome para o RD CAP. Clique em Next.

28. Clique em Add Group e digite o nome do grupo que contém os usuários que podem se conectar. Usuários de domínio são usados para esta imagem do guia. Clique em Next.

29. Deixe os valores padrão nas etapas Device Redirection e Session Timeout , clicando em Next em ambas as telas, bem como na tela Summary e, em seguida, prossiga com a RD RAP.

30. Digite um Nome e clique em Avançar. Deixe o padrão na seção Grupo de usuários , clique em Avançar novamente.

31. Na tela Recurso de rede , se houver um grupo do Active Directory contendo as contas do computador dos servidores session hosts desta implementação do RDS, especifique-o. Caso contrário, selecione a opção "Permitir que os usuários se conectem a qualquer recurso de rede (computador)". Clique em Next.

32. Deixe a porta padrão 3389 para o gateway da intranet para a comunicação dos hosts de sessão do RDS. Clique em Next.

33. Clique em Finish (Concluir) na tela de resumo e, em seguida, em Close (Fechar).

O servidor do gateway RDS está pronto para ser colocado além do firewall, voltado para os usuários da Internet. Um usuário que tentar se conectar aos hosts da sessão do RDS de um local de escritório remoto ou residencial pela Internet deve passar por esse servidor do gateway RDS primeiro.

Conectar-se à implementação

1. Para se conectar à implementação do RDS usando o RD Gateway recém-configurado, no aplicativo Conexão de área de trabalho remota da máquina client, digite o nome do host da sessão do RD ou da máquina de destino.

2. Clique no botão Mostrar opções , guia Avançado e, na seção Conectar de qualquer lugar, clique em Configurações.

3. Clique no botão de proporção "Use these RD Gateway server settings" e digite o nome dns público do gateway RDS.

4. Clique em OK e conecte-se. Digite o nome de usuário e a senha do domínio para o servidor de gateway de RD e o host de sessão de destino. A conexão deve ser bem-sucedida.

Monitorar as conexões do gateway de RD

De volta à máquina do RDS Gateway, no RD Gateway Manager e em Monitoring, os detalhes da conexão ficam visíveis.