S’applique à : RDS Windows Server 2012 – RDS Windows Server 2012 R2

Après déploiement du Portail RD Web Access (RDWA), le mode d’authentification utilisé par défaut est « Authentification par formulaire », l’utilisateur distant est donc invité à renseigner sont login & mot de passe associé pour s’authentifier sur le Portail et avoir accès aux ressources RDS publiées auxquelles il a accès.

Afin de faciliter la connexion et l’accès au Portail RDWA, certains clients exigeant une connexion automatique sur celui-ci, et ce en utilisant le login /mot de passe utilisé lors de l’ouverture de la Session Windows.

Internet Explorer devrait donc être configuré pour récupérer les informations d’authentification utilisées lors de l’ouverture de session pour authentifier l’utilisateur sur le Portail RDWA.

Nous allons donc voir à travers cet article comment configurer l’auto-logon sur le Portail RDWA sous Windows Server 2012 R2

Note : si vous disposez d’une ferme de serveurs RDWA, les modifications décrites ci-après doivent être appliquées sur chaque serveur RD Web Access. 

La configuration de l’auto-logon du Portail RDWA consiste à configurer les éléments suivants :

Définir le mode d’authentification sur le serveur IIS (serveur RDWA) à « Authentification Windows »

Déclarer l’URL du Portail RDWA comme Site de confiance

Personnaliser le niveau de sécurité de la zone « Sites de confiance » pour accepter les « connexions automatiques avec le nom d’utilisateur et le mot de passe actuel »

Pour pouvoir utiliser le login /mot de passe Windows utilisé lors de l’ouverture de Session, le mode d’authentification défini sur le serveur Web IIS exécuté sur le serveur RDWA doit être défini à « Authentification Intégrée », pour ce faire :

  • Ouvrez une Session Windows sur votre serveur RDWA et lancez l’outil « NetMgr.exe »
  • Développez « Sites » > « Default Web Site » > « RDWeb » et cliquez ensuite sur « Pages« 
  • Depuis le volet du milieu, sous « IIS« , localisez et double-cliquez sur « Authentification« 

6

  • Activez « Authentification Windows » et désactivez toutes les autres modes d’authentification :

7

  • Cliquez sur « Paramètres avancés.. » et sélectionnez « Accepter »  :

8

Afin de centraliser la configuration de la connexion automatique sur l’ensemble des postes clients se connectant sur le portail RDWA, une GPO nommée « ConfigRDS » a été créée :

1

  • Editez la GPO et naviguez jusqu’au : Configuration Ordinateur | Modèles d’administration | Composants Windows | Internet Explorer | Panneau de configuration Internet | Onglet Sécurité
  • Localisez et double-cliquez sur le paramètre « Liste des attributions de sites aux zones » :

2

  • Cochez « Activé« , cliquez ensuite sur « Afficher… » et enfin spécifiez l’URL de votre Portail RDWA :
    • Internet Explorer gère 4 zones de sécurité, numérotées de 1 à 4. Ces zones sont les suivantes :
      • [1] zone Intranet
      • [2] zone Sites approuvés
      • [3] zone Internet
      • [4] zone Sites sensibles.
    • Note : dans l’exemple suivant, le portail https://PortailApps sera déclaré comme « Site approuvé /de confiance » (Option 2) :

3

  • Sous « Zones de Sites approuvés« , localisez et double-cliquez sur le paramètre « Options d’ouverture de session » :

4

  • Activez le paramètre et sélectionnez « Connexion automatique avec le nom d’utilisateur et le mot de passe actuel » comme option d’ouverture de session :

5

  • Enfin, ouvrez une Session Windows sur un poste client et actualisez le moteur de stratégie des groupes (gpupdate /force depuis cmd.exe), lancez ensuite IE et connectez-vous sur votre Portail RDWA ; notez la connexion automatique à celui-ci et la disparition du bouton « Se déconnecter » :

9

Publicités
commentaires
  1. Muhamed dit :

    Bonjour,

    Comment fait-ont pour configurer ce paramètre dans Microsoft Edge dans Windows 10?

    Merci!

    • Hicham KADIRI dit :

      Bonjour Muhamed, Ce paramètre est à configurer sur Internet Explorer uniquement et non pas MS Edge. Aucune option permettant cette configuraion n’est disponible sur le Navigateur Edge sur WS10.

  2. sergio dit :

    Bonjour,
    vos articles sont très intéressants, merci je m’en suis inspiré pour modifier la présentation du portail et pour mettre en place un autologon, pour éviter les multiples authentifications.
    l’autologon fonctionne tres bien.
    Les accès sont gérés par groupes, si la personne n’a pas d’autorisation, elle se retrouve sur le portail avec un contenu vierge ce qui est tres bien 🙂
    Par contre il y a le lien « se connecter à un ordinateur distant » qui est actif. Je souhaiterai le faire disparaitre par sécurité pour éviter la tentation aux utilisateurs de cliquer et d’accéder à d’autres machines (ils n’ont aucun droits pour le faire)
    comment peut on faire svp
    merci d’avance de votre réponse.

    • Hicham KADIRI dit :

      Bonjour Sergio, dès que j’ai un peu de temps je publierai un article détaillant la technique à suivre pour faire disparaître l’onglet « Se connecter à un ordinateur distant ». Cela est tout à fait possible via la modification d’un fichier de Config. Keep in touch 🙂

  3. Rachid dit :

    Bonjour,

    Vos articles sont toujours très intéressants, merci. Je l’ai mis en place et cela fonctionne mais lorsque j’essaye de me conencter à l’application, on me demande de saisir les informations d’identifications, est-ce normal. ?

    Merci par avance pour votre reponse

  4. Rachid dit :

    Vos articles sont toujours très intéressants, merci. Je l’ai mis en place et cela fonctionne mais lorsque j’essaye de me connecter à l’application, on me demande de saisir les informations d’identifications, est-ce normal. ?
    Merci par avance de votre retour.

    Bien cordialement

  5. Frank dit :

    Bonjour,
    Les articles et le livre sont très bien. Par contre, j’ai un problème avec autologon. Lorsque je veux lancer une application, j’ai une demande d’authentification sur le serveur ayant le service broker .
    Ma config : un serveur avec le broker, le Rd web et le service de licence, et 1 serveur Hôte.
    Bien cordialement

    • Hicham KADIRI dit :

      Salut Frank, as-tu bien configuré les certificats SSL au niveau des deux services « Broker : pour la partie publication » et « Broker : pour la partie authentification unique » ? cette double authentification est généralement dû à une mauvaise config ou absence du certificat SSL au niveau du déploiement RDS. A+ HK

      • Frank dit :

        Bonjour,
        Je pense que les certificats sont bons, par contre pour information, j’ai cette demande d’authentification lorsque le clique sur un icone d’application. J’arrive aux icones sans problème
        Merci

  6. Frank dit :

    Bonjour,
    Une dernière question, J’ai fait mes certificats comme indiqué dans le livre mais dans les propriétés de collections, ils sont toujours en non approuvés avec état à OK. Je pense que j’ai loupé une étape.
    Merci et encore félicitation pour vos articles

  7. Hicham KADIRI dit :

    @Frank : l’état passe à « OK » lorsque les certificats SSL proviennent d’une source fiable (type PKI interne ou externe). Les certificats auto-signés (générés depuis l’assistant RDS) ne peuvent être en état « OK ». Il vous foudra donc générer des certificats depuis une autorité de certification (infra PKI locale si vous en avez une) ou acheter des certificats SSL depuis une CA public.

    • Frank dit :

      Bonjour Hitcham,
      Je reviens vers toi au sujet de l’auto-logon. j’ai toujours le même problème lorsque je clique sur l’icone d’une application publiée j’ai une demande d’authentification sur ma ferme RDS. je pense que mes certificats sont bons.
      Merci

  8. aguiar dit :

    Bonjour,

    Petite question est-il possible d’enlever l’authentification lorsque l’utilisateur click sur l’application qu’il veut utiliser?

    • Hicham KADIRI dit :

      Bonjour Aguiar, oui cela est tout à fait possible. il faut simplement modifier un fichier de config (C:\Windows\Web\RDWeb\Pages\web.config) et supprimer une secteur liée à l’auth RDWA. J’updaterai l’article avec la procédure. Keep in touch. A bientôt. HK

      • Aguiar jerome dit :

        Merci!
        J’attends avec impatience l’update.

      • Aguiar jerome dit :

        Merci d’avance !!
        J’attends donc l’update avec impatience. Bonne soirée. JA.

Laisser un commentaire

Entrez vos coordonnées ci-dessous ou cliquez sur une icône pour vous connecter:

Logo WordPress.com

Vous commentez à l'aide de votre compte WordPress.com. Déconnexion / Changer )

Image Twitter

Vous commentez à l'aide de votre compte Twitter. Déconnexion / Changer )

Photo Facebook

Vous commentez à l'aide de votre compte Facebook. Déconnexion / Changer )

Photo Google+

Vous commentez à l'aide de votre compte Google+. Déconnexion / Changer )

Connexion à %s