[WS 2008 R2] configuration d'une passerelle RDS

[thidenthi]

Bonjour

j'ai un serveur windows serveur 2008 R2 et j'aimerais savoir si il est possible de me connecté à distance grace au client rdp de windows à partir de chez moi (via une connexion internet donc )


j'ai vu qu'ont pouvait utiliser le service de passerelles tse

avez vous une idée comment le configurer

merci

[Michaël]

oui c'est possible grâce à la passerelle rds (le nom a changé : ts => rds).

l'idée de la passerelle est de rendre rds accessible depuis n'importe où en encapsulant les données dans https. la passerelle rds sera donc accessible depuis le net sur le port 443 (attention, ça veut pas dire que ça marche avec un navigateur !! c'est un autre service qui fait ça). avec ton client rdp sous windows, il suffira de donner le nom d'hôte de la machine (qui a le rôle d'hôte rds) et de préciser qu'il faut passer par une passerelle (faudra donner le nom/ip public de ta passerelle)

à partir de là, aux problèmes de certificat près, ça marchera en utilisant juste le port 443 (qui passe partout sauf s'il y a une inspection https)

il faut donc installer le rôle rds hôte puis la passerelle (ça peut être sur le même serveur mais c'est pas conseillé). la configuration est assez simple

[thidenthi]

tout dabord merci pour votre réponse

voici ce que j'ai dans le "gestionnaire de passerelle bureau à distance"




rien ne s'affiche et je ne peux y configurer



de plus que faut-il mettre dans les paramètres du client rdp

dans les options de connexions , spécifier le nom du serveur

merci

[Michaël]

je me souviens plus exactement comment faire, il faudrait que je relance un serveur de test.

en attendant, il y a technet qui explique (en français !) comment faire : Guide pas à pas de déploiement de la Passerelle des services Bureau à distance

n'hésite pas à venir poser tes questions

[thidenthi]

merci de ton aide

le guide pas à pas expose bien les préparatif mais je n'ai pas vu les détails


peut-il y avoir des problème si tout est installé sur le même pc ?

passerele + service du bureau a distance ...

la fenetre de logue s'affiche sans arrêt que mon pass soit juste ou non



dans le gestionnaire de passerelle , lorsque je clique sur "se connecter à un serveur de passerelle" et que je valide local il me dit "impossible de lire les paramètres du serveur de passerelle bureau à distance"

Merci

[Michaël]

ça ne pose pas de problèmes normalement d'avoir l'hôte de session+passerelle sur le même serveur, c'est "juste" pas conseillé par microsoft

il faut que je me remonte une maquette rds, je me souviens plus bien des problèmes qu'on peut avoir lors de la config

[Michaël]

je viens de voir un truc tout con
il faut te connecter avec un compte de l'ad (ce qui n'est pas le cas dans le screenshot) qui soit dans un groupe autorisé. en te connectant avec un compte qui ne fait pas partie de l'ad, ça va te redemander sans cesse tes logins sans pour autant dire ce qui va mal (oui je sais, c'est très logique tout ça )

en mettant le bon compte, ça devrait aller mieux

ensuite, si tu veux pas être embêté avec les certificats auto-signés, je te conseille d'installer une autorité de certification (par exemple http://mtodorovic.developpez.com/tut...-windows-2008/)

[thidenthi]

merci pour votre aide

je reste bloqué dès la configuration du serveur de passerelle

voici le message qui s'affiche lorsque les roles et services de roles ont ete installé



et lorsque je lance le gestionnaire de serveuret que je clique sur se connecter

en local

voici le message d'erreur

[Michaël]

il y a autre chose sur ce serveur qui tourne ou est-ce qu'il est tout neuf ?

maintenant :
- il faudrait aller voir dans l'observateur d'événements ce qu'il se passe (si toutefois il y a quelque chose)
- aller voir iis : gestionnaire des services internet (iis), sélectionner ton serveur, sélectionner le site par défaut et dans le panneau actions (à droite), contrôler les liaisons : par défaut, il y a *:80 (http) et rds a dû ajouter une liaison *:443 (https) : il faut cliquer sur modifier et contrôler que le certificat ssl porte bien le nom complet du serveur. si ce n'est pas le cas et qu'il est dans la liste, il faut le sélectionner. si le certificat n'existe pas, il faudra le créer et l'attribuer au serveur iis via les liaisons. quand le certificat sera sélectionné, un petit

Code :

Sélectionner tout - Visualiser dans une fenêtre à part

iisreset /noforce

et essayer d'accéder à la config de la passerelle. tu as bien sélectionné "Créer un certificat auto-signé pour le chiffrement SSL" lors de l'installation du service de rôle ?
- ou alors en option, réinstaller iis+le service de rôle "passerelle" (pour avoir un serveur propre)

[thidenthi]

encore merci pour ton aide

j'ai tout réinstallé les roles avec leur services de rôles et ça à l'air de marcher



par quelle adresse je peut joindre a distance mon serveur avec le client rdp
et dans les propriétés que dois-je mettre dans le nom de serveur pour les paramètres de la passerelle bureau à distance

doit - on paramétrer encore quelque choses


merci

[Michaël]

oui la config a l'air de marcher il reste plus qu'à tester :p

la configuration du client rdp que t'as faite était bonne (quand le login marchait pas). dans les options du client rdp, il faut aller dans l'onglet connexion, changer les paramètres de "Connexion depuis tout ordinateur" pour choisir "Utiliser ces paramètres de serveur de passerelle". là tu mets le nom externe de ta passerelle (le nom qui sera accessible depuis internet). ensuite tu reviens sur l'onglet général et tu entres le nom (interne) de la machine à laquelle tu veux accéder

petit rappel : sur ton firewall (ou routeur selon ton réseau), tu dois ouvrir le port 443 uniquement (surtout pas le 3389 !!)

[thidenthi]

Citation:

Envoyé par Michaël

oui la config a l'air de marcher il reste plus qu'à tester :p

la configuration du client rdp que t'as faite était bonne (quand le login marchait pas). dans les options du client rdp, il faut aller dans l'onglet connexion, changer les paramètres de "Connexion depuis tout ordinateur" pour choisir "Utiliser ces paramètres de serveur de passerelle". là tu mets le nom externe de ta passerelle (le nom qui sera accessible depuis internet). ensuite tu reviens sur l'onglet général et tu entres le nom (interne) de la machine à laquelle tu veux accéder

petit rappel : sur ton firewall (ou routeur selon ton réseau), tu dois ouvrir le port 443 uniquement (surtout pas le 3389 !!)

mon serveur a été configuré , il est connecté à internet .

je vais sur le poste client qui est sur un autre réseau avec aussi une connexion internet


je lance le client rdp mais je ne sais pas ou trouver le nom interne et externe de ma machine serveur accessible depuis le net


je serais en reseau local ça poserait pas de soucis c le nom de la machine mais la je ne sais pas

peut tu m'aider

merci encore tu m'a grandement aidé

[Michaël]

le nom interne, ben c'est le nom complet de la machine à laquelle tu veux accéder. admettons qu'il y ait une machine dans ton réseau local qui s'appelle mon-pc.domainADinterne.tld, il faudra mettre ce nom dans l'onglet général. la passerelle sera chargée de trouver cette machine dans le réseau local.

ensuite, le nom internet, c'est si tu as un nom de domaine. tu peux alors créer un enregistrement dns nommé rds.monentreprise.com qui pointera vers l'adresse ip publique dont le port 443 est redirigé vers ta passerelle. dans l'onglet connexion, il faudra alors dire que la passerelle se nomme rds.monentreprise.com.
si tu n'as pas de nom de domaine, il faudra simplement donner l'ip publique

[thidenthi]

et comment fait-on ceci ?

Citation:

tu peux alors créer un enregistrement dns nommé rds.monentreprise.com qui pointera vers l'adresse ip publique dont le port 443 est redirigé vers ta passerelle

merci

[thidenthi]

Citation:

Envoyé par thidenthi

et comment fait-on ceci

"tu peux alors créer un enregistrement dns nommé rds.monentreprise.com qui pointera vers l'adresse ip publique dont le port 443 est redirigé vers ta passerelle"

merci

en fait je sais comment faire

merci

j'essaye et vous tiens au courant

[thidenthi]

Bonjour

Quelles est la différence entres "installer le gestionnaire de passerelles et configurer le tout + redirection port routeur" ou "se connecter directement sur le poste distant en présisant l'ip publique (ou dns) du serveur en ayant auparavant fait une redirection de port 3389 sur le routeur sur lequel est relié le serveur "

[Michaël]

le port 3389 peut être bloqué sur l'accès internet utilisé : dans un hôtel, un aéroport ou même une connexion 3g, les ports non http/https sont bloqués. l'avantage d'utiliser la passerelle est de passer par le port https et donc de passer à travers les firewalls à 99% le 1% restant étant le cas où le firewall est capable d'inspecter https (ce qui n'existe pas quand on est pas dans un réseau d'entreprise) : là la connexion sera bloquée puisque c'est pas du http qui se balade à l'intérieur de https mais du rdp.

ensuite, il y a aussi la sécurité : sur un serveur classique, tu peux pas faire de mise en conformité du client (avec nps) et surtout le serveur avec rds peut se faire attaquer directement. avec la passerelle, ça ajoute une machine de plus sur le chemin donc ça complique les attaques.

donc la passerelle permet d'encapsuler rdp dans https (et de passer partout) et ajoute également une couche de sécurité

[thidenthi]

merci pour ces précisions .

je viens de tester directement en redirigeant le port 3389 sur le routeur et ça marche , maintenant je voudrais accéder a un autre pc Windows server 2008 r2


sachant que sur le routeur j'ai fait une redirection du port 3389 tcp sur lip locale du serveur un , comment configurer un access vers le serveur 2 sachant qu'il est sur le même reseau que le serveur 1


peut ont changer le port d'utilisation par defaut du client rdp ?
quel serait pour vous la meilleure configuration ?

ps: toujours pour un acces de l'exterieur via internet


Merci

[Michaël]

Je comprends pas pourquoi tu as redirigé le port 3389. Tu as installé une passerelle rds alors pourquoi ne pas l'utiliser ? Cette passerelle te permet de sécuriser les accès ET d'accéder à plusieurs serveurs. Sur le routeur, le seul et unique port qui doit être redirigé est le 443 (https) vers ta passerelle
De l'extérieur, il suffit d'indiquer qu'il faut passer par la passerelle rds et tu pourras accéder à tous les serveurs de ton réseau local (à condition que cet accès soit autorisé sur la passerelle bien entendu)

La passerelle va aller sur les serveurs internes en rdp puis va mettre tout rdp dans https pour te l'envoyer quand t'es à l'extérieur

[thidenthi]

Citation:

Envoyé par Michaël

Je comprends pas pourquoi tu as redirigé le port 3389. Tu as installé une passerelle rds alors pourquoi ne pas l'utiliser ? Cette passerelle te permet de sécuriser les accès ET d'accéder à plusieurs serveurs. Sur le routeur, le seul et unique port qui doit être redirigé est le 443 (https) vers ta passerelle
De l'extérieur, il suffit d'indiquer qu'il faut passer par la passerelle rds et tu pourras accéder à tous les serveurs de ton réseau local (à condition que cet accès soit autorisé sur la passerelle bien entendu)

La passerelle va aller sur les serveurs internes en rdp puis va mettre tout rdp dans https pour te l'envoyer quand t'es à l'extérieur

c'etait uniquement pour testé sans installé le gestionnaire de passerelle mais je comptais y faire avec le gestionnaire de passerelle , c'etait un petit peu flou pour moi maintenant c'est clair
Merci je teste et vous informe