En la primera parte de este tutorial os enseñe como instalar el rol Terminal Server Gateway en Windows Server.
En esta entrada voy a explicaros como realizar la configuración para poder empezar a realizar nuestras conexiones de escritorio remoto de forma más segura.
En primer lugar abriremos la consola «Administrador de puerta de enlace de Escritorio remoto» que podemos encontrar dentro de «Herramientas Administrativas».
La primera vez que accedamos veremos que tenemos muchas cosas por configurar, así que vamos al lío. Empezaremos configurando el certificado que nos permitirá realizar las conexiones de forma segura.
Configuración certificado
Aplicaremos nuestro certificado SSL al servicio Terminal Server Gateway. Para ello pulsaremos sobre la opción «Ver o modificar las propiedades del certificado».
Tenemos varias opciones:
- Crear un certificado autofirmado: esta opción es interesante sino disponemos de ningún certificado y queremos obtener uno gratuito. El inconveniente que tiene utilizar certificados autofirmados es que tendremos que instalar el certificado en los puestos clientes por lo que recomiendo utilizar la siguiente opción.
- Seleccionar un certificado existente del almacén personal: esta opción nos permitirá utilizar un certificado que ya tengamos. Para nuestro ejemplo seleccionaremos esta opción ya que utilizaremos un certificado gratuito de Let´s Encrypt el cual nos evitará tener que realizar la instalación del certificado en todos los equipos clientes. Sino sabes como generar este certificado gratuito te animo a que te pases por esta entrada donde explico como generarlo.
- Importar un certificado en el almacén personal: Esta opción la utilizaremos en el caso que tengamos un certificado que no se encuentre en nuestro servidor y queramos importarlo.
Una vez seleccionado nuestro certificado vamos a pasar a configurar el siguiente punto.
Configuración directivas de autorizaciones de conexiones
En este apartado crearemos la directivas que nos permitirán especificar los usuarios que se puede conectar a este servidor de puerta de enlace de escritorio remoto.
Pulsaremos sobre la opción «Crear directiva de autorización de conexiones».
En la pestaña «General» introduciremos el nombre de nuestra directiva.
En la pestaña «Requisitos» será donde indicaremos los métodos de autentificación que utilizaremos así como los grupos de usuarios o equipos que tendrán acceso a nuestra puerta de enlace de escritorio remoto.
En la pestaña «Redirección de dispositivos» podremos seleccionar que dispositivos o recursos del cliente local estarán disponibles durante la sesión remota.
Por último en la pestaña «Tiempos de espera» especificaremos la configuración de reconexión y tiempo de espera para las sesiones remotas.
Configuración directiva de autorización de recursos
Esta configuración nos permitirá especificar los equipos a los que los usuarios pueden conectarse a través de la puerta de enlace de escritorio remoto.
En primer lugar, en la pestaña «General», asignaremos un nombre a nuestra directiva.
En la pestaña «Grupos de usuario» especificaremos los grupos de usuarios cuyos miembros pueden conectarse a equipos remotos de la red a través de la puerta de enlace de escritorio remoto.
La pestaña «Recursos de red» nos permitirá especificar los equipos a los que podrán conectarse los usuarios que hemos definido en la pestaña anterior. Podremos especificar un grupo de seguridad de active directory donde se encuentren los equipos a autorizar o una granja de servidores de escritorio remoto.
En la pestaña «Puertos permitidos» podremos especificar el puerto al que se conectarán los equipos clientes, por defecto es el puerto 3389 pero podremos modificarlo en caso de ser necesario.
Nota: aunque el puerto 3389 se considera un puerto inseguro hay que tener en cuenta que nosotros en el exterior tendremos publicado el puerto 443 que es como nos conectaremos a nuestra puerta de enlace de escritorio remoto por lo que no tendremos problemas con el puerto 3389.
Una vez realizadas todas estas configuraciones ya tendremos preparado y configurado nuestro servidor de Terminal Server Gateway.
A continuación, voy a explicaros como configurar el rdp que habrá que suministrar a los clientes para que puedan realizar la conexión a los distintos recursos de red.
Configuración RDP Cliente
Para configurar el rdp que suministraremos a los equipos clientes tendremos que abrir la aplicación «Conexión a Escritorio Remoto» en un PC y realizar las siguientes configuraciones.
En el campo «Equipo», de la pestaña «General», especificaremos la dirección ip local del servidor al que queremos conectarnos.
A continuación, nos iremos a la pestaña «Opciones avanzadas» y pulsaremos sobre el botón «Configuración» que podemos encontrar dentro de la sección «Conectarse desde cualquier parte».
Por último seleccionaremos la opción «Usar esta configuración de servidor de puerta de enlace de escritorio remoto», introduciremos en el campo «Servidor» la ip pública en la que hayamos publicado nuestro servidor de puerta de enlace, marcaremos el check «No usar el servidor de puerta de enlace de escritorio remoto para direcciones locales» y marcaremos también el check «Usar mis credenciales de puerta de enlace de escritorio remoto para el equipos remoto».
Una vez realizada la configuración nos iremos nuevamente a la pestaña «General» y pulsaremos sobre el botón «Guardar como» para salvar nuestro rdp con la configuración definida y ya estará listo para distribuirlo entre los equipos clientes y estos se puedan conectar a los servidores que definamos de una forma fácil y sobre todo segura.
Nota: Por cada servidor al que se quiera acceder habrá que suministrar un rdp o el usuario ir cambiando la ip local de conexión en función de donde quiera conectarse.
Espero os haya servido de utilidad.
Entradas relacionadas
- Windows Server: Como montar Terminal Server Gateway. Parte 1 – Instalación
- Windows Server: Let´s Encrypt para IIS
Me dedico a la Administración de Sistemas y he creado este blog para compartir mis conocimientos con toda la comunidad y así aportar mi granito de arena y ayudar a todo el que lo necesite.