Serveur d'impression

Guide de bout en bout du serveur RDS 2016 via Azure AD Application Proxy – Bien choisir son serveur d impression

Le 3 mai 2019 - 0 minute de lecture

Installation du serveur

Le matériel physique est pour le moment exécuté sur certains serveurs Dell PowerEdge R610 récupérés; 64 Go de RAM, double processeur et 6 x 15k disques en RAID10. Cela devrait être suffisant pour que nous puissions commencer à utiliser les rôles RDS, éventuellement répartis sur deux hôtes. Pour l’instant, nous ne courons qu’en tête-à-tête, mais même beaucoup de choses à faire.

Nous avons installé Server 2016 Core en exécutant le rôle Hyper-V, qui était assez simple. Le rôle de base semble être un peu plus élaboré dans Server 2016, bien que le nouveau sconfig outil a obtenu les principaux paramètres entrés avec un minimum de tracas.

r610 "width =" 467 "height =" 350 "srcset =" https://gshaw0.files.wordpress.com/2017/02/r610.jpg?w=467&h=350 467w, https: //gshaw0.files. wordpress.com/2017/02/r610.jpg?w=934&h=700 934w, https://gshaw0.files.wordpress.com/2017/02/r610.jpg?w=150&h=112 150w, https: // gshaw0.files.wordpress.com/2017/02/r610.jpg?w=300&h=225 300w, https://gshaw0.files.wordpress.com/2017/02/r610.jpg?w=768&h=576 768w " tailles = "(largeur maximale: 467px) 100vw, 467px" /><br /><em>oui, ça reviendra dans le rack une fois que nous en aurons fini!</em></p>
<p>La mise à jour correcte du système d'exploitation n'était pas si simple, car Microsoft avait agi de façon idiote avec le mécanisme de mise à jour de la version initiale de Windows 10 1607 et de sa version équivalente, Server 2016. Le statut de la mise à jour était bloqué sur «Téléchargement», ne montrant aucun signe de progression. Finalement, l'installation manuelle de la dernière version de la mise à jour cumulative à partir du catalogue Microsoft Update a fait l'affaire, par exemple.</p>
<pre>wusa.exe windows10.0-kb3213986-x64_a1f5adacc28b56d7728c92e318d6596d9072aec4.msu / quiet / norestart</pre>
<h3><span class=Rôles de serveur

Avec Hyper-V opérationnel, l'étape suivante consistait à installer nos invités. Nous sommes allés avec 3 machines virtuelles configurées comme suit:

  • Connexion Broker Licence RD
  • RD Web Access RD Gateway
  • Hôte de session RD

Le plan initial consistait à adopter le concept Server Core et à installer l'interface graphique uniquement lorsque cela était absolument nécessaire. Dans cet esprit, nous avons créé les deux premiers serveurs avec Core et uniquement l’hôte de session avec une interface graphique. Plus sur ça bientôt… (!)

add-roles-wizard "width =" 300 "height =" 214 "srcset =" https://gshaw0.files.wordpress.com/2017/02/add-roles-wizard.png?w=300&h=214 300w, https://gshaw0.files.wordpress.com/2017/02/add-roles-wizard.png?w=600&h=428 600w, https://gshaw0.files.wordpress.com/2017/02/add-roles -wizard.png? w = 150 & h = 107 150w "tailles =" (largeur maximale: 300px) 100vw, 300px "/><br /><em>Assistant de déploiement RDS Rôle Services</em></p>
<p>Exécuter le déploiement via le Gestionnaire de serveur sur mon ordinateur a été une tâche facile, Microsoft a bien travaillé et le déploiement ne semble pas trop éloigné des guides R2 2012 que j'ai consultés en ligne. Nous avons ajouté chaque serveur aux rôles décrits ci-dessus, nous sommes rendus à l'écran final et cliqué sur le bouton magique Déployer, puis…</p>
<pre><em>"Impossible d'installer le service de rôle d'accès Web RD sur le serveur"</em>

<em>Service de rôle ... Échec</em>
<em>Déploiement ... Annulé</em></pre>
<p>Et bien ça n’a pas marché comme prévu! Nous avons regardé en ligne pour essayer de trouver les raisons des échecs et avons effectué un premier dépannage pour nous assurer que toutes les mises à jour récentes étaient installées et que les correctifs de chaque serveur correspondaient exactement, ce qui permettait également la communication à distance avec Powershell …</p>
<pre>Enable-PSRemoting -force</pre>
<p>… Toujours pas de joie jusqu'à ce que nous ayons trouvé cette petite pépite d'information…</p>
<p>Réf.: Https://social.technet.microsoft.com/Forums/Sharepoint/en-US/b5c2bae3-0e3b-4d22-b64d-a51d27f0b0e4/deploying-rds-2012-r2-unable-to-install-rd-web-web- accès-role-service-on-server? forum = winserverTS</p>
<p>Il apparaît donc que le rôle de RD Gateway  Accès Web RD n’est pas pris en charge sur Server Core. Bien sûr, nous ne voudrions pas que la partie Web du déploiement s'exécutant sur un serveur avec une surface d'attaque réduite soit présentée à Microsoft… pas impressionné!</p>
<p>Réf.: Https://technet.microsoft.com/en-us/library/jj574158(v=ws.11).aspx</p>
<p>Pour confirmer l'hypothèse en cours <strong>Get-WindowsFeature</strong> sur Server 2016 Core donne ceci…</p>
<p><img data-attachment-id=Noms publiés et certificats amusants et jeux

Après avoir réinstallé à contrecoeur l'une des machines virtuelles avec une interface graphique (cela semblait plus rapide que d'essayer de convertir l'installation de base), nous avons réussi à franchir la page de déploiement finale avec 3 barres de succès

Le premier paramètre clé qui nous a été demandé était le nom de domaine complet externe de la passerelle Bureau à distance, qui a été ajouté à nos enregistrements DNS hébergés par le fournisseur de services Internet. Nous utilisons un certificat générique pour couvrir nos besoins SSL externes, rien d’extraordinaire, puis l’appliquons à chacun des quatre rôles spécifiés par l’assistant de déploiement RDS. Une collection de sessions a été créée pour un groupe de tests et pointée vers le nouvel hôte de session. Tous ont l'air prometteur.

La dénomination de nom de domaine complet (FQDN) de la passerelle des RD n’était pas un problème en soi, mais elle nous a conduits à une partie intéressante de la configuration relative aux certificats SSL et aux domaines. Une fois que les services RDS étaient accessibles de l’extérieur du réseau (voir ci-dessous), j’ai mis en marche mon modem 4G pour le tester.

La connexion a fonctionné, mais un avertissement de certificat a été émis et il était évident de voir pourquoi. Notre certificat générique est pour * .domain.ac.uk, mais le nom de domaine complet publié par Connection Broker est nom_serveur.sousdomaine.domaine.ac.uk et n’est donc pas couvert.

Heureusement, un script Powershell appelé Set-RDPublishedName existe pour changer ce nom publié et fonctionne un régal! Récupérez-le à l'adresse https://gallery.technet.microsoft.com/Change-published-FQDN-for-2a029b80.

Vous devrez également vous assurer que vous pourrez accéder au nouveau nom publié en interne. En fonction de la forme de votre domaine interne par rapport à votre nom externe, vous devrez peut-être utiliser une astuce DNS avec des zones pour obtenir les enregistrements dont vous avez besoin. Plus sur qui peut être trouvé à:

Réf.: Https://msfreaks.wordpress.com/2013/12/09/windows-2012-r2-remote-desktop-services-part-1
Réf.: Https://msfreaks.wordpress.com/2013/12/23/windows-2012-r2-remote-desktop-services-part-2

set-rdpublishedname "width =" 630 "height =" 122 "srcset =" https://gshaw0.files.wordpress.com/2017/02/set-rdpublishedname.png?w=630&h=122 630w, https: // gshaw0.files.wordpress.com/2017/02/set-rdpublishedname.png?w=150&h=29 150w, https://gshaw0.files.wordpress.com/2017/02/set-rdpublishedname.png?w=300&h = 58 300w, https://gshaw0.files.wordpress.com/2017/02/set-rdpublishedname.png?w=768&h=148 768w, https://gshaw0.files.wordpress.com/2017/02/set -rdpublishedname.png 850w "tailles =" (largeur maximale: 630 pixels) 100vw, 630 pixels "/><br /><em>Le script Set-RDPublishedName en action</em></p>
<h3><span class=Accès externe via le proxy d'application Azure AD

Nous avons publié RD Gateway et RD Web Access via notre nouveau proxy d'application Azure AD brillant pour plusieurs raisons…

  • simplicité, pas de règles de pare-feu ou de DMZ requises
  • sécurité, s'appuie sur Azure pour fournir le tunnel sécurisé
  • SSO, utilisez la délégation Kerberos pour vous connecter à RD Web Access dans le cadre de la connexion Office 365 de l’utilisateur

J’ai suivi les excellents guides du blog d’Arjan Vroege à cet égard, en particulier la section concernant la modification des fichiers de page Web de RD Web Access… bon travail Arjan!

Publiez votre environnement RDS avec Azure et le proxy AD – Partie 1 – http://www.vroege.biz/?p=2462
Publiez votre environnement RDS avec Azure et AD Proxy – Partie 2 – http://www.vroege.biz/?p=2563
Publiez votre environnement RDS avec Azure et AD Proxy – Partie 3 – http://www.vroege.biz/?p=2647

Conformément à mon précédent article sur la délégation Azure AD Application Proxy & Kerberos, utilisez la commande ci-dessous pour ajouter l'enregistrement SPN (remplacez le nom de domaine complet et le nom du serveur, le cas échéant).

setspn -s HTTP / nom_serveur.sousdomaine.domaine.ac.uk nom_serveur

Une fois terminé, le résultat final est une connexion transparente à RD Web Access via la page de connexion Azure AD. Dans notre cas, le lien finira par devenir un bouton sur l'intranet du personnel Office 365, ne nécessitant donc aucune autre connexion pour accéder à l'écran de sélection de l'application RDWeb.

Je souhaitais particulièrement éviter l’écran de connexion à RDWeb, qui m’émerveille de 2017 nécessite encore des bidouilles pour éviter l’obligation de se connecter au format DOMAIN nom d'utilisateur. Je pensais que Microsoft aurait amélioré cela dans la version Server 2016, mais évidemment pas.

Un plus gotcha

Donc, après avoir fait tout le travail nécessaire pour préparer la connexion, il ne restait plus qu'à cliquer sur l'icône Remote Desktop et à en profiter, non? Faux.

Après avoir exécuté le script Set-RDPublishedName, l'avertissement de certificat a été supprimé et j'ai pu voir la modification apportée au nouveau nom convivial, mais la tentative de connexion a échoué. "Le Bureau à distance ne peut pas se connecter à l'ordinateur distant * connectionbrokername * pour l'une de ces raisons"

remote-desktop-cant-connect "width =" 630 "height =" 191 "srcset =" https://gshaw0.files.wordpress.com/2017/02/remote-desktop-cant-connect.png?w=630&h = 191 630w, https://gshaw0.files.wordpress.com/2017/02/remote-desktop-cant-connect.png?w=150&h=45 150w, https://gshaw0.files.wordpress.com/2017 /02/remote-desktop-cant-connect.png?w=300&h=91 300w, https://gshaw0.files.wordpress.com/2017/02/remote-desktop-cant-connect.png?w=768&h= 233 768w, https://gshaw0.files.wordpress.com/2017/02/remote-desktop-cant-connect.png 877w "tailles =" (largeur maximale: 630px) 100vw, 630px "/><br /><em>échec de la connexion après la modification du nom publié</em></p>
<p>Aucune explication n’avait de sens puisque la connexion fonctionnait parfaitement jusqu’à ce que le nom publié soit changé. En effet, le rétablir dans le nom de domaine complet (FQDN) d'origine du service restauré Connection Broker devait donc avoir un rapport avec cela. Après avoir été surpris au départ, je suis revenu après le repas (ça aide toujours!), Puis après un peu plus de recherches, j'ai trouvé cet article très utile:</p>
<p>Réf: https://social.technet.microsoft.com/Forums/windowsserver/en-US/4fa952bc-6842-437f-8394-281823b0e7ad/change-published-fqdn-for-2012-r2-rds?forum=winserverTS</p>
<p>Il s’avère que le nouveau nom de domaine complet que nous avons ajouté lors de la modification du nom publié doit être ajouté à. <strong>RDG_RDAllConnectionBrokers</strong> Groupe d'ordinateurs local.</p>
<p>Ce groupe est utilisé pour approuver les connexions dans la section Stratégies d'autorisation de ressources (RD-RAP) de RD Gateway Manager. Par défaut, seul le nom de domaine complet du domaine du serveur est présent dans la liste (comme vous le souhaitiez). Il apparaît donc à moins que vous ajoutiez le nouveau nom publié, la tentative de connexion étant refusée.</p>
<p>Pour ajouter votre nom publié externe, procédez comme suit:</p>
<ul>
<li>Gestionnaire de serveur> Outils> Services Bureau à distance> Gestionnaire de bureau à distance pour passerelle</li>
<li>développez votre serveur de passerelle RD> Stratégies> Stratégies d'autorisation de ressource</li>
<li>Cliquez sur Gérer les groupes d'ordinateurs locaux dans le volet de droite.</li>
<li>Sélectionnez RDG_RDConnectionBrokers> Propriétés</li>
<li>Cliquez sur l'onglet Ressources réseau.</li>
<li>tapez le nom de domaine complet du nom publié que vous avez fourni au script Powershell précédemment, puis cliquez sur Ajouter.</li>
<li>OK tout le chemin puis essayez à nouveau votre connexion</li>
</ul>
<p><img data-attachment-id=La touche finale

Une fois que tout ce qui précède est terminé, vous devez établir une connexion. Une invite d’information apparemment inévitable s’explique par le fait que Microsoft persiste à utiliser un contrôle ActiveX pour démarrer la session RDP, mais peut-être qu’un jour ils le mettront à jour (nous vivons dans l’espoir). Il semble que vous puissiez utiliser le format de style UPN ici, ce qui est pratique car il garde les choses cohérentes. En un sens, c’est une mesure de sécurité, donc pas la fin du monde.

Maintenant, la connexion elle-même est triée. Il ne reste plus qu’à adapter l’hôte de session à nos besoins. Ce guide donne quelques indications utiles sur le verrouillage du serveur via un objet de stratégie de groupe:

Réf.: Http://www.it.ltsoy.com/windows/lock-down-remote-desktop-services-server-2012

Nous développons également un menu Démarrer personnalisé à l'aide des paramètres de GPO Windows 10 1607 les plus récents, ainsi que de la commande Export-StartLayout. Enfin, installez tous les programmes nécessaires, pensez à changer le mode du serveur en premier:

Réf.: Https://technet.microsoft.com/en-us/library/ff432698.aspx

changer d'utilisateur / installer

Puis une fois fait

changer d'utilisateur / exécuter

Maintenant profiter 🙂

rds-screenshot "width =" 630 "height =" 430 "srcset =" https://gshaw0.files.wordpress.com/2017/02/rds-screenshot.png?w=630&h=430 630w, https: // gshaw0.files.wordpress.com/2017/02/rds-screenshot.png?w=150&h=102 150w, https://gshaw0.files.wordpress.com/2017/02/rds-screenshot.png?w=300&h = 205 300w, https://gshaw0.files.wordpress.com/2017/02/rds-screenshot.png?w=768&h=524 768w, https://gshaw0.files.wordpress.com/2017/02/rds -screenshot.png? w = 1024 & h = 699 1024w, https://gshaw0.files.wordpress.com/2017/02/rds-screenshot.png 1166w "values ​​=" (largeur maximale: 630 pixels), 100vw, 630 pixels "/ ><br /><em>Connexion au bureau basé sur une session RDS Server 2016 via RD Web Access  RD Gateway</em></p>
<div id=

<! –


->

Commentaires

Laisser un commentaire

Votre commentaire sera révisé par les administrateurs si besoin.