Bonjour,
 
Je suis actuellement en train de mettre en place une DMZ sur notre infrastructure.
Je souhaite mettre en place un accès RDPWEB sur un serveur dans cette DMZ.
(Nous avons déjà un serveur RDSWeb en place mais juste avec une règle de NAT sur notre routeur principal)
 
à force de glaner des informations sur le net je me pose maintenant la question de savoir quelle est la façon la plus sécure et la plus flexible pour cette mise en place :
- serveur de la dmz intégré au domaine ? le plus simple mais franchement je n'ai pas envie de mettre un serveur du domaine en DMZ
- mettre un serveur AD en read-only ? toujours le même problème de mon domaine sur la DMZ
- monter un domaine enfant avec une relation d'approbation avec mon domaine principal ? plus sécuritaire mais la conf du serveur RDS ne sera t'elle pas plus compliquée ?
- ou simplement monter un reverse proxy pour de la redirection d'Url vers mon serveur déjà existant ?  
 
n'ayant pas suffisamment de recul je n'arrive pas à voir quelle solution est la plus fiable et efficace et souhaiterai donc avoir différents retour si des personnes ont déjà éprouvé ces solutions.
 
Pour info je m'oriente vers une DMZ ouvert sur une deuxième ip publique : web -- routeur / FW -- DMZ -- routeur / FW -- Lan
 
merci d'avance pour vos retours
 
 

Salut!  
 
Personnellement j'ai fais mon serveur RDS sans le joindre au domaine, si les users ont besoin d'accéder à des ressources AD, ils ont juste à se connecter.

Intégrer au domaine un serveur en DMZ ça nullifie l'intérêt d'une DMZ, idem pour y coller un contrôleur ou un domaine enfant.
Jusqu'ici j'ai toujours fait ça avec un simple NAT vers le serveur RDS Gateway

 
Tout à fait d'accord avec le fait de ne pas exposer l AD sur le net ... actuellement cela fonctionne avec du NAT mais je trouve pas trop sécure d'ouvrir une porte directe sur mon réseau interne d’où la recherche d'une solution annexe.
 
je vais tenter l'approche par le Web Application Proxy + services AD FS  
 
en tout cas merci de vos retours

Voilà la doc officielle pour les meilleures pratiques (c'est pour du 2016 ceci dit)
https://docs.microsoft.com/en-us/wi [...] rds-poster
 
Sur le poster, ils parlent bien de la présence d'un pare-feu entre les serveurs RD Gateway/RD Web Access et le reste de l'infra mais pourtant tous les serveurs sont joints à l'AD.
Donc ma compréhension est qu'il faut faire une config firewall stricte sur les RD WEB et GATEWAY. Cette conf doit être détaillée dans la doc.