Étape par étape Windows 2012 R2 Remote Desktop Services – Part 1 – Bien choisir son serveur d impression
MISE À JOUR: Si vous recherchez un guide sur un système d'exploitation plus récent, j'ai publié ce guide mis à jour pour Windows Server 2019: Étape par étape Services de bureau à distance Windows 2019 – Utilisation de l'interface graphique
Guide pas à pas pour la création d'un déploiement de services de bureau à distance Windows 2012 R2.
Partie 1 – Déploiement d'une solution à serveur unique.
Bien qu’il s’agisse d’une installation sur un seul serveur, nous aurons besoin de 2 serveurs comme indiqué ci-dessous.
Logiciels utilisés dans ce guide:
Windows Server 2012 R2 ISO (l'évaluation peut être téléchargée ici: http://technet.microsoft.com/en-us/evalcenter/dn205286.aspx)
SQL Server 2012 SP1 Express x64 avec outils (la version gratuite peut être téléchargée ici: http://www.microsoft.com/en-us/download/details.aspx?id=35579. Après avoir cliqué sur le bouton de téléchargement, sélectionnez SQLEXPRWT_x64_ENU.exe)
Client natif SQL Server 2012 SP1 (la version gratuite peut être téléchargée ici: http://www.microsoft.com/en-us/download/details.aspx?id=35580. Après avoir cliqué sur le bouton de téléchargement, sélectionnez ENU x64 sqlncli.msi)
Et un certificat. J'ai le mien gratuitement https://startssl.com. Ce certificat doit contenir le nom de domaine complet que vous utiliserez comme URL d'accès Web RD (le mien est gateway.it-worxx.nl dans ce guide). Il doit être au format .pfx et vous devez y avoir la clé privée.
Ce guide ne se concentrera pas sur la création d'un domaine utilisant un seul contrôleur de domaine et l'ajout du deuxième serveur en tant que serveur membre à ce domaine.
De plus, certaines connaissances de base sont supposées dans ce guide. Je ne détaillerai pas comment créer un groupe de sécurité et y ajouter un compte d'ordinateur. Je ne détaillerai pas non plus la manière d'installer SQL Express ni l'ajout de connexions à un contexte de sécurité d'instance SQL Server. Si vous avez besoin d’aide supplémentaire à cet égard, envoyez-le par Bing ou envoyez-moi un courrier avec des détails.
J'utiliserai Hyper-V 3.0 sur mon ordinateur portable Windows 8.1 et j'ai préparé 2 serveurs:
ITWDC01 (1 vCPU, 512 Mo de mémoire, dynamique, disque dur de 60 Go)
IPv4 Windows installé 192.168.66.20/24
Ajout de .NET Framework 3.5 en tant que fonctionnalité
Ajout des services de domaine Active Directory en tant que rôle
Configuré ce serveur en tant que contrôleur de domaine dans une nouvelle forêt: itw.test
ITWRDS01 (1 vCPU, 512 Mo de mémoire, dynamique, disque dur de 60 Go)
Windows installé
Ajout de .NET Framework 3.5 en tant que fonctionnalité
IPv4 192.168.66.21/24, serveur DNS 192.168.66.20
Configuré en tant que serveur membre dans le domaine itw.test
Installation des rôles de services de bureau à distance
Connectez-vous au contrôleur de domaine et dans le Gestionnaire de serveur, cliquez avec le bouton droit de la souris sur le nœud Tous les serveurs et ajoutez le deuxième serveur à l'aide de la commande Ajouter des serveurs (ou sélectionnez le nœud Tous les serveurs, cliquez sur Gérer, puis sur Ajouter des serveurs).
Maintenant que tous les serveurs nécessaires à ce scénario de déploiement sont présents, cliquez sur Gérer, puis sur Ajouter des rôles et des fonctionnalités.
Avant que tu commences
Cliquez sur Suivant.
Sélectionnez le type d'installation
Sélectionnez l'installation des services de bureau à distance. Cliquez sur Suivant.
Sélectionnez le type de déploiement
Bien que Quick Start puisse être une option valide pour un déploiement à serveur unique, laissez la valeur par défaut sélectionnée. Ceci expliquera les étapes nécessaires à l’installation plus détaillée des services de bureau à distance.
Cliquez sur Suivant.
Sélectionnez le scénario de déploiement
Sélectionnez Déploiement de bureau basé sur une session. L'autre option sera un post différent dans cette série.
Cliquez sur Suivant.
Services de rôle d'examen
Passez en revue les services qui seront installés.
Cliquez sur Suivant.
Spécifier le serveur courtier de connexion RD
Cliquez sur le serveur membre, puis sur le bouton Ajouter.
Cliquez sur Suivant.
Spécifier le serveur d'accès Web RD
Activez la case à cocher Installer le rôle d'accès Web aux services Bureau à distance sur le serveur du service Broker pour le Bureau à distance
Cliquez sur Suivant.
Spécifier le serveur hôte de session RD
Cliquez sur le serveur membre, puis sur le bouton Ajouter.
Cliquez sur Suivant.
Confirmer les sélections
Cochez Redémarrez automatiquement le serveur de destination si nécessaire.
Cliquez sur Déployer.
Voir les progrès
Attendez que tous les services de rôle soient déployés et que le serveur membre ait été redémarré.
Cliquez sur Fermer.
Dans le Gestionnaire de serveur, cliquez sur Services Bureau à distance et faites défiler jusqu'à la vue d'ensemble.
Comme vous pouvez le constater, il manque un serveur de passerelle Bureau à distance et un serveur de licences Bureau à distance.
Installation des rôles de services de bureau à distance manquants
Cliquez sur le bouton Ajouter un serveur de licences Bureau à distance.
Sélectionnez un serveur
Cliquez sur le contrôleur de domaine et cliquez sur le bouton Ajouter.
Cliquez sur Suivant.
Confirmer les sélections
Cliquez sur Ajouter.
Voir les progrès
Attendez que le service de rôle soit déployé. Aucun redémarrage n'est nécessaire.
Cliquez sur Fermer.
Cliquez sur le bouton Ajouter un serveur de passerelle RD.
Sélectionnez un serveur
Cliquez sur le serveur membre, puis sur le bouton Ajouter.
Cliquez sur Suivant.
Nommez le certificat SSL auto-signé
L'assistant crée un certificat auto-signé. Nous allons traiter des certificats dans ce déploiement dans un peu. Entrez le nom de domaine complet qualifié externe que vous utiliserez également pour l'URL d'accès Web. Dans mon cas, faute d’un meilleur nom, j’ai utilisé «gateway.it-worxx.nl». Je ne voulais pas utiliser “remote.it-worxx.nl” ou “desktop.it-worxx.nl” ni rien d’autre.
Cliquez sur Suivant.
Confirmer les sélections
Cliquez sur Ajouter.
Voir les progrès
Attendez que le service de rôle soit déployé. Aucun redémarrage n'est nécessaire.
Notez que «gateway.it-worxx.nl» a été configuré pour le déploiement.
Notez également qu’il faut encore plus de configuration de certificats, mais nous y reviendrons plus tard. Ne faites pas attention à cela pour l'instant.
Cliquez sur Fermer.
Jetons un coup d’œil à la configuration du certificat.
Vérification des exigences du certificat des services de bureau à distance
Dans Gestionnaire de serveur, Services Bureau à distance, Présentation, cliquez sur Tâches, puis sur Modifier les propriétés de déploiement.
Configurer le déploiement
Passez en revue les paramètres de la passerelle des services distants et notez les paramètres disponibles.
Cliquez sur Licence RD.
Configurer le déploiement
Notez qu'un serveur de licences RD est disponible, mais qu'aucun type de licence n'a encore été sélectionné.
J'ai sélectionné Par utilisateur, mais comme il ne s'agit que d'une configuration de guide, cela n'a pas d'importance.
Cliquez sur RD Web Access.
Configurer le déploiement
Par défaut, l'application IIS d'accès Web RD est installée dans / RdWeb. Si vous voulez savoir comment changer cela, consultez un autre post: https://msfreaks.wordpress.com/2013/12/07/redirect-to-the-remote-web-access-pages-rdweb/
Cliquez sur Certificats.
Configurer le déploiement
Notez que le niveau de certificat a actuellement le statut Non configuré.
Comme vous pouvez le constater, les certificats sont utilisés pour différents objectifs dans le déploiement.
Le certificat de passerelle RD est utilisé pour la communication client à passerelle et doit être approuvé par les clients. Installez le certificat auto-signé sur tous les clients ou utilisez un certificat pour lequel la chaîne de certificats complète est déjà approuvée par tous les clients. Comme indiqué dans l'assistant, le nom de domaine complet externe doit figurer sur le certificat.
Le certificat RD Web Access est utilisé par IIS pour fournir une identité de serveur aux clients du navigateur (et aux clients Feed, mais c’est un sujet pour une publication ultérieure).
RD Connection Broker a en fait deux objectifs pour lesquels il a besoin de certificats. Pour activer la connexion unique (authentification de serveur à serveur) et pour la publication (signature de fichiers RDP). Si vous regardez dans le déploiement, vous constaterez que Connection Broker est maintenant configuré pour utiliser «itwrds01.itw.test». Nous devons donc le modifier pour utiliser également un nom de domaine complet externe.
Si nous utilisons le même nom de domaine complet pour tous les objectifs décrits ci-dessus, un seul certificat et une seule adresse IP externe sont nécessaires.
Nous reviendrons plus tard sur cet assistant pour attribuer le certificat. La première tâche à accomplir consiste à remplacer le nom de domaine complet interne de Connection Broker par un nom de domaine complet externe.
Cliquez sur OK (aucune raison pour laquelle nous ne devrions pas valider les modifications apportées dans l'onglet Licence, vous vous en souvenez?)
Préparation de la configuration des services de bureau à distance
Ouvrez le Gestionnaire DNS sur le contrôleur de domaine et accédez à Zones de recherche directe.
Cliquez avec le bouton droit sur Zones de recherche directes, puis sur Nouvelle zone… Passez par cet assistant en acceptant les valeurs par défaut jusqu'à ce que vous deviez entrer un nom de zone.
Entrez le nom de domaine complet externe qui sera également utilisé par Connection Broker.
Terminez le reste de l'assistant en acceptant les valeurs par défaut.
Accédez à la zone nouvellement créée.
Faites un clic droit sur la zone nouvellement créée et cliquez sur Nouvel hôte (A ou AAAA)…
Nouvel hôte
Laissez le champ Nom vide, mais entrez l'adresse IPv4 du serveur membre (qui détient le rôle d'intermédiaire de connexion RD).
Cliquez sur Ajouter un hôte.
Créez un nouveau groupe de sécurité globale appelé «Courtiers en connexion RDS» et ajoutez-lui le compte d'ordinateur du serveur membre en tant que membre du groupe.
Nous avons besoin de ce groupe pour pouvoir convertir le courtier de connexion Bureau à distance en un courtier de connexion Bureau à disponibilité élevée. Vous verrez pourquoi nous devons le faire en quelques étapes.
Redémarrez le serveur membre pour lui faire savoir qu'il est membre du groupe de sécurité RDS Connection Brokers.
Installez SQL Express sur le contrôleur de domaine (ou utilisez un serveur SQL existant si vous en avez déjà un). Voici une liste des fonctionnalités nécessaires:
Vous voyez maintenant pourquoi j'ai pré-configuré les serveurs avec la fonctionnalité .NET Framework 3.5 avant de commencer quoi que ce soit.
Utilisez l’instance par défaut (cliquez donc sur Par défaut et ne laissez pas la sélection de l’assistant sur l’instance nommée: SQLEXPRESS).
Une fois l’installation terminée, ouvrez le Gestionnaire de configuration SQL et naviguez jusqu’à Protocoles clients sous Configuration de SQL Native Client 11.0.
Vérifiez si TCP / IP est activé sous Protocoles clients. L’installation de SQL Express l’active par défaut, mais cochez-la pour vous assurer, surtout si vous utilisez un serveur SQL existant.
Accédez à Protocoles pour MSSQLSERVER sous Configuration du réseau SQL Server.
Activer TCP / IP. S'il s'agit d'une nouvelle installation SQL, celle-ci sera désactivée par défaut.
Redémarrez le service SQL Server si vous avez modifié ce paramètre.
Sur le serveur SQL, assurez-vous que le port 1433 n'est pas bloqué par le pare-feu Windows.
J'ai ajouté l'exécutable SQL Server à la liste des exceptions pour autoriser tout le trafic entrant.
Ouvrez SQL Server Management Studio et accédez à Connexions sous Sécurité.
Cliquez avec le bouton droit sur Connexions et cliquez sur Nouvelle connexion…
Login – Nouveau
Cliquez sur Rechercher…
Sélectionner un utilisateur, un compte de service ou un groupe
Cliquez sur Types d'objet… et sélectionnez Groupe.
Saisissez le nom du groupe de sécurité RDS Connection Brokers, puis cliquez sur Vérifier les noms.
Cliquez sur OK.
Login – Nouveau
Cliquez sur Rôles du serveur et sélectionnez dbcreator.
Cliquez sur OK.
Nous venons d'accorder au serveur RDS Connection Broker le droit de créer des bases de données.
Nous en avons besoin car le service Broker de connexion RDS essaiera de migrer de la base de données interne Windows (WID) vers une instance SQL Server (hautement disponible) lors de la conversion du courtier en un courtier hautement disponible.
Installez le client natif SQL sur le serveur membre (composants client uniquement).
Tout ce dont nous avons besoin est maintenant en place pour convertir le service Broker de connexion à distance, nous allons donc le faire.
Convertir le courtier de connexion RD
Dans le Gestionnaire de serveur, cliquez sur Services Bureau à distance et faites défiler jusqu'à la vue d'ensemble.
Cliquez avec le bouton droit de la souris sur RD Connection Broker, puis sur Configurer la haute disponibilité.
Avant que tu commences
Nous construisons donc ici un cluster à un seul nœud;)
Regardez les pré-requis.
Si vous avez plusieurs courtiers de connexion Bureau à distance, ils doivent être configurés à l'aide de DNS Round Robin. Plus à ce sujet dans un post ultérieur.
Cliquez sur Suivant.
Configurer RD Connection Broker pour la haute disponibilité
Chaîne de connexion à la base de données:
PILOTE = Client natif SQL Server 11.0; SERVEUR = ITWDC01; Connexion_simiable = Oui; APP = Courtier de connexion des services Bureau à distance; DATABASE = ITWRDCB
Dossier pour stocker les fichiers de base de données:
C: Programmes Microsoft SQL Server MSSQL11.MSSQLSERVER MSSQL DATA
J'ai utilisé le dossier d'instance par défaut.
Nom à tour de rôle DNS:
Le nom de la zone DNS que nous avons précédemment configuré dans DNS.
Cliquez sur Suivant.
Confirmation
Si vous obtenez une erreur avant cette page:
– Vérifiez si TCP / IP est activé dans les protocoles client et pour votre instance.
– Vérifiez si vous pouvez atteindre le port 1433 sur le serveur SQL à partir du serveur membre
Cliquez sur Configurer.
Le progrès
Si vous obtenez une erreur sur cette page:
– Vérifier les autorisations SQL pour le groupe de sécurité
– Vérifiez si le chemin de la base de données que vous avez entré est correct
Cliquez sur Fermer.
RD Connection Broker est maintenant en mode haute disponibilité et nous sommes enfin prêts à terminer la configuration.
Achèvement de la configuration des services de bureau à distance
Dans Gestionnaire de serveur, Services Bureau à distance, Présentation, cliquez sur Tâches, sur Modifier les propriétés de déploiement, puis sur Certificats.
Configurer le déploiement
Cliquez sur RD Connection Broker – Activez l'authentification unique, puis cliquez sur Sélectionner un certificat existant.
Naviguez jusqu'au fichier .pfx, entrez son mot de passe, puis cochez la case Autoriser le certificat.
Cliquez sur OK.
Alors cliquez sur Appliquer. Cela prend un peu de temps, soyez patient.
Configurer le déploiement
Cliquez sur RD Connection Broker – Publishing, puis sur Sélectionner un certificat existant.
Naviguez jusqu'au fichier .pfx, entrez son mot de passe, puis cochez la case Autoriser le certificat.
Cliquez sur OK.
Cliquez sur Appliquer. Cela prend encore un peu de temps, soyez un peu plus patient.
Configurer le déploiement
Cliquez sur Accès Web RD, puis sur Sélectionner un certificat existant.
Remarque: Avez-vous remarqué l'avertissement lorsque vous sélectionnez Accès Web RD? Naviguez jusqu'au fichier .pfx, entrez son mot de passe, puis cochez la case Autoriser le certificat.
Cliquez sur OK.
Cliquez à nouveau sur Appliquer. Cela prend un peu plus de temps, soyez un peu plus patient.
Configurer le déploiement
Le dernier. Cliquez sur RD Gateway, puis sur Select Existing certificate.
Naviguez jusqu'au fichier .pfx, entrez son mot de passe, puis cochez la case Autoriser le certificat.
Cliquez sur OK.
Cliquez sur OK pour terminer la configuration du certificat.
Configuré tous les serveurs, certificats configurés ..
Reste une chose à faire: Indiquez à notre environnement RDS exactement ce qu’il doit publier.
En fait, vous pouvez utiliser cette configuration pour fournir des sessions de bureau complètes sur l'hôte de session ou choisir de ne publier que des applications sur l'hôte de session.
Publions des sessions de bureau complètes.
Publier un environnement complet de bureau à distance
Dans Gestionnaire de serveur, Services Bureau à distance, Collections de sessions, cliquez sur Tâches, puis sur Créer une collection de sessions.
Avant que tu commences
Passez en revue les exigences. Ce ne sera pas un problème dans cette configuration, mais vous pouvez restreindre l’accès à cette collection en sélectionnant un groupe de personnes.
Cliquez sur Suivant.
Nommez la collection
Entrez un nom descriptif. Ce nom sera affiché sous son icône dans l'interface Web Access.
Cliquez sur Suivant.
Spécifier les serveurs hôtes de session RD
Cliquez sur le serveur membre, puis sur le bouton Ajouter.
Cliquez sur Suivant.
Spécifiez les groupes d'utilisateurs
Vous pouvez limiter l'accès ici. Ajoutez un ou plusieurs groupes pour limiter l'accès à ces groupes uniquement. Dans cette configuration, les utilisateurs du domaine se débrouilleront bien.
Cliquez sur Suivant.
Spécifier les disques de profil utilisateur
Les disques de profil utilisateur ne sont pas au centre de ce guide. Puisque je n'ai pas de partages de fichiers configurés dans cette configuration, décochez Activer les disques de profil utilisateur pour le moment.
Ce qu’il faut faire ou non sera couvert dans un prochain article.
Cliquez sur Suivant.
Confirmer les sélections
Vérifiez les informations et cliquez sur Créer.
Voir les progrès
Attendez que la collection soit créée et que le serveur soit ajouté à la collection.
Cliquez sur Fermer.
Il est temps de tester la configuration!
Test des services de bureau à distance
Sur une machine ayant accès à votre configuration de test (vous devrez peut-être ajouter le nom de domaine complet à votre fichier hosts si vous ne l'avez pas publié sur Internet), ouvrez https://gateway.it-worxx.nl/rdweb.
Hey! Au moins l’application RD Web Access fonctionne 🙂
Entrez un nom d'utilisateur et un mot de passe valides (ITW nom d'utilisateur ou nomutilisateur@itw.test).
Créez un utilisateur pour cela ou utilisez simplement le compte administrateur du domaine.
Cliquez sur Connexion.
Une fois connecté, la collection complète de sessions de bureau que nous avons créée vous est présentée.
Après avoir cliqué sur l'icône Full Desktop, vous êtes averti que les périphériques vont être redirigés.
Et lorsque vous cliquez sur Connecter, vous vous connectez réellement 🙂
Prendre plaisir.
Dans la suite de cette série, je montrerai comment étendre cette configuration pour utiliser plusieurs hôtes de session, les combiner avec des applications distantes et configurer des serveurs dédiés pour Web Access, Gateway et Connection Broker.
Arjan
Upate: La deuxième partie de la série vient d'être publiée. Trouvez-le ici: https://msfreaks.wordpress.com/2013/12/23/windows-2012-r2-remote-desktop-services-part-2/
Commentaires
Laisser un commentaire