Salve. In questo video mostrerò i passaggi necessari per configurare un server gateway di Servizi Desktop remoto. Un server gateway RDS è utile se si desidera consentire l'accesso all'ambiente RDS agli utenti esterni al firewall aziendale. Un server gateway RDS utilizza SSL per crittografare la comunicazione tra i client e i server RDS.
Ciò è possibile grazie a un certificato installato sul server RDS Gateway che è considerato affidabile dal dispositivo dell'utente finale. Un'altra componente di RDS Gateway è IIS, utilizzata per l'autenticazione. Grazie a IIS è possibile creare determinate policy per definire in modo granulare quali utenti devono avere accesso a quali risorse. Lo mostrerò più avanti in questo video. Questa demo presuppone che esista già un deployment di Servizi Desktop remoto.
Per ulteriori informazioni sulla configurazione da zero di un deployment di servizi desktop remoto di base o avanzato, ti suggerisco di guardare i video precedenti di questa serie. Qui sto mostrando le macchine virtuali che userò. "RDSlab-DC" è un controller di dominio. Dispone inoltre del ruolo Gestione licenze desktop remoto installato. Tutte le altre macchine virtuali vengono aggiunte al dominio ospitato in questo controller di dominio. 'RDSlab-CB' è il broker di connessione per il deployment. 'SH1' e 'SH2' sono gli host di sessione nella farm. Ho chiamato quest'altra macchina virtuale "RDSFarm" ed è il computer che configurerò come server gateway RDS. Ospita inoltre il ruolo RD Web Access. Ho creato questo ambiente RDS usando queste cinque righe di PowerShell, che ho incluso nella descrizione del video e di cui ho parlato nei video precedenti.
Pertanto, per configurare il server RD Gateway, aprirò la console sulla macchina virtuale che ospita il ruolo Broker connessione per il deployment. Apri "Server Manager" e fai clic sul nodo "Servizi desktop remoto". La sezione server mostra che tutti i ruoli sono configurati per questo deployment, ad eccezione del ruolo RD Gateway. Questo è il motivo per cui questo ruolo viene visualizzato con un segno più verde qui nella sezione Overview, a indicare che è in attesa di essere implementato.
Per configurarlo, aggiungiamo prima il ruolo al server di destinazione. Clicca su "Gestisci", quindi su "Aggiungi ruoli e funzionalità". Seleziono "Role-based or feature-based installation", io seleziono il server di destinazione per il ruolo RD Gateway in questo deployment e clicco su "Next". Espandi "Servizi Desktop remoto" e fai clic sulla casella di controllo "Gateway Desktop remoto". Cliccare su "Add Features" per installare i prerequisiti, quindi su "Next" nella schermata di conferma e infine su "Install". Attendi che completi l'installazione, quindi fai clic su "Chiudi". Tornando a Server Manager, se clicco per aggiornare il deployment non c'è alcuna modifica. Ciò è dovuto al fatto che i file binari sono stati installati, ma l'implementazione stessa non è stata configurata con un server RD Gateway.
Quindi, per risolvere questo problema, fai clic sul segno più verde sopra "RD Gateway" per avviare la procedura guidata. Selezionare il server che verrà configurato come RD Gateway, spostarlo sul lato destro, quindi cliccare su "Next". Questa procedura guidata richiederà di configurare un certificato autofirmato e sarà necessario immettere qui il nome di dominio completo dell'oggetto su tale certificato. Tuttavia, questo non è il certificato che userò per questa demo. Per ora, fai clic su "Avanti". Cliccare su "Add" per confermare l'aggiunta all'implementazione. Attendere che completi l'installazione del ruolo, quindi notare l'avviso che indica che è necessario configurare un certificato. Per il momento, cliccare su Chiudi. Aggiornando il deployment ancora una volta, viene mostrato che ora è presente un server RD Gateway in "Deployment Overview", cliccare su "Tasks" e quindi su "Edit Deployment Properties". Si noti che la sezione "RD Gateway" è stata configurata automaticamente con alcune impostazioni. Cliccare sul nodo "Certificates" e notare che non è presente alcun certificato configurato per RD Web Access, né per i ruoli RD Gateway. Clicco prima sul ruolo RD Gateway. Ecco questa opzione per creare un nuovo certificato.
A scopo di test è possibile utilizzare un certificato autofirmato creato qui o come quello creato automaticamente in precedenza nella procedura guidata. Per questa demo configurerò un certificato di un'autorità di certificazione pubblica attendibile. In questo modo questo certificato non deve essere installato nei computer client; Si fideranno di esso fin dall'inizio. Clicco su "Seleziona certificato esistente". È necessario immettere il percorso del certificato. Per questa demo è stato copiato nella radice dell'unità C nel controller di dominio. Inserisco la password con cui è stata salvata, clicco per selezionare la casella di controllo "Consenti", quindi clicco su "OK". Si noti lo stato "Ready to apply" nella schermata di configurazione del deployment.
Clicchiamo su "Apply". Dopo alcuni istanti la schermata mostra che l'operazione è stata completata correttamente e la colonna level riconosce il certificato come attendibile. Se stessi utilizzando un certificato autofirmato, verrebbe visualizzato in modo diverso. Applicheremmo il certificato, ma verrebbe visualizzato come non attendibile e dovrei copiarlo nei computer client e quindi installarlo. Si tratta di uno dei principali vantaggi dell'utilizzo di un certificato dell'autorità di certificazione basato su dominio o pubblico, come nel caso di questa demo. Cliccare qui in "View Details" per visualizzare l'oggetto del certificato, ovvero il nome host Windows della macchina virtuale di RD Gateway. Ripeterò questi passaggi per il ruolo RD Web Access, in modo che lo stesso certificato venga utilizzato per IIS. Quindi cliccare su "OK" per uscire dalla schermata di configurazione dell'installazione.
Questo è tutto ciò che dobbiamo fare nel broker di connessione. Il passaggio successivo consiste nel configurare una policy di autorizzazione della connessione e una policy di autorizzazione della risorsa. Parlerò più approfonditamente di questo argomento man mano che li creerò. Passiamo ora alla macchina virtuale RDS Gateway. Apri Server Manager, clicca su "Strumenti", "Servizi Desktop remoto" e poi su "Gestione Gateway Desktop remoto". Per prima cosa, regolare le proprietà del server nella scheda "Server farm". Aggiungiamo questo server RD Gateway e clicchiamo su "Apply".
È previsto questo errore relativo a un load balancer. In questa demo non sto bilanciando il carico del servizio RD Gateway, ma solo un server RD Gateway, quindi è sufficiente cliccare ancora una volta su "OK", "Apply" e lo stato visualizzato ora è "OK". Nella scheda "Certificato SSL" posso visualizzare e apportare modifiche alla configurazione del certificato del server RD Gateway, anche creare un nuovo certificato autofirmato, se necessario. Tutto questo, tuttavia, è già stato configurato nel broker di connessione, quindi farò clic su "OK" per uscire dalla schermata delle proprietà. Tornando alla schermata principale di RD Gateway Manager, espando il server e quindi "Policies".
Esistono due tipi di criteri in questo contesto, come illustrato di seguito: "Criteri di autorizzazione della connessione" consente di specificare chi è autorizzato a connettersi a questo server gateway RDS, mentre "Criteri di autorizzazione delle risorse" consente di specificare a quali server o computer avranno accesso gli utenti autorizzati. In poche parole, una policy riguarda chi avrà accesso e l'altra cosa. Cliccare con il pulsante destro del mouse su "Connection Authorization Policies", quindi su "Create New Policy" e su "Wizard". È possibile creare la policy separatamente, ma io seguirò l'opzione consigliata qui, ovvero creare sia la policy di autorizzazione di connessione Desktop remoto che la policy di autorizzazione della risorsa Desktop remoto nella stessa procedura guidata e cliccare su "Next". Immettere un nome per RD CAP, cliccare su "Next", quindi su "Add Group", quindi inserire il nome del gruppo contenente gli utenti a cui sarà consentito connettersi. Per questa demo inserisco "Utenti di dominio", quindi clicco su "Avanti". Lascio le impostazioni predefinite nei passaggi "Reindirizzamento dispositivo" e "Timeout sessione" facendo clic su "Avanti" in entrambe le schermate, nonché nella schermata di riepilogo, quindi procedo con la policy di autorizzazione delle risorse RD. Inserisci un nome e fai clic su "Avanti".
Lasciare l'impostazione predefinita nella sezione "User Groups", quindi cliccare su "Next". Anche in questo caso, nella schermata "Network Resource", è possibile specificare se si dispone di un gruppo Active Directory contenente gli account computer dei server host sessione di questo deployment di RDS. Per questa demo, tuttavia, sceglierò semplicemente l'opzione "Consenti agli utenti di connettersi a qualsiasi risorsa di rete o computer" e quindi farò clic su "Avanti". Lascio l'impostazione predefinita della porta 3389 per il gateway Internet alla comunicazione degli host della sessione RDS, quindi clicco su "Next". Cliccare su "Finish" nella schermata di riepilogo, quindi su "Close". A questo punto, questo server RDS Gateway è pronto per essere posizionato oltre il firewall, di fronte agli utenti di Internet. Un utente che tenta di connettersi agli host sessione RDS da una posizione domestica o di ufficio remoto tramite Internet deve prima passare attraverso questo server gateway RDS.
Mostrerò qui, su questo computer client connesso a Internet tramite un collegamento completamente separato da quello del server RD Gateway, in che modo un utente remoto dovrebbe configurare la connessione nell'app Connessione Desktop remoto. Per prima cosa inserisco il nome dell'host della sessione RD. Tenere presente che l'host della sessione non è connesso a Internet, quindi cliccare sul pulsante "Show Options", sulla scheda "Advanced" e sulla sezione "Connect from anywhere". Fai clic su "Impostazioni". Cliccare sul pulsante di opzione "Use these RD Gateway server settings" e immettere il nome DNS pubblico di RDS Gateway.
Affinché funzioni, ovviamente, questo nome DNS pubblico deve risolversi nell'indirizzo IP pubblico assegnato al computer RDS Gateway. Questo è qualcosa che deve essere configurato nelle impostazioni del servizio DNS pubblico in uso. Cliccherò anche per deselezionare "Ignora RD Gateway per indirizzi locali" e per selezionare Usa le mie credenziali RD Gateway per il computer remoto, poiché sono le stesse credenziali per entrambi i computer. Quindi fai clic su "OK" e "Connetti". Inserire il nome utente e la password del dominio per verificare che la connessione sia riuscita. Si noti che non è stato necessario installare alcun certificato nel computer client.
Non c'era alcun messaggio che ci avvertisse di fidarci della macchina a cui il cliente voleva connettersi. Ciò è dovuto al fatto che il certificato in uso proviene da un'autorità di certificazione pubblica attendibile. Torniamo al computer RDS Gateway in RD Gateway Manager e in "Monitoring" possiamo vedere i dettagli della connessione. Inoltre, nel Visualizzatore eventi del registro operativo del Gateway dei servizi terminal si noti una serie di eventi che documentano i passaggi. L'evento 312 mostra la connessione avviata dal computer client; l'evento 200 mostra che le credenziali utilizzate soddisfano i criteri di autorizzazione della connessione. L'evento 300 mostra che anche la policy di autorizzazione delle risorse è stata soddisfatta, pertanto l'accesso è autorizzato e infine l'evento 302 mostra che la connessione ha esito positivo e che il protocollo di connessione è HTTP.
Ciò è dovuto al fatto che il traffico tra il client e RDS Gateway avviene su HTTPS, che utilizza la crittografia per una comunicazione sicura. Se il computer RDS Gateway è protetto da un firewall o da un dispositivo di rete, l'unica porta a cui è necessario consentire l'accesso è la 443. Questo è in realtà quello che ho fatto in questo dispositivo router utilizzato per questa demo. È stato appena configurato per il port forwarding della porta 443 al computer RDS Gateway. Questa è stata una demo su come integrare un server RDS Gateway in una distribuzione standard di Servizi Desktop remoto, per consentire un accesso crittografato sicuro da una posizione Internet domestica o altrimenti pubblica.
Spero che lo troviate utile e vi ringrazio molto per l'attenzione.
