Nouveautés de Terminal Server sous Windows Server 2008
3 La passerelle Terminal Server
3.1 Principe de fonctionnement
Les passerelles Terminal Server permettent de rendre accessible de multiples serveurs Terminal Server (ou des serveurs sur lesquels le bureau à distance est activé) via un tunnel TLS.
Cette fonctionnalité permet d’éviter le recours à des tunnels VPN lourds à gérer et problématiques en termes de sécurité.
Les passerelles Terminal Server peuvent interagir avec les serveurs NAP de manière à vérifier la conformité des postes clients (ainsi les ordinateurs non conformes seront mis en quarantaine et n’auront qu’un accès limité voire nul aux serveurs Terminal Server de l’entreprise).
Le principe de fonctionnement d’une passerelle TS utilise un tunnel TLS (port 443) entre l’ordinateur client et la passerelle TS située en DMZ, puis la passerelle TS se connecte au serveur demandé via le protocole RDP. Ce principe est le même que celui utilisé par Outlook et Exchange 2003 (RPC over HTTPS).
Il n’est alors pas nécessaire d’ouvrir d’autre port que le TCP 443 à destination de la passerelle TS sur le pare-feu.
Ce rôle donne aussi bien accès aux serveurs Terminal Server, qu’aux applications distantes mais aussi aux bureaux à distance de Windows XP, Vista, Server 2003, Server 2008 afin de les administrer.
Afin d’assurer une meilleure montée en charge et une meilleure disponibilité, les passerelles Terminal Server peuvent être organisées en fermes de serveurs si besoin.
3.2 Mise en place
La mise en place d’un serveur de passerelle Terminal Server passe par la création de deux stratégies d’accès :
La stratégie CAS (Connection Authorization Policy)
Cette stratégie donne les conditions de connexion à la passerelle. Elle permet de spécifier quels sont les utilisateurs ou les groupes d’utilisateurs qui peuvent se connecter à la passerelle TS.
A cela on peu ajouter d’autres conditions pour accéder à la passerelle TS comme le mode d’authentification supporté (Mot de passe et carte à puce), l’appartenance à un groupe d’ordinateur ou le type de ressources locales qui peuvent être redirigées (lecteurs, imprimantes, copier-coller, usb, …).
Il est aussi possible d’intégrer les passerelles TS à une infrastructure NAP pour analyser l’état de santé des machines qui se connectent.
La stratégie RAP (Resource Authorization Policy)
Une fois la stratégie CAS établie, il faut définir les autorisations d’accès vers les serveurs TS auxquels les utilisateurs vont pouvoir se connecter.
Pour cela ont défini trois conditions qui sont les groupes d’utilisateurs qui peuvent se connecter, les groupes de serveurs TS auxquels ils pourront se connecter et les ports TCP autorisés (3389 par défaut).