Finalmente sono riuscito a preparare un esercizio anche sul servizio Gateway proposto in Windows Server 2008 per connettersi a una macchina  tramite Remote Desktop Client e sfruttare i servizi terminal utilizzando SSL (in realtà RDP over HTTPS, porta ) invece del classico RDP (3389) ed una serie di regole restrittive a cui devono essere sottoposti utenti e computer che si vogliono collegare.

Ora passiamo alla pratica…

SCENARIO TS GATEWAY (senza firewall/nat)

Questo potrebbe essere uno scenario valido:

Ho un client Vista  che si deve connettere tramite Remote Desktop Client ad un server 2008 remoto, ma non voglio utilizzare la porta 3389 di RDP, ma raggiungere un computer (il TS Gateway) che mi faccia da proxy verso il server remoto  e accetti solo chiamate sulla porta 443.

Cosa abbiamo utilizzato:

Un client VISTA SP1  che chiameremo VISTA2008 (come Client TS Gateway, nel Workgroup,IP: 192.168.0.100).

Un server 2008 che chiameremo SERVER2008 (member server, TS Gateway, IP: 192.168.0.1).

Un server 2008 che chiameremo DC2008 (Domain Controller per il dominio italy.it, DNS, Enterprise Root CA, Remote desktop abilitato, IP: 192.168.0.200).

Passo1: Installare una Enterprise Root CA sul Domain Controller

Avviamo DC2008 e installiamo una Enterprise Root CA che chiameremo italy-DC2008-CA (potevamo utilizzare anche una Standalone Root CA).

Diamo già per scontato che si conosca l’installazione di una CA su 2008 e per ora lasciamo il Domain Controller per settare la macchina server-member.

Passo2: Installare il servizio TS Gateway

Ora dobbiamo installare il servizio TS Gateway sul server member SERVER2008. Apriamo server manager come da Fig.1, aggiungiamo il ruolo Terminal Services e andiamo avanti come da Fig.2 selezionando solo la casella Ts Gateway

Fig.1

Fig.2

Fig.3

Andando avanti ci chiederà di configurare delle CAP (connection authorization policies) e delle RAP (resource authorization policies) che potremo tranquillamente configurare in seguito come da fig.4

Fig.4

Ancora avanti ci verrà richiesta l’installazione del servizio NPS come da fig.5

Fig.5

Passo3: Richiedere ed installare un certificato server sulla macchina TS Gateway

IIS7

create domain certificate

 Passo4: Configurare il certificato SSL nel Terminal Services Gateway e configurazione delle policy CAP e RAP

A questo punto andiamo a configurare il certificato che abbiamo richiesto all’interno del servizio Gateway di Terminal Services.

Apriamo il tool TS Gateway manager  sul server Serve2008…

Il programma TS Gateway Manager

 Ed ora nelle proprietà di Server2008, apriamo il tab SSL Certificate e selezioniamo un certificato installato sulla macchina (quello richiesto nel precedente passo).

le policy

Clicchiamo su policies e con un bel wizard andiamo a configurare tutte e due le policy…

…con la TS CAP andiamo a configurare gruppi di utenti o gruppi di computer che possono collegarsi al server TS Gateway

Io ho scelto il gruppo degli amministratori locali di server2008 ( ma potevo scegliere anche un gruppo del dominio italy.it)

…con la TS RAP andiamo invece a configurare quali saranno i gruppi di computer che possono essere contattati tramite porta 3389 dal server gateway (in pratica a quali computer si potranno connettere gli amministratori scelti nella policy ts cap).

In questo caso ho scelto di potermi connettere a tutti i computer.

NB: Per tutte le altre opzioni ho lasciato le impostazioni di default e non mi sono dilungato in spiegazioni, ma possiamo “customizzare”  la nostra TS Gateway session in vari modi.

Quando arriviamo alla fine del wizard possiamo chiudere il tool e passare al prossimo passo…

Passo5: Configurazione del Client TS Gateway

Siamo quasi alla fine… non ci resta che configurare il client Vista2008.

IMPORTANTE!!! Per prima cosa assicuriamoci che la CA sia tra le trusted CA della nostra macchina vista.

IMPORTANTISSIMO!!! Nel nostro scenario la macchina VISTA2008 deve saper tradurre  Tsgateway.italy.it corrispondente al nome del certifcato, con l’indirizzo IP della macchina SERVER2008, quindi aggiungiamo questa stringa come da fig.7  al file HOSTS del computer VISTA2008.

Fig.7

Poi apriamo il client Remote Desktop tramite mstsc.exe e passiamo al tab Advanced e successivamente premiamo il pulsante Settings come nella fig.8 in basso.

Fig.8

Ora si aprirà una finestra che configureremo come da Fig.8 in basso, con il nome del certificato assegnato alla macchina Server2008.

Fig.8

IMPORTANTE!!! Lascio vuota la casella Bypass TS Gateway server for local addresses perchè l’indirizzo di SERVER2008 è locale!!

Ora posso finalmente connettermi alla macchina DC2008 e con le dovute credenziali (prima quella per connettersi al tsgateway e poi alla macchina dc2008) …………………….

Collegamento a dc2008 da client vista2008

……. finalmente ci connettiamo tramite TS Gateway a DC2008!!!!!

Se vogliamo una controprova apriamo sulla macchina DC2008 il tool netstat -an per verificare che la macchina Server2008 sia effettivamente collegata tramite porta 3389 (non deve essere presente la macchina Vista2008)

netstat -an

Effettivamente solo la macchina 192.168.0.1 (Server2008) è collegata sulla porta 3389 della macchina 192.168.0.200 (DC2008)

Be Sociable, Share!

• 

The Lab: Configurazione ed utilizzo del servizio TS Gateway in Windows Server 2008 by My Beautiful Place, unless otherwise expressly stated, is licensed under a Creative Commons Attribution-Noncommercial-No Derivative Works 2.5 Italy License.