Remote Desktop (Terminal Services) – Escritorio Remoto (Parte 10 de …) Publicando Remote Desktop Gateway en TMG 2010

Y seguimos adelante con nuestro laboratorio / demostración para armar un escenario completo de funcionalidades.

En esta nota, y dado que ya tenemos disponible el servicio de Remote Desktop Gateaway (Terminal Services Gateway), que permite la conexión de los clientes por escritorio remoto encapsulando RDP en HTTPS, vamos a publicar el servicio en un servidor con TMG 2010, de forma que sea accesible en forma segura desde Internet.

Primero una aclaración, que la he descubierto y solucionado cuando estaba preparando esta nota: TMG 2010 no soporta certificados digitales v3
Así que he hecho la correspondiente aclaración en la Nota 4, para que no les suceda lo mismo que a mí que perdí varias horas con el problema, hasta que conseguí averiguar el motivo y solucionarlo.
Resumiendo: los certificados digitales de máquina deben ser v2, o sea compatibles con Windows Server 2003
El tema está documentado en:
Incorrect Key Type when Creating a Web Lister on TMG using V3 Certificate
http://blogs.technet.com/b/yuridiogenes/archive/2010/07/20/incorrect-key-type-when-creating-a-web-lister-on-tmg-using-v3-certificate.aspx

Debemos instalar una máquina más, para el TMG. En mi caso he utilizado un Windows Server 2008-R2 que he llamado “tmg”, lo he unido al Dominio, con una sola placa de red, y recién luego agregué la segunda conectada a una red “externa” con dirección IP 131.107.0.1 / 255.255.0.0
Una experiencia, traten que el equipo para TMG tenga por lo menos 2GB de RAM o la espera va a ser considerablemente larga.
Hecho lo anterior he instalado TMG 2010, y he pasado por los 3 asistentes de configuración inicial del mismo.

Ahora sí, comencemos en nuestro Remote Desktop Gateway (gat.guillermod.local) exportando el certificado de máquina.
Para eso, abrimos una consola MMC y cargamos el complemento (Snap-In) Certificates de la cuenta de máquina, y procedemos de acuerdo a las siguientes pantallas

 

No olvidemos marcar “Yes, export the private key”

 

Marcar “Export all extended properties”

 

Ponemos una contraseña

 

Lo guardamos donde nos quede cómodo para llevarlo luego al TMG

 

Ahora nos cambiamos a la máquina con TMG (tmg.guillermod.local), procederemos a importar el certificado que exportamos anteriormente.
Para eso, análogamente cargamos el complemento (Snap-In) Certificates sobre la cuenta de máquina y procedemos a importarlo de acuerdo a las siguientes pantallas

 

Buscamos el certificado que ya he copiado a la máquina con TMG

 

Y comprobamos que todo fue correcto

 

Siguiendo en el TMG debemos crear primero un “Web Listener” que utilizaremos en nuestro publicación del Remote Desktop Gateway, así que en Firewall Rules / Toolbox / Network Objects / New / Web Listener, y seguimos el asistente

 

Seleccionamos el certificado que importamos
Nota: no aparece el nombre, aunque lo da como válido

 

Ni aún luego de seleccionado aparece el nombre del certificado, no preocuparse que funciona 😉

 

Seleccionamos “No authentication”

 

No olvidemos aplicar

 

Ahora con botón derecho sobre Firewall Policy, elegimos crear una nueva “Exchange Publishing Rule” (si Exchange, sí :)) y seguimos el asistente como se indica a continuación

 

Debemos anotar el nombre de nuestro Remote Desktop Gateway, en mi caso gat.guillermod.local

 

Seleccionamos el Web Listener que habíamos creado

 

Cuidado al seleccionar esta opción que las dos son parecidas, pero no lo son 🙂

 

No olvidarse de aplicar

 

Va a quedar así

 

Bueno, ahora nos queda probar desde el cliente a ver si todo funciona como queremos.
Lo que he hecho es al cliente cl1.guillermod.local le he cambiado la dirección IP a 131.107.0.2 / 255.255.0.0 sin puerta de enlace, y lo he movido a la red “externa”, donde he iniciado sesión con el usuario RD-User1
Como no hay configurado un DNS de Internet, y para la validación del certificado del servidor (HTTPS) es necesaria la coincidencia de nombres, he agregado en el archivo HOSTS la siguiente entrada:
131.107.0.1    gat.guillermod.local
Luego abrí el cliente de escritorio remoto, puse la dirección de nuestra granja de servidores Remote Desktop (RD-Farm.guillermod.local)

 

En la ficha Avanzadas, botón Settings, configuro al Remote Desktop Gateway

 

Vamos bien, nos está pidiendo Usuario y Contraseña

 

Un poco de suspenso…

 

Y finalmente 🙂

 

Conclusiones

Nuestro laboratorio de Remote Desktop (Terminal Services) va avanzando. Comenzamos haciendo escritorio remoto (Desktop Virtualization), seguimos publicando aplicaciones (App-V o Application Virtualization), luego con Remote Desktop Web Access permitimos el acceso a las aplicaciones y al escritorio a través de interfaz web, continuamos con reparto de carga de nuestros servidores con Remote Desktop Connection Broker, a continuación con Remote Desktop Gateway permitimos el acceso encapsulando RDP en HTTPS para poder pasarlo a través de cortafuegos, para finalmente llegar a esta nota donde publicamos nuestro servicio en Internet para que los clientes puedan acceder remotamente, en forma segura, y sin complicaciones, ni para el cliente, ni para los administradores de los cortafuegos.

Para ir recopilando, hemos integrado:

  • Remote Desktop Session Host
  • Remote Applications (App-V)
  • Remote Desktop Web Access
  • Remote Desktop Connection Broker
  • Remote Desktop Gateway
  • Forefront Thread Management Gateway 2010

Y se fue la décima… 🙂

By Guillermo Delprato, on 30 enero, 2012 at 17:19, under How To - Step-by-step - Paso a paso, Remote Desktop - Terminal Services, Servicios de Red. Tags: , , . No hay comentarios
Post a comment or leave a trackback: Trackback URL.

Deja un comentario

Tu dirección de correo electrónico no será publicada. Los campos obligatorios están marcados con *