Contenido
- Introducción
- Resumen de los pasos necesarios para configurar una puerta de enlace de escritorio remoto Windows Server 2016
- Pasos detallados para configurar una puerta de enlace de escritorio remoto Windows Server 2016
- Adición de la función de servicios de escritorio remoto
- Adición del rol de servicio de puerta de enlace de escritorio remoto
- Cree la Política de autorización de conexión y la Política de autorización de recursos
- Crear políticas de autorización para la puerta de enlace de Escritorio remoto
- Política de autorización de conexión
- Crear una política de autorización de recursos
- Certificado SSL
- Probar el servidor de puerta de enlace de escritorio remoto puede acceder a recursos de red
- Configurar el cortafuegos
- Configuración del cliente de escritorio remoto con la configuración de la puerta de enlace de escritorio remoto
- Resumen
- Artículo relacionado
Administrador / ingeniero de sistemas consumado con más de 10 años de experiencia en la gestión de infraestructuras de servidores y operaciones de centros de datos.
Introducción
Este tutorial recorrerá los pasos para implementar una puerta de enlace de escritorio remoto en un servidor Windows Server 2016. Una puerta de enlace de escritorio remoto se utiliza a menudo para permitir que los clientes de escritorio remoto se conecten desde Internet a servidores detrás de la puerta de enlace de escritorio remoto ubicado en la red corporativa. La puerta de enlace de escritorio remoto actúa como un "jumphost" excepto que nunca aloja las conexiones de escritorio remoto de los usuarios. Comprueba si un usuario pertenece a un grupo al que se le permite entrar de forma remota y comprueba si un usuario puede acceder de forma remota al servidor de destino antes de permitir la sesión en el servidor de destino.
Resumen de los pasos necesarios para configurar una puerta de enlace de escritorio remoto Windows Server 2016
A continuación, se muestra un resumen de los pasos necesarios para configurar una puerta de enlace de escritorio remoto en Windows Server 2016. Úselo como una lista de verificación para asegurarse de que se haya cubierto todo.
- Únase al servidor de Windows 2016 al dominio de Active Directory.
- Añade el Servicios de escritorio remoto papel.
- Crear un Política de autorización de conexión. Esta política especifica qué grupos pueden acceder a esta Puerta de enlace de escritorio remoto.
- Crear un Política de autorización de recursos. Esta política especifica qué servidores tienen acceso a qué grupos.
- Compra un Certificado SSL de una autoridad de certificación pública. (Puede buscar en la web para encontrar dónde comprar esto. No hay publicidad gratuita en este ESPACIO)
- Aplica el Certificado SSL hacia Puerta de enlace de escritorio remoto.
- Acepte el puerto TCP de puerta de enlace de escritorio remoto predeterminado de 443 o cámbielo por otro número de puerto.
- Pruebe la conexión de escritorio remoto a un servidor detrás de la puerta de enlace de escritorio remoto DIRECTAMENTE desde el servidor de puerta de enlace de escritorio remoto. Esto es para garantizar que haya conectividad desde la puerta de enlace de escritorio remoto a los servidores a los que los clientes deberán conectarse.
- Modifique las reglas del cortafuegos para permitir el puerto de puerta de enlace de escritorio remoto al servidor de puerta de enlace de escritorio remoto.
- Pruebe la conexión de escritorio remoto a un servidor detrás de la puerta de enlace de escritorio remoto desde Internet. Debe configurar el cliente de escritorio remoto con la dirección y el número de puerto de la puerta de enlace de escritorio remoto. NOTA: Las versiones anteriores de Conexión a escritorio remoto que venían con Windows 7 y Windows 2008R2 tienen configuraciones para una puerta de enlace de escritorio remoto, pero no funcionan. Es una buena práctica descargar la última versión de Conexión a Escritorio remoto para usar.
Para aprender a configurar un cliente de Conexión a Escritorio remoto para usar una Puerta de enlace de Escritorio remoto, puede seguir
Pasos detallados para configurar una puerta de enlace de escritorio remoto Windows Server 2016
El siguiente tutorial muestra en detalle cómo configurar una puerta de enlace de escritorio remoto en Windows Server 2016.
Adición de la función de servicios de escritorio remoto
Abra el Administrador del servidor y haga clic en Agrega roles y características.
Seleccione Puerta de enlace de escritorio remoto y haga clic en Siguiente. Aparecerá una ventana si queremos agregar funciones que son necesarias para la puerta de enlace de escritorio remoto. Haga clic en Agrega características. Hacer clic próximo. Hacer clic próximo para instalar la Política de red y los Servicios de acceso. Hacer clic próximo para agregar el rol de servidor web (IIS). Acepte las selecciones predeterminadas para los servicios de rol de servidor web y haga clic en próximo. Hacer clic Instalar en pc. Instalación exitosa. Abra el Administrador de puerta de enlace de escritorio remoto. Esto se hace desde el menú Herramientas del Administrador del servidor. En el panel izquierdo, navegue hasta Políticas, haga clic en Políticas de autorización de conexión. Sobre el Comportamiento panel de la derecha, haga clic derecho Crear nueva políticay seleccione Mago. Seleccione Crear un RD CAP y un RD RAP (recomendado) y haga clic en Próximo. La Política de autorización de conexión garantiza que solo los grupos seleccionados (es decir, los miembros del grupo) puedan usar la puerta de enlace de escritorio remoto para acceder a los recursos detrás de la puerta de enlace de escritorio remoto. Puede utilizar grupos basados en usuarios de Active Directory o grupos basados en objetos de computadora de Active Directory. Para proporcionar flexibilidad en términos de las máquinas desde las que los usuarios pueden usar el escritorio remoto, recomiendo usar grupos de usuarios. Dale un nombre a la póliza. Un nombre intuitivo es RDGateway con permiso de uso, haga clic en Próximo. Hacer clic Añadir grupo. Para los propósitos de este tutorial, seleccionaré el Administradores de dominio grupo. Normalmente crearías otro grupo de usuarios que agrega usuarios a los que desea permitir que utilicen la puerta de enlace de escritorio remoto. Puede crear grupos en función de los recursos a los que los usuarios necesitan acceder. De esta manera, puede agregar esos grupos aquí y luego usar estos grupos en la Política de autorización de recursos más adelante. No usaremos la membresía del grupo de computadoras cliente. Esta opción le permite permitir la conexión basada en las computadoras desde las que se conectan los clientes. Estos equipos deben unirse a un dominio y ese dominio está relacionado de alguna manera con el dominio del que forma parte la puerta de enlace de escritorio remoto. Hacer clic Próximo. Acepte la configuración predeterminada para la redirección de dispositivos y haga clic en Siguiente. Ingrese los valores de tiempo de espera como se indica a continuación. Haga clic en Siguiente. Haga clic en Siguiente. La Política de autorización de recursos se utiliza para restringir el acceso a los servidores según la pertenencia a grupos. Deberá crear grupos de directorio activo y agregar servidores como miembros de estos grupos. Idealmente, estos grupos se crean en función de la funcionalidad o de la propiedad del departamento. Estos grupos de servidores son los recursos de red que deben asignarse a los grupos de usuarios para que los usuarios puedan acceder a ellos. Puede crear varias políticas de autorización de recursos para asignar de forma granular el acceso de determinados usuarios a determinados servidores. Seleccione los grupos de usuarios a los que se les permite el acceso a los recursos de la red, es decir, pueden desde el escritorio remoto a los servidores de la red. Para este tutorial, seleccionaré el grupo de administradores de dominio, ya que ya seleccioné administradores de dominio como el grupo que puede usar la puerta de enlace de escritorio remoto. Luego haga clic en Siguiente. Seleccione un grupo que contenga los servidores a los que desea que los grupos de usuarios anteriores puedan utilizar el escritorio remoto. Haga clic en Examinar. Para este tutorial, usaremos el grupo integrado llamado Controladores de dominio. Puede crear grupos adicionales que contengan servidores que estén relacionados o pertenezcan a departamentos particulares. De esta manera, en los pasos anteriores puede asignar grupos en función de los usuarios del departamento y permitirles acceder solo a determinados servidores. Haga clic en Comprobar nombre para asegurarse de que se encuentra el grupo y luego haga clic en Aceptar. Haga clic en Siguiente. Si el puerto de escritorio remoto en los servidores se cambió del predeterminado, use esta pantalla para especificar el puerto. De lo contrario, seleccione Permitir conexiones solo al puerto 3389. Haga clic en Siguiente. Haga clic en Finalizar. Haga clic en Cerrar. La puerta de enlace de escritorio remoto debe tener instalado un certificado SSL. Puede comprar un certificado SSL para el nombre de dominio de Internet totalmente calificado de Remote Desktop Gateway o comprar un certificado SSL comodín para el dominio. Para instalar el certificado SSL, primero haga clic en el nombre del servidor de escritorio remoto en la consola de administración de Remote Desktop Gateway. Si compró y recibió el certificado SSL, cópielo en cualquier ubicación del servidor. Seleccione Importar un certificado en la puerta de enlace de Escritorio remoto y busque el certificado para importarlo. No he comprado un certificado SSL para este tutorial, por lo que utilizaré un certificado autofirmado. Permitirá que Remote Desktop Gateway funcione desde algunos clientes, como Microsoft Remote Desktop para Mac, pero se nos mostrará una advertencia sobre el certificado cuando intentemos conectarnos. Podemos optar por continuar después de eso. Sin embargo, no funcionará con la última versión de Windows del cliente de Conexión a Escritorio remoto (hay una solución para los propósitos de prueba). Tú DEBER usar una certificado SSL confiable en su puerta de enlace de escritorio remoto de producción y esto significa comprar un certificado SSL público. Es posible configurar su propia infraestructura PKI en su dominio de directorio activo y asignar su propio certificado SSL y si la máquina cliente es parte del dominio, debe confiar en la CA de su dominio. Sin embargo, los entornos de puerta de enlace de escritorio remoto se utilizan a menudo para permitir que los contratistas externos que tienen sus propias computadoras portátiles puedan usar los recursos de la red. Por lo tanto, es mejor utilizar un SSL de una autoridad raíz de confianza. Para este tutorial, generaremos un certificado autofirmado haciendo clic en Crear e importar certificado . Ingrese el nombre de Internet FQDN de esta puerta de enlace de escritorio remoto para el nombre del certificado, p. Ej. rdgateway.yourdomain.com. Para este tutorial, usaré la dirección IP de Internet que se asociará con este servidor. Ahora hemos instalado con éxito un certificado SSL autofirmado en el puerto TCP 443 (puerto SSL predeterminado). Podemos cambiar el puerto SSL para la puerta de enlace de escritorio remoto a otro número de puerto. A veces, las empresas lo hacen para intentar engañar a los piratas informáticos que pueden estar apuntando al puerto 443 porque ese es el puerto SSL predeterminado. Para cambiar el número de puerto SSL para la puerta de enlace de Escritorio remoto, haga clic con el botón derecho en el nombre del servidor y seleccione las propiedades en la consola de administración de la puerta de enlace de Escritorio remoto. Cambiaremos el puerto a 4430. Usaremos este puerto en nuestro tutorial para que comprenda cómo configurar un número de puerto diferente en el cliente de Escritorio remoto. Debemos probar la conectividad desde la puerta de enlace de escritorio remoto a los recursos de red a los que los clientes necesitarán conectarse. Específicamente, necesitamos probar el tráfico RDP mediante el uso de un cliente de escritorio remoto para conectarnos a los servidores permitidos. Hemos permitido que el grupo de administradores de dominio acceda a los controladores de dominio a través de la puerta de enlace de escritorio remoto, y hemos permitido que el grupo de administradores de dominio pueda utilizar la puerta de enlace de escritorio remoto mediante las políticas de autorización. Ahora probaremos la conexión a los controladores de dominio desde la puerta de enlace de escritorio remoto. Confirmamos que podemos comunicarnos con los controladores de dominio desde Remote Desktop Gateway. Ahora debemos asegurarnos de que los clientes externos puedan acceder a la puerta de enlace de escritorio remoto. Debido a que nos vamos a conectar a la puerta de enlace de escritorio remoto desde Internet, necesitaremos modificar el firewall para permitir el acceso al puerto de la puerta de enlace de escritorio remoto. En los pasos anteriores, habíamos cambiado el puerto TCP a 4430 para la puerta de enlace de escritorio remoto. Esto significa que debemos permitir la entrada del puerto TCP 4430 en el firewall y al puerto de destino 4430 en la puerta de enlace de escritorio remoto. Si hubiéramos utilizado el puerto predeterminado 443, tendríamos que permitir el puerto TCP 443 en su lugar. Cuando configure un cliente de escritorio remoto que admita la puerta de enlace de escritorio remoto, y se conectará utilizando la puerta de enlace de escritorio remoto, recuerde siempre que el Ordenador El nombre del servidor al que desea conectarse es el nombre del servidor local que se puede resolver desde la puerta de enlace de escritorio remoto. Al entrar en el Puerta de enlace de escritorio remoto detalles en el cliente, debe especificar el puerto si no está utilizando el puerto SSL predeterminado 443. En nuestro caso, debemos ingresar rdgateway.yourdomain.com:4430 como servidor de puerta de enlace de escritorio remoto. Si hubiéramos usado el puerto predeterminado, solo tendríamos que ingresar el FQDN sin el número de puerto, p. Ej. rdgateway.yourdomain.com . Con esto concluyen los pasos necesarios para configurar la puerta de enlace de escritorio remoto Windows Server 2016. Ahora podrá configurar un cliente de escritorio remoto para conectarse mediante la puerta de enlace de escritorio remoto. NOTA: asegúrese de utilizar la última versión del cliente de escritorio remoto, ya que he visto una versión anterior que venía con Windows 7 que no se puede conectar a pesar de que tiene configuraciones para una puerta de enlace de escritorio remoto. Escribiré un artículo de seguimiento sobre cómo configurar un cliente de escritorio remoto para usar la puerta de enlace de escritorio remoto. Este artículo es exacto y verdadero según el leal saber y entender del autor. El contenido es solo para fines informativos o de entretenimiento y no sustituye el asesoramiento personal o el asesoramiento profesional en asuntos comerciales, financieros, legales o técnicos.
Adición del rol de servicio de puerta de enlace de escritorio remoto
Cree la Política de autorización de conexión y la Política de autorización de recursos
Crear políticas de autorización para la puerta de enlace de Escritorio remoto
Política de autorización de conexión
Crear una política de autorización de recursos
Certificado SSL
Probar el servidor de puerta de enlace de escritorio remoto puede acceder a recursos de red
Configurar el cortafuegos
Configuración del cliente de escritorio remoto con la configuración de la puerta de enlace de escritorio remoto
Resumen
Artículo relacionado
Este tutorial mostrará cómo instalar Servicios de escritorio remoto en Windows Server 2016, pero se puede aplicar a Windows 2012 o Windows 2012R2. Los pasos se basan en un escenario en el que actualmente no hay servicios de escritorio remoto para Windows 2012 ol
