Divers
TS 2008: TS Gateway
Envoyer cet article
⋅ 
Imprimer cet article
⋅
Chargement ...Fournir un accès depuis l’extérieur de l’entreprise à des serveurs Terminal Server interne était jusqu’à présent relativement risqué ou contraignant. Deux options étaient possibles:
- Faire une translation du port 3389 d’une adresse publique vers un serveur TS interne. Cela limitait la connexion à un unique serveur, mais surtout exposait potentiellement celui-ci au "premier venu".
- Forcer l’établissement d’un VPN avant la connexion Terminal Server, ce qui complique les procédures de login pour les utilisateurs, mais donne une niveau de sécurité satisfaisant.
Windows 2008 intègre une nouvelle fonctionnalité (TS Gateway) qui permet d’encapsuler le trafic RDP dans HTTPS de manière transparente. Le serveur TS Gateway se charge de communiquer en RDP avec n’importe quel serveur Terminal Server interne (quelque soit leur nombre).
 |
Outre l’aspect sécuritaire, le fait d’utiliser https présente un autre intérêt: dans la plupart des cas, le protocole https n’est pas filtré par les pare-feu, ce qui permet un connexion à une ressource Terminal Server de manière transparente depuis à peu près n’importe où (ce qui n’est pas le cas quand on utilise le port 3389 classique).
En terme de connexion, il est possible de configurer les fichiers RDP utilisés pour la connexion ou TS Web Access pour utiliser TS Gateway. Si le serveur TS Gateway et les serveurs TS sont dans le même domaine, il est même possible d’utiliser l’authentification unique (fourni par les client Vista SP1 ou XP SP3).
 |
L’utilisateur se connecte à l’URL du serveur TS WebAccess. Ce serveur authentifie l’utilisateur et interroge les serveurs TS pour afficher les applications RemoteApp disponibles. Une fois l’application sélectionnée, la connexion RDP est établie entre le client et le serveur TS Gateway. Ce serveur Termine le tunnel SSL et route le trafic vers le serveur TS concerné.
Il est possible d’établir des règles imposant les utilisateurs ou ordinateurs autorisés à se connecter avec la passerelle TS Gateway et les serveurs TS accessibles, ainsi que les ressources locales au client à remonter dans la session TS (lecteurs locaux, imprimantes, etc).
En complément, TS Gateway est compatible avec NAP (Network Access Protection), qui permet au moment de la connexion, de valider l’état de santé du poste client et de refuser éventuellement la connexion si celui-ci ne remplit pas les conditions minimales (pas d’Antivirus, pas d’AntiSpyware, pas de Firewall).
Articles relatifs
Commentaires
Un commentaire pour l'article “TS 2008: TS Gateway”
Ajouter un commentaire
Produits
Sur les forums
- Re : TOUCHES ACTIVE SUITE PREMIERE CONNEXION:
- Re : [W2K3] [CPS4.5] ima crash id_event 1000:
- Re : TOUCHES ACTIVE SUITE PREMIERE CONNEXION:
- [W2K3] [CPS4.5] ima crash id_event 1000:
- Re : TOUCHES ACTIVE SUITE PREMIERE CONNEXION:
- Re : TOUCHES ACTIVE SUITE PREMIERE CONNEXION:
- Re : TOUCHES ACTIVE SUITE PREMIERE CONNEXION:
- Re : Erreur 1030 - ICA v12.0.3.6:
- Re : XAF et Citrix Receiver (iPhone / iPad):
- Re : test de UPM:
Commentaires récents
- Monsieur WordPress sur Bonjour tout le monde !
- Nicolas sur XenDesktop: Le Desktop Delivery Controller…
- lange sophie sur Les licences Terminal Server (1ère partie)
- jstival sur Hotfix Rollup Pack 4 de Citrix XenApp 5.0 and Citrix Presentation Server 4.5 pour Windows 2003
- Lyes Mouloudi sur Comment retourner à une application l’adresse IP du client au lieu de celle du serveur
Concept à la fois beau et efficace.
Le risque reste que les entreprises qui pratiquement un peu sévèrement le filtrage d’url pourront être contournées par la mise en place d’une telle architecture.
A défaut de pouvoir faire du tunneling, comme autrefois, cette encapsulation RDP dans HTTPS vous permet par exemple de rebondir derrière votre freebox.
Soyez par la suite simplement imaginatif.
TAN.