Puerta de enlace de escritorio remotoSi se usa una infraestructura de RemoteApp, en combinación con el servicio de Puerta de enlace de escritorio remoto, se puede permitir que los usuarios se conecten desde Internet a programas individuales en un servidor de escritorio remoto, o una granja de servidores, sin necesidad de establecer previamente una conexión de red privada virtual (VPN). Todos los métodos de publicación de aplicaciones RemoteApp disponibles en la red de área local (acceso web a escritorio remoto, paquete rdp, paquete msi, doble click sobre archivo vinculado a RemoteApp y Conexión de Escritorio y RemoteApp) están disponibles también a través de Internet. Puerta de enlace de escritorio remoto se basa en el uso del protocolo Remote Desktop Protocol (RDP) sobre HTTPS para establecer una conexión segura y cifrada entre los usuarios de Internet y los recursos de la red interna. Los clientes sólo necesitan disponer en sus equipos del cliente de conexión a escritorio remoto.
El uso de puerta de enlace de escritorio remoto como medio de acceso a servicios de escritorio remoto tiene varias ventajas: - Acceso exclusivo a recursos de escritorio remoto y no al resto de recursos de la red local. - Uso de un puerto de comunicaciones que habitualmente no está bloqueado por los firewalls corporativos. - Posibilidad de administración de la seguridad de forma integrada con las políticas de grupo. - Posibilidad de integración de la seguridad de los accesos con el uso de Microsoft NAP (Network Access Protection), que es una infraestructura de seguridad activa que chequea los clientes en busca de posibles problemas de seguridad y vulnerabilidades y toma decisiones de acceso en base a los resultados de los análisis. - Disponibilidad de herramientas de monitoreo y de elaboración de informes. Puerta de enlace de escritorio remoto es un servicio de rol perteneciente al rol de Servicios de escritorio remoto, y por lo tanto debe instalarse desde la consola de administración del servidor.
La instalación de puerta de enlace de escritorio remoto habilitará otros servicios y características adicionales que necesita para funcionar como pueden ser servicios web de Internet Information Server (para proporcionar la conexión del protocolo rdp sobre https), servicios de acceso y directivas de redes (para establecer las políticas de seguridad de acceso) y el servicio de Proxy RPC sobre http (que permite el uso del mecanismo de comunicación de procesos RPC sobre http).
Como parte del mecanismo que garantiza la seguridad de las conexiones gestionadas por puerta de enlace de escritorio remoto se requiere el uso de un certificado. El asistente para instalación del servicio de rol permite seleccionar dicho certificado entre varias opciones.
A la hora de elegir un certificado se debe tener en cuenta que dicho certificado debe de estar firmado por una autoridad certificadora que sea reconocida por los posibles clientes. Como parte del proceso de configuración del servicio de puerta de enlace de escritorio remoto también deben configurarse las directivas de autorización de conexiones a escritorio remoto, y las directivas de autorización de recursos de escritorio remoto (RD RAP). El asistente de instalación permite configurar ambas, aunque se pueden configurar también posteriormente, usando la herramienta Administrador de puerta de enlace de escritorio remoto, que añade la instalación al menú inicio del servidor en la carpeta "Servicios de escritorio remoto". Las directivas de autorización de conexiones de escritorio remoto (RD CAP) permiten definir qué grupos de usuarios se pueden conectar al servidor de puerta de enlace de escritorio remoto y cómo se les autenticará. Las directivas de autorización de recursos de escritorio remoto (RD RAP) permiten definir a qué servidores puede acceder cada usuario a través del servidor de puerta de enlace de escritorio remoto. Hasta que no se define una directiva CAP y una directiva RAP de escritorio remoto los servicios de puerta de enlace de escritorio remoto no son operativos. En el asistente de instalación de puerta de enlace de escritorio remoto el primer paso para definir las políticas CAP y RAD es especificar los grupos de usuarios a los que se les va a permitir la conexión. A continuación se debe elegir un método de autenticación para estos usuarios. De esta forma queda definida una política CAP.
A continuación se crea una política RAP que se aplicará a los usuarios de la política CAP creada anteriormente. En este caso se define el grupo de servidores a los que tendrán acceso los usuarios. Los servidores que no pertenezcan a los grupos de máquinas seleccionados no serán accesibles para los usuarios. Con esto finaliza la parte del asistente relacionada con el servicio de puerta de enlace a escritorio remoto. El asistente de instalación continúa con las páginas de propiedades correspondientes a los servicios de NPA (Servicios de acceso y directiva de redes), IIS y RPC sobre http que también deben ser instalados. Para estos elementos se pueden aceptar las selecciones por defecto. Una vez finalizada la instalación se dispone en la carpeta "Servicios de escritorio remoto" del menú inicio del servidor de la herramienta Administrador de puerta de enlace de escritorio remoto.
Desde esta herramienta se pueden cambiar las políticas RD CAP y RD RAP, se pueden cambiar los certificados, se puede configurar el uso de granjas de servidores de RemoteApp en combinación con puerta de enlace de escritorio remoto y se pueden supervisar las conexiones activas. Una vez instalado el servicio de puerta de enlace de escritorio remoto es necesario reconfigurar los servidores de sesión de escritorio remoto con RemoteApps definidas para que reconozcan dicho servicio.
En el caso de que se usen paquetes MSI y rdp para distribuir RemoteApps dichos paquetes no contendrán estas nuevas opciones de configuración global de los servidores de sesión de escritorio remoto, por lo que para poder usar paquetes MSI o rdp en escenarios de acceso a través de puerta de enlace de escritorio remoto es necesario volver a crear los paquetes para que recojan la nueva configuración.
|
.jpg)
.jpg)
.jpg)
.jpg)
.jpg)
.jpg)
.jpg)
.jpg)
.jpg)