Windows Server 2012 / 2012 R2 - RDS - Forcer l'utilisation de la passerelle pour les utilisateurs locaux

Page 1 / 2

Lorsque vous déployez une passerelle dans une infrastructure RDS, cela permet à vos utilisateurs d'accéder aux ressources de votre infrastructure RDS depuis l'extérieur (Internet).
De plus, cela vous permet aussi de gérer la sécurité de votre infrastructure RDS grâce aux stratégies d'autorisations de connexions et d'accès aux ressources.

Néanmoins, par défaut, les utilisateurs présents dans le réseau local de votre entreprise pourront accéder aux bureaux et/ou aux programmes RemoteApp sans être contrôlés par ces stratégies.

Si vous souhaitez que ces stratégies s'appliquent aussi aux utilisateurs locaux (présents dans l'Active Directory), vous devrez configurer votre infrastructure RDS pour que le passage par la passerelle RDS soit obligatoire.

  1. Forcer l'utilisation de la passerelle
  2. Régler le problème d'accès à la passerelle depuis le réseau local
  3. Connexion via la passerelle RDS
  4. Gérer les autorisations sur la passerelle RDS
  5. Activer l'authentification unique (SSO) pour la passerelle

1. Forcer l'utilisation de la passerelle

Pour commencer, ouvrez le gestionnaire de serveur et allez dans : Services Bureau à distance -> Vue d'ensemble -> Tâches -> Modifier les propriétés de déploiement.

Dans la section "Certificats", assurez-vous d'avoir déployé un certificat valide pour votre passerelle des services Bureau à distance.

Si ce n'est pas le cas, référez-vous à l'étape "Importer le certificat de la passerelle RDS" de notre tutoriel : RDS - Déployer la passerelle pour fournir un accès sécurisé depuis l'extérieur

Ensuite, comme vous pouvez le voir sur l'image ci-dessous, le certificat sera valable pour le nom externe de votre passerelle RDS.

Dans la section "Passerelle des services Bureau à distance" :

  • sélectionnez l'option "Utiliser ces paramètres de serveur de passerelle Bureau à distance"
  • indiquez le nom externe (affiché dans la section Certificats). Dans notre cas : rds.informatiweb-tuto.net
  • cochez la case "Utiliser les informations d'identification de la passerelle ..." pour que les utilisateurs ne soient pas obligés de s'identifier 2 fois lorsqu'ils tenteront d'accéder à un programme RemoteApp ou un bureau RDS
  • décochez la case "Ignorer le serveur de passerelle des services Bureau à distance pour les adresses locales" pour que tous vos utilisateurs (y compris ceux présents dans votre réseau local) passent par la passerelle

Maintenant, ouvrez l'accès web RDS depuis un poste client (ou actualisez la page si elle était déjà ouverte) et tentez d'accéder à un bureau ou un programme RemoteApp.
Comme vous pouvez le voir, Windows tentera de se connecter à l'ordinateur distant "RDS.INFORMATIWEB.LAN" via le serveur de passerelle "rds.informatiweb-tuto.net".

Comme vous pouvez le voir, Windows vous demandera de vous authentifier pour vous connecter à la passerelle : rds.informatiweb-tuto.net

Windows tente de démarrer le programme RemoteApp.

Et la connexion échoue.
En effet, étant donné que le bouclage local (ou loopback en anglais) est bloqué par défaut par les routeurs, vous ne pourrez pas accéder à la passerelle via son adresse IP externe, car vous vous trouvez à l'intérieur du réseau local.

Au passage, notre problème de certificat est dû au fait que le routeur fourni par notre FAI utilise un certificat SSL un peu bizarre (qui est expiré depuis des années d'ailleurs).
Mais, le problème vient en réalité de ce bouclage réseau bloqué par défaut par les routeurs. C'est d'ailleurs pour cette raison que Windows reçoit une erreur générée par notre routeur et non par notre serveur sous Windows Server 2012.

Si vous cherchez l'adresse IP associée à votre domaine externe depuis votre PC client, vous verrez qu'il pointe effectivement sur une adresse IP externe (WAN).

Batch

nslookup rds.informatiweb-tuto.net

2. Régler le problème d'accès à la passerelle depuis le réseau local

Pour régler ce problème, vous pouvez utiliser notre petite astuce qui consiste à masquer l'adresse IP externe du domaine externe (dans notre cas : rds.informatiweb-tuto.net) par l'adresse IP locale correspond au même serveur.

Pour cela, ouvrez le gestionnaire DNS présent sur votre serveur Active Directory et créez une nouvelle zone de recherche directe.

Sélectionnez "Zone principale".

Indiquez votre nom de domaine externe complet.
Dans notre cas : rds.informatiweb-tuto.net

Cliquez sur Suivant.

Cliquez sur Terminer.

Dans cette nouvelle zone de recherche directe, créez un seul enregistrement A en indiquant uniquement l'adresse IP locale de votre serveur de passerelle RDS.
Pour le nom, laissez la case vide.

Videz le cache DNS de votre PC client en utilisant la commande :

Batch

ipconfig /flushdns

Puis, réutilisez la commande nslookup comme précédemment :

Batch

nslookup rds.informatiweb-tuto.net

Comme vous pouvez le voir, maintenant, les PC clients se trouvant sur votre réseau local utiliseront l'adresse IP locale au lieu de l'adresse IP externe (WAN) pour se connecter à la passerelle RDS.
Ce qui élimine le problème de blocage du bouclage réseau.

3. Connexion via la passerelle RDS

Maintenant, tentez de relancer un programme RemoteApp ou un bureau auquel vous devriez avoir accès.

Le programme RemoteApp ou le bureau souhaité apparait sans problème.

Sur votre serveur RDS, vous verrez que cet utilisateur est bien connecté à votre serveur.

Et qu'il est bien connecté via la passerelle des services Bureau à distance.

Si vous le souhaitez, vous pouvez fermer une connexion ou de préférence déconnecter l'utilisateur (pour fermer toutes ses connexions associées).

Cliquez sur Oui pour déconnecter l'utilisateur de la passerelle.

Sur le PC client, votre utilisateur verra que l'administrateur du serveur de passerelle Bureau à distance a mis fin à sa connexion.