Porta enllaç Escriptori Remot

La connexió d’Escriptori Remot permet treballar amb un equip mitjançant una connexió remota, ja sigui una màquina virtual o un servidor de sessions. Però què passa quan l’usuari no es troba dins la xarxa interna, sinó que ha de fer la connexió des de l’exterior? No pot fer la connexió remota directe mitjançant Internet als equips interns. Bé, no s’hauria de poder fer. Ja he vist alguna que altra instal·lació publicant el port 3389 o, fins i tot, rangs sencers que apunten a les màquines internes. Sense cap tipus de control ni seguretat. (Obrir cometes de sarcasme) “Vols accedir a la teva màquina des de fora, cap problema, IP pública dos punts i el port que li correspongui.” (tancar cometes de sarcasme) NO, NO i NO. Així NO. Després ens passa el què passa i no sabem el per què.

Podem connectar directament des de fora sense haver d’utilitzar una connexió VPN a la xarxa interna ni invents de ports de comunicació. Simplement amb la publicació del port TCP 443 a un servei de proxy revers que s’encarregarà de controlar qui es pot connectar, qui no i a on. I és possible gràcies al servei de porta d’enllaç d’Escriptori Remot.

A grans trets consisteix en fer passar la petició de connexió remota, port TCP 3389, per dins un túnel SSL que s’estableix entre el servidor de la porta d’enllaç i el client només per aquesta finalitat. És una petició a un servei Web, pel que no espereu utilitzar el navegador per veure cap pàgina web a diferència del portal web d’Escriptori Remot. Aquesta connexió es realitza amb el client.

Diagrama de concepte de la porta enllaç Escriptori Remot.

En aquesta entrada veurem com instal·lar i configurar la porta enllaç d’Escriptori Remot en un servidor, per permetre la connexió des de l’exterior sense necessitat d’establir prèviament una VPN.

Habilitar la porta enllaç escriptori remot

Per seguir l’exemple d’aquesta entrada, s’utilitzarà el mateix servidor que es va desplegar en l’entrada de portal web d’Escriptori Remot. Normalment, en entorns productius aquest rol es trobarà en un altre servidor.

Obrir l’Administrador del servidor en el servidor on hagi de tenir aquest rol. Assegurar que l’administrador del servidor té donats d’alta tots els servidors que formen part de la implementació d’escriptori remot. Per comprovar que els servidors que necessitem estan donats d’alta, clicar a Tots els servidors per veure’ls.

Feta la comprovació, al menú de l’esquerra, hi ha l’opció per gestionar l’entorn d’Escriptori Remot. Clicar a Serveis d’Escriptori Remot.

A la pantalla principal d’Informació general, a l’apartat Informació general de implementació, clicar a porta enllaç d’Escriptori Remot.

Seleccionar el servidor que ha de tenir el rol de porta enllaç d’Escriptori Remot, afegir-lo a l’apartat de Seleccionada. Clicar el botó Següent.

Indicar el nom pel que s’accedirà al servei de porta enllaç d’escriptori remot. Al necessitar un certificat, el sistema en crearà un amb aquest nom auto signat, que no serà el què hem d’utilitzar. El nom s’haurà de poder resoldre públicament per arribar al servei.

No obstant, si el servei de porta enllaç s’ubica al mateix servidor que el portal web d’Escriptori Remot. El nom públic ha de ser el mateix perquè utilitzen el mateix port d’entrada. Clicar el botó Següent.

Resum de les operacions a realitzar. Si tot és correcte, clicar el botó Afegir.

Acabada la instal·lació del rol, queda pendent la configuració del certificat. Clicar a l’enllaç de Configurar certificat.

S’obre la finestra de propietats de la implementació per l’apartat de certificats. Es comprova que la porta enllaç no disposa d’un certificat assignat. Es pot utilitzar un certificat de l’entitat pròpia o d’una entitat comercial, en ambdós casos els clients han de confiar amb l’entitat emissora del certificat.

En l’exemple, com que també hi ha instal·lat el portal web d’Escriptori Remot que també utilitza el port HTTPS (TCP-443), el certificat ha de ser el mateix. Clicar a porta enllaç d’Escriptori Remot. Clicar el botó Seleccionar certificat existent.

Indicar el certificat que conté la clau privada corresponent, tal com es va veure en l’apartat de certificats en l’entrada portal web d’Escriptori Remot. Clicar el botó Acceptar.

Clicar el botó afegir o aplicar els canvis.

Al revisar ara la informació general d’implementació, es comprova que s’ha creat la porta enllaç d’Escriptori Remot.

Si s’editen les propietats de la implementació, clicar a Tasques > Editar propietats de la implementació.

A l’apartat de certificats, s’ha carregat correctament el certificat de la porta enllaç.

També tenim un nou apartat, la porta enllaç d’Escriptori Remot. On es configura, a trets generals, el nom de l’accés a la porta enllaç i el tipus d’autenticació a utilitzar. Assegurar que el nom extern a utilitzar per la porta enllaç coincideix amb el certificat.

Administrar la porta enllaç d’Escriptori Remot

La porta enllaç d’Escriptori Remot s’administra mitjançant una eina pròpia fora de l’entorn general de l’administrador del servidor. Al menú superior de la dreta, despleguem l’opció Eines > Terminal Services > Administrador de la porta enllaç d’Escriptori Remot.

Pel funcionament correcte de la porta enllaç, hi ha tres paràmetres a configurar: el servidor, les directives d’autorització de connexions i les directives d’autorització de recursos. A continuació es descriu la part de configuració de cada paràmetre.

Servidor

Per a configurar els paràmetres del servidor, cal clicar amb el botó dret damunt el nom del servidor, clicar a Propietats.

General. Per limitar el nombre de connexions. Per defecte queda seleccionada l’opció connexions il·limitades.

Certificat SSL. Comprovar que sigui el correcte. Des d’aquest apartat també es pot canviar.

Configuració de transport HTTP i UDP. Per a quina adreça i port escoltarà el servidor. Com que no volem complicar el tema de ports als usuaris, deixem el TCP 443.

Magatzem CAP. On es troben les directives d’autorització de connexions. Per no complicar en aquests moments la configuració, s’utilitza el magatzem local.

Granja de servidors. Sí, és possible disposar d’una granja de servidors de porta enllaç per múltiples connexions i alta disponibilitat. Tampoc és el cas.

Auditoria. Com el seu nom indica, permet registrar qui es connecta, si ho fa de manera correcta o no, etc…

Protocol de pont SSL. En cas de fer salts entre servidors, per exemple en l’encadenament de servidors en una DMZ.

Missatgeria. Útil per enviar missatges als usuaris que s’hi connecten per informar de manteniments o avís legal.

Clicar el botó Acceptar quan ho tinguem al nostre gust.

Directives d’autorització de connexions

Es defineix qui es pot connectar mitjançant la porta enllaç d’escriptori remot. Per defecte, l’instal·lador ja n’ha creat una que es pot aprofitar per modificar segons les nostres necessitats o bé deshabilitar.

Es poden crear tantes directives com calguin, tenint en compte diferents perfils d’usuaris – equips als què poder connectar, per exemple.

Botó dret damunt la directiva d’autorització de connexió, clicar el botó Propietats.

General. Indica el nom descriptiu de la directiva. Intentar que sigui entenedor per a vosaltres mateixos.

Requeriments. Com s’ha de fer l’autenticació: Per contrasenya, per targeta o ambdues. Deixar per Contrasenya. A quin grup d’usuaris ha de pertànyer l’usuari per poder validar. Per defecte hi ha Usuaris del domini. No cal dir que no és gens recomanable aquest grup. Clicant el botó Afegir grup es pot seleccionar un grup de seguretat més adient per permetre l’accés a qui realment hi ha d’accedir.

Redirecció de dispositius. Per defecte està tot habilitat, però pot ser que no interessi que l’usuari tingui accés a les seves unitats locals des de la sessió remota. A la imatge només es permet l’ús del porta papers entre el dispositiu i la connexió d’escriptori remot.

Temps d’espera. Què fem quan l’usuari deixa la connexió oberta però no fa res? I la sessió oberta, però tanca l’aplicació de connexió? Se’ns pot col·lapsar el servidor amb connexions obertes que no s’utilitzen. Limitar els temps d’espera i inactivitat és una bona forma de sanejar aquestes connexions. Els valors per defecte poden ser els adequats, però tot depèn del comportament dels vostres usuaris.

Clicar el botó Acceptar quan ho tinguem al nostre gust.

Directives d’autorització de recursos

Aquesta directiva és un casament entre usuaris i equips als que es poden connectar. Tant senzill com això. A l’igual que l’anterior es pot utilitzar la què ha creat per defecte o crear-ne de noves.

Botó dret damunt la directiva d’autorització de recursos, clicar el botó Propietats.

General. Indica el nom descriptiu de la directiva. Intentar que sigui entenedora per a vosaltres mateixos.

Grups d’usuaris. Els grups d’Active Directory que tindran accés als recursos que indicarem a continuació. No cal tornar a recordar que el grup Usuaris del domini no és adequat.

Recursos de xarxa. El grup de seguretat de l’Active Directory que conté els comptes dels equips als que es permet la connexió al grup de seguretat d’usuaris anterior. Tampoc no cal dir que el grup Equips del domini no és l’adequat, ja què inclou a tots els equips del domini.

Ports permesos per la connexió d’escriptori remot. Per defecte s’utilitza el port 3389, però es pot donar el cas que hagueu modificat aquest port en algun dels servidors i requereixi canviar el port.

Clicar el botó Acceptar quan ho tinguem al nostre gust.

I sí, ja hem acabat la configuració. Ara només queda publicar el port TCP 443 perquè vagi al servidor que té la porta enllaç en el nostre tallafocs i configurar els clients per poder connectar des de fora mitjançant la porta enllaç.

T’ha agradat l’article? El pots compartir a les xarxes socials. També pots deixar la teva opinió, comentari o suggeriment. Gràcies!

Porta enllaç Escriptori Remot

Habilitar la porta enllaç escriptori remot