Windows Server 2008 Terminal Services Gateway

7/31/2019 Windows Server 2008 Terminal Services Gateway

1/39

Windows Server 2008 Terminal

Services Gateway


2/39

Introduction

A lheure actuelle, la plupart des entreprises souhaitent accder depuis lextrieur leurs ressources internes et

cela de faon scurise. Pour y parvenir, ces entreprises implmentent des solutions ncessitant une

configuration lourde et complexe (type VPN IPSec).

Au travers de cet article nous verrons comment les entreprises peuvent raliser ces tches grce au rle

Passerelle TS disponible sur la plateforme Windows Server 2008. Nous aborderons l'installation, la

configuration, la gestion des services de la passerelle TS ainsi que la souplesse de limplmentation de cettesolution au sein dune infrastructure informatique

1. Prsentation de la passerelle TS (TS gateway)

La passerelle TS permet dencapsuler le trafic RDP (Remote Desktop Protocole) dans HTTPS de manire

transparente. Le serveur de passerelle TS se charge de communiquer en RDP avec nimporte quel serveur

Terminal Server du rseau interne.

Outre laspect scuritaire, le fait dutiliser HTTPS prsente un autre intrt : dans la plupart des cas, leprotocole HTTPS nest pas bloqu par les pare-feu, ce qui permet une connexion externe une ressource

Terminal Server depuis nimporte o.La passerelle TS permet donc daccder un bureau publi (bureau distance) ou bien des applications

publies (RemoteApp TS) par le biais dune connexion HTTPS scurise et chiffre par certificat SSL.

La passerelle rpond parfaitement aux problmes dadministration distance des serveurs.

Il nest plus ncessaire de passer par un VPN et de laisser ouvert le port 3389 dans le routeur. Seul le port 443

du routeur doit tre redirig vers notre serveur possdant le rle passerelle TS. De plus, laccs plusieurs

serveurs est dsormais possible via la passerelle TS.

2. Configuration de la passerelle

2.1 Ajout du rle passerelle TS

Le rle passerelle TS peut tre install sur tout serveur excutant Windows 2008. Il nest pas obligatoire

dinstaller le rle de passerelle sur un serveur excutant Terminal Server, ces deux rles sont totalement

indpendants. Il est mme conseill dinstaller la passerelle TS sur un serveur nexcutant pas Terminal Server.

Pour se faire, il suffit dajouter le rle partir du serveur manager comme ci -dessous :


3/39

La figure suivante nous permet de distinguer trs clairement la diffrenciation de chaque rle Terminal Server.

Dans notre cas, nous allons seulement slectionner Passerelle TS :


4/39

Le rle Passerelle TS requiert lajout de certains composants supplmentaires. Lassistant dAjout de rles

slectionne de manire automatique les services de rle et les fonctionnalits correspondants.

Nous allons donc cliquer sur Ajouter les services de rle requis :

Lassistant permet de choisir un certificat dauthentification serveur pour le chiffrement SSL qui servira

scuriser la connexion entre les clients et la passerelle TS.

Nous reviendrons en dtail sur les certificats un peu plus loin dans larticle. Nous slectionnons donc loption

Choisir un certificat pour le chiffrement SSL ultrieurement .

Il nous est ensuite proposer de crer des stratgies dautorisation pour la passerelle TS. Ces stratgies

permettent de spcifier les utilisateurs ou groupes de scurit qui sont autoriss ou non tablir une connexion


5/39

sur le serveur Passerelle TS.

Nous crerons ces stratgies plus tard. Cochons loption Ultrieurement.

Lassistant nous propose ensuite dajouter le rle de serveur NPS (Network Policy Server) qui offre la

possibilit dappliquer une politique daccs aux ressources rseau interne de lentreprise. Pour plusdinformation sur le serveur NPS, je nous invite consulter larticle se trouvant sur le site du labo

http://www.labo-microsoft.com/articles/nap/.

Laissons la case cochez et passons ltape suivante.


6/39

Aprs la slection de tous les composants ncessaires, un rsum dinstallation apparait indiquant que les

services de rles ont t correctement installs.

Une fois le rle correctement install, nous pouvons retrouver les services systmes associs la passerelle TS

en se rendant dans le Gestionnaire de serveur.


7/39

Il se peut que la passerelle TS soit en ltat Arrter aprs linstallation. Dans ce cas, il suffit de Dmarrer le

service pour rendre la passerelle fonctionnelle.

2.2 Cration du certificat

Pour beaucoup de personnes, la notion de certificat est abstraite. Nous allons donc effectuer un bref rappel. Un

certificat lectronique est une carte d'identit numrique dont l'objet est d'identifier une entit physique ou non-

physique. Le certificat numrique ou lectronique est un lien entre l'entit physique et l'entit numrique.L'autorit de certification fait foi de tiers de confiance et atteste du lien entre l'identit physique et l'entitnumrique ainsi que de lauthenticit du certificat. Le protocole SSL (Secure Socket Layer) (SSL), est un

protocole de scurisation des changes sur internet permettant de chiffrer les donnes. Nous parlerons donc de

certificat chiffrement SSL.

ATTENTION : Lors de la cration du certificat, ce dernier doit obligatoirement possder le mme nom que

notre nom de domaine public achet auprs dun hbergeur.

Ex : si mon nom de domaine public est gateway.mslab.com, mon certificat se nommera gateway.mslab.com (et

ceux mme si mon domaine priv est par exemple mslab.lan).

Pour crer notre certificat, rendons nous dans le gestionnaire des services Internet (IIS) de notre serveur jouantle rle de la passerelle TS au niveau de la fonctionnalit Certificats de serveur.


8/39

Cliquer ensuite sur Crer un certificat de domaine

Sur la fentre suivante, nous devons indiquer plusieurs informations qui constituent les proprits de lobjet

certificat. Le nom commun de notre certificat devra obligatoirement tre le mme que notre nom de domaine

public. Dans le cas prsent, le FQDN de mon serveur est tsg-mslab.mslab.lan.Nous remarquerons que mslab.lan est un domaine de type priv, non routable sur internet ; do la ncessit de

possder un nom de domaine public qui est ici gateway.mslab.com.


9/39

Aprs avoir slectionn lautorit de certification de notre domaine, nous renseignons en tant que nom convivial

le nom commun de notre certificat.

Lautorit de certification nest pas prsente par dfaut sur le serveur. Pour lobtenir, il suffit dajouter le rle

Service de Certificat Active Directory sur notre contrleur de domaine via le serveur manager.

Une fois notre certificat cr, celui-ci est dsormais prsent au niveau de la fonction Certificat de serveur dans

le gestionnaire IIS. Nous avons alors accs plusieurs informations relatives au certificat:


10/39

nom du certificat

son destinataire

lautorit mettrice du certificat

sa date dexpiration

son hachage

2.3 Configuration de la passerelle TS

La capture ci-dessous reprsente le gestionnaire de passerelle TS. Il permet dobtenir un visuel en temps rel

son activit et de sa configuration. Nous avons ainsi accs ses deux tats principaux :

Ltat de connexion de la passerelle comprenant :

Nombre total de connexions Nombre dutilisateurs connect la passerelle

Ressources auxquelles les utilisateurs sont connects

Ltat de configuration de la passerelle comprenant :

Stratgies dautorisation de connexions

Stratgies dautorisations daccs aux ressources

Membres de la batterie de serveurs de passerelles TS

Cette console MMC nous permet aussi de paramtrer les stratgies dautorisations daccs la passerelle et de

connexions aux ressources rseaux comme cit prcdemment.


11/39

Dans le volet de droite nomm Actions se trouve loption proprits. Lorsque nous cliquons dessus, nous

accedons aux diffrents onglets suivants:

- Gnral : Longlet gnral permet de configurer le nombre maximal de connexions simultanes pris en charge

par le serveur de passerelle TS.

- Certificat SSL : Cet onglet nous intresse plus particulirement. Il permet de mapper le certificat crerprcdemment afin scuriser et chiffrer les communications qui stablissent entre le serveur passerelle TS et

les clients.

- Pontage SSL : Cette option permet dactiver le pontage SSL pour le coupler avec notre pare-feu ISA Server

ou un produit de scurit tiers. Le pontage SSL peut amliorer la scurit en procdant de la faon suivante : il

arrte les sessions SSL, inspecte les paquets, puis rtablit les sessions SSL.

- Batterie de serveurs : Cet onglet nous offre la possibilit de crer une ferme de serveurs passerelle ou bien

dinclure notre serveur passerelle TS une ferme existante dans le but deffectuer de la rpartition de charge

entre les diffrents serveurs passerelle. Nous devrons configurer lquilibrage de charge avant la cration dune

batterie. La Passerelle des services Terminal Server ne procde pas lquilibrage de charge elle-mme.Cette procdure permet uniquement de sassurer que la Passerelle des services Terminal Server fonctionnera

correctement avec une solution dquilibrage de charge dj en place.

- Magasins de stratgies dautorisations des connexions aux services Terminal Serveur : Permet de spcifier le

serveur NPS qui sera garant de lapplication des stratgies dautorisations de connexions aux services Terminal

Serveur.

- Audit : Cet onglet nous laisse le choix de slectionner les vnements qui apparaitront dans le journal

correspondant la passerelle TS. Nous reviendrons en dtail sur ce point dans la partie surveillance de la

passerelle TS.


12/39

2.3 Configuration des rgles NPS (Network Policy Server)

Pour rendre notre passerelle totalement fonctionnelle, il ne nous reste plus qu crer vos stratgies

dautorisations de connexions et daccs aux ressources. Pour se faire, il suffit de crer une stratgie en mode

assistant comme sur la figure ci-dessous :

Lassistant contient un rcapitulatif sur la fonctionnalit des stratgies dautorisations lies aux services

Terminal Server. Ce dernier stipule que la passerelle TS nest fonctionnelle qu partir du moment o une

stratgie dautorisations de connexions ET une stratgie daccs aux ressources sont configures. Il est donc

primordial de prendre en compte cette information.

Sans stratgie, pas daccs la passerelle.

Il nous est propos 3 types de cration de stratgies :

Crer une stratgie dautorisation des connexions TS et daccs aux ressources via les services TS


13/39

(recommand) Crer uniquement une stratgie dautorisation des connexions aux services Terminal Server

Crer uniquement une stratgie dautorisation daccs aux ressources v ia les services Terminal Server

Nous slectionnons donc la premire option qui crera les 2 stratgies ncessaires au fonctionnement de la

passerelle. Les autres options sont implment suivant la politique daccs mise en place au sein de

lentreprise.

La console nous invite entrez un nom pour notre stratgie dautorisation des connexions. Choisissons un nom

explicite comportant un numro. Ceci nous sera utile pour nous y retrouver, surtout si nous avons lintention de

crer plusieurs stratgies diffrentes.


14/39

La stratgie dautorisation de connexion se base sur 3 critres pour accorder la connexion un client :

La mthode dauthentification : soit par mot de passe, soit par carte puce

Lappartenance des utilisateurs un groupe dutilisateurs ou de scurit (Ce groupe doit tre ajout au niveau

de la stratgie. Seuls les membres appartenant un groupe autoris au niveau de la passerelle ont la permission

de se connecter.)

Notez que ce paramtre est OBLIGATOIRE. Lappartenance du poste client (poste partir duquel la connexion vers la passerelle lieu) un groupe

dordinateurs. Ce paramtre est quant lui facultatif.

Dans le cas o un de ces paramtres nest pas respect, la connexion au serveur de passerelle est refuse.


15/39

La fentre suivant concerne la redirection des priphriques clients. Elle offre la possibilit un utilisateur

daccder depuis le poste distant aux priphriques qui sont connect sur le poste client (disque locaux, cls

USB, Imprimantes, disque dur externes). Ces priphriques sont accessibles depuis le poste de travail de

lordinateur distant, comme le montre limage suivante :

Il existe 3 options de configuration :

Activer la redirection de priphriques clients

Dsactiver la redirection depriphriques pour tous les priphriques clients lexception des cartes puce

Dsactiver la redirection de priphriques pour tous les types de priphriques clients.


16/39

Une fois la configuration de la stratgie dautorisation des connexions tablie, une synthse des paramtres de

la stratgie apparait. Elle permet deffectuer une dernire vrification des paramtres choisis. En cas doubli ou

de paramtres tronqus, il est possible de revenir en arrire laide du bouton prcdent et de modifie r la valeur

concerne.


17/39

Comme pour les autorisations de connexion, la console nous invite entrer un nom pour notre stratgiedautorisation daccs aux ressources. Choisissons un nom explicite comportant un numro.

Mme chose que pour la stratgie dautorisation des connexions. Ajoutons un ou plusieurs groupes

dutilisateurs qui auront la permission de se connecter distance aux ressources rseau de lentreprise via la

passerelle TS.


18/39

Le paramtre suivant permet de dfinir les ressources rseau auxquelles les utilisateurs ont la possibilitdaccder.

[Attention ne pas commettre damalgame, les ressources rseau correspondent aux ordinateurs auxquels les

utilisateurs ont accs distance !]

Les diffrentes ressources proposes sont :

Slectionner un groupe de scurit active directory existant

Slectionner un groupe dordinateurs gr par passerelle TS existant ou en crer un

Autoriser les utilisateurs se connecter nimporte quelle ressource rseau (ordinateur)

La fentre suivante correspond au paramtrage des ports TCP utiliss par Terminal Server pour les connexions

distantes aux ressources. Ces connexions de type RDP (Remote Desktop Protocole) utilisent par dfaut le port

TCP 3389. Libre nous de choisir le ou les ports auxquels nous nous connecterons.

Pour se faire, 3 options nous sont proposes :

Nautoriser que les ports via le port TCP 3389

Autoriser les connexions via ces ports (que nous slectionnons nous-mmes)

Autoriser les connexions via tous les ports

PS : Sur tous les systmes Windows (Serveur 2003, Serveur 2008, XP, Vista), le port utilis par dfaut pour les

connexions RDP est le port TCP 3389. Si nous souhaitons changer de port, il faut le faire manuellement en

modifiant la cl de registre suivante :

HKEY_LOCAL_MACHINE\System\CurrentControlSet\Control\TerminalServer\WinStations\RDP-Tcp

Il suffit ensuite de modifier la sous-cl PortNumber.


19/39

Aprs avoir configur la stratgie dautorisation daccs aux ressources, la synthse des paramtres de la

stratgie apparait. Nous pouvons ainsi vrifier et valider les paramtres choisis. En cas doubli ou de paramtres

tronqus, il est possible de revenir en arrire laide du bouton prcdent et de modifier la valeur concerne.

Une fois nos statgies cres, nous les retrouverez au niveau du menu strategie. Nous accdons une vue

dtaille de nos stratgies de connexions avec :

Lordre de priorit dapplication de la stratgie


20/39

Son nom

Le ou les groupes dutilisateurs lis la stratgie

Le ou les groupes dordinateurs clients lis la stratgie

Son tat (stratgie active ou dsactive)

Il nous est possible dimporter et dexportervos paramtres de configuration et de stratgie, dans le but

deffectuer une sauvegarde ou bien encore duniformiser nos stratgies sur nos diffrents serveurs de passerelle

TS par exemple.

Sachez que dans le cas ou nous souhaiterions mettre en place une batterie de serveur Passerelle TS, tous les

serveurs devront possder les mme stratgies sous peine de ne pas fonctionner.

Lexportation de vos paramtres seffectue dans un fichier xml. Nous devons choisir un emplacement de

stockage pour notre fichier xml en slectionnant le bouton Parcourir. Nous pouvons bien entendu choisir un

emplacement rseau tel quun dossier partag du type\\nomduserveur\nomdupartage


21/39

3. Authentification SSO

Lauthentification SSO (Single-Sign-On) correspond lidentification unique. Cest une mthode qui permet

un utilisateur de ne procder qu' une seule authentification pour accder plusieurs applications informatiques(ou sites web scuriss) et donc de simplifier lutilisation de multiples mots de passe.

Dans le cas de la passerelle TS, un utilisateur procde 2 authentifications :Une authentification sur la passerelle TS suivie dune authentification sur lordinateur distant comme le montre

la figure suivante :

Pour mettre en place le SSO, il suffit de configurer, avec laide de lEditeur de gestion des stratgies de groupe,

la GPO qui se trouve dans :

Configuration ordinateur\Modle dadministration\Systme\Dlgation dinformations didentification

Modifions ensuite ltat de la stratgie Autoriser la dlgation dinformations didentification par dfaut.


22/39

En activant cette GPO, nous pouvons spcifier quels serveurs les informations didentification par dfaut de

lutilisateur peuvent tre dlgues pour effectuer lauthentification SSO.

Nous avons le choix de dlguer ces informations un seul serveur Terminal Server ou bien tous les

ordinateurs de notre domaine excutant Terminal Server.

La nomenclature pour ajouter un serveur est la suivante : TERMSRV/nom FQDN du serveur

Ainsi sur limage prcdente, jai dlgu mes informations didentification tous les serveurs de mon domaine

de la manire suivante : *.nomdudomaine . Le TERMSRV/ est obligatoire et signifie que la dlgation

seffectue uniquement vers des serveurs Terminal Server.

4. Configuration du client

4.1 Configuration du client dans un domaine

4.1.1 Configuration du client Bureau distance via les GPO


23/39

Il existe une GPO au sein de tout domaine Microsoft Active Directory qui permet de configurer les paramtreslis la passerelle TS. Cest une stratgie de type utilisateur qui se trouve dans : Configuration

utilisateur\Modle dadministration\Composant Windows\Services Terminal Server\Passerelle TS

Nous interagissons sur les proprits suivantes:

Dfinir la mthode dauthentification de la passerelle TS

Activer la connexion via une passerelle TS

Dfinir ladresse du serveur de passerelle TS

La mthode Utiliser les informations didentification utilise automatiquement notre compte de domaine aveclequel nous nous sommes logu sur le poste afin daccder a la passerelle TS. Nous possdons aussi la

possibilit dautoriser ou non les utilisateurs modifier ce paramtre.


24/39

Nous constatons que le nom dutilisateur est renseigner automatiquement avec les identifiants utiliss pour

louverture de session Windows sur le poste et que de plus ce champs est gris, donc non-modifiable comme

stipul dans la GPO configure prcdemment. Il en est de mme en ce qui concerne les paramtres de

connexion.


25/39

4.1.2 Dploiement et installation du certificat CA via les GPO

Les connexions entre la passerelle TS et les postes clients des utilisateurs sont scurises par un certificat via le

protocole SSL que nous avons cr prcdemment.Cependant, linstallation du certificat CA de notre domaine Active Directory dans le magasin Autorits de


26/39

certification racines de confiance du poste client est ncessaire afin de vrifier lintgrit du certificat utilis par

la passerelle TS.

Si le certificat CA nest pas installer sur le poste client, il sera alors impossible de se connecter la passerelle

TS.

Pour installer le certificat CA sur tous les postes clients de notre domaine qui le ncessitent, (gnralement lespc portables dutilisateurs nomades), paramtrer la GPO suivante :

Configuration ordinateur\Paramtres Windows\Paramtres de scurit\Stratgies de cl publique

Nous importons ensuite notre certificat CA dans le magasin Autorits de certification racines de confiance

comme sur la figure ci-dessous.

4.2 Configuration du client en workgroup

4.2.1 Rcupration et Installation du CA dans le magasin adquate

Que ce soit pour un poste client appartenant un domaine ou un workgroup, ce dernier doit obligatoirementpossder le certificat CA. Tout dabord nous devons rcuprer ce certificat auprs de lautorit de certification

racine dentreprise de notre domaine. Pour cela, connectez-nous ladresse : https://nomduserveur/certsrvLorsque nous y sommes invit, nous saisissons notre identifiant et notre mot de passe puis nous choisissons le

dernier lien, Tlcharger un certificat dautorit de certification, une chaine de certificats ou une liste de

rvocation de certificats.


27/39

Slectionnons ensuite le dernier lien Tlcharger un certificat de lautorit de certification

A lapparition du message qui suit, enregistrons notre certificat CA lendroit ou nous le souhaitons.

Aprs avoir rcuprer notre certificat, nous devons linstaller dans le magasin Autorits de certification racines

de confiance comme pour un poste client appartenant un domaine active directory. Accder loutil Excuter

(raccourci touches windows + R), puis taper MMC.Une fois la console MMC lance, dans Fichier, slectionner Ajouter/Supprimer un composant logiciel

enfichable. Ensuite, parmi ces composants logiciels, ajoutons le composant nomm Certificats


28/39

Slectionner le compte de lordinateur afin de grer ses certificats

Un message davertissement nous demande dapprouver le certificat car Windows ne connait pas la provenance

du certificat racine. Cliquer sur Oui.PS : Seuls les certificats provenant dune autorit de certification connus de notre systme sont considrs

comme valides.


29/39

Le certificat apparait alors dans le magasin Autorits de certification racines de confiance, ce qui prouve quil a

t correctement installer.

4.1.3 Configuration du client Bureau distance

Que ce soit pour un poste appartenant un domaine ou un workgroup, la connexion permettant daccder un

serveur ou un poste de notre rseau dentreprise via une passerelle TS seffectue par lintermdiaire du clientbureau distance. Ce dernier se trouve dans Tous les programmes\Accessoires dans le menu Dmarrer de notresystme dexploitation Windows Vista ou XP.

Attention : Seuls les clients bureau distance version 6.0 ou ultrieurs sont capables de se connecter unepasserelle TS. Si telle nest pas le cas, pensez mettre jour notre client bureau distance via Windows


30/39

Update.

Pour obtenir votre version du client bureau distance, aller dans le rpertoire %systemroot%\system32 puis

aller dans les proprits de lexcutable mstsc comme sur la figure ci-dessous dans longlet Dtails:

Une fois lanc, cliquer sur longlet Connexion puis slectionner le bouton Paramtres

Grce cette option, nous agissons sur la configuration du serveur de passerelle TS en modifiant :

Les paramtres de connexion

Les paramtres douverture de session

En ce qui concerne les paramtres de connexion, nous renseignerons nos propres paramtres de serveur

passerelle TS en indiquant le nom de notre passerelle ainsi que la mthode douverture de session (mot de passeNTLM, carte puce ou mautoriser slectionner ultrieurement)


31/39

Au niveau des paramtres douverture de session, une option nomme Utiliser les informations didentification

de passerelle Terminal Server pour lordinateur distant. Cette option nous permettra de nindiquer quune seule

fois vos identifiants de connexion.

Comme nous pouvons le constater, dans le nom de lordinateur distant, jindique bien le nom FQDN de mon

serveur appartenant mon domaine priv dentreprise qui ne se trouve pas sur internet.


32/39

La figure suivante nous demande de renseigner nos informations didentification. On peut observer que cetteauthentification sera effectue 2 fois : une premire fois sur la passerelle puis ensuite sur lordinateur distant.

Do lutilit dactiver le Single-Sign-On pour un client du domaine ainsi que lutilisation des mmesidentifiants de connexion pour la passerelle et la ressource distante au niveau des paramtres de connexion du

bureau distance, ceci afin dviter que lutilisateur ne les rentre 2 fois conscutivement.

Une fois la connexion tablie, nous retrouvons 2 petites icnes au niveau de la barre de connexion.

La premire, reprsentant un cadenas, indique que la connexion est scurise via un certificat SSL.La seconde icne reprsente la passerelle TS. En cliquant dessus, nous accdons des informations dtailles

comme le montre la figure ci-dessous :


33/39

5. Accs aux RemoteApp via la passerelle TS

La passerelle TS nous permet aussi de scuriser laccs aux programmes RemoteApp TS de notre serveur

Terminal Server. En se rendant dans le Gestionnaire RemoteApp TS qui se trouve dans Outils

dadministrations?Services Terminal Server? Gestionnaire RemoteApp TS, nous pouvons indiquer les

paramtres de la passerelle TS utiliser.

La configuration des paramtres de dploiement RemoteApp via la passerelle TS est identique laconfiguration du client bureau distance. Il suffit juste dindiquer le nom du serveur (qui pour rappel

correspond au nom de votre nom de domaine public), la mthode douverture de session et enfin le Single-Sign-

On passerelle TS / application RemoteApp TS.


34/39

6. Surveillance de la passerelle TS

6.1 Moniteur danalyse de la passerelle TS

Malgr la scurisation des connexions fournie par les certificats, limplmentation dune passerelle TS ncessite

tout de mme une surveillance. La console principale du Gestionnaire de passerelle offre une premire vue

globale de ltat de la passerelle et de son activit.

Llment le plus intressant dans cette vue est ltat de connexion qui indique le nombre total de connexions,

le nombre dutilisateurs connects la passerelle ainsi que le nombre dordinat eurs utiliss distance par les

utilisateurs. La console permet aussi de surveiller les connexions aux applications RemoteApp TS.


35/39

Lorsque nous slectionnons Surveiller les connexions actives, nous accdons la console danalyse desconnexions actuellement active sur la passerelle. Celle-ci offre une vue beaucoup plus dtaille que la console

principale avec :

LID de connexion

ID de lutilisateur (nomdudomaine\nomutilisateur) Date et heure de la connexion

Dure de la connexion

Dure dinactivit

Ordinateur sur lequel lutilisateur est connect

Adresse IP du client qui initialise la connexion

Port utilis par lordinateur cible Protocole de transport utilis (RDP)

Nombre de Ko (Kilo-octets) reu et envoy

Nous avons la possibilit dinteragir avec les sessions utilisateur en cours, notamment en dcidant de fermer la

connexion ou bien de dconnecter lutilisateur. A premire vue, il semble ne pas exister de diffrence entre ces

2 options.

Pourtant, la seconde option permet juste de dconnecter lutilisateur de la passerelle TS. Ainsi, lors sa

reconnexion, lutilisateur retrouva son environnement de travail tel quil tait avant la dconnexion. A linverse,

loption Fermer la connexion entraine la perte de toute la session en cours de lutilisateur ainsi quune

dconnexion de la passerelle.


36/39

6.2 Consultation du journal dvnement de la passerelle TS

Le second lment de surveillance est le journal dvnement correspondant la passerelle TS. Pour le

consulter, nous allons crer une vue personnalise au niveau de lobservateur dvnements.

Auparavant, nous devrons slectionner les vnements enregistrer dans le journal qui se trouvent dans longlet

audit au niveau des proprits de la passerelle TS comme ci-dessous :


37/39

En ce qui concerne les paramtres de la vue personnalise, cochez les cases Critique, Avertissement, Erreur,

Information. Ce seront ces niveaux dvnement que nous trouverons dans notre journal.

Dans le menu droulant Journaux dvnements, cochez la case Journaux des

applications?Microsoft?Windows?TerminalServices-Gateway


38/39

Indiquons ensuite le nom que portera notre vue personnalise ainsi quune description de celle-ci. Slectionnerensuite lemplacement ou la vue sera enregistre au niveau de lobservateur dvnements.

Comme nous pouvons le constater, la vue personnalise (prcdemment nomme Services TS-Gateway)

apparait bien dans lobservateur dvnements dans les affichages personnaliss.

Nous accdons ainsi au type dvnement, la date et lheure de lvnement, sa source (qui sera dans ce cas

TerminalServices-Gateway), ID de lvnement ainsi que la catgorie de la tche.

Des informations dtailles apparaissent dans longlet Gnral expliquant trs clairement les actions effectues

en fonction du type dvnement ayant eu lieu.


39/39

Conclusion

Avec la passerelle Terminal Server, Microsoft met disposition de lentreprise une solution daccs distance

simple utiliser, simple administrer et simple mettre en place. De plus, la passerelle peut convenir si lonsouhaite implmenter les diffrents scnarios suivants:

Tltravail

Administration distance

Applications distantes

Connexion des utilisateurs dune agence au Terminal server du sige de lentreprise

Windows Server 2008 Terminal Services Gateway

Documents

Transcript of Windows Server 2008 Terminal Services Gateway