Windows Server 2008 Terminal Services Gateway
Content
Windows Server 2008 Terminal Services Gateway
Introduction
A l’heure actuelle, la plupart des entreprises souhaitent accéder depuis l’extérieur à leurs ressources internes et cela de façon sécurisée. Pour y parvenir, ces entreprises implémentent des solutions nécessitant une configuration lourde et complexe (type VPN IPSec). Au travers de cet article nous verrons comment les entreprises peuvent réaliser ces tâches grâce au rôle Passerelle TS disponible sur la plateforme Windows Server 2008. Nous aborderons l'installation, la configuration, la gestion des services de la passerelle TS ainsi que la souplesse de l’implémentation de cette solution au sein d’une infrastructure informatique
1. Présentation de la passerelle TS (TS gateway)
La passerelle TS permet d’encapsuler le trafic RDP (Remote Desktop Protocole) dans HTTPS de manière transparente. Le serveur de passerelle TS se charge de communiquer en RDP avec n’importe quel serveur Terminal Server du réseau interne. Outre l’aspect sécuritaire, le fait d’utiliser HTTPS présente un autre intérêt : dans la plupart des cas, le protocole HTTPS n’est pas bloqué par les pare-feu, ce qui permet une connexion externe à une ressource Terminal Server depuis n’importe où. La passerelle TS permet donc d’accéder à un bureau publié (bureau à distance) ou bien à des applications publiées (RemoteApp TS) par le biais d’une connexion HTTPS sécurisée et chiffrée par certificat SSL. La passerelle répond parfaitement aux problèmes d’administration à distance des serveurs. Il n’est plus nécessaire de passer par un VPN et de laisser ouvert le port 3389 dans le routeur. Seul le port 443 du routeur doit être redirigé vers notre serveur possédant le rôle passerelle TS. De plus, l’accès à plusieurs serveurs est désormais possible via la passerelle TS.
2. Configuration de la passerelle
2.1 Ajout du rôle passerelle TS Le rôle passerelle TS peut être installé sur tout serveur exécutant Windows 2008. Il n’est pas obligatoire d’installer le rôle de passerelle sur un serveur exécutant Terminal Server, ces deux rôles sont totalement indépendants. Il est même conseillé d’installer la passerelle TS sur un serveur n’exécutant pas Terminal Server. Pour se faire, il suffit d’ajouter le rôle à partir du serveur manager comme ci-dessous :
La figure suivante nous permet de distinguer très clairement la différenciation de chaque rôle Terminal Server. Dans notre cas, nous allons seulement sélectionner Passerelle TS :
Le rôle Passerelle TS requiert l’ajout de certains composants supplémentaires. L’assistant d’Ajout de rôles sélectionne de manière automatique les services de rôle et les fonctionnalités correspondants. Nous allons donc cliquer sur Ajouter les services de rôle requis :
L’assistant permet de choisir un certificat d’authentification serveur pour le chiffrement SSL qui servira à sécuriser la connexion entre les clients et la passerelle TS. Nous reviendrons en détail sur les certificats un peu plus loin dans l’article. Nous sélectionnons donc l’option «Choisir un certificat pour le chiffrement SSL ultérieurement ».
Il nous est ensuite proposer de créer des stratégies d’autorisation pour la passerelle TS. Ces stratégies permettent de spécifier les utilisateurs ou groupes de sécurité qui sont autorisés ou non à établir une connexion
sur le serveur Passerelle TS. Nous créerons ces stratégies plus tard. Cochons l’option Ultérieurement.
L’assistant nous propose ensuite d’ajouter le rôle de serveur NPS (Network Policy Server) qui offre la possibilité d’appliquer une politique d’accès aux ressources réseau interne de l’entreprise. Pour plus d’information sur le serveur NPS, je nous invite à consulter l’article se trouvant sur le site du labo http://www.labo-microsoft.com/articles/nap/. Laissons la case cochez et passons à l’étape suivante.
Après la sélection de tous les composants nécessaires, un résumé d’installation apparait indiquant que les services de rôles ont été correctement installés.
Une fois le rôle correctement installé, nous pouvons retrouver les services systèmes associés à la passerelle TS en se rendant dans le Gestionnaire de serveur.
Il se peut que la passerelle TS soit en l’état Arrêter après l’installation. Dans ce cas, il suffit de Démarrer le service pour rendre la passerelle fonctionnelle.
2.2 Création du certificat Pour beaucoup de personnes, la notion de certificat est abstraite. Nous allons donc effectuer un bref rappel. Un certificat électronique est une carte d'identité numérique dont l'objet est d'identifier une entité physique ou nonphysique. Le certificat numérique ou électronique est un lien entre l'entité physique et l'entité numérique. L'autorité de certification fait foi de tiers de confiance et atteste du lien entre l'identité physique et l'entité numérique ainsi que de l’authenticité du certificat. Le protocole SSL (Secure Socket Layer) (SSL), est un protocole de sécurisation des échanges sur internet permettant de chiffrer les données. Nous parlerons donc de certificat à chiffrement SSL. ATTENTION : Lors de la création du certificat, ce dernier doit obligatoirement posséder le même nom que notre nom de domaine public acheté auprès d’un hébergeur. Ex : si mon nom de domaine public est gateway.mslab.com, mon certificat se nommera gateway.mslab.com (et ceux même si mon domaine privé est par exemple mslab.lan). Pour créer notre certificat, rendons nous dans le gestionnaire des services Internet (IIS) de notre serveur jouant le rôle de la passerelle TS au niveau de la fonctionnalité Certificats de serveur.
Cliquer ensuite sur Créer un certificat de domaine
Sur la fenêtre suivante, nous devons indiquer plusieurs informations qui constituent les propriétés de l’objet certificat. Le nom commun de notre certificat devra obligatoirement être le même que notre nom de domaine public. Dans le cas présent, le FQDN de mon serveur est tsg-mslab.mslab.lan. Nous remarquerons que mslab.lan est un domaine de type privé, non routable sur internet ; d’où la nécessité de posséder un nom de domaine public qui est ici gateway.mslab.com.
Après avoir sélectionné l’autorité de certification de notre domaine, nous renseignons en tant que nom convivial le nom commun de notre certificat. L’autorité de certification n’est pas présente par défaut sur le serveur. Pour l’obtenir, il suffit d’ajouter le rôle Service de Certificat Active Directory sur notre contrôleur de domaine via le serveur manager.
Une fois notre certificat créé, celui-ci est désormais présent au niveau de la fonction Certificat de serveur dans le gestionnaire IIS. Nous avons alors accès à plusieurs informations relatives au certificat:
• nom du certificat • son destinataire • l’autorité émettrice du certificat • sa date d’expiration • son hachage
2.3 Configuration de la passerelle TS La capture ci-dessous représente le gestionnaire de passerelle TS. Il permet d’obtenir un visuel en temps réel son activité et de sa configuration. Nous avons ainsi accès à ses deux états principaux : L’état de connexion de la passerelle comprenant : • Nombre total de connexions • Nombre d’utilisateurs connecté à la passerelle • Ressources auxquelles les utilisateurs sont connectés L’état de configuration de la passerelle comprenant : • Stratégies d’autorisation de connexions • Stratégies d’autorisations d’accès aux ressources • Membres de la batterie de serveurs de passerelles TS Cette console MMC nous permet aussi de paramétrer les stratégies d’autorisations d’accès à la passerelle et de connexions aux ressources réseaux comme cité précédemment.
Dans le volet de droite nommé Actions se trouve l’option propriétés. Lorsque nous cliquons dessus, nous accedons aux différents onglets suivants: - Général : L’onglet général permet de configurer le nombre maximal de connexions simultanées pris en charge par le serveur de passerelle TS. - Certificat SSL : Cet onglet nous intéresse plus particulièrement. Il permet de mapper le certificat créer précédemment afin sécuriser et chiffrer les communications qui s’établissent entre le serveur passerelle TS et les clients. - Pontage SSL : Cette option permet d’activer le pontage SSL pour le coupler avec notre pare-feu ISA Server ou un produit de sécurité tiers. Le pontage SSL peut améliorer la sécurité en procédant de la façon suivante : il arrête les sessions SSL, inspecte les paquets, puis rétablit les sessions SSL. - Batterie de serveurs : Cet onglet nous offre la possibilité de créer une ferme de serveurs passerelle ou bien d’inclure notre serveur passerelle TS à une ferme existante dans le but d’effectuer de la répartition de charge entre les différents serveurs passerelle. Nous devrons configurer l’équilibrage de charge avant la création d’une batterie. La Passerelle des services Terminal Server ne procède pas à l’équilibrage de charge elle-même. Cette procédure permet uniquement de s’assurer que la Passerelle des services Terminal Server fonctionnera correctement avec une solution d’équilibrage de charge déjà en place. - Magasins de stratégies d’autorisations des connexions aux services Terminal Serveur : Permet de spécifier le serveur NPS qui sera garant de l’application des stratégies d’autorisations de connexions aux services Terminal Serveur. - Audit : Cet onglet nous laisse le choix de sélectionner les évènements qui apparaitront dans le journal correspondant à la passerelle TS. Nous reviendrons en détail sur ce point dans la partie surveillance de la passerelle TS.
2.3 Configuration des règles NPS (Network Policy Server) Pour rendre notre passerelle totalement fonctionnelle, il ne nous reste plus qu’à créer vos stratégies d’autorisations de connexions et d’accès aux ressources. Pour se faire, il suffit de créer une stratégie en mode assistant comme sur la figure ci-dessous :
L’assistant contient un récapitulatif sur la fonctionnalité des stratégies d’autorisations liées aux services Terminal Server. Ce dernier stipule que la passerelle TS n’est fonctionnelle qu’à partir du moment où une stratégie d’autorisations de connexions ET une stratégie d’accès aux ressources sont configurées. Il est donc primordial de prendre en compte cette information. Sans stratégie, pas d’accès à la passerelle. Il nous est proposé 3 types de création de stratégies : • Créer une stratégie d’autorisation des connexions TS et d’accès aux ressources via les services TS
(recommandé) • Créer uniquement une stratégie d’autorisation des connexions aux services Terminal Server • Créer uniquement une stratégie d’autorisation d’accès aux ressources via les services Terminal Server Nous sélectionnons donc la première option qui créera les 2 stratégies nécessaires au fonctionnement de la passerelle. Les autres options sont à implémenté suivant la politique d’accès mise en place au sein de l’entreprise.
La console nous invite à entrez un nom pour notre stratégie d’autorisation des connexions. Choisissons un nom explicite comportant un numéro. Ceci nous sera utile pour nous y retrouver, surtout si nous avons l’intention de créer plusieurs stratégies différentes.
La stratégie d’autorisation de connexion se base sur 3 critères pour accorder la connexion à un client : • La méthode d’authentification : soit par mot de passe, soit par carte à puce • L’appartenance des utilisateurs à un groupe d’utilisateurs ou de sécurité (Ce groupe doit être ajouté au niveau de la stratégie. Seuls les membres appartenant un groupe autorisé au niveau de la passerelle ont la permission de se connecter.) Notez que ce paramètre est OBLIGATOIRE. • L’appartenance du poste client (poste à partir duquel la connexion vers la passerelle à lieu) à un groupe d’ordinateurs. Ce paramètre est quant à lui facultatif. Dans le cas où un de ces paramètres n’est pas respecté, la connexion au serveur de passerelle est refusée.
La fenêtre suivant concerne la redirection des périphériques clients. Elle offre la possibilité à un utilisateur d’accéder depuis le poste distant aux périphériques qui sont connecté sur le poste client (disque locaux, clés USB, Imprimantes, disque dur externes…). Ces périphériques sont accessibles depuis le poste de travail de l’ordinateur distant, comme le montre l’image suivante :
Il existe 3 options de configuration : • Activer la redirection de périphériques clients • Désactiver la redirection de périphériques pour tous les périphériques clients à l’exception des cartes à puce • Désactiver la redirection de périphériques pour tous les types de périphériques clients.
Une fois la configuration de la stratégie d’autorisation des connexions établie, une synthèse des paramètres de la stratégie apparait. Elle permet d’effectuer une dernière vérification des paramètres choisis. En cas d’oubli ou de paramètres tronqués, il est possible de revenir en arrière à l’aide du bouton précédent et de modifier la valeur concernée.
Comme pour les autorisations de connexion, la console nous invite à entrer un nom pour notre stratégie d’autorisation d’accès aux ressources. Choisissons un nom explicite comportant un numéro.
Même chose que pour la stratégie d’autorisation des connexions. Ajoutons un ou plusieurs groupes d’utilisateurs qui auront la permission de se connecter à distance aux ressources réseau de l’entreprise via la passerelle TS.
Le paramètre suivant permet de définir les ressources réseau auxquelles les utilisateurs ont la possibilité d’accéder. [Attention à ne pas commettre d’amalgame, les ressources réseau correspondent aux ordinateurs auxquels les utilisateurs ont accès à distance !] Les différentes ressources proposées sont : • Sélectionner un groupe de sécurité active directory existant • Sélectionner un groupe d’ordinateurs géré par passerelle TS existant ou en créer un • Autoriser les utilisateurs à se connecter à n’importe quelle ressource réseau (ordinateur)
La fenêtre suivante correspond au paramétrage des ports TCP utilisés par Terminal Server pour les connexions distantes aux ressources. Ces connexions de type RDP (Remote Desktop Protocole) utilisent par défaut le port TCP 3389. Libre à nous de choisir le ou les ports auxquels nous nous connecterons. Pour se faire, 3 options nous sont proposées : • N’autoriser que les ports via le port TCP 3389 • Autoriser les connexions via ces ports (que nous sélectionnons nous-mêmes) • Autoriser les connexions via tous les ports PS : Sur tous les systèmes Windows (Serveur 2003, Serveur 2008, XP, Vista), le port utilisé par défaut pour les connexions RDP est le port TCP 3389. Si nous souhaitons changer de port, il faut le faire manuellement en modifiant la clé de registre suivante : HKEY_LOCAL_MACHINE\System\CurrentControlSet\Control\TerminalServer\WinStations\RDP-Tcp Il suffit ensuite de modifier la sous-clé PortNumber.
Après avoir configuré la stratégie d’autorisation d’accès aux ressources, la synthèse des paramètres de la stratégie apparait. Nous pouvons ainsi vérifier et valider les paramètres choisis. En cas d’oubli ou de paramètres tronqués, il est possible de revenir en arrière à l’aide du bouton précédent et de modifier la valeur concernée.
Une fois nos statégies créées, nous les retrouverez au niveau du menu strategie. Nous accédons à une vue détaillée de nos stratégies de connexions avec : • L’ordre de priorité d’application de la stratégie
• Son nom • Le ou les groupes d’utilisateurs liés à la stratégie • Le ou les groupes d’ordinateurs clients liés à la stratégie • Son état (stratégie activée ou désactivée)
Il nous est possible d’importer et d’exporter vos paramètres de configuration et de stratégie, dans le but d’effectuer une sauvegarde ou bien encore d’uniformiser nos stratégies sur nos différents serveurs de passerelle TS par exemple. Sachez que dans le cas ou nous souhaiterions mettre en place une batterie de serveur Passerelle TS, tous les serveurs devront posséder les même stratégies sous peine de ne pas fonctionner.
L’exportation de vos paramètres s’effectue dans un fichier xml. Nous devons choisir un emplacement de stockage pour notre fichier xml en sélectionnant le bouton Parcourir. Nous pouvons bien entendu choisir un emplacement réseau tel qu’un dossier partagé du type \\nomduserveur\nomdupartage
3. Authentification SSO
L’authentification SSO (Single-Sign-On) correspond à l’identification unique. C’est une méthode qui permet à un utilisateur de ne procéder qu'à une seule authentification pour accéder à plusieurs applications informatiques (ou sites web sécurisés) et donc de simplifier l’utilisation de multiples mots de passe. Dans le cas de la passerelle TS, un utilisateur procède à 2 authentifications : Une authentification sur la passerelle TS suivie d’une authentification sur l’ordinateur distant comme le montre la figure suivante :
Pour mettre en place le SSO, il suffit de configurer, avec l’aide de l’Editeur de gestion des stratégies de groupe, la GPO qui se trouve dans : Configuration ordinateur\Modèle d’administration\Système\Délégation d’informations d’identification Modifions ensuite l’état de la stratégie Autoriser la délégation d’informations d’identification par défaut.
En activant cette GPO, nous pouvons spécifier à quels serveurs les informations d’identification par défaut de l’utilisateur peuvent être déléguées pour effectuer l’authentification SSO. Nous avons le choix de déléguer ces informations à un seul serveur Terminal Server ou bien à tous les ordinateurs de notre domaine exécutant Terminal Server. La nomenclature pour ajouter un serveur est la suivante : TERMSRV/nom FQDN du serveur
Ainsi sur l’image précédente, j’ai délégué mes informations d’identification à tous les serveurs de mon domaine de la manière suivante : *.nomdudomaine . Le TERMSRV/ est obligatoire et signifie que la délégation s’effectue uniquement vers des serveurs Terminal Server.
4. Configuration du client
4.1 Configuration du client dans un domaine 4.1.1 Configuration du client Bureau à distance via les GPO
Il existe une GPO au sein de tout domaine Microsoft Active Directory qui permet de configurer les paramètres liés à la passerelle TS. C’est une stratégie de type utilisateur qui se trouve dans : Configuration utilisateur\Modèle d’administration\Composant Windows\Services Terminal Server\Passerelle TS Nous interagissons sur les propriétés suivantes: • Définir la méthode d’authentification de la passerelle TS • Activer la connexion via une passerelle TS • Définir l’adresse du serveur de passerelle TS
La méthode Utiliser les informations d’identification utilise automatiquement notre compte de domaine avec lequel nous nous sommes logué sur le poste afin d’accéder à a la passerelle TS. Nous possédons aussi la possibilité d’autoriser ou non les utilisateurs à modifier ce paramètre.
Nous constatons que le nom d’utilisateur est renseigner automatiquement avec les identifiants utilisés pour l’ouverture de session Windows sur le poste et que de plus ce champs est grisé, donc non-modifiable comme stipulé dans la GPO configurée précédemment. Il en est de même en ce qui concerne les paramètres de connexion.
4.1.2 Déploiement et installation du certificat CA via les GPO Les connexions entre la passerelle TS et les postes clients des utilisateurs sont sécurisées par un certificat via le protocole SSL que nous avons créé précédemment. Cependant, l’installation du certificat CA de notre domaine Active Directory dans le magasin Autorités de
certification racines de confiance du poste client est nécessaire afin de vérifier l’intégrité du certificat utilisé par la passerelle TS. Si le certificat CA n’est pas installer sur le poste client, il sera alors impossible de se connecter à la passerelle TS. Pour installer le certificat CA sur tous les postes clients de notre domaine qui le nécessitent, (généralement les pc portables d’utilisateurs nomades), paramétrer la GPO suivante : Configuration ordinateur\Paramètres Windows\Paramètres de sécurité\Stratégies de clé publique Nous importons ensuite notre certificat CA dans le magasin Autorités de certification racines de confiance comme sur la figure ci-dessous.
4.2 Configuration du client en workgroup 4.2.1 Récupération et Installation du CA dans le magasin adéquate Que ce soit pour un poste client appartenant à un domaine ou à un workgroup, ce dernier doit obligatoirement posséder le certificat CA. Tout d’abord nous devons récupérer ce certificat auprès de l’autorité de certification racine d’entreprise de notre domaine. Pour cela, connectez-nous à l’adresse : https://nomduserveur/certsrv Lorsque nous y sommes invité, nous saisissons notre identifiant et notre mot de passe puis nous choisissons le dernier lien, Télécharger un certificat d’autorité de certification, une chaine de certificats ou une liste de révocation de certificats.
Sélectionnons ensuite le dernier lien Télécharger un certificat de l’autorité de certification
A l’apparition du message qui suit, enregistrons notre certificat CA à l’endroit ou nous le souhaitons.
Après avoir récupérer notre certificat, nous devons l’installer dans le magasin Autorités de certification racines de confiance comme pour un poste client appartenant à un domaine active directory. Accéder à l’outil Exécuter (raccourci touches windows + R), puis taper MMC. Une fois la console MMC lancée, dans Fichier, sélectionner Ajouter/Supprimer un composant logiciel enfichable. Ensuite, parmi ces composants logiciels, ajoutons le composant nommé Certificats
Sélectionner le compte de l’ordinateur afin de gérer ses certificats
Un message d’avertissement nous demande d’approuver le certificat car Windows ne connait pas la provenance du certificat racine. Cliquer sur Oui. PS : Seuls les certificats provenant d’une autorité de certification connus de notre système sont considérés comme valides.
Le certificat apparait alors dans le magasin Autorités de certification racines de confiance, ce qui prouve qu’il a été correctement installer.
4.1.3 Configuration du client Bureau à distance Que ce soit pour un poste appartenant à un domaine ou à un workgroup, la connexion permettant d’accéder à un serveur ou un poste de notre réseau d’entreprise via une passerelle TS s’effectue par l’intermédiaire du client bureau à distance. Ce dernier se trouve dans Tous les programmes\Accessoires dans le menu Démarrer de notre système d’exploitation Windows Vista ou XP. Attention : Seuls les clients bureau à distance version 6.0 ou ultérieurs sont capables de se connecter à une passerelle TS. Si telle n’est pas le cas, pensez à mettre à jour notre client bureau à distance via Windows
Update. Pour obtenir votre version du client bureau à distance, aller dans le répertoire %systemroot%\system32 puis aller dans les propriétés de l’exécutable mstsc comme sur la figure ci-dessous dans l’onglet Détails:
Une fois lancé, cliquer sur l’onglet Connexion puis sélectionner le bouton Paramètres
Grâce à cette option, nous agissons sur la configuration du serveur de passerelle TS en modifiant : • Les paramètres de connexion • Les paramètres d’ouverture de session En ce qui concerne les paramètres de connexion, nous renseignerons nos propres paramètres de serveur passerelle TS en indiquant le nom de notre passerelle ainsi que la méthode d’ouverture de session (mot de passe NTLM, carte à puce ou m’autoriser à sélectionner ultérieurement)
Au niveau des paramètres d’ouverture de session, une option nommée Utiliser les informations d’identification de passerelle Terminal Server pour l’ordinateur distant. Cette option nous permettra de n’indiquer qu’une seule fois vos identifiants de connexion.
Comme nous pouvons le constater, dans le nom de l’ordinateur distant, j’indique bien le nom FQDN de mon serveur appartenant à mon domaine privé d’entreprise qui ne se trouve pas sur internet.
La figure suivante nous demande de renseigner nos informations d’identification. On peut observer que cette authentification sera effectuée 2 fois : une première fois sur la passerelle puis ensuite sur l’ordinateur distant. D’où l’utilité d’activer le Single-Sign-On pour un client du domaine ainsi que l’utilisation des mêmes identifiants de connexion pour la passerelle et la ressource distante au niveau des paramètres de connexion du bureau à distance, ceci afin d’éviter que l’utilisateur ne les rentre 2 fois consécutivement.
Une fois la connexion établie, nous retrouvons 2 petites icônes au niveau de la barre de connexion. La première, représentant un cadenas, indique que la connexion est sécurisée via un certificat SSL. La seconde icône représente la passerelle TS. En cliquant dessus, nous accédons à des informations détaillées comme le montre la figure ci-dessous :
5. Accès aux RemoteApp via la passerelle TS
La passerelle TS nous permet aussi de sécuriser l’accès aux programmes RemoteApp TS de notre serveur Terminal Server. En se rendant dans le Gestionnaire RemoteApp TS qui se trouve dans Outils d’administrations?Services Terminal Server? Gestionnaire RemoteApp TS, nous pouvons indiquer les paramètres de la passerelle TS à utiliser.
La configuration des paramètres de déploiement RemoteApp via la passerelle TS est identique à la configuration du client bureau à distance. Il suffit juste d’indiquer le nom du serveur (qui pour rappel correspond au nom de votre nom de domaine public), la méthode d’ouverture de session et enfin le Single-SignOn passerelle TS / application RemoteApp TS.
6. Surveillance de la passerelle TS
6.1 Moniteur d’analyse de la passerelle TS Malgré la sécurisation des connexions fournie par les certificats, l’implémentation d’une passerelle TS nécessite tout de même une surveillance. La console principale du Gestionnaire de passerelle offre une première vue globale de l’état de la passerelle et de son activité. L’élément le plus intéressant dans cette vue est l’état de connexion qui indique le nombre total de connexions, le nombre d’utilisateurs connectés à la passerelle ainsi que le nombre d’ordinateurs utilisés à distance par les utilisateurs. La console permet aussi de surveiller les connexions aux applications RemoteApp TS.
Lorsque nous sélectionnons Surveiller les connexions actives, nous accédons à la console d’analyse des connexions actuellement active sur la passerelle. Celle-ci offre une vue beaucoup plus détaillée que la console principale avec : • L’ID de connexion • ID de l’utilisateur (nomdudomaine\nomutilisateur) • Date et heure de la connexion • Durée de la connexion • Durée d’inactivité • Ordinateur sur lequel l’utilisateur est connecté • Adresse IP du client qui initialise la connexion • Port utilisé par l’ordinateur cible • Protocole de transport utilisé (RDP) • Nombre de Ko (Kilo-octets) reçu et envoyé Nous avons la possibilité d’interagir avec les sessions utilisateur en cours, notamment en décidant de fermer la connexion ou bien de déconnecter l’utilisateur. A première vue, il semble ne pas exister de différence entre ces 2 options. Pourtant, la seconde option permet juste de déconnecter l’utilisateur de la passerelle TS. Ainsi, lors sa reconnexion, l’utilisateur retrouva son environnement de travail tel qu’il était avant la déconnexion. A l’inverse, l’option Fermer la connexion entraine la perte de toute la session en cours de l’utilisateur ainsi qu’une déconnexion de la passerelle.
6.2 Consultation du journal d’événement de la passerelle TS Le second élément de surveillance est le journal d’événement correspondant à la passerelle TS. Pour le consulter, nous allons créer une vue personnalisée au niveau de l’observateur d’événements. Auparavant, nous devrons sélectionner les événements à enregistrer dans le journal qui se trouvent dans l’onglet audit au niveau des propriétés de la passerelle TS comme ci-dessous :
En ce qui concerne les paramètres de la vue personnalisée, cochez les cases Critique, Avertissement, Erreur, Information. Ce seront ces niveaux d’événement que nous trouverons dans notre journal. Dans le menu déroulant Journaux d’événements, cochez la case Journaux des applications?Microsoft?Windows?TerminalServices-Gateway
Indiquons ensuite le nom que portera notre vue personnalisée ainsi qu’une description de celle-ci. Sélectionner ensuite l’emplacement ou la vue sera enregistrée au niveau de l’observateur d’événements.
Comme nous pouvons le constater, la vue personnalisée (précédemment nommée Services TS-Gateway) apparait bien dans l’observateur d’événements dans les affichages personnalisés. Nous accédons ainsi au type d’événement, la date et l’heure de l’événement, sa source (qui sera dans ce cas TerminalServices-Gateway), ID de l’événement ainsi que la catégorie de la tâche. Des informations détaillées apparaissent dans l’onglet Général expliquant très clairement les actions effectuées en fonction du type d’évènement ayant eu lieu.
Conclusion
Avec la passerelle Terminal Server, Microsoft met à disposition de l’entreprise une solution d’accès à distance simple à utiliser, simple à administrer et simple à mettre en place. De plus, la passerelle peut convenir si l’on souhaite implémenter les différents scénarios suivants: • Télétravail • Administration à distance • Applications distantes • Connexion des utilisateurs d’une agence au Terminal server du siège de l’entreprise
Introduction
A l’heure actuelle, la plupart des entreprises souhaitent accéder depuis l’extérieur à leurs ressources internes et cela de façon sécurisée. Pour y parvenir, ces entreprises implémentent des solutions nécessitant une configuration lourde et complexe (type VPN IPSec). Au travers de cet article nous verrons comment les entreprises peuvent réaliser ces tâches grâce au rôle Passerelle TS disponible sur la plateforme Windows Server 2008. Nous aborderons l'installation, la configuration, la gestion des services de la passerelle TS ainsi que la souplesse de l’implémentation de cette solution au sein d’une infrastructure informatique
1. Présentation de la passerelle TS (TS gateway)
La passerelle TS permet d’encapsuler le trafic RDP (Remote Desktop Protocole) dans HTTPS de manière transparente. Le serveur de passerelle TS se charge de communiquer en RDP avec n’importe quel serveur Terminal Server du réseau interne. Outre l’aspect sécuritaire, le fait d’utiliser HTTPS présente un autre intérêt : dans la plupart des cas, le protocole HTTPS n’est pas bloqué par les pare-feu, ce qui permet une connexion externe à une ressource Terminal Server depuis n’importe où. La passerelle TS permet donc d’accéder à un bureau publié (bureau à distance) ou bien à des applications publiées (RemoteApp TS) par le biais d’une connexion HTTPS sécurisée et chiffrée par certificat SSL. La passerelle répond parfaitement aux problèmes d’administration à distance des serveurs. Il n’est plus nécessaire de passer par un VPN et de laisser ouvert le port 3389 dans le routeur. Seul le port 443 du routeur doit être redirigé vers notre serveur possédant le rôle passerelle TS. De plus, l’accès à plusieurs serveurs est désormais possible via la passerelle TS.
2. Configuration de la passerelle
2.1 Ajout du rôle passerelle TS Le rôle passerelle TS peut être installé sur tout serveur exécutant Windows 2008. Il n’est pas obligatoire d’installer le rôle de passerelle sur un serveur exécutant Terminal Server, ces deux rôles sont totalement indépendants. Il est même conseillé d’installer la passerelle TS sur un serveur n’exécutant pas Terminal Server. Pour se faire, il suffit d’ajouter le rôle à partir du serveur manager comme ci-dessous :
La figure suivante nous permet de distinguer très clairement la différenciation de chaque rôle Terminal Server. Dans notre cas, nous allons seulement sélectionner Passerelle TS :
Le rôle Passerelle TS requiert l’ajout de certains composants supplémentaires. L’assistant d’Ajout de rôles sélectionne de manière automatique les services de rôle et les fonctionnalités correspondants. Nous allons donc cliquer sur Ajouter les services de rôle requis :
L’assistant permet de choisir un certificat d’authentification serveur pour le chiffrement SSL qui servira à sécuriser la connexion entre les clients et la passerelle TS. Nous reviendrons en détail sur les certificats un peu plus loin dans l’article. Nous sélectionnons donc l’option «Choisir un certificat pour le chiffrement SSL ultérieurement ».
Il nous est ensuite proposer de créer des stratégies d’autorisation pour la passerelle TS. Ces stratégies permettent de spécifier les utilisateurs ou groupes de sécurité qui sont autorisés ou non à établir une connexion
sur le serveur Passerelle TS. Nous créerons ces stratégies plus tard. Cochons l’option Ultérieurement.
L’assistant nous propose ensuite d’ajouter le rôle de serveur NPS (Network Policy Server) qui offre la possibilité d’appliquer une politique d’accès aux ressources réseau interne de l’entreprise. Pour plus d’information sur le serveur NPS, je nous invite à consulter l’article se trouvant sur le site du labo http://www.labo-microsoft.com/articles/nap/. Laissons la case cochez et passons à l’étape suivante.
Après la sélection de tous les composants nécessaires, un résumé d’installation apparait indiquant que les services de rôles ont été correctement installés.
Une fois le rôle correctement installé, nous pouvons retrouver les services systèmes associés à la passerelle TS en se rendant dans le Gestionnaire de serveur.
Il se peut que la passerelle TS soit en l’état Arrêter après l’installation. Dans ce cas, il suffit de Démarrer le service pour rendre la passerelle fonctionnelle.
2.2 Création du certificat Pour beaucoup de personnes, la notion de certificat est abstraite. Nous allons donc effectuer un bref rappel. Un certificat électronique est une carte d'identité numérique dont l'objet est d'identifier une entité physique ou nonphysique. Le certificat numérique ou électronique est un lien entre l'entité physique et l'entité numérique. L'autorité de certification fait foi de tiers de confiance et atteste du lien entre l'identité physique et l'entité numérique ainsi que de l’authenticité du certificat. Le protocole SSL (Secure Socket Layer) (SSL), est un protocole de sécurisation des échanges sur internet permettant de chiffrer les données. Nous parlerons donc de certificat à chiffrement SSL. ATTENTION : Lors de la création du certificat, ce dernier doit obligatoirement posséder le même nom que notre nom de domaine public acheté auprès d’un hébergeur. Ex : si mon nom de domaine public est gateway.mslab.com, mon certificat se nommera gateway.mslab.com (et ceux même si mon domaine privé est par exemple mslab.lan). Pour créer notre certificat, rendons nous dans le gestionnaire des services Internet (IIS) de notre serveur jouant le rôle de la passerelle TS au niveau de la fonctionnalité Certificats de serveur.
Cliquer ensuite sur Créer un certificat de domaine
Sur la fenêtre suivante, nous devons indiquer plusieurs informations qui constituent les propriétés de l’objet certificat. Le nom commun de notre certificat devra obligatoirement être le même que notre nom de domaine public. Dans le cas présent, le FQDN de mon serveur est tsg-mslab.mslab.lan. Nous remarquerons que mslab.lan est un domaine de type privé, non routable sur internet ; d’où la nécessité de posséder un nom de domaine public qui est ici gateway.mslab.com.
Après avoir sélectionné l’autorité de certification de notre domaine, nous renseignons en tant que nom convivial le nom commun de notre certificat. L’autorité de certification n’est pas présente par défaut sur le serveur. Pour l’obtenir, il suffit d’ajouter le rôle Service de Certificat Active Directory sur notre contrôleur de domaine via le serveur manager.
Une fois notre certificat créé, celui-ci est désormais présent au niveau de la fonction Certificat de serveur dans le gestionnaire IIS. Nous avons alors accès à plusieurs informations relatives au certificat:
• nom du certificat • son destinataire • l’autorité émettrice du certificat • sa date d’expiration • son hachage
2.3 Configuration de la passerelle TS La capture ci-dessous représente le gestionnaire de passerelle TS. Il permet d’obtenir un visuel en temps réel son activité et de sa configuration. Nous avons ainsi accès à ses deux états principaux : L’état de connexion de la passerelle comprenant : • Nombre total de connexions • Nombre d’utilisateurs connecté à la passerelle • Ressources auxquelles les utilisateurs sont connectés L’état de configuration de la passerelle comprenant : • Stratégies d’autorisation de connexions • Stratégies d’autorisations d’accès aux ressources • Membres de la batterie de serveurs de passerelles TS Cette console MMC nous permet aussi de paramétrer les stratégies d’autorisations d’accès à la passerelle et de connexions aux ressources réseaux comme cité précédemment.
Dans le volet de droite nommé Actions se trouve l’option propriétés. Lorsque nous cliquons dessus, nous accedons aux différents onglets suivants: - Général : L’onglet général permet de configurer le nombre maximal de connexions simultanées pris en charge par le serveur de passerelle TS. - Certificat SSL : Cet onglet nous intéresse plus particulièrement. Il permet de mapper le certificat créer précédemment afin sécuriser et chiffrer les communications qui s’établissent entre le serveur passerelle TS et les clients. - Pontage SSL : Cette option permet d’activer le pontage SSL pour le coupler avec notre pare-feu ISA Server ou un produit de sécurité tiers. Le pontage SSL peut améliorer la sécurité en procédant de la façon suivante : il arrête les sessions SSL, inspecte les paquets, puis rétablit les sessions SSL. - Batterie de serveurs : Cet onglet nous offre la possibilité de créer une ferme de serveurs passerelle ou bien d’inclure notre serveur passerelle TS à une ferme existante dans le but d’effectuer de la répartition de charge entre les différents serveurs passerelle. Nous devrons configurer l’équilibrage de charge avant la création d’une batterie. La Passerelle des services Terminal Server ne procède pas à l’équilibrage de charge elle-même. Cette procédure permet uniquement de s’assurer que la Passerelle des services Terminal Server fonctionnera correctement avec une solution d’équilibrage de charge déjà en place. - Magasins de stratégies d’autorisations des connexions aux services Terminal Serveur : Permet de spécifier le serveur NPS qui sera garant de l’application des stratégies d’autorisations de connexions aux services Terminal Serveur. - Audit : Cet onglet nous laisse le choix de sélectionner les évènements qui apparaitront dans le journal correspondant à la passerelle TS. Nous reviendrons en détail sur ce point dans la partie surveillance de la passerelle TS.
2.3 Configuration des règles NPS (Network Policy Server) Pour rendre notre passerelle totalement fonctionnelle, il ne nous reste plus qu’à créer vos stratégies d’autorisations de connexions et d’accès aux ressources. Pour se faire, il suffit de créer une stratégie en mode assistant comme sur la figure ci-dessous :
L’assistant contient un récapitulatif sur la fonctionnalité des stratégies d’autorisations liées aux services Terminal Server. Ce dernier stipule que la passerelle TS n’est fonctionnelle qu’à partir du moment où une stratégie d’autorisations de connexions ET une stratégie d’accès aux ressources sont configurées. Il est donc primordial de prendre en compte cette information. Sans stratégie, pas d’accès à la passerelle. Il nous est proposé 3 types de création de stratégies : • Créer une stratégie d’autorisation des connexions TS et d’accès aux ressources via les services TS
(recommandé) • Créer uniquement une stratégie d’autorisation des connexions aux services Terminal Server • Créer uniquement une stratégie d’autorisation d’accès aux ressources via les services Terminal Server Nous sélectionnons donc la première option qui créera les 2 stratégies nécessaires au fonctionnement de la passerelle. Les autres options sont à implémenté suivant la politique d’accès mise en place au sein de l’entreprise.
La console nous invite à entrez un nom pour notre stratégie d’autorisation des connexions. Choisissons un nom explicite comportant un numéro. Ceci nous sera utile pour nous y retrouver, surtout si nous avons l’intention de créer plusieurs stratégies différentes.
La stratégie d’autorisation de connexion se base sur 3 critères pour accorder la connexion à un client : • La méthode d’authentification : soit par mot de passe, soit par carte à puce • L’appartenance des utilisateurs à un groupe d’utilisateurs ou de sécurité (Ce groupe doit être ajouté au niveau de la stratégie. Seuls les membres appartenant un groupe autorisé au niveau de la passerelle ont la permission de se connecter.) Notez que ce paramètre est OBLIGATOIRE. • L’appartenance du poste client (poste à partir duquel la connexion vers la passerelle à lieu) à un groupe d’ordinateurs. Ce paramètre est quant à lui facultatif. Dans le cas où un de ces paramètres n’est pas respecté, la connexion au serveur de passerelle est refusée.
La fenêtre suivant concerne la redirection des périphériques clients. Elle offre la possibilité à un utilisateur d’accéder depuis le poste distant aux périphériques qui sont connecté sur le poste client (disque locaux, clés USB, Imprimantes, disque dur externes…). Ces périphériques sont accessibles depuis le poste de travail de l’ordinateur distant, comme le montre l’image suivante :
Il existe 3 options de configuration : • Activer la redirection de périphériques clients • Désactiver la redirection de périphériques pour tous les périphériques clients à l’exception des cartes à puce • Désactiver la redirection de périphériques pour tous les types de périphériques clients.
Une fois la configuration de la stratégie d’autorisation des connexions établie, une synthèse des paramètres de la stratégie apparait. Elle permet d’effectuer une dernière vérification des paramètres choisis. En cas d’oubli ou de paramètres tronqués, il est possible de revenir en arrière à l’aide du bouton précédent et de modifier la valeur concernée.
Comme pour les autorisations de connexion, la console nous invite à entrer un nom pour notre stratégie d’autorisation d’accès aux ressources. Choisissons un nom explicite comportant un numéro.
Même chose que pour la stratégie d’autorisation des connexions. Ajoutons un ou plusieurs groupes d’utilisateurs qui auront la permission de se connecter à distance aux ressources réseau de l’entreprise via la passerelle TS.
Le paramètre suivant permet de définir les ressources réseau auxquelles les utilisateurs ont la possibilité d’accéder. [Attention à ne pas commettre d’amalgame, les ressources réseau correspondent aux ordinateurs auxquels les utilisateurs ont accès à distance !] Les différentes ressources proposées sont : • Sélectionner un groupe de sécurité active directory existant • Sélectionner un groupe d’ordinateurs géré par passerelle TS existant ou en créer un • Autoriser les utilisateurs à se connecter à n’importe quelle ressource réseau (ordinateur)
La fenêtre suivante correspond au paramétrage des ports TCP utilisés par Terminal Server pour les connexions distantes aux ressources. Ces connexions de type RDP (Remote Desktop Protocole) utilisent par défaut le port TCP 3389. Libre à nous de choisir le ou les ports auxquels nous nous connecterons. Pour se faire, 3 options nous sont proposées : • N’autoriser que les ports via le port TCP 3389 • Autoriser les connexions via ces ports (que nous sélectionnons nous-mêmes) • Autoriser les connexions via tous les ports PS : Sur tous les systèmes Windows (Serveur 2003, Serveur 2008, XP, Vista), le port utilisé par défaut pour les connexions RDP est le port TCP 3389. Si nous souhaitons changer de port, il faut le faire manuellement en modifiant la clé de registre suivante : HKEY_LOCAL_MACHINE\System\CurrentControlSet\Control\TerminalServer\WinStations\RDP-Tcp Il suffit ensuite de modifier la sous-clé PortNumber.
Après avoir configuré la stratégie d’autorisation d’accès aux ressources, la synthèse des paramètres de la stratégie apparait. Nous pouvons ainsi vérifier et valider les paramètres choisis. En cas d’oubli ou de paramètres tronqués, il est possible de revenir en arrière à l’aide du bouton précédent et de modifier la valeur concernée.
Une fois nos statégies créées, nous les retrouverez au niveau du menu strategie. Nous accédons à une vue détaillée de nos stratégies de connexions avec : • L’ordre de priorité d’application de la stratégie
• Son nom • Le ou les groupes d’utilisateurs liés à la stratégie • Le ou les groupes d’ordinateurs clients liés à la stratégie • Son état (stratégie activée ou désactivée)
Il nous est possible d’importer et d’exporter vos paramètres de configuration et de stratégie, dans le but d’effectuer une sauvegarde ou bien encore d’uniformiser nos stratégies sur nos différents serveurs de passerelle TS par exemple. Sachez que dans le cas ou nous souhaiterions mettre en place une batterie de serveur Passerelle TS, tous les serveurs devront posséder les même stratégies sous peine de ne pas fonctionner.
L’exportation de vos paramètres s’effectue dans un fichier xml. Nous devons choisir un emplacement de stockage pour notre fichier xml en sélectionnant le bouton Parcourir. Nous pouvons bien entendu choisir un emplacement réseau tel qu’un dossier partagé du type \\nomduserveur\nomdupartage
3. Authentification SSO
L’authentification SSO (Single-Sign-On) correspond à l’identification unique. C’est une méthode qui permet à un utilisateur de ne procéder qu'à une seule authentification pour accéder à plusieurs applications informatiques (ou sites web sécurisés) et donc de simplifier l’utilisation de multiples mots de passe. Dans le cas de la passerelle TS, un utilisateur procède à 2 authentifications : Une authentification sur la passerelle TS suivie d’une authentification sur l’ordinateur distant comme le montre la figure suivante :
Pour mettre en place le SSO, il suffit de configurer, avec l’aide de l’Editeur de gestion des stratégies de groupe, la GPO qui se trouve dans : Configuration ordinateur\Modèle d’administration\Système\Délégation d’informations d’identification Modifions ensuite l’état de la stratégie Autoriser la délégation d’informations d’identification par défaut.
En activant cette GPO, nous pouvons spécifier à quels serveurs les informations d’identification par défaut de l’utilisateur peuvent être déléguées pour effectuer l’authentification SSO. Nous avons le choix de déléguer ces informations à un seul serveur Terminal Server ou bien à tous les ordinateurs de notre domaine exécutant Terminal Server. La nomenclature pour ajouter un serveur est la suivante : TERMSRV/nom FQDN du serveur
Ainsi sur l’image précédente, j’ai délégué mes informations d’identification à tous les serveurs de mon domaine de la manière suivante : *.nomdudomaine . Le TERMSRV/ est obligatoire et signifie que la délégation s’effectue uniquement vers des serveurs Terminal Server.
4. Configuration du client
4.1 Configuration du client dans un domaine 4.1.1 Configuration du client Bureau à distance via les GPO
Il existe une GPO au sein de tout domaine Microsoft Active Directory qui permet de configurer les paramètres liés à la passerelle TS. C’est une stratégie de type utilisateur qui se trouve dans : Configuration utilisateur\Modèle d’administration\Composant Windows\Services Terminal Server\Passerelle TS Nous interagissons sur les propriétés suivantes: • Définir la méthode d’authentification de la passerelle TS • Activer la connexion via une passerelle TS • Définir l’adresse du serveur de passerelle TS
La méthode Utiliser les informations d’identification utilise automatiquement notre compte de domaine avec lequel nous nous sommes logué sur le poste afin d’accéder à a la passerelle TS. Nous possédons aussi la possibilité d’autoriser ou non les utilisateurs à modifier ce paramètre.
Nous constatons que le nom d’utilisateur est renseigner automatiquement avec les identifiants utilisés pour l’ouverture de session Windows sur le poste et que de plus ce champs est grisé, donc non-modifiable comme stipulé dans la GPO configurée précédemment. Il en est de même en ce qui concerne les paramètres de connexion.
4.1.2 Déploiement et installation du certificat CA via les GPO Les connexions entre la passerelle TS et les postes clients des utilisateurs sont sécurisées par un certificat via le protocole SSL que nous avons créé précédemment. Cependant, l’installation du certificat CA de notre domaine Active Directory dans le magasin Autorités de
certification racines de confiance du poste client est nécessaire afin de vérifier l’intégrité du certificat utilisé par la passerelle TS. Si le certificat CA n’est pas installer sur le poste client, il sera alors impossible de se connecter à la passerelle TS. Pour installer le certificat CA sur tous les postes clients de notre domaine qui le nécessitent, (généralement les pc portables d’utilisateurs nomades), paramétrer la GPO suivante : Configuration ordinateur\Paramètres Windows\Paramètres de sécurité\Stratégies de clé publique Nous importons ensuite notre certificat CA dans le magasin Autorités de certification racines de confiance comme sur la figure ci-dessous.
4.2 Configuration du client en workgroup 4.2.1 Récupération et Installation du CA dans le magasin adéquate Que ce soit pour un poste client appartenant à un domaine ou à un workgroup, ce dernier doit obligatoirement posséder le certificat CA. Tout d’abord nous devons récupérer ce certificat auprès de l’autorité de certification racine d’entreprise de notre domaine. Pour cela, connectez-nous à l’adresse : https://nomduserveur/certsrv Lorsque nous y sommes invité, nous saisissons notre identifiant et notre mot de passe puis nous choisissons le dernier lien, Télécharger un certificat d’autorité de certification, une chaine de certificats ou une liste de révocation de certificats.
Sélectionnons ensuite le dernier lien Télécharger un certificat de l’autorité de certification
A l’apparition du message qui suit, enregistrons notre certificat CA à l’endroit ou nous le souhaitons.
Après avoir récupérer notre certificat, nous devons l’installer dans le magasin Autorités de certification racines de confiance comme pour un poste client appartenant à un domaine active directory. Accéder à l’outil Exécuter (raccourci touches windows + R), puis taper MMC. Une fois la console MMC lancée, dans Fichier, sélectionner Ajouter/Supprimer un composant logiciel enfichable. Ensuite, parmi ces composants logiciels, ajoutons le composant nommé Certificats
Sélectionner le compte de l’ordinateur afin de gérer ses certificats
Un message d’avertissement nous demande d’approuver le certificat car Windows ne connait pas la provenance du certificat racine. Cliquer sur Oui. PS : Seuls les certificats provenant d’une autorité de certification connus de notre système sont considérés comme valides.
Le certificat apparait alors dans le magasin Autorités de certification racines de confiance, ce qui prouve qu’il a été correctement installer.
4.1.3 Configuration du client Bureau à distance Que ce soit pour un poste appartenant à un domaine ou à un workgroup, la connexion permettant d’accéder à un serveur ou un poste de notre réseau d’entreprise via une passerelle TS s’effectue par l’intermédiaire du client bureau à distance. Ce dernier se trouve dans Tous les programmes\Accessoires dans le menu Démarrer de notre système d’exploitation Windows Vista ou XP. Attention : Seuls les clients bureau à distance version 6.0 ou ultérieurs sont capables de se connecter à une passerelle TS. Si telle n’est pas le cas, pensez à mettre à jour notre client bureau à distance via Windows
Update. Pour obtenir votre version du client bureau à distance, aller dans le répertoire %systemroot%\system32 puis aller dans les propriétés de l’exécutable mstsc comme sur la figure ci-dessous dans l’onglet Détails:
Une fois lancé, cliquer sur l’onglet Connexion puis sélectionner le bouton Paramètres
Grâce à cette option, nous agissons sur la configuration du serveur de passerelle TS en modifiant : • Les paramètres de connexion • Les paramètres d’ouverture de session En ce qui concerne les paramètres de connexion, nous renseignerons nos propres paramètres de serveur passerelle TS en indiquant le nom de notre passerelle ainsi que la méthode d’ouverture de session (mot de passe NTLM, carte à puce ou m’autoriser à sélectionner ultérieurement)
Au niveau des paramètres d’ouverture de session, une option nommée Utiliser les informations d’identification de passerelle Terminal Server pour l’ordinateur distant. Cette option nous permettra de n’indiquer qu’une seule fois vos identifiants de connexion.
Comme nous pouvons le constater, dans le nom de l’ordinateur distant, j’indique bien le nom FQDN de mon serveur appartenant à mon domaine privé d’entreprise qui ne se trouve pas sur internet.
La figure suivante nous demande de renseigner nos informations d’identification. On peut observer que cette authentification sera effectuée 2 fois : une première fois sur la passerelle puis ensuite sur l’ordinateur distant. D’où l’utilité d’activer le Single-Sign-On pour un client du domaine ainsi que l’utilisation des mêmes identifiants de connexion pour la passerelle et la ressource distante au niveau des paramètres de connexion du bureau à distance, ceci afin d’éviter que l’utilisateur ne les rentre 2 fois consécutivement.
Une fois la connexion établie, nous retrouvons 2 petites icônes au niveau de la barre de connexion. La première, représentant un cadenas, indique que la connexion est sécurisée via un certificat SSL. La seconde icône représente la passerelle TS. En cliquant dessus, nous accédons à des informations détaillées comme le montre la figure ci-dessous :
5. Accès aux RemoteApp via la passerelle TS
La passerelle TS nous permet aussi de sécuriser l’accès aux programmes RemoteApp TS de notre serveur Terminal Server. En se rendant dans le Gestionnaire RemoteApp TS qui se trouve dans Outils d’administrations?Services Terminal Server? Gestionnaire RemoteApp TS, nous pouvons indiquer les paramètres de la passerelle TS à utiliser.
La configuration des paramètres de déploiement RemoteApp via la passerelle TS est identique à la configuration du client bureau à distance. Il suffit juste d’indiquer le nom du serveur (qui pour rappel correspond au nom de votre nom de domaine public), la méthode d’ouverture de session et enfin le Single-SignOn passerelle TS / application RemoteApp TS.
6. Surveillance de la passerelle TS
6.1 Moniteur d’analyse de la passerelle TS Malgré la sécurisation des connexions fournie par les certificats, l’implémentation d’une passerelle TS nécessite tout de même une surveillance. La console principale du Gestionnaire de passerelle offre une première vue globale de l’état de la passerelle et de son activité. L’élément le plus intéressant dans cette vue est l’état de connexion qui indique le nombre total de connexions, le nombre d’utilisateurs connectés à la passerelle ainsi que le nombre d’ordinateurs utilisés à distance par les utilisateurs. La console permet aussi de surveiller les connexions aux applications RemoteApp TS.
Lorsque nous sélectionnons Surveiller les connexions actives, nous accédons à la console d’analyse des connexions actuellement active sur la passerelle. Celle-ci offre une vue beaucoup plus détaillée que la console principale avec : • L’ID de connexion • ID de l’utilisateur (nomdudomaine\nomutilisateur) • Date et heure de la connexion • Durée de la connexion • Durée d’inactivité • Ordinateur sur lequel l’utilisateur est connecté • Adresse IP du client qui initialise la connexion • Port utilisé par l’ordinateur cible • Protocole de transport utilisé (RDP) • Nombre de Ko (Kilo-octets) reçu et envoyé Nous avons la possibilité d’interagir avec les sessions utilisateur en cours, notamment en décidant de fermer la connexion ou bien de déconnecter l’utilisateur. A première vue, il semble ne pas exister de différence entre ces 2 options. Pourtant, la seconde option permet juste de déconnecter l’utilisateur de la passerelle TS. Ainsi, lors sa reconnexion, l’utilisateur retrouva son environnement de travail tel qu’il était avant la déconnexion. A l’inverse, l’option Fermer la connexion entraine la perte de toute la session en cours de l’utilisateur ainsi qu’une déconnexion de la passerelle.
6.2 Consultation du journal d’événement de la passerelle TS Le second élément de surveillance est le journal d’événement correspondant à la passerelle TS. Pour le consulter, nous allons créer une vue personnalisée au niveau de l’observateur d’événements. Auparavant, nous devrons sélectionner les événements à enregistrer dans le journal qui se trouvent dans l’onglet audit au niveau des propriétés de la passerelle TS comme ci-dessous :
En ce qui concerne les paramètres de la vue personnalisée, cochez les cases Critique, Avertissement, Erreur, Information. Ce seront ces niveaux d’événement que nous trouverons dans notre journal. Dans le menu déroulant Journaux d’événements, cochez la case Journaux des applications?Microsoft?Windows?TerminalServices-Gateway
Indiquons ensuite le nom que portera notre vue personnalisée ainsi qu’une description de celle-ci. Sélectionner ensuite l’emplacement ou la vue sera enregistrée au niveau de l’observateur d’événements.
Comme nous pouvons le constater, la vue personnalisée (précédemment nommée Services TS-Gateway) apparait bien dans l’observateur d’événements dans les affichages personnalisés. Nous accédons ainsi au type d’événement, la date et l’heure de l’événement, sa source (qui sera dans ce cas TerminalServices-Gateway), ID de l’événement ainsi que la catégorie de la tâche. Des informations détaillées apparaissent dans l’onglet Général expliquant très clairement les actions effectuées en fonction du type d’évènement ayant eu lieu.
Conclusion
Avec la passerelle Terminal Server, Microsoft met à disposition de l’entreprise une solution d’accès à distance simple à utiliser, simple à administrer et simple à mettre en place. De plus, la passerelle peut convenir si l’on souhaite implémenter les différents scénarios suivants: • Télétravail • Administration à distance • Applications distantes • Connexion des utilisateurs d’une agence au Terminal server du siège de l’entreprise
