Bonjour à tous,
 
Disposant d'un nombre très important de serveurs avec IP publique accessibles via RDP, serait t'il possible de limiter les connexions à certains usagers?  
 
Le problème étant que ces usagers doivent quand même pouvoir se connecter de n'importe où (donc pas de filtrage par IP). Le but étant d'empêcher jusqu'à l'invit de connexion.
 
Merci d'avance

salut  
 
" Le but étant d'empêcher jusqu'à l'invit de connexion."
Tu veux dire quoi ?

La fenêtre "id/mdp"

Mais entre temps, jme demande si changer le port d'écoute en en appliquant un unique par serveur (qui serait communiqué au client concerné uniquement) ne serait pas une bonne option.

oula ... Soit tu expliques un peu plus, soit ca va être difficile ... Tu as un RDS par client ???? Et une ip publique par RDS ????

C'est exact

Pour expliciter un peu l'environnement :  
 
J'ai 300 serveurs mis à la dispositions de divers clients (1 client/serveur), les clients se connectant tous en rdp (soit à partir du client rdp win/mac, soit en client léger).

ok.
 
Déjà pour optimiser, tu pourrais peut être faire du pat pour diviser un peu lo nombre d'ip publique.
 
Après, le fait de séparer les serveur fonction d'un port c'est pas ce qu'on appel du sécure ... Mais à première vue cela semble plus propre et plus économique en ip publique.
 
Après reste à savoir si on peut changer le port d'écoute de RDS.

Alors le PAT, j'y ai longuement pensé, mais dans certains cas (indépendant de la volonté simple et non commerciale d'un admin), la mise en pratique est malheureusement impossible.
 
Pour ce qui est d'un port aléatoire d'écoute attribué à chaque serveur en lieu et place du 3389, c'est déjà plus sécure.
 
Sinon on peut bien sûr changer le port d'écoute rdp.

 
euh non, faut vraiment pas prendre ça comme une mesure de sécurité car ça n'en est pas une, dans les deux cas tu as un service exposé sur internet, ça ne change rien.

Bin j'ai toujours un service qui n'est pas associé à son port d'origine, autrement dit connu de n'importe qui pour essayer à la chaîne des centaines d'identifiants/mdp au hasard obligeant de bloquer l'ip à la main (ce qui m'est déjà arrivé...). Ce qui me semble déjà pas trop mal

Un RDS sur Internet sans filtrage IP ni RDGateway, c'est malheureusement assez courant, mais assez dangereux il est vrai.

Sinon terminologiquement, il serait peut être plus juste de dire "rendre moins visible" que "sécuriser"

Met une TS Gateway ou un équipement style Netscaler

Pour 250 serveurs et au moins 10 000 users, j'imagine qu'il me faut un serveur sizé comme un dingue pour faire ts gateway?

une ptite ferme ouais

pas forcément. Pour le sizer faut surtout regarder les connexions/secondes moyenne.
 
Le nombre de serveur derrière est pas hyper impactant.

je dirais plutôt le nb de sessions simultanées que le nb de connexions/secondes

"Pour 250 serveurs et au moins 10 000 users, j'imagine qu'il me faut un serveur sizé comme un dingue pour faire ts gateway?"
"Mais entre temps, jme demande si changer le port d'écoute en en appliquant un unique par serveur (qui serait communiqué au client concerné uniquement) ne serait pas une bonne option."
 
Au mieux, un devoir de vacance, au pire, un projet qui va aller dans le mur:
Dimension du projet versus solution artisanale, c'est pas réél là ....

Tu as près de 300 serveurs RDS avec une connexion RDP en direct d'internet via une IP publique ? Si c'est ça  

"Dimension du projet versus solution artisanale, c'est pas réél là ...."
 
Ça devient vite réel face à la réalité du marché, tu débarques dans une boite en expansion depuis 5 ans, avec deux anciens admin qui appliquaient une politique laxiste dans tous les domaines, en plus de croire que leur parc ne comptait toujours que 5 serveurs clients. Et tu saupoudre le tout avec une direction qui ne veut investir que dans l'expansion directe de l'infra (c'est à dire de nouveaux serveurs hôtes qui vont vite être rentabiliser, sinon le reste, bin on s'en branle, ça marche déjà très bien comme ça.... )
 
J'me suis déjà fait chier à rattraper le coche dans tous les autres domaines (haute-dispo avec clusters de basculements,serveurs avec 2012R2 comme hôtes hyper-v,supervision (nagios, VMM 2012R2, wsus), mail (exchange 2013), sécurité (reconfiguration des FW, fermetures d'une myriade de trous), réseau (déploiements d'un réseau interne dédié à la sauvegarde et tous les transferts annexes, redondance de cnx sur 2 liens), sauvegarde (serveur de sauvegarde dédup+réplication sur deux sites distants) BREF
Sur ce point, je ne peux "malheureusement" rien faire d'autre que du bricolage, toute autre solution qui coûterait/gênerait le client/foutrait la merde dans toutes les procédures des autres services m'est interdite.

VPN en front + gestionnaire de session pour donner une IP d'accès aux RDS en interne = 1 IP publique, tout le reste passe en private dans le VPN.
En interne tu limite avec session X correspond a serveur X (serveur Y n'acceptera pas se qui viens pas de la bonne session <_< )

Je croyais qu'une fois la sessions ouverte on passait plus par le RDGateway ... Je me trompe ?

sisi, ta RD Gateway encapsule le flux RDP dans de l'HTTPS tout du long de la connexion.

ahhhhh ca explique peut être un soucis au taf ... Merci.

oula les fêtes ... Je parlais session broker