•  
• Déploiement rapide (bureaux basés sur des sessions)

8. Sécuriser le serveur RDS avec un certificat SSL valide

Maintenant que vous possédez un certificat SSL valide pour votre serveur RDS, retournez dans le gestionnaire de serveur et allez dans : Services Bureau à distance -> Vue d'ensemble.
Ensuite, cliquez sur : Tâches -> Modifier les propriétés de déploiement.

Etant donné que nous avons installé les 3 services RDS sur le même serveur, nous pourrons utiliser le même certificat pour ces 3 services.
Sélectionnez le 1er service, puis cliquez sur "Sélectionner un certificat existant".

Sélectionnez "Choisir un autre certificat" et cliquez sur "Parcourir".
Sélectionnez le certificat au format ".pfx" exporté précédemment, puis indiquez le mot de passe indiqué lors de l'exportation de celui-ci.
Pour finir, cochez la case "Autoriser l'ajout du certificat au magasin de certificats" (qui est obligatoire) et cliquez sur OK.

Comme vous pouvez le voir, nous ne pouvez ajouter qu'un certificat à la fois.
Cliquez sur Appliquer, puis recommencez l'opération pour les 2 autres services RDS.

Une fois que vous aurez fini, le niveau de certification du déploiement sera : Approuvé.
Cliquez sur OK.

9. Test de l'accès web et du bureau publié

Si votre infrastructure RDS et votre autorité de certification sont bien configurées, vous pourrez accéder sans problème à l'accès web de votre infrastructure RDS.
Comme vous pouvez le voir, le certificat SSL émane bien de notre autorité de certification et ce certificat est considéré comme valide, car le certificat de notre autorité fait partie des autorités de certification de confiance sur nos postes clients.

Connectez-vous avec un compte Active Directory autorisé à utiliser votre collection de bureaux.

Comme vous pouvez le voir, nous avons accès à notre bureau WS 2012.

En cliquant sur celui-ci, vous verrez que vous allez vous connecter en connexion Bureau à distance sur votre serveur RDS.informatiweb.lan.

La connexion Bureau à distance se met en place.

Et votre session s'ouvre sur le serveur RDS distant.

Vous avez ouvert une session sur le serveur distant via l'infrastructure RDS.

Si vous utilisez des PCs clients sous Windows 10, évitez d'utiliser Microsoft Edge, car vous verrez que l'onglet "Se connecter à un ordinateur distant" ne sera pas présent.
En effet, comme indiqué sur le site de Microsoft, cet onglet est géré par un ActiveX et ceux-ci ne sont supportés que par Internet Explorer.
Microsoft vous recommande donc de continuer à utiliser Internet Explorer 11 dans ce cas précis.

Le 2ème problème est que Microsoft Edge vous proposera de télécharger un fichier RDP au lieu de lancer la connexion au bureau RDS ou à l'application distante (RemoteApp) souhaitée.
Vous devrez donc ensuite lancer le fichier téléchargé pour vous connecter au bureau ou à l'application RemoteApp souhaitée.

Pour éviter ce problème et retrouver le comportement normal de cet accès web RDS sous Windows 10, il vous suffit de réutiliser Internet Explorer.
Dans ce cas-ci, lorsque vous cliquerez sur un bureau RDS ou une application RemoteApp, vous retrouverez la fenêtre de connexion normale permettant d'accéder à la ressource souhaitée.

Pour les plus curieux d'entre-vous, vous avez peut-être remarqué que le gestionnaire de serveur ainsi que d'autres consoles d'administration étaient visibles depuis votre session Bureau à distance.
Néanmoins, si vous tentez d'y accéder, vous verrez que vous n'arriverez pas à modifier les paramètres du serveur étant donné que vous n'en avez pas les droits.

Le déploiement RDS ne sera pas non plus visible par vos utilisateurs étant donné qu'ils n'ont pas le droit de le gérer.

Si vous regardez sur votre serveur Active Directory, vous remarquerez que des fichiers images de disques ont été créés dans le partage créé plus tôt dans ce tutoriel.
Il s'agit des disques de profils utilisateurs et du fichier servant de modèle pour ceux-ci.

Si vous voulez savoir à qui appartient un disque de profil utilisateur, il vous suffit de faire un clic droit "Propriétés" sur celui-ci et d'aller dans l'onglet "Sécurité".
Dans la liste du haut, vous trouverez notamment :

• le nom du serveur hôte de session qui a accès à ce fichier : RDS$
• le nom de l'utilisateur concerné par ce disque de profil utilisateur

Comme vous pouvez le voir, Windows Server a modifié automatiquement les autorisations NTFS de ce dossier pour autoriser le serveur hôte de session à y créer, modifier, ... des fichiers et ainsi lui permettre d'y créer les différents disques de profils utilisateurs.

En tant qu'administrateur, sur votre serveur RDS, vous pourrez voir qui est connecté actuellement à cette collection et sur quel serveur vos utilisateurs sont connectés.
Comme vous pouvez le voir, il y a actuellement 2 utilisateurs connectés :

• InformatiUser : notre utilisateur distant
• Administrateur : nous pour gérer le serveur RDS

Pour finir, sachez que vous pouvez envoyer facilement des messages à vos utilisateurs en faisant un clic droit "Envoyer un message" sur leur nom.

Indiquez un titre et un message, puis cliquez sur Envoyer.

Le message apparait sur l'écran de votre utilisateur avec un bouton OK.

Pour éviter de tomber à courts de licences d'accès utilisateurs (si vous avez choisi ce mode de licences), n'oubliez pas d'expliquer à vos utilisateurs comment se déconnecter de leurs sessions.
En effet, si vos utilisateurs cliquent simplement sur la croix en haut à droite, leur session restera ouverte sur le serveur.
Ce qui veut dire que la licence d'accès utilisateur (CAL) sera toujours attribuée à cet utilisateur inutilement.

Pour éviter ce problème, vos utilisateurs devront prendre l'habitude de se déconnecter depuis l'interface de Windows Server.

Ensuite, vos utilisateurs devront aussi prendre l'habitude de se déconnecter de l'accès web pour éviter qu'un utilisateur non autorisé ne se reconnecte sous son nom.