Porta enllaç Escriptori Remot

3 Març 2015
Josep Ma Solanes 0

La connexió d’Escriptori Remot permet treballar amb un equip mitjançant una connexió remota, ja sigui una màquina virtual o un servidor de sessions. Però què passa quan l’usuari no es troba dins la xarxa interna, sinó que ha de fer la connexió des de l’exterior? No pot fer la connexió remota directe mitjançant Internet als equips interns. Bé, no s’hauria de poder fer. Ja he vist alguna que altra instal·lació publicant el port 3389 o, fins i tot, rangs sencers que apunten a les màquines internes. Sense cap tipus de control ni seguretat. (Obrir cometes de sarcasme) “Vols accedir a la teva màquina des de fora, cap problema, IP pública dos punts i el port que li correspongui.” (tancar cometes de sarcasme) NO, NO i NO. Així NO. Després ens passa el què passa i no sabem el per què.

Podem connectar directament des de fora sense haver d’utilitzar una connexió VPN a la xarxa interna ni invents de ports de comunicació. Simplement amb la publicació del port TCP 443 a un servei de proxy revers que s’encarregarà de controlar qui es pot connectar, qui no i a on. I és possible gràcies al servei de porta d’enllaç d’Escriptori Remot.

A grans trets consisteix en fer passar la petició de connexió remota, port TCP 3389, per dins un túnel SSL que s’estableix entre el servidor de la porta d’enllaç i el client només per aquesta finalitat. És una petició a un servei Web, pel que no espereu utilitzar el navegador per veure cap pàgina web a diferència del portal web d’Escriptori Remot. Aquesta connexió es realitza amb el client.

Diagrama de concepte de la porta enllaç Escriptori Remot.
Diagrama de concepte de la porta enllaç Escriptori Remot.

 

En aquesta entrada veurem com instal·lar i configurar la porta enllaç d’Escriptori Remot en un servidor, per permetre la connexió des de l’exterior sense necessitat d’establir prèviament una VPN.

 

Habilitar la porta enllaç escriptori remot

Per seguir l’exemple d’aquesta entrada, s’utilitzarà el mateix servidor que es va desplegar en l’entrada de portal web d’Escriptori Remot. Normalment, en entorns productius aquest rol es trobarà en un altre servidor.

Obrir l’Administrador del servidor en el servidor on hagi de tenir aquest rol. Assegurar que l’administrador del servidor té donats d’alta tots els servidors que formen part de la implementació d’escriptori remot. Per comprovar que els servidors que necessitem estan donats d’alta, clicar a Tots els servidors per veure’ls.

Porta enllaç Escriptori Remot - pantalla configuració 01

Feta la comprovació, al menú de l’esquerra, hi ha l’opció per gestionar l’entorn d’Escriptori Remot. Clicar a Serveis d’Escriptori Remot.

Porta enllaç Escriptori Remot - pantalla configuració 02

A la pantalla principal d’Informació general, a l’apartat Informació general de implementació, clicar a porta enllaç d’Escriptori Remot.

Porta enllaç Escriptori Remot - pantalla configuració 03

Seleccionar el servidor que ha de tenir el rol de porta enllaç d’Escriptori Remot, afegir-lo a l’apartat de Seleccionada. Clicar el botó Següent.

Porta enllaç Escriptori Remot - pantalla configuració 04

Indicar el nom pel que s’accedirà al servei de porta enllaç d’escriptori remot. Al necessitar un certificat, el sistema en crearà un amb aquest nom auto signat, que no serà el què hem d’utilitzar. El nom s’haurà de poder resoldre públicament per arribar al servei.

No obstant, si el servei de porta enllaç s’ubica al mateix servidor que el portal web d’Escriptori Remot. El nom públic ha de ser el mateix perquè utilitzen el mateix port d’entrada. Clicar el botó Següent.

Porta enllaç Escriptori Remot - pantalla configuració 05

Resum de les operacions a realitzar. Si tot és correcte, clicar el botó Afegir.

Porta enllaç Escriptori Remot - pantalla configuració 06

Acabada la instal·lació del rol, queda pendent la configuració del certificat. Clicar a l’enllaç de Configurar certificat.

Porta enllaç Escriptori Remot - pantalla configuració 07

S’obre la finestra de propietats de la implementació per l’apartat de certificats. Es comprova que la porta enllaç no disposa d’un certificat assignat. Es pot utilitzar un certificat de l’entitat pròpia o d’una entitat comercial, en ambdós casos els clients han de confiar amb l’entitat emissora del certificat.

En l’exemple, com que també hi ha instal·lat el portal web d’Escriptori Remot que també utilitza el port HTTPS (TCP-443), el certificat ha de ser el mateix. Clicar a porta enllaç d’Escriptori Remot. Clicar el botó Seleccionar certificat existent.

Porta enllaç Escriptori Remot - pantalla configuració 08

Indicar el certificat que conté la clau privada corresponent, tal com es va veure en l’apartat de certificats en l’entrada portal web d’Escriptori Remot. Clicar el botó Acceptar.

Porta enllaç Escriptori Remot - pantalla configuració 09

Clicar el botó afegir o aplicar els canvis.

Porta enllaç Escriptori Remot - pantalla configuració 10

Al revisar ara la informació general d’implementació, es comprova que s’ha creat la porta enllaç d’Escriptori Remot.

Porta enllaç Escriptori Remot - pantalla configuració 11

Si s’editen les propietats de la implementació, clicar a Tasques > Editar propietats de la implementació.

Porta enllaç Escriptori Remot - pantalla configuració 12

A l’apartat de certificats, s’ha carregat correctament el certificat de la porta enllaç.

Porta enllaç Escriptori Remot - pantalla configuració 13

També tenim un nou apartat, la porta enllaç d’Escriptori Remot. On es configura, a trets generals, el nom de l’accés a la porta enllaç i el tipus d’autenticació a utilitzar. Assegurar que el nom extern a utilitzar per la porta enllaç coincideix amb el certificat.

Porta enllaç Escriptori Remot - pantalla configuració 14

 

Administrar la porta enllaç d’Escriptori Remot

La porta enllaç d’Escriptori Remot s’administra mitjançant una eina pròpia fora de l’entorn general de l’administrador del servidor. Al menú superior de la dreta, despleguem l’opció Eines > Terminal Services > Administrador de la porta enllaç d’Escriptori Remot.

Porta enllaç Escriptori Remot - pantalla configuració 15

Pel funcionament correcte de la porta enllaç, hi ha tres paràmetres a configurar: el servidor, les directives d’autorització de connexions i les directives d’autorització de recursos. A continuació es descriu la part de configuració de cada paràmetre.

Porta enllaç Escriptori Remot - pantalla configuració 16

Servidor

Per a configurar els paràmetres del servidor, cal clicar amb el botó dret damunt el nom del servidor, clicar a Propietats.

Porta enllaç Escriptori Remot - pantalla configuració 17

  • General. Per limitar el nombre de connexions. Per defecte queda seleccionada l’opció connexions il·limitades.

Porta enllaç Escriptori Remot - pantalla configuració 18

  • Certificat SSL. Comprovar que sigui el correcte. Des d’aquest apartat també es pot canviar.

Porta enllaç Escriptori Remot - pantalla configuració 19

  • Configuració de transport HTTP i UDP. Per a quina adreça i port escoltarà el servidor. Com que no volem complicar el tema de ports als usuaris, deixem el TCP 443. Porta enllaç Escriptori Remot - pantalla configuració 20
  • Magatzem CAP. On es troben les directives d’autorització de connexions. Per no complicar en aquests moments la configuració, s’utilitza el magatzem local. Porta enllaç Escriptori Remot - pantalla configuració 21
  • Granja de servidors. Sí, és possible disposar d’una granja de servidors de porta enllaç per múltiples connexions i alta disponibilitat. Tampoc és el cas. Porta enllaç Escriptori Remot - pantalla configuració 22
  • Auditoria. Com el seu nom indica, permet registrar qui es connecta, si ho fa de manera correcta o no, etc… Porta enllaç Escriptori Remot - pantalla configuració 22a
  • Protocol de pont SSL. En cas de fer salts entre servidors, per exemple en l’encadenament de servidors en una DMZ. Porta enllaç Escriptori Remot - pantalla configuració 23
  • Missatgeria. Útil per enviar missatges als usuaris que s’hi connecten per informar de manteniments o avís legal. Porta enllaç Escriptori Remot - pantalla configuració 24

Clicar el botó Acceptar quan ho tinguem al nostre gust.

 

Directives d’autorització de connexions

Es defineix qui es pot connectar mitjançant la porta enllaç d’escriptori remot. Per defecte, l’instal·lador ja n’ha creat una que es pot aprofitar per modificar segons les nostres necessitats o bé deshabilitar.

Es poden crear tantes directives com calguin, tenint en compte diferents perfils d’usuaris – equips als què poder connectar, per exemple.

Porta enllaç Escriptori Remot - pantalla configuració 25

Botó dret damunt la directiva d’autorització de connexió, clicar el botó Propietats.

Porta enllaç Escriptori Remot - pantalla configuració 26

  • General. Indica el nom descriptiu de la directiva. Intentar que sigui entenedor per a vosaltres mateixos. Porta enllaç Escriptori Remot - pantalla configuració 27
  • Requeriments. Com s’ha de fer l’autenticació: Per contrasenya, per targeta o ambdues. Deixar per Contrasenya. A quin grup d’usuaris ha de pertànyer l’usuari per poder validar. Per defecte hi ha Usuaris del domini. No cal dir que no és gens recomanable aquest grup. Clicant el botó Afegir grup es pot seleccionar un grup de seguretat més adient per permetre l’accés a qui realment hi ha d’accedir. Porta enllaç Escriptori Remot - pantalla configuració 28
  • Redirecció de dispositius. Per defecte està tot habilitat, però pot ser que no interessi que l’usuari tingui accés a les seves unitats locals des de la sessió remota. A la imatge només es permet l’ús del porta papers entre el dispositiu i la connexió d’escriptori remot. Porta enllaç Escriptori Remot - pantalla configuració 29
  • Temps d’espera. Què fem quan l’usuari deixa la connexió oberta però no fa res? I la sessió oberta, però tanca l’aplicació de connexió? Se’ns pot col·lapsar el servidor amb connexions obertes que no s’utilitzen. Limitar els temps d’espera i inactivitat és una bona forma de sanejar aquestes connexions. Els valors per defecte poden ser els adequats, però tot depèn del comportament dels vostres usuaris. Porta enllaç Escriptori Remot - pantalla configuració 30

Clicar el botó Acceptar quan ho tinguem al nostre gust.

 

Directives d’autorització de recursos

Aquesta directiva és un casament entre usuaris i equips als que es poden connectar. Tant senzill com això. A l’igual que l’anterior es pot utilitzar la què ha creat per defecte o crear-ne de noves. Porta enllaç Escriptori Remot - pantalla configuració 31

Botó dret damunt la directiva d’autorització de recursos, clicar el botó Propietats. Porta enllaç Escriptori Remot - pantalla configuració 32

  • General. Indica el nom descriptiu de la directiva. Intentar que sigui entenedora per a vosaltres mateixos. Porta enllaç Escriptori Remot - pantalla configuració 33
  • Grups d’usuaris. Els grups d’Active Directory que tindran accés als recursos que indicarem a continuació. No cal tornar a recordar que el grup Usuaris del domini no és adequat. Porta enllaç Escriptori Remot - pantalla configuració 34
  • Recursos de xarxa. El grup de seguretat de l’Active Directory que conté els comptes dels equips als que es permet la connexió al grup de seguretat d’usuaris anterior. Tampoc no cal dir que el grup Equips del domini no és l’adequat, ja què inclou a tots els equips del domini. Porta enllaç Escriptori Remot - pantalla configuració 35
  • Ports permesos per la connexió d’escriptori remot. Per defecte s’utilitza el port 3389, però es pot donar el cas que hagueu modificat aquest port en algun dels servidors i requereixi canviar el port. Porta enllaç Escriptori Remot - pantalla configuració 36

Clicar el botó Acceptar quan ho tinguem al nostre gust.

I sí, ja hem acabat la configuració. Ara només queda publicar el port TCP 443 perquè vagi al servidor que té la porta enllaç en el nostre tallafocs i configurar els clients per poder connectar des de fora mitjançant la porta enllaç.

 

T’ha agradat l’article? El pots compartir a les xarxes socials. També pots deixar la teva opinió, comentari o suggeriment. Gràcies!

Similar Posts by The Author:

 

Deixar un comentari

Recorda que no es contestaran preguntes personals, només d´interés comú que ens enriqueixin a tots.
La teva adreça de correu electrònic no serà publicada. Els camps obligatoris estan indicats.

Aquest lloc utilitza Akismet per reduir el correu brossa. Aprendre com la informació del vostre comentari és processada