none
Accès RDP Distant - Restrictions d'utilisateurs depuis l'exterieur RRS feed

  • Question

  • Bonjour à tous.

    Je suis confronté à une problématique.

    J'ai un serveur TSE sur un Windows Server 2012 R2. Les utilisateurs du domaine se connectent donc à leur sessions sur ce serveur RDP. Le serveur RDP est indépendant du serveur Active Directory. Les deux serveurs sont pour info virtualisés sous Hyper-V.

    J'ai créé un NAT sur le modem et le pare-feu matériel afin d'autoriser l'accès RDP distant depuis l'extérieur. Cela fonctionne très bien.

    Il y a t'il un moyen de restreindre l'accès RDP distant à certains utilisateurs. Je voudrais que seul deux utilisateurs puissent se connecter depuis l’extérieur et que la totalité des utilisateurs puissent se connecter à l’intérieur du réseau local.

    Je ne sais pas si cela est possible et je ne trouve rien de concret sur internet afin de pouvoir effectuer cette manipulation.

    Je vous remercie par avance de vos réponses et propositions.

    Cordialement, Thierry

    lundi 13 avril 2015 10:08

Toutes les réponses

  • Bonjour,

    Le plus simple de restreindre l'accès au RDP depuis l'extérieur par l'intermédiaire d'une règle de firewall qui autoriserait seulement l'accès aux IP publiques des utilisateurs autorisés.

    Mais cela nécessite que ces personnes aient une IP publique fixe.

    Sinon, en donnant un accès VPN aux utilisateurs autorisés, cela vous permet de ne pas avoir à NATer le port RDP, et cela restreint donc l'accès aux utilisateurs autorisés seulement.

    Dernière solution, vous activez l'accès Web aux services RDS. Au lieu de publier le port RDP (3389), vous publiez le port 433. Vous pouvez ensuite limiter l'accès à cette fonctionnalité aux utilisateurs autorités (voir ici : http://www.vkernel.ro/blog/restrict-users-from-login-to-remote-desktop-web-access ).
    Cette dernière possibilité n'est pas jolie-jolie, mais ça peut dépanner.


    Cordialement,

    Sylvain

    Blog : http://sylvaincoudeville.fr

    lundi 13 avril 2015 11:32
  • Bonjour Thierry,

    Tout d'abord, il faut savoir que par défaut Microsoft offre 2 connexions Bureau à distance (simultanées) sur un serveur Windows Server 2012 R2.

    Mais d'après ce que vous décrivez, vous prévoyez plus de 2 connexions Bureau à distance, en effet, vous citez deux utilisateurs externes et le reste des connexions Bureau à distance des utilisateurs locaux.

    Donc, avant toute chose, il faudrait penser à acheter des CALs RDS (et non pas TSE : le terme TSE est remplacé par RDS depuis Windows Server 2008 R2)

    Ensuite, installez vos licences RDS sur un serveur de Licence RDS (il s'agit d'un service de rôle à ajouter depuis le gestionnaire de serveurs > ajout rôles & fonctionnalités).

    Pour la restrictions des accès, je pense que la meilleure façon est de déployer une passerelle RDS, il s'agit là aussi d'un service de rôle RDS que vous pouvez ajouter depuis le gestionnaire de serveur > ajout de rôles et fonctionnalités.

    Une fois déployée, la passerelle RDS vous permet de définir ce qu'on appelle les stratégies CAP (Connection Access Policy) et RAP (Ressources Access Policy).

    Vous pouvez créer deux groupes par exemple : UtilisateursLAN & UtilisateursWAN et définir les restrictions pour chaque groupe : qui accède à quoi ?

    A+
    HK.


    Hicham KADIRI | Just Another IT Guy

    • Proposé comme réponse Boris Ivanov mardi 14 avril 2015 11:09
    lundi 13 avril 2015 22:16
  • Merci à vous deux pour vos deux réponses. J'ai installé de service de rôle de passerelle de bureau à distance. J'ai pu trouver les stratégies d'autorisations de connexions au utilisateurs du domaine

    Cela m'a confronté a un autre problème. J'ai créé et essayé d'appliquer un certificat SSL pour la passerelle bureau a distance cela a fonctionné.

    Mais m'étant trompé dans le nom du certificat j'en ai créé un autre sachant que le nom du certificat doit porter le même nom que celui du serveur de passerelle le problème c'est que le serveur a échoué l'application du certificat et depuis je n'ai plus rien dans la vue d'ensemble du service bureau a distance

     Sachant que tous les services de rôles étaient installé et que la collection de sessions avait été créé. 

    Il y a deux serveur : un serveur active directory virtualisé dans hyper V et un serveur pour le RDP et les fichiers virtualisé sur un hyper V.

    Mis à part ce problème les sessions fonctionnent. Pour infos les CALS RDS ont bien été installées. Mais ce message "Aucun déploiement des services Bureau à distance" m'inquiète

    Cordialement, Thierry 

    mercredi 15 avril 2015 10:44
  • Bonjour Thierry,

    Ce n'est pas grave pour le certificat. vous pouvez en générer un autre avec le même nom du serveur de passerelle (le certificat doit être généré pour le FQDN du serveur de passerelle RDS).

    Pour ce faire, depuis l'écran d'accueil :

    > rechercher : Gestionnaire de Passerelle

    > une fois la console de gestion de passerelle RDS est lancée, faites clic droit sur le noeud parent (volet gauche : nom du serveur) ensuite Propriétés

    > depuis l'onglet sécurité /certificat SSL vous pouvez soit :

       ==> créer un nouveau certificat SSL portant le même nom complet de votre serveur de passerelle RDS

       ==> importer un certificat existant (si vous avez déjà créé le bon certificat portant le même nom complet de votre serveur de passerelle RDS).

    Pour info, le message bleu que vous avez sur la console Gestionnaire de Serveur apparaît généralement quand le serveur ne trouve pas de Service Broker, étant donné que ce dernier est considéré comme le Backbone d'une infrastructure RDS depuis W2012 Server.

    A+
    HK.


    Hicham KADIRI | Just Another IT Guy

    • Proposé comme réponse Boris Ivanov mardi 21 avril 2015 11:06
    mercredi 15 avril 2015 11:24
  • Merci pour votre réponse Hicham

    J'ai pu régler le problème de certificat.

    Par contre j'ai bien compris que le serveur ne trouve pas le service Broker mais quelle est la manipulation pour que le serveur le retrouve de nouveau ? car sans cette vue d'ensemble je ne peux plus prendre de cliché instantanés des sessions RDP en cours

    Merci

    Thiery

    mercredi 15 avril 2015 12:58
  • up :)
    lundi 27 avril 2015 11:47