Windows Server 2008 Terminal Services Gateway

Introduction
A lheure actuelle, la plupart des entreprises souhaitent accder depuis lextrieur leurs ressources internes et cela de faon scurise. Pour y parvenir, ces entreprises implmentent des solutions ncessitant une configuration lourde et complexe (type VPN IPSec). Au travers de cet article nous verrons comment les entreprises peuvent raliser ces tches grce au rle Passerelle TS disponible sur la plateforme Windows Server 2008. Nous aborderons l'installation, la configuration, la gestion des services de la passerelle TS ainsi que la souplesse de limplmentation de cette solution au sein dune infrastructure informatique

1. Prsentation de la passerelle TS (TS gateway)

La passerelle TS permet dencapsuler le trafic RDP (Remote Desktop Protocole) dans HTTPS de manire transparente. Le serveur de passerelle TS se charge de communiquer en RDP avec nimporte quel serveur Terminal Server du rseau interne. Outre laspect scuritaire, le fait dutiliser HTTPS prsente un autre intrt : dans la plupart des cas, le protocole HTTPS nest pas bloqu par les pare-feu, ce qui permet une connexion externe une ressource Terminal Server depuis nimporte o. La passerelle TS permet donc daccder un bureau publi (bureau distance) ou bien des applications publies (RemoteApp TS) par le biais dune connexion HTTPS scurise et chiffre par certificat SSL. La passerelle rpond parfaitement aux problmes dadministration distance des serveurs. Il nest plus ncessaire de passer par un VPN et de laisser ouvert le port 3389 dans le routeur. Seul le port 443 du routeur doit tre redirig vers notre serveur possdant le rle passerelle TS. De plus, laccs plusieurs serveurs est dsormais possible via la passerelle TS.

2. Configuration de la passerelle
2.1 Ajout du rle passerelle TS Le rle passerelle TS peut tre install sur tout serveur excutant Windows 2008. Il nest pas obligatoire dinstaller le rle de passerelle sur un serveur excutant Terminal Server, ces deux rles sont totalement indpendants. Il est mme conseill dinstaller la passerelle TS sur un serveur nexcutant pas Terminal Server. Pour se faire, il suffit dajouter le rle partir du serveur manager comme ci-dessous :

La figure suivante nous permet de distinguer trs clairement la diffrenciation de chaque rle Terminal Server. Dans notre cas, nous allons seulement slectionner Passerelle TS :

Le rle Passerelle TS requiert lajout de certains composants supplmentaires. Lassistant dAjout de rles slectionne de manire automatique les services de rle et les fonctionnalits correspondants. Nous allons donc cliquer sur Ajouter les services de rle requis :

Lassistant permet de choisir un certificat dauthentification serveur pour le chiffrement SSL qui servira scuriser la connexion entre les clients et la passerelle TS. Nous reviendrons en dtail sur les certificats un peu plus loin dans larticle. Nous slectionnons donc loption Choisir un certificat pour le chiffrement SSL ultrieurement .

Il nous est ensuite proposer de crer des stratgies dautorisation pour la passerelle TS. Ces stratgies permettent de spcifier les utilisateurs ou groupes de scurit qui sont autoriss ou non tablir une connexion

sur le serveur Passerelle TS. Nous crerons ces stratgies plus tard. Cochons loption Ultrieurement.

Lassistant nous propose ensuite dajouter le rle de serveur NPS (Network Policy Server) qui offre la possibilit dappliquer une politique daccs aux ressources rseau interne de lentreprise. Pour plus dinformation sur le serveur NPS, je nous invite consulter larticle se trouvant sur le site du labo http://www.labo-microsoft.com/articles/nap/. Laissons la case cochez et passons ltape suivante.

Aprs la slection de tous les composants ncessaires, un rsum dinstallation apparait indiquant que les services de rles ont t correctement installs.

Une fois le rle correctement install, nous pouvons retrouver les services systmes associs la passerelle TS en se rendant dans le Gestionnaire de serveur.

Il se peut que la passerelle TS soit en ltat Arrter aprs linstallation. Dans ce cas, il suffit de Dmarrer le service pour rendre la passerelle fonctionnelle.

2.2 Cration du certificat Pour beaucoup de personnes, la notion de certificat est abstraite. Nous allons donc effectuer un bref rappel. Un certificat lectronique est une carte d'identit numrique dont l'objet est d'identifier une entit physique ou nonphysique. Le certificat numrique ou lectronique est un lien entre l'entit physique et l'entit numrique. L'autorit de certification fait foi de tiers de confiance et atteste du lien entre l'identit physique et l'entit numrique ainsi que de lauthenticit du certificat. Le protocole SSL (Secure Socket Layer) (SSL), est un protocole de scurisation des changes sur internet permettant de chiffrer les donnes. Nous parlerons donc de certificat chiffrement SSL. ATTENTION : Lors de la cration du certificat, ce dernier doit obligatoirement possder le mme nom que notre nom de domaine public achet auprs dun hbergeur. Ex : si mon nom de domaine public est gateway.mslab.com, mon certificat se nommera gateway.mslab.com (et ceux mme si mon domaine priv est par exemple mslab.lan). Pour crer notre certificat, rendons nous dans le gestionnaire des services Internet (IIS) de notre serveur jouant le rle de la passerelle TS au niveau de la fonctionnalit Certificats de serveur.

Cliquer ensuite sur Crer un certificat de domaine

Sur la fentre suivante, nous devons indiquer plusieurs informations qui constituent les proprits de lobjet certificat. Le nom commun de notre certificat devra obligatoirement tre le mme que notre nom de domaine public. Dans le cas prsent, le FQDN de mon serveur est tsg-mslab.mslab.lan. Nous remarquerons que mslab.lan est un domaine de type priv, non routable sur internet ; do la ncessit de possder un nom de domaine public qui est ici gateway.mslab.com.

Aprs avoir slectionn lautorit de certification de notre domaine, nous renseignons en tant que nom convivial le nom commun de notre certificat. Lautorit de certification nest pas prsente par dfaut sur le serveur. Pour lobtenir, il suffit dajouter le rle Service de Certificat Active Directory sur notre contrleur de domaine via le serveur manager.

Une fois notre certificat cr, celui-ci est dsormais prsent au niveau de la fonction Certificat de serveur dans le gestionnaire IIS. Nous avons alors accs plusieurs informations relatives au certificat:

 nom du certificat son destinataire lautorit mettrice du certificat sa date dexpiration son hachage

2.3 Configuration de la passerelle TS La capture ci-dessous reprsente le gestionnaire de passerelle TS. Il permet dobtenir un visuel en temps rel son activit et de sa configuration. Nous avons ainsi accs ses deux tats principaux : Ltat de connexion de la passerelle comprenant : Nombre total de connexions Nombre dutilisateurs connect la passerelle Ressources auxquelles les utilisateurs sont connects Ltat de configuration de la passerelle comprenant : Stratgies dautorisation de connexions Stratgies dautorisations daccs aux ressources Membres de la batterie de serveurs de passerelles TS Cette console MMC nous permet aussi de paramtrer les stratgies dautorisations daccs la passerelle et de connexions aux ressources rseaux comme cit prcdemment.

Dans le volet de droite nomm Actions se trouve loption proprits. Lorsque nous cliquons dessus, nous accedons aux diffrents onglets suivants: - Gnral : Longlet gnral permet de configurer le nombre maximal de connexions simultanes pris en charge par le serveur de passerelle TS. - Certificat SSL : Cet onglet nous intresse plus particulirement. Il permet de mapper le certificat crer prcdemment afin scuriser et chiffrer les communications qui stablissent entre le serveur passerelle TS et les clients. - Pontage SSL : Cette option permet dactiver le pontage SSL pour le coupler avec notre pare-feu ISA Server ou un produit de scurit tiers. Le pontage SSL peut amliorer la scurit en procdant de la faon suivante : il arrte les sessions SSL, inspecte les paquets, puis rtablit les sessions SSL. - Batterie de serveurs : Cet onglet nous offre la possibilit de crer une ferme de serveurs passerelle ou bien dinclure notre serveur passerelle TS une ferme existante dans le but deffectuer de la rpartition de charge entre les diffrents serveurs passerelle. Nous devrons configurer lquilibrage de charge avant la cration dune batterie. La Passerelle des services Terminal Server ne procde pas lquilibrage de charge elle-mme. Cette procdure permet uniquement de sassurer que la Passerelle des services Terminal Server fonctionnera correctement avec une solution dquilibrage de charge dj en place. - Magasins de stratgies dautorisations des connexions aux services Terminal Serveur : Permet de spcifier le serveur NPS qui sera garant de lapplication des stratgies dautorisations de connexions aux services Terminal Serveur. - Audit : Cet onglet nous laisse le choix de slectionner les vnements qui apparaitront dans le journal correspondant la passerelle TS. Nous reviendrons en dtail sur ce point dans la partie surveillance de la passerelle TS.

2.3 Configuration des rgles NPS (Network Policy Server) Pour rendre notre passerelle totalement fonctionnelle, il ne nous reste plus qu crer vos stratgies dautorisations de connexions et daccs aux ressources. Pour se faire, il suffit de crer une stratgie en mode assistant comme sur la figure ci-dessous :

Lassistant contient un rcapitulatif sur la fonctionnalit des stratgies dautorisations lies aux services Terminal Server. Ce dernier stipule que la passerelle TS nest fonctionnelle qu partir du moment o une stratgie dautorisations de connexions ET une stratgie daccs aux ressources sont configures. Il est donc primordial de prendre en compte cette information. Sans stratgie, pas daccs la passerelle. Il nous est propos 3 types de cration de stratgies : Crer une stratgie dautorisation des connexions TS et daccs aux ressources via les services TS

(recommand) Crer uniquement une stratgie dautorisation des connexions aux services Terminal Server Crer uniquement une stratgie dautorisation daccs aux ressources via les services Terminal Server Nous slectionnons donc la premire option qui crera les 2 stratgies ncessaires au fonctionnement de la passerelle. Les autres options sont implment suivant la politique daccs mise en place au sein de lentreprise.

La console nous invite entrez un nom pour notre stratgie dautorisation des connexions. Choisissons un nom explicite comportant un numro. Ceci nous sera utile pour nous y retrouver, surtout si nous avons lintention de crer plusieurs stratgies diffrentes.

La stratgie dautorisation de connexion se base sur 3 critres pour accorder la connexion un client : La mthode dauthentification : soit par mot de passe, soit par carte puce Lappartenance des utilisateurs un groupe dutilisateurs ou de scurit (Ce groupe doit tre ajout au niveau de la stratgie. Seuls les membres appartenant un groupe autoris au niveau de la passerelle ont la permission de se connecter.) Notez que ce paramtre est OBLIGATOIRE. Lappartenance du poste client (poste partir duquel la connexion vers la passerelle lieu) un groupe dordinateurs. Ce paramtre est quant lui facultatif. Dans le cas o un de ces paramtres nest pas respect, la connexion au serveur de passerelle est refuse.

La fentre suivant concerne la redirection des priphriques clients. Elle offre la possibilit un utilisateur daccder depuis le poste distant aux priphriques qui sont connect sur le poste client (disque locaux, cls USB, Imprimantes, disque dur externes). Ces priphriques sont accessibles depuis le poste de travail de lordinateur distant, comme le montre limage suivante :

Il existe 3 options de configuration : Activer la redirection de priphriques clients Dsactiver la redirection de priphriques pour tous les priphriques clients lexception des cartes puce Dsactiver la redirection de priphriques pour tous les types de priphriques clients.

Une fois la configuration de la stratgie dautorisation des connexions tablie, une synthse des paramtres de la stratgie apparait. Elle permet deffectuer une dernire vrification des paramtres choisis. En cas doubli ou de paramtres tronqus, il est possible de revenir en arrire laide du bouton prcdent et de modifier la valeur concerne.

Comme pour les autorisations de connexion, la console nous invite entrer un nom pour notre stratgie dautorisation daccs aux ressources. Choisissons un nom explicite comportant un numro.

Mme chose que pour la stratgie dautorisation des connexions. Ajoutons un ou plusieurs groupes dutilisateurs qui auront la permission de se connecter distance aux ressources rseau de lentreprise via la passerelle TS.

Le paramtre suivant permet de dfinir les ressources rseau auxquelles les utilisateurs ont la possibilit daccder. [Attention ne pas commettre damalgame, les ressources rseau correspondent aux ordinateurs auxquels les utilisateurs ont accs distance !] Les diffrentes ressources proposes sont : Slectionner un groupe de scurit active directory existant Slectionner un groupe dordinateurs gr par passerelle TS existant ou en crer un Autoriser les utilisateurs se connecter nimporte quelle ressource rseau (ordinateur)

La fentre suivante correspond au paramtrage des ports TCP utiliss par Terminal Server pour les connexions distantes aux ressources. Ces connexions de type RDP (Remote Desktop Protocole) utilisent par dfaut le port TCP 3389. Libre nous de choisir le ou les ports auxquels nous nous connecterons. Pour se faire, 3 options nous sont proposes : Nautoriser que les ports via le port TCP 3389 Autoriser les connexions via ces ports (que nous slectionnons nous-mmes) Autoriser les connexions via tous les ports PS : Sur tous les systmes Windows (Serveur 2003, Serveur 2008, XP, Vista), le port utilis par dfaut pour les connexions RDP est le port TCP 3389. Si nous souhaitons changer de port, il faut le faire manuellement en modifiant la cl de registre suivante : HKEY_LOCAL_MACHINE\System\CurrentControlSet\Control\TerminalServer\WinStations\RDP-Tcp Il suffit ensuite de modifier la sous-cl PortNumber.

Aprs avoir configur la stratgie dautorisation daccs aux ressources, la synthse des paramtres de la stratgie apparait. Nous pouvons ainsi vrifier et valider les paramtres choisis. En cas doubli ou de paramtres tronqus, il est possible de revenir en arrire laide du bouton prcdent et de modifier la valeur concerne.

Une fois nos statgies cres, nous les retrouverez au niveau du menu strategie. Nous accdons une vue dtaille de nos stratgies de connexions avec : Lordre de priorit dapplication de la stratgie

 Son nom Le ou les groupes dutilisateurs lis la stratgie Le ou les groupes dordinateurs clients lis la stratgie Son tat (stratgie active ou dsactive)

Il nous est possible dimporter et dexporter vos paramtres de configuration et de stratgie, dans le but deffectuer une sauvegarde ou bien encore duniformiser nos stratgies sur nos diffrents serveurs de passerelle TS par exemple. Sachez que dans le cas ou nous souhaiterions mettre en place une batterie de serveur Passerelle TS, tous les serveurs devront possder les mme stratgies sous peine de ne pas fonctionner.

Lexportation de vos paramtres seffectue dans un fichier xml. Nous devons choisir un emplacement de stockage pour notre fichier xml en slectionnant le bouton Parcourir. Nous pouvons bien entendu choisir un emplacement rseau tel quun dossier partag du type \\nomduserveur\nomdupartage

3. Authentification SSO
Lauthentification SSO (Single-Sign-On) correspond lidentification unique. Cest une mthode qui permet un utilisateur de ne procder qu' une seule authentification pour accder plusieurs applications informatiques (ou sites web scuriss) et donc de simplifier lutilisation de multiples mots de passe. Dans le cas de la passerelle TS, un utilisateur procde 2 authentifications : Une authentification sur la passerelle TS suivie dune authentification sur lordinateur distant comme le montre la figure suivante :

Pour mettre en place le SSO, il suffit de configurer, avec laide de lEditeur de gestion des stratgies de groupe, la GPO qui se trouve dans : Configuration ordinateur\Modle dadministration\Systme\Dlgation dinformations didentification Modifions ensuite ltat de la stratgie Autoriser la dlgation dinformations didentification par dfaut.

En activant cette GPO, nous pouvons spcifier quels serveurs les informations didentification par dfaut de lutilisateur peuvent tre dlgues pour effectuer lauthentification SSO. Nous avons le choix de dlguer ces informations un seul serveur Terminal Server ou bien tous les ordinateurs de notre domaine excutant Terminal Server. La nomenclature pour ajouter un serveur est la suivante : TERMSRV/nom FQDN du serveur

Ainsi sur limage prcdente, jai dlgu mes informations didentification tous les serveurs de mon domaine de la manire suivante : *.nomdudomaine . Le TERMSRV/ est obligatoire et signifie que la dlgation seffectue uniquement vers des serveurs Terminal Server.

4. Configuration du client
4.1 Configuration du client dans un domaine 4.1.1 Configuration du client Bureau distance via les GPO

Il existe une GPO au sein de tout domaine Microsoft Active Directory qui permet de configurer les paramtres lis la passerelle TS. Cest une stratgie de type utilisateur qui se trouve dans : Configuration utilisateur\Modle dadministration\Composant Windows\Services Terminal Server\Passerelle TS Nous interagissons sur les proprits suivantes: Dfinir la mthode dauthentification de la passerelle TS Activer la connexion via une passerelle TS Dfinir ladresse du serveur de passerelle TS

La mthode Utiliser les informations didentification utilise automatiquement notre compte de domaine avec lequel nous nous sommes logu sur le poste afin daccder a la passerelle TS. Nous possdons aussi la possibilit dautoriser ou non les utilisateurs modifier ce paramtre.

Nous constatons que le nom dutilisateur est renseigner automatiquement avec les identifiants utiliss pour louverture de session Windows sur le poste et que de plus ce champs est gris, donc non-modifiable comme stipul dans la GPO configure prcdemment. Il en est de mme en ce qui concerne les paramtres de connexion.

4.1.2 Dploiement et installation du certificat CA via les GPO Les connexions entre la passerelle TS et les postes clients des utilisateurs sont scurises par un certificat via le protocole SSL que nous avons cr prcdemment. Cependant, linstallation du certificat CA de notre domaine Active Directory dans le magasin Autorits de

certification racines de confiance du poste client est ncessaire afin de vrifier lintgrit du certificat utilis par la passerelle TS. Si le certificat CA nest pas installer sur le poste client, il sera alors impossible de se connecter la passerelle TS. Pour installer le certificat CA sur tous les postes clients de notre domaine qui le ncessitent, (gnralement les pc portables dutilisateurs nomades), paramtrer la GPO suivante : Configuration ordinateur\Paramtres Windows\Paramtres de scurit\Stratgies de cl publique Nous importons ensuite notre certificat CA dans le magasin Autorits de certification racines de confiance comme sur la figure ci-dessous.

4.2 Configuration du client en workgroup 4.2.1 Rcupration et Installation du CA dans le magasin adquate Que ce soit pour un poste client appartenant un domaine ou un workgroup, ce dernier doit obligatoirement possder le certificat CA. Tout dabord nous devons rcuprer ce certificat auprs de lautorit de certification racine dentreprise de notre domaine. Pour cela, connectez-nous ladresse : https://nomduserveur/certsrv Lorsque nous y sommes invit, nous saisissons notre identifiant et notre mot de passe puis nous choisissons le dernier lien, Tlcharger un certificat dautorit de certification, une chaine de certificats ou une liste de rvocation de certificats.

Slectionnons ensuite le dernier lien Tlcharger un certificat de lautorit de certification

A lapparition du message qui suit, enregistrons notre certificat CA lendroit ou nous le souhaitons.

Aprs avoir rcuprer notre certificat, nous devons linstaller dans le magasin Autorits de certification racines de confiance comme pour un poste client appartenant un domaine active directory. Accder loutil Excuter (raccourci touches windows + R), puis taper MMC. Une fois la console MMC lance, dans Fichier, slectionner Ajouter/Supprimer un composant logiciel enfichable. Ensuite, parmi ces composants logiciels, ajoutons le composant nomm Certificats

Slectionner le compte de lordinateur afin de grer ses certificats

Un message davertissement nous demande dapprouver le certificat car Windows ne connait pas la provenance du certificat racine. Cliquer sur Oui. PS : Seuls les certificats provenant dune autorit de certification connus de notre systme sont considrs comme valides.

Le certificat apparait alors dans le magasin Autorits de certification racines de confiance, ce qui prouve quil a t correctement installer.

4.1.3 Configuration du client Bureau distance Que ce soit pour un poste appartenant un domaine ou un workgroup, la connexion permettant daccder un serveur ou un poste de notre rseau dentreprise via une passerelle TS seffectue par lintermdiaire du client bureau distance. Ce dernier se trouve dans Tous les programmes\Accessoires dans le menu Dmarrer de notre systme dexploitation Windows Vista ou XP. Attention : Seuls les clients bureau distance version 6.0 ou ultrieurs sont capables de se connecter une passerelle TS. Si telle nest pas le cas, pensez mettre jour notre client bureau distance via Windows

Update. Pour obtenir votre version du client bureau distance, aller dans le rpertoire %systemroot%\system32 puis aller dans les proprits de lexcutable mstsc comme sur la figure ci-dessous dans longlet Dtails:

Une fois lanc, cliquer sur longlet Connexion puis slectionner le bouton Paramtres

Grce cette option, nous agissons sur la configuration du serveur de passerelle TS en modifiant : Les paramtres de connexion Les paramtres douverture de session En ce qui concerne les paramtres de connexion, nous renseignerons nos propres paramtres de serveur passerelle TS en indiquant le nom de notre passerelle ainsi que la mthode douverture de session (mot de passe NTLM, carte puce ou mautoriser slectionner ultrieurement)

Au niveau des paramtres douverture de session, une option nomme Utiliser les informations didentification de passerelle Terminal Server pour lordinateur distant. Cette option nous permettra de nindiquer quune seule fois vos identifiants de connexion.

Comme nous pouvons le constater, dans le nom de lordinateur distant, jindique bien le nom FQDN de mon serveur appartenant mon domaine priv dentreprise qui ne se trouve pas sur internet.

La figure suivante nous demande de renseigner nos informations didentification. On peut observer que cette authentification sera effectue 2 fois : une premire fois sur la passerelle puis ensuite sur lordinateur distant. Do lutilit dactiver le Single-Sign-On pour un client du domaine ainsi que lutilisation des mmes identifiants de connexion pour la passerelle et la ressource distante au niveau des paramtres de connexion du bureau distance, ceci afin dviter que lutilisateur ne les rentre 2 fois conscutivement.

Une fois la connexion tablie, nous retrouvons 2 petites icnes au niveau de la barre de connexion. La premire, reprsentant un cadenas, indique que la connexion est scurise via un certificat SSL. La seconde icne reprsente la passerelle TS. En cliquant dessus, nous accdons des informations dtailles comme le montre la figure ci-dessous :

5. Accs aux RemoteApp via la passerelle TS

La passerelle TS nous permet aussi de scuriser laccs aux programmes RemoteApp TS de notre serveur Terminal Server. En se rendant dans le Gestionnaire RemoteApp TS qui se trouve dans Outils dadministrations?Services Terminal Server? Gestionnaire RemoteApp TS, nous pouvons indiquer les paramtres de la passerelle TS utiliser.

La configuration des paramtres de dploiement RemoteApp via la passerelle TS est identique la configuration du client bureau distance. Il suffit juste dindiquer le nom du serveur (qui pour rappel correspond au nom de votre nom de domaine public), la mthode douverture de session et enfin le Single-SignOn passerelle TS / application RemoteApp TS.

6. Surveillance de la passerelle TS
6.1 Moniteur danalyse de la passerelle TS Malgr la scurisation des connexions fournie par les certificats, limplmentation dune passerelle TS ncessite tout de mme une surveillance. La console principale du Gestionnaire de passerelle offre une premire vue globale de ltat de la passerelle et de son activit. Llment le plus intressant dans cette vue est ltat de connexion qui indique le nombre total de connexions, le nombre dutilisateurs connects la passerelle ainsi que le nombre dordinateurs utiliss distance par les utilisateurs. La console permet aussi de surveiller les connexions aux applications RemoteApp TS.

Lorsque nous slectionnons Surveiller les connexions actives, nous accdons la console danalyse des connexions actuellement active sur la passerelle. Celle-ci offre une vue beaucoup plus dtaille que la console principale avec : LID de connexion ID de lutilisateur (nomdudomaine\nomutilisateur) Date et heure de la connexion Dure de la connexion Dure dinactivit Ordinateur sur lequel lutilisateur est connect Adresse IP du client qui initialise la connexion Port utilis par lordinateur cible Protocole de transport utilis (RDP) Nombre de Ko (Kilo-octets) reu et envoy Nous avons la possibilit dinteragir avec les sessions utilisateur en cours, notamment en dcidant de fermer la connexion ou bien de dconnecter lutilisateur. A premire vue, il semble ne pas exister de diffrence entre ces 2 options. Pourtant, la seconde option permet juste de dconnecter lutilisateur de la passerelle TS. Ainsi, lors sa reconnexion, lutilisateur retrouva son environnement de travail tel quil tait avant la dconnexion. A linverse, loption Fermer la connexion entraine la perte de toute la session en cours de lutilisateur ainsi quune dconnexion de la passerelle.

6.2 Consultation du journal dvnement de la passerelle TS Le second lment de surveillance est le journal dvnement correspondant la passerelle TS. Pour le consulter, nous allons crer une vue personnalise au niveau de lobservateur dvnements. Auparavant, nous devrons slectionner les vnements enregistrer dans le journal qui se trouvent dans longlet audit au niveau des proprits de la passerelle TS comme ci-dessous :

En ce qui concerne les paramtres de la vue personnalise, cochez les cases Critique, Avertissement, Erreur, Information. Ce seront ces niveaux dvnement que nous trouverons dans notre journal. Dans le menu droulant Journaux dvnements, cochez la case Journaux des applications?Microsoft?Windows?TerminalServices-Gateway

Indiquons ensuite le nom que portera notre vue personnalise ainsi quune description de celle-ci. Slectionner ensuite lemplacement ou la vue sera enregistre au niveau de lobservateur dvnements.

Comme nous pouvons le constater, la vue personnalise (prcdemment nomme Services TS-Gateway) apparait bien dans lobservateur dvnements dans les affichages personnaliss. Nous accdons ainsi au type dvnement, la date et lheure de lvnement, sa source (qui sera dans ce cas TerminalServices-Gateway), ID de lvnement ainsi que la catgorie de la tche. Des informations dtailles apparaissent dans longlet Gnral expliquant trs clairement les actions effectues en fonction du type dvnement ayant eu lieu.

Conclusion
Avec la passerelle Terminal Server, Microsoft met disposition de lentreprise une solution daccs distance simple utiliser, simple administrer et simple mettre en place. De plus, la passerelle peut convenir si lon souhaite implmenter les diffrents scnarios suivants: Tltravail Administration distance Applications distantes Connexion des utilisateurs dune agence au Terminal server du sige de lentreprise