Guide d’installation d’une passerelle des services Bureau à distance sur Windows Serveur 2022

Ce tutoriel fait suite à l'installation et la configuration d'un serveur RDS sur Windows Serveur 2022. Dans ce tutoriel on va configurer le rôle de passerelle des services de bureau à distance (appelé aussi Remote Gateway).

Le but est de permettre d'accéder aux applications depuis l'extérieur sans exposer le port 3389.

Les prérequis pour installer le rôle de passerelle des services de bureau à distance (Remote Gateway)

Dans ce guide nous partons du principe que vous avez installé un serveur RDS en suivant notre guide.

En utilisant le déploiement rapide, le rôle de passerelle de bureau à distance est installé sur le serveur RDS mais il n'est pas configuré. Il est tout à fait possible de dédier ce rôle sur un autre serveur dans le cas d'un déploiement standard.

Nous utiliserons également un certificat SSL gratuit généré grâce à Certify The Web pensez à lire notre tutoriel également.

Pourquoi utiliser la passerelle des services de bureau à distance ?

L'utilisation d'une Remote Gateway permet aux utilisateurs de se connecter aux ressources (Remote APP , serveur RSS) à distance sans avoir besoin de VPN. Évidemment pour sécuriser les flux il faudra utiliser un certificat SSL. Les connexions utiliseront une surcouche TSL et donc transiteront par le port 443 et non 3389.

Le portail des applications est également accessible depuis une simple url : https://url-serveur-tse/rdweb/

Il est également possible de l'intégré dans Windows dans les options Connexion Bureau à distance dans le panneau de configuration.

Étape 1 - Paramétrer la passerelle des services de bureau à distance

Dans le gestionnaire de serveur, cliquez sur connexions à distance pour modifier les paramètres de déploiement.

Puis on définit l'URL d'accès :

Étape 2 - Exporter le Certificat SSL

Il faut ensuite ajouter le certificat depuis l'onglet Certificats. Idéalement il faut avoir préalablement exporté le certificat au format .pfx avec un mot de passe. Le plus simple c'est d'ouvrir le gestionnaire de certificats Windows.

Faîtes la combinaison des touches Windows + R et saisir mmc puis cliquer sur Fichier > Ajouter un composant logiciel enfichable.

Puis double cliquer sur Certificats et sélectionner "Un compte d'ordinateur".

Et dans la nouvelle fenêtre, sélectionnez "ordinateur local".

Puis sélectionner personnel et Certificats.

Dans notre exemple, nous allons exporter le certificat délivré par R3 , il s'agit d'un certificat gratuit Let's Encrypt généré avec Certify The Web. Sur le certificat faîtes un clic droit puis toutes les tâches puis exporter.

Puis on sélectionne l'export avec clé privée.

On sélectionne le format .pfx et on définit un mot de passe. Il sera nécessaire pour l'importation.

Enfin vous devez choisir un emplacement pour sauvegarder le fichier .pfx

Le certificat est exporté , nous pouvons l'importer dans la configuration de la passerelle de services de bureau à distance.

Étape 3 - Importer le certificat SSL

Retourner dans le paramétrage de déploiement de la Remote Gateway puis dans le menu Certificat.

Nous devons importer le certificat pour l'ensemble des services, il faut faire l'opération un par un.

Puis on ajoute le certificat exporté précédemment, on ajoute le mot de passe et on importe le certificat dans le magasin.

Cette opération doit être répétée pour chaque service (Broker, Accès Web, Passerelle)

Une fois ajoutée, il faut redémarrer le service Passerelle des services de bureau à distance.

Testez l'accès avec votre url : https://url-remote-gateway.tld/rdweb/ , une page d'authentification doit s'ouvrir et aucun message de certificat doit apparaître.

Étape 4 - Modifier l'URL de la collection

La dernière étape consiste à modifier l'URL de la collection. En effet lorsque vous télécharger les applications sur le portail il faut définir la bonne url , par défaut il s'agit d'une url interne.

Pour modifier l'url il faut saisir la commande PowerShell suivante :

Set-RDSessionCollectionConfiguration -CollectionName “nom-collection” -CustomRdpProperty “gatewayhostname:s:url-gateway.tld:443”

Pensez à éditer le nom de la collection et l'URL du CustomRdpProperty.

Une fois configurée c'est terminé, votre passerelle de services de bureau à distance est opérationnelle. Vous devez tester les bons accès en téléchargeant les différents .rdp sur l'interface web.

Pour aller plus loin

Nous avons mis en place un serveur Remote Gateway , cependant nous avons utilisé un certificat gratuit et utilisé le port 443. L'inconvénient des certificats Let's Encrypt c'est qu'ils sont valables 3 mois , mais ils peuvent se renouveler automatiquement. Il faudra être vigilant en cas d'expiration du certificat.

Enfin on peut également installer un client web en HTML5 pour la passerelle qui permet d'ouvrir toutes les applications au sein du navigateur et sans avoir à télécharger les raccourcis .rdp.