Remote Desktop (Terminal Services) – Escritorio Remoto (Parte 10 de …) Publicando Remote Desktop Gateway en TMG 2010

Y seguimos adelante con nuestro laboratorio / demostración para armar un escenario completo de funcionalidades.

En esta nota, y dado que ya tenemos disponible el servicio de Remote Desktop Gateaway (Terminal Services Gateway), que permite la conexión de los clientes por escritorio remoto encapsulando RDP en HTTPS, vamos a publicar el servicio en un servidor con TMG 2010, de forma que sea accesible en forma segura desde Internet.

Primero una aclaración, que la he descubierto y solucionado cuando estaba preparando esta nota: TMG 2010 no soporta certificados digitales v3
Así que he hecho la correspondiente aclaración en la Nota 4, para que no les suceda lo mismo que a mí que perdí varias horas con el problema, hasta que conseguí averiguar el motivo y solucionarlo.
Resumiendo: los certificados digitales de máquina deben ser v2, o sea compatibles con Windows Server 2003
El tema está documentado en:
Incorrect Key Type when Creating a Web Lister on TMG using V3 Certificate
http://blogs.technet.com/b/yuridiogenes/archive/2010/07/20/incorrect-key-type-when-creating-a-web-lister-on-tmg-using-v3-certificate.aspx

Debemos instalar una máquina más, para el TMG. En mi caso he utilizado un Windows Server 2008-R2 que he llamado “tmg”, lo he unido al Dominio, con una sola placa de red, y recién luego agregué la segunda conectada a una red “externa” con dirección IP 131.107.0.1 / 255.255.0.0
Una experiencia, traten que el equipo para TMG tenga por lo menos 2GB de RAM o la espera va a ser considerablemente larga.
Hecho lo anterior he instalado TMG 2010, y he pasado por los 3 asistentes de configuración inicial del mismo.

Ahora sí, comencemos en nuestro Remote Desktop Gateway (gat.guillermod.local) exportando el certificado de máquina.
Para eso, abrimos una consola MMC y cargamos el complemento (Snap-In) Certificates de la cuenta de máquina, y procedemos de acuerdo a las siguientes pantallas

 

No olvidemos marcar “Yes, export the private key”

 

Marcar “Export all extended properties”

 

Ponemos una contraseña

 

Lo guardamos donde nos quede cómodo para llevarlo luego al TMG

 

Ahora nos cambiamos a la máquina con TMG (tmg.guillermod.local), procederemos a importar el certificado que exportamos anteriormente.
Para eso, análogamente cargamos el complemento (Snap-In) Certificates sobre la cuenta de máquina y procedemos a importarlo de acuerdo a las siguientes pantallas

 

Buscamos el certificado que ya he copiado a la máquina con TMG

 

Y comprobamos que todo fue correcto

 

Siguiendo en el TMG debemos crear primero un “Web Listener” que utilizaremos en nuestro publicación del Remote Desktop Gateway, así que en Firewall Rules / Toolbox / Network Objects / New / Web Listener, y seguimos el asistente

 

Seleccionamos el certificado que importamos
Nota: no aparece el nombre, aunque lo da como válido

 

Ni aún luego de seleccionado aparece el nombre del certificado, no preocuparse que funciona ;-)

 

Seleccionamos “No authentication”

 

No olvidemos aplicar

 

Ahora con botón derecho sobre Firewall Policy, elegimos crear una nueva “Exchange Publishing Rule” (si Exchange, sí :)) y seguimos el asistente como se indica a continuación

 

Debemos anotar el nombre de nuestro Remote Desktop Gateway, en mi caso gat.guillermod.local

 

Seleccionamos el Web Listener que habíamos creado

 

Cuidado al seleccionar esta opción que las dos son parecidas, pero no lo son :)

 

No olvidarse de aplicar

 

Va a quedar así

 

Bueno, ahora nos queda probar desde el cliente a ver si todo funciona como queremos.
Lo que he hecho es al cliente cl1.guillermod.local le he cambiado la dirección IP a 131.107.0.2 / 255.255.0.0 sin puerta de enlace, y lo he movido a la red “externa”, donde he iniciado sesión con el usuario RD-User1
Como no hay configurado un DNS de Internet, y para la validación del certificado del servidor (HTTPS) es necesaria la coincidencia de nombres, he agregado en el archivo HOSTS la siguiente entrada:
131.107.0.1    gat.guillermod.local
Luego abrí el cliente de escritorio remoto, puse la dirección de nuestra granja de servidores Remote Desktop (RD-Farm.guillermod.local)

 

En la ficha Avanzadas, botón Settings, configuro al Remote Desktop Gateway

 

Vamos bien, nos está pidiendo Usuario y Contraseña

 

Un poco de suspenso…

 

Y finalmente :)

 

Conclusiones

Nuestro laboratorio de Remote Desktop (Terminal Services) va avanzando. Comenzamos haciendo escritorio remoto (Desktop Virtualization), seguimos publicando aplicaciones (App-V o Application Virtualization), luego con Remote Desktop Web Access permitimos el acceso a las aplicaciones y al escritorio a través de interfaz web, continuamos con reparto de carga de nuestros servidores con Remote Desktop Connection Broker, a continuación con Remote Desktop Gateway permitimos el acceso encapsulando RDP en HTTPS para poder pasarlo a través de cortafuegos, para finalmente llegar a esta nota donde publicamos nuestro servicio en Internet para que los clientes puedan acceder remotamente, en forma segura, y sin complicaciones, ni para el cliente, ni para los administradores de los cortafuegos.

Para ir recopilando, hemos integrado:

  • Remote Desktop Session Host
  • Remote Applications (App-V)
  • Remote Desktop Web Access
  • Remote Desktop Connection Broker
  • Remote Desktop Gateway
  • Forefront Thread Management Gateway 2010

Y se fue la décima… :)

 

Notas Relacionadas:

Remote Desktop (Terminal Services) – Escritorio Remoto (Parte 1 de …) Configuración Básica | WindowServer: https://windowserver.wordpress.com/2011/11/25/remote-desktop-terminal-services-escritorio-remoto/

Remote Desktop (Terminal Services) – Escritorio Remoto (Parte 2 de …) Configuraciones Adicionales | WindowServer: https://windowserver.wordpress.com/2011/12/13/remote-desktop-terminal-services-escritorio-remoto-parte-2-de/

Remote Desktop (Terminal Services) – Escritorio Remoto (Parte 3 de …) Remote Applications (Aplicaciones Remotas) RemoteApp | WindowServer: https://windowserver.wordpress.com/2011/12/17/remote-desktop-terminal-services-escritorio-remoto-parte-3-de-remote-applications-aplicaciones-remotas/

Remote Desktop (Terminal Services) – Escritorio Remoto (Parte 4 de …) Configuración de Autoridad Certificadora (CA) | WindowServer: https://windowserver.wordpress.com/2011/12/18/remote-desktop-terminal-services-escritorio-remoto-parte-4-de-configuracin-de-autoridad-certificadora-ca/

Remote Desktop (Terminal Services) – Escritorio Remoto (Parte 5 de …) Remote Desktop Web Access | WindowServer: https://windowserver.wordpress.com/2011/12/18/remote-desktop-terminal-services-escritorio-remoto-parte-5-de-remote-desktop-web-access/

Remote Desktop (Terminal Services) – Escritorio Remoto (Parte 6 de …) Seguimos con Remote Desktop Web Access | WindowServer: https://windowserver.wordpress.com/2011/12/18/remote-desktop-terminal-services-escritorio-remoto-parte-6-de-seguimos-con-remote-desktop-web-access/

Remote Desktop (Terminal Services) – Escritorio Remoto (Parte 7 de …) Remote Desktop Connection Broker | WindowServer: https://windowserver.wordpress.com/2011/12/24/remote-desktop-terminal-services-escritorio-remoto-parte-7-de-remote-desktop-connection-broker/

Remote Desktop (Terminal Services) – Escritorio Remoto (Parte 8 de …) Probando RDSH, y RemoteApp con RDWA y RDCB | WindowServer: https://windowserver.wordpress.com/2011/12/26/remote-desktop-terminal-services-escritorio-remoto-parte-8-de-probando-rdsh-y-remoteapp-con-rdwa-y-rdcb/

Remote Desktop (Terminal Services) – Escritorio Remoto (Parte 9 de …) Remote Desktop Gateway | WindowServer: https://windowserver.wordpress.com/2012/01/29/remote-desktop-terminal-services-escritorio-remoto-parte-9-de-remote-desktop-gateway/

 

Remote Desktop (Terminal Services) – Escritorio Remoto (Parte 11 de …) Licenciamiento de Remote Desktop (Terminal Services) | WindowServer: https://windowserver.wordpress.com/2012/02/02/remote-desktop-terminal-services-escritorio-remoto-parte-11-de-licenciamiento-de-remote-desktop-terminal-services/

Remote Desktop (Terminal Services) – Escritorio Remoto (Parte 12 de …) Personal Virtual Desktops por Web Access | WindowServer: https://windowserver.wordpress.com/2012/02/17/remote-desktop-terminal-services-escritorio-remoto-parte-12-de-personal-virtual-desktops-por-web-access/

Anuncios
Post a comment or leave a trackback: Trackback URL.

Comentarios

  • Andr3s  On 09/11/2012 at 11:29

    Gracias justo lo que necesitaba, espero me funcione amigo :D

    • Delprato  On 09/11/2012 at 14:17

      Me alegro que te sirva
      Las capturas las hice sobre máquinas funcionando, así que si lo sigues y la infraestructura es similar, debe funcionar

  • Andr3s  On 03/12/2012 at 13:58

    Bien amigo, ahora es que tuve tiempo de realizarlo, lo que necesito ahora es redirigir mi DNS que cree en No-IP al TMG y este se encargara de redireccionarl Terminal Services

  • Andr3s  On 06/12/2012 at 10:58

    Hola amigo gracias por el link y la información, lo que necesito es acceder por RDP, estuve probando el segundo link y no pude hacerlo funcionar.

    Te explicare mi situación a ver si me puedes hechar una mano y me disculpas por preguntar tanto.

    Tenemos un software ERP, y necesitamos acceder desde otra provincia vía RDP, ya tenemos todo configurado, pero que sucede, queremos protegerlo detrás del TMG, actualmente esta directo a Internet y protegido por un Firewall de Terceros, y lo que queremos es ponerlo por detrás del TMG y que se puede acceder a el desde Internet.

    La configuración la tenemos así:

    *El Módem tiene una regla desde el puerto 2789 a 3389 y de ahí a la IP del Servidor que tiene el Terminal Services, esta conectado Directo a Internet y También a la RED Interna

    *El servidor de TS esta configurado con un DNS de NO-IP, hasta ahora podemos trabajar bien teniéndolo directamente conectado a Internet, pero no lo queremos tener así por cuestión de seguridad.

    Lo que necesito ver si me ayudas es como poder entrar a través del servidor que tiene el TMG y que este nos redireccione al Terminal Services, osea que en vez de estar directo el TS a Internet, pase por el TMG antes de llegar a el.

    Lo que me pregunto es, hay que redirigir la regla en el módem en vez del Terminal Server dirigirlo al TMG? lo que no entiendo como esto entenderá que las peticiones que queremos hacer no es para acceder al TMG sino al Terminal services.

    A ver si fui algo claro y por favor me heches un mano con esto.

    Muchas Gracias

Trackbacks

Este espacio es para comentarios sobre la nota. No es un sitio de soporte

Introduce tus datos o haz clic en un icono para iniciar sesión:

Logo de WordPress.com

Estás comentando usando tu cuenta de WordPress.com. Cerrar sesión / Cambiar )

Imagen de Twitter

Estás comentando usando tu cuenta de Twitter. Cerrar sesión / Cambiar )

Foto de Facebook

Estás comentando usando tu cuenta de Facebook. Cerrar sesión / Cambiar )

Google+ photo

Estás comentando usando tu cuenta de Google+. Cerrar sesión / Cambiar )

Conectando a %s

A %d blogueros les gusta esto: