Si vous souhaitez lire la partie suivante de cette série d’articles, reportez-vous à la section Configuration de la passerelle de services de terminaux Windows Server 2008 (Partie 2)
Les administrateurs de sécurité de Microsoft ont toujours été un peu réticents à publier des serveurs de terminaux sur Internet. Et pour une bonne raison – il n’y avait aucune possibilité de pré-authentifier les connexions ou d’utiliser une politique pour déterminer quels utilisateurs pouvaient accéder à quels serveurs de terminaux. L’absence de pré-authentification était un problème particulièrement difficile. Sans pré-authentification, les utilisateurs anonymes pourraient tirer parti de leurs connexions anonymes pour compromettre le serveur de terminal publié. Un serveur de terminal compromis est peut-être l’exploit le plus dangereux possible contre votre réseau, car l’attaquant a accès à un système d’exploitation complet pour lancer ses attaques.
Windows Server 2008 fournit une solution à ce problème de sécurité : Terminal Services Gateway. À l’aide d’une passerelle de services de terminal, vous pouvez pré-authentifier les utilisateurs et contrôler les serveurs de terminaux auxquels les utilisateurs peuvent accéder en fonction des informations d’identification et de la stratégie. Cela vous donne le contrôle précis dont vous avez besoin pour vous assurer que vous disposez d’une solution RDP d’accès à distance sécurisée.
Dans cette série en deux parties sur la façon de mettre en place une solution de passerelle de services de terminaux fonctionnelle, nous utiliserons le réseau de laboratoires que vous voyez dans la figure ci-dessous. Les flèches indiquent le flux de communications entre le client RDP externe et le serveur de terminaux.
Figure 1
Chacun des serveurs de ce scénario exécute Windows Server 2008 Enterprise Edition.
Dans cet exemple de réseau, j’utilise le serveur NAT Windows Server 2008 comme passerelle Internet. Vous pouvez utiliser n’importe quel autre périphérique NAT simple ou routeur de filtrage de paquets, comme un PIX, ou même un pare-feu avancé comme le pare-feu Microsoft ISA. L’option de configuration de clé ici est que vous transférez les connexions du port TCP 443 à l’ordinateur Terminal Service Gateway.
Le contrôleur de domaine dispose de services DNS, DHCP, de certificats en mode CA d’entreprise et de WINS installés.
Seul le système d’exploitation de base est installé sur le serveur de terminaux. Nous installerons d’autres services au cours de cette série d’articles.
Seul le système d’exploitation de base est installé sur la passerelle TS. Nous installerons d’autres services au cours de cette série d’articles.
Dans cette série d’articles, je décrirai les processus et procédures suivants que vous devez effectuer pour faire fonctionner la solution de base:
- Installer les Services de Terminal et les Licences de Services de Terminal sur le Serveur de Terminal
- Configurer les Licences de Services de Terminal
- Installer l’Expérience de bureau sur le Serveur de Terminal (facultatif)
- Configurer le Mode de licence de Services de Terminal
- Installer le Service de Passerelle de Services de Terminal sur la Passerelle de Services de Terminal
- Demander un Certificat pour le Terminal Passerelle de services
- Configurer la Passerelle de Services de terminaux pour utiliser le certificat
- Créer une passerelle de services de terminaux RAP
- Créer un Terminal Services Gateway CAP
- Configurer le Client RDP pour utiliser la Passerelle Terminal Services
Installer des Services de Terminal et des Licences de Services de Terminal sur le Serveur de Terminal
La première étape consiste à installer des Services de Terminal sur l’ordinateur Terminal Services.
Procédez comme suit pour installer les Services de terminaux et les licences de Services de terminaux:
- Sur l’ordinateur Terminal Server, ouvrez le Gestionnaire de serveur. Dans le Gestionnaire de serveur, cliquez sur le nœud Rôles dans le volet gauche de la console.
- Cliquez sur le lien Ajouter des rôles dans le volet droit de la console.
Figure 2
- Cliquez sur Suivant sur la page Avant de commencer.
- Sur la page Sélectionner les rôles de serveur, cochez la case Services de terminal. Cliquez sur Suivant.
Figure 3
- Cliquez sur Suivant sur la page Services du terminal.
- Sur la page Sélectionner les services de rôle, cochez les cases Terminal Server et TS Licensing. Cliquez sur Suivant.
Figure 4
- Cliquez sur Suivant sur la page Désinstaller et réinstaller l’application pour la compatibilité.
- Sur la page Spécifier la méthode d’authentification pour Terminal Server, sélectionnez l’option Exiger l’authentification au niveau du réseau. Nous pouvons sélectionner cette option dans notre scénario actuel car nous utilisons uniquement des clients Vista SP1 pour nous connecter au serveur Terminal via la passerelle TS. Nous ne pourrions pas utiliser cette option si nous devions prendre en charge les clients Windows XP SP2. Cependant, vous devriez pouvoir prendre en charge l’authentification au niveau du réseau avec Windows XP SP3. Cependant, je ne l’ai pas encore confirmé, alors assurez-vous de vérifier les notes de version sur Windows XP SP3 lors de sa sortie plus tard cette année. Cliquez sur Suivant.
Figure 5
- Sur la page Spécifier le mode de licence, sélectionnez l’option Configurer plus tard. Nous pourrions sélectionner une option maintenant, mais j’ai décidé que nous devrions sélectionner Configurer plus tard afin que je puisse vous montrer où, dans la console Terminal Services, vous configurez le mode de licence. Cliquez sur Suivant.
Figure 6
- Sur la page Sélectionner Utiliser Des Groupes Autorisés À Accéder À Cette Page Terminal Server, utilisez les options par défaut. Vous pouvez ajouter ou supprimer des groupes si vous souhaitez un contrôle d’accès plus fin sur le serveur de terminaux. Toutefois, si tous vos utilisateurs passent par la passerelle de services de Terminal, vous pouvez contrôler qui peut se connecter au serveur de Terminal à l’aide des paramètres de stratégie de passerelle TS. Laissez les paramètres par défaut tels quels et cliquez sur Suivant.
Figure 7
- Sur la page Configurer la portée de découverte pour les licences TS, sélectionnez l’option Ce domaine. Nous sélectionnons cette option dans ce scénario car nous n’avons qu’un seul domaine. Si vous avez une forêt multi-domaines, vous pouvez envisager de sélectionner l’option La forêt. Cliquez sur Suivant.
Figure 8
- Sur la page Confirmer les sélections d’installation, vérifiez les informations d’avertissement indiquant que vous devrez peut-être réinstaller des applications déjà installées sur cet ordinateur si vous souhaitez qu’elles fonctionnent correctement dans un environnement de session Terminal Services. Notez également que la configuration de sécurité améliorée d’IE sera désactivée. Cliquez sur Installer.
Figure 9
- Sur la page de résultats d’installation, vous verrez un avertissement indiquant que vous devez redémarrer le serveur pour terminer l’installation. Cliquez sur Fermer.
Figure 10
- Cliquez sur Oui dans la boîte de dialogue de l’Assistant Ajouter des rôles qui vous demande si vous souhaitez redémarrer le serveur.
- Connectez-vous en tant qu’administrateur. L’installation se poursuivra pendant quelques minutes lorsque la page de progression de l’installation apparaîtra après l’apparition du Gestionnaire de serveur.
- Cliquez sur Fermer sur la page de résultats d’installation après avoir vu le message Installation réussie.
Figure 11
- Vous pouvez voir un ballon vous indiquant que le mode de licence des services terminaux n’est pas configuré. Vous pouvez rejeter cet avertissement, car nous allons ensuite configurer la licence des services de terminal, puis configurer le mode de licence sur le serveur de terminal.
Figure 12
Configure Terminal Services Licensing
Au point où nous sommes prêts à configurer Terminal Services Licensing. Dans cet exemple, j’utiliserai des données factices, qui ne répondent pas aux exigences réelles pour la licence des connexions client des services de terminaux, mais cela fournira un exemple du fonctionnement du processus. Veuillez ne pas utiliser la même procédure que celle que je montre ici pour accorder une licence à vos clients Terminal Services, car vous ne serez pas conforme aux exigences de licence réelles.
Procédez comme suit pour activer votre serveur de licences Terminal Services:
- Dans le menu Outils d’administration, cliquez sur le menu Services de terminal, puis sur TS Licensing Manager.
- Dans la console TS Licensing Manager, cliquez avec le bouton droit sur le nom du serveur dans le volet gauche de la console. Cliquez sur Activer le serveur.
Figure 13
- Cliquez sur Suivant sur la page d’accueil de l’Assistant Activer le serveur.
- Sur la page Méthode de connexion, sélectionnez l’option Connexion automatique (recommandée). Cliquez sur Suivant.
Figure 14
- Sur la page Informations sur l’entreprise, saisissez les informations de votre entreprise et cliquez sur Suivant.
Figure 15
- Entrez des informations facultatives si vous le souhaitez sur la page Informations sur l’entreprise. Cliquez sur Suivant.
Figure 16
- Sur la page Terminer l’Assistant Activer le serveur, assurez-vous que l’option Démarrer l’Assistant d’installation des licences maintenant est cochée. Cliquez sur Suivant.
Figure 17
- Cliquez sur Suivant sur la page d’Accueil de l’Assistant d’installation des licences.
- Sur la page Programme de licence, cliquez sur la flèche vers le bas de la liste Programme de licence et choisissez le programme de licence auquel vous participez. Dans cet exemple, je vais sélectionner un autre accord car ce laboratoire ne participe à aucun programme de licence. Cliquez sur Suivant.
Figure 18
- Sur la page Programme de licence, entrez votre numéro de contrat. Dans cet exemple, nous allons simplement entrer 1234567. Cliquez sur Suivant.
Figure 19
- Sur la page Version du produit et Type de licence, sélectionnez la version du produit, le type de licence et la Quantité correspondant aux besoins de votre environnement. Dans cette configuration de laboratoire, nous utilisons des serveurs de terminaux Windows Server 2008, nous allons donc sélectionner Windows Server 2008. Nous utiliserons des CALs par utilisateur dans cet exemple de réseau, nous sélectionnerons donc Windows Server 2008 TS par CAL utilisateur. Et nous entrerons 50 dans la zone de texte Quantité. Cliquez sur Suivant.
Figure 20
- Cliquez sur Terminer sur la page de l’Assistant Terminer l’installation des licences.
Installation de l’expérience de bureau sur Terminal Server (facultatif)
Lorsque des clients Windows Vista se connectent à un serveur de terminaux Windows Server 2008, ils peuvent bénéficier d’une expérience de bureau de type Vista dans la session Terminal Services si vous installez l’option Expérience de bureau sur Terminal Server.
Procédez comme suit pour installer la fonction Expérience de bureau sur le serveur de terminaux:
- Sur la page Sélectionner des fonctionnalités, cochez la case Expérience du bureau. Cliquez sur Suivant.
Figure 21
- Cliquez sur Installer sur la page Confirmer les sélections d’installation.
- Sur la page de résultats d’installation, lisez les informations d’avertissement indiquant que vous devez redémarrer l’ordinateur pour terminer le processus d’installation. Cliquez sur Fermer.
- Cliquez sur Oui dans la boîte de dialogue vous demandant si vous souhaitez redémarrer maintenant.
- Connectez-vous en tant qu’administrateur. L’installation reprendra et prendra quelques minutes, alors soyez patient.
- Cliquez sur Fermer sur la page de résultats d’installation, ce qui indique que l’installation a réussi.
Configurer le Mode de licence Terminal Services
Nous allons maintenant terminer la configuration du Serveur Terminal en définissant le mode de licence Terminal Services. Effectuez les étapes suivantes pour configurer le mode de licence des services de terminal:
- Dans le menu Outils d’administration, cliquez sur l’entrée Services de terminal, puis sur Configuration des services de terminal.
- Dans le volet central de la console de configuration des services terminaux, double-cliquez sur Mode de licence des services terminaux.
Figure 22
- Dans la boîte de dialogue Propriétés, sélectionnez l’option Par utilisateur pour l’option Spécifier le mode de licence des services de terminal. Sélectionnez Découvrir automatiquement le serveur de licences pour l’option Spécifier le mode de découverte du serveur de licences. Cliquez sur OK.
Figure 23
- Cliquez sur le nœud Diagnostic de licence dans le volet gauche de la console. Dans le volet du milieu, vous verrez les détails de la configuration des licences pour ce serveur de terminaux.
Figure 24
- Fermez la console de configuration du service Terminal.
Résumé
Dans cette partie 1 d’une série de deux parties sur la création d’une solution de passerelle de services de terminaux à l’aide de Windows Server 2008, nous avons procédé à l’installation des Services de serveur de terminaux et des licences de Services de terminaux sur le Serveur de terminaux, nous avons ensuite configuré les licences de Services de Terminaux, puis installé l’Expérience de bureau sur le Serveur de Terminaux et enfin configuré le mode de licence pour le serveur de terminaux. La prochaine fois, nous terminerons en installant et en configurant la passerelle de services de terminal et le client RDP. Nous terminerons ensuite en établissant la connexion depuis un emplacement externe. À tout à l’heure ! -Tom.
Si vous souhaitez lire la partie suivante de cette série d’articles, veuillez vous rendre dans Configuration de la passerelle Windows Server 2008 Terminal Services (partie 2)