IMPLANTAÇÃO DO REMOTE DESKTOP SERVICES

Nesse documento é demostrado a implantação de um servidor RDS – Remote Desktop

Services.

Os seguintes recursos RDS serão instalados: Session Host, Broker, Web Acess e Gateway.

Pré-requisitos

- É necessário que todos os servidores que terão os recursos do RDS instalados devem ser
membros de um domínio do Active Directory.

- Ter uma CA interna.

Instalação

Primeiramente abra o seu “Gerenciador de Servidores” e clique em “Adicionar Funções”:

Clique em “Próximo”:

Selecione a opção “Instalação de Serviços de Área de Trabalho Remota

selecionamos “Implantação Padrão”, onde permite instalar o serviço em diversos servidores.

Para utilizarmos o serviço de Remote Desktop baseado em sessão, devemos selecionar a

segunda opção, conforme imagem abaixo. Essa opção definirá a função do seu Remote
Desktop Service, que aceitará conexões de clientes baseada em sessão (Área de Trabalho
Remota). Cliquem em “Avançar”, para continuar o processo de implantação:

Serão instalados 3(três) serviços, sendo:

• Agente de Conexão de Área de Trabalho Remota - Broker

• Acesso via Área de Trabalho Remota – Web Acess

• Host de Sessão da Área de Trabalho Remota – Session Host

Esses serviços poderão ser configurados, após toda a instalação desse recurso:

Insira o servidor que deseja instalar o “Agente de Conexão” e clique em “Avançar”:

Insira o servidor que deseja instalar o Acesso “Via Web RDS” e clique em “Avançar”:

Insira um ou mais servidores que deseja instalar o Acesso “Host de Sessão RDS” e clique
em “Avançar”:

Marque a opção para reiniciar o servidor automaticamente, assim o botão de implantação será
habilitado. Clique em “Implantar” para iniciar as configurações:

Aguarde o processo inicial:

Seu servidor será reiniciado automaticamente. Tome muito cuidado para não forçar nenhum
desligamento incorreto, pois isso pode acarretar na reinicialização de todo processo.

Assim que o servidor reiniciar, automaticamente será finalizado o processo de instalação do

recurso. Clique em “Fechar” para finalizar esse processo de instalação:
Configurar um conjunto – Collection

Esse conjunto será o grupo onde encontraremos os usuários conectados remotamente em

nosso servidor, e podemos gerenciá-los, capturar sessões remotas, derrubar processos, e
outras opções administrativas.

Clique em “Host de Sessão Remota” e depois em “Criar Conjunto de Sessões”:

Defina um nome para esse conjunto e insira uma descrição para identifica-la.

Selecione o servidor desejado e clique em “Próximo”:

Insira “grupos de usuários” ou “usuários” que deverão ter acesso a Área de Trabalho Remota.

Se não for utilizar perfil de discos para usuários, desmarque a opção

Clique em “Criar”:

A criação é muito rápida e já temos um novo conjunto de sessão criado em nosso ambiente
RDS.

Após a criação do conjunto é possível alterar/revisar as configurações. São elas:

• Geral

• Grupo de usuários

• Sessão

• Segurança

• Balanceamento de Carga

• Configurações de Clientes

• Perfil de Discos

Configurar o licenciamento

Clique em “Licenciamento da Área de Trabalho Remota”

Selecione o servidor que irá receber o banco de licenciamento e clique em “Próximo”:

Clique em “Adicionar”:
Instalar a autoridade de certificação

Uma autoridade de certificação (CA) é responsável por atestar a identidade de usuários,

computadores e organizações. A CA raiz autentica uma entidade e atesta essa identidade
emitindo um certificado assinado digitalmente. O CA também pode gerenciar, revogar e
renovar certificados. Esses certificados gerados pela CA serão utilizados nos serviços do RDS.

• No windows server 2019, inicie o Server Manager.

• No canto superior direito, clique em Gerenciar > Adicionar funções e recursos.

• Usando o assistente Adicionar funções e recursos, instale os serviços de certificado de

diretório ativo.

• Em Antes de começar a janela, clique em Next.

• Selecione a instalação baseada em recursos ou baseada em recursos. Clique em Next.

• Na página Seleção do servidor, certifique-se de que o servidor selecionado esteja

correto. Clique em Next.

• Na página de funções do Servidor, selecione Serviços de Certificado do Active

Directory. Clique em Next.

• Clique em Next na página Selecionar recursos.

• Você está prestes a instalar os Serviços de Certificado de Diretório

Ativo, clique em Next.
• A partir do AD CS, selecione a Autoridade de Certificação como Serviço de Função.
Clique em Next.

Configure serviços de certificado de diretório ativo

As etapas abaixo mostram como configurar os Serviços de Certificado de Diretório

Ativo. Clique em Configurar serviços de certificado de diretório ativo no servidor de
destino.
Especifique as credenciais para configurar o AD CS. Clique em Seguir.

Na página Serviços de Papel, certifique-se de que a Autoridade de

Certificação seja selecionada. Clique em Next.

Selecione o tipo de Autoridade de Certificação como Enterprise CA.

Clique em Next.

Para o tipo CA, selecione Root CA e clique em Next.

Na janela de teclas Private, selecione Criar uma nova chave privada.

Clique em Next.

Para criptografia, deixe as configurações padrão e clique em Next.

Defina o nome da CA. Clique em Next.

Defina o prazo de validade e clique em Next

Na janela do banco de dados do Certificado, você pode especificar o local de registro do banco
de dados de certificados e o local de registro do banco de dados do certificado.

Verifique as configurações na página De confirmação e clique em Configurar.

A configuração da autoridade de certificados foi bem sucedida. Clique em Fechar.

Por fim, feche o assistente Adicionar papéis e recursos.

RDS – Configure RDS Certificates with own Enterprise CA

If you are planning to configure Windows 2012 R2 Remote Desktop Services in

your environment and are planning to sign your own x509 certificates for it, then
be advised that this is not as straight forward as creating a web server certificate.

You will need to create a new (duplicated from workstation) certificate template,
and modify the template’s settings to incorporate the correct extensions when
enrolling for a new certificate via this template.

Certificates in a Windows 2012 R2 Remote Desktop Services deployment, are

typically implemented either via Powershell or the RDS deployment properties
management console in Windows 2012 R2.

For simplification of this tutorial, we will be using the management console

instead of Powershell.

As prerequisite for this tutorial, it is assumed that you already have an enterprise
certificate authority, and remote desktop services deployement installed on your
network.

Our first step will be the creation of a new certificate template, modified to enroll
correct certificates for our RDS deployment.

Open your Certificate Authority management snap-in from your Enterprise CA on

your network, right click certificate templates and select manage.

In the certificate templates console, scroll down until you find the ‘Workstation
Authentication’ template. Right click it and select Duplicate Template.

On the General tab of the new template, change the template display name to
RDS Certificate Template and mark the checkbox to publish the certificate in
Active Directory.
On the Request Handling tab, select ‘allow private key to be exported’.
On the Extensions tab, select Application Policies and select Edit.
Add Server Authentication to the list.
On the Subject Name tab, select ‘Supply in the request’.

Accept the resulting message.

Close the new template now by selecting ok, and close your Certificates
Templates Console.

Go back to the certificate authority management snap-in and right click

Certificate Templates, New, Certificate Template to issue:
Select the new RDS Certificate Template and click ok.

The new certificate template is now added to your Enterprise Certification

Authority, and can now be used to enroll correct certificates for usage with
Remote Desktop Services.

For proof of concept, we will enroll a certificate using this template on our
Remote Desktop Broker Server.

Log in to your Remote Desktop Broker server, in my case, rdbroker01.

Open a management console by right clicking start, then run, type mmc and press
enter.
Click File – Add/Remove Snap-in…

Select the Certificates snap-in and click add.

Select computer account and click next.

Select local computer and click finish.

Now we have the Certificates Store of the local computer open, we will be
requesting a new certificate from within this console to our enterprise CA.

Under Certificates, Personal, right click the certificates folder and select all tasks,
request new certificate.
Click next on the certificate enrollment window.

Make sure Active Directory Enrollment Policy is highlighted, and click next.
Select RDS Certificate Template, and click the link to configure additional
information for enrollment.

On the certificate properties window, add a common name for the certificate, this
may be your FQDN of your RDS broker server, subsequently, add alternative dns
names for other roles that u might be hosting on the same server like your RDS
web access, or if you are planning to use this certificate also on the other servers
in your deployment, add the FQDN’s of the other servers as DNS entries.
On the General tab, fill in a descriptive name for the certificate that you are
enrolling, after this, select ok to close the certificate properties window.
Now click the Enroll button to request your certificate to the Enterprise CA.

The Certificate Enrollment process should complete successfully, click finish to

close the enrollment window.
In our Certificate Management Snap-in we can verify that our new certificate is
enrolled and available to us. If it is not displayed at first, then press F5 to refresh
and make it visible.

We now need to export the certificate and the private key to import it again via
our RDS management console.

Right click the certificate, select all tasks and click export.

Click next on the certificate export wizard.

Select yes, export the private key and click next.
Accept the default settings in this window and click next.
Set a password to protect your private key.
Set the filename to where you want to export the certificate.
Click finish to complete the certificate export.
Now that we have the exported certificate ready, we can finish the certificate
installation on our Remote Desktop Management console.

Open Server Manager, and open Remote Desktop Services in the left pane, then
click tasks, and edit deployment properties.

Go to certificates, highlight the role for which u want to deploy your certificate,
and click select existing certificate.
Select, choose a different certificate, browse for your certificate, enter your
certificate password, and select to allow the certificate to be added to the
trusted root certification authorities store. After that confirm with ok.

Click apply to apply the certificate. After this action, the status will show OK and
the level will be Trusted.
HTML5 client for Microsoft Remote Desktop Service

Pré-requistos

- O RD Gateway, RD Broker e RD Web Acess dever estar executando o Windows Server 2016 oi
2019

- As licenças de acesso dos conjuntos – Collection devem estar configuradas por usuário (CAL
for user)

Os certificados confiáveis devem estar configurados no RD Gateway e RD Web Acess

Execute os seguintes comandos no PowerShell para instalar o cliente Web da Área de Trabalho
Remota.

Install-Module -Name PowerShellGet -Force

exit

(Reinicie o PowerShell)

Install-Module -Name RDWebClientManagement

Install-RDWebClientPackage

Importe o cerficado do RD Broker para o Web client

Import-RDWebClientBrokerCert <.cer file path>

Publique o Remote Desktop web client

Publish-RDWebClientPackage -Type Production -Latest

Abra o web client

https://server_FQDN/RDWeb/webclient/index.html.
Exportar uma cadeia de certificados de emissão completa para autenticação LDAPS com Active
Directory

Esse passo é necessário para que o servidor se autentique com o serviço de proxy reverso. Ao
final da exportação do certificado o mesmo deve ser enviado para o setor responsável pelo
proxy reverso na Prodest.

Para exportar uma cadeia de certificados emissores de seu armazenamento de certificados

para usar com autenticação LDAPS, use o seguinte processo.

1- On an Active Directory domain controller running on Windows Server 2012, open Start
> Run > certlm.msc
2- Navigate to Certificates (Local Computer) > Personal > Certificates.
3- Right-click the SSL certificate and click Open.
4- Go to Certification Path and select the top certificate.
5- Click View Certificate.
6- Go to the Details tab and select Copy to File.

7- In the Certificate Export Wizard, click Next.

8- Select Base-64 encoded X.509 (.CER) and click Next.
9- Click Browse to enter a name for your exported certificate save it in a specific
directory. Click Save then click Next >.
10- Click Finish to export your certificate to the desired directory. Click OK after the export
completes.
Adicionar função de RD Gateway

1- Na tela Serviços de Área de Trabalho Remota , clique no sinal de mais verde em RD

Gateway.
2- Selecione o servidor RDS a ser usado para a instalação desta função.
3- Nomeie o certificado SSL autoassinado com um nome de domínio totalmente
qualificado (FQDN externo)

4- Clique em Avançar e em Adicionar para instalar a função em nosso servidor RDS

primário
Configurar propriedades de implantação

1- Navegue até a tela Remote Desktop Services e no menu suspenso Tasks , clique em
Edit Deployment Properties.

2- Deixe as configurações padrão na tela RD Gateway e clique no item de

menu Licenciamento RD
3- Escolha Por usuário na tela Licenciamento RD
Inserir o FQDN do servidor no arquivo de Host do RD Web Acess/RD Gateway

Na até o arquivo host - C:\Windows\System32\drivers\etc. Abra o arquivo utilizando um

editor de texto (necessário privilégios administrativos).

Adicione o IP do servidor e o FQDN externo utilizado.