Einführung
In diesem Tutorial erfahren Sie Schritt für Schritt, wie Sie unter Windows 2012R2 / 2016 / 2019 eine RDS-Farm mit den folgenden Funktionen einrichten:
- Remotedesktop-Sitzungshost (x2)
- Broker-Service zur Verbindungsverteilung
- Eine Sammlung einrichten
- RemoteApp auf einem Webportal veröffentlichen
- Remotedesktop-Gateway
- Benutzerprofildiskette (UPD)
Um eine komplette RDS-Farm einzurichten, benötigen Sie mindestens 4 Server, ohne Domänencontroller und Datei- und Druckserver. Alle Server in der Farm müssen Mitglieder derselben Active Directory-Domäne sein.
Zusammensetzung der RDS-Farm:
| Nom | IP | Rôles |
| LAB-RDS1.rdr-it.intra | 172.16.0.184 | Remotedesktop-Sitzungshost |
| LAB-RDS2.rdr-it.intra | 172.16.0.185 | Remotedesktop-Sitzungshost |
| LAB-RDS-BRK.rdr-it.intra | 172.16.0.186 | Service-Broker / Lizenzmanager |
| LAB-RDS-GW-WEB.rdr-it.intra | 172.16.0.187 | Remotedesktop-Gateway / Webzugriff |
Um das Tutorial zu erstellen, habe ich einen AD-Server, LAB-AD1.rdr.it.intra, mit der IP-Adresse 172.16.0.100 verwendet. Der DC wird zum Speichern von UPDs verwendet.
Definitionen der Serverrollen, aus denen eine RDS-Farm besteht.
Remote-Desktop-Sitzungshost: Auf diesen Servern werden Benutzersitzungen geöffnet und ermöglichen ihnen die Arbeit.
Service-Broker: Dies ist der Sitzungszirkulationsagent in einer Umgebung mit mehreren Remote-Desktop-Sitzungshosts.
Remote Desktop Gateway: Seine Hauptaufgabe besteht darin, einen sicheren Zugriff auf die RDS-Infrastruktur über das Internet zu ermöglichen. Es ermöglicht Ihnen, über das HTTPS-Protokoll eine Verbindung zur Farm herzustellen und Verbindungen mithilfe von Zugriffsrichtlinien zu filtern.
Webzugriff: veröffentlicht ein Webportal, das den Zugriff auf Anwendungen über RemoteApp über einen Internetbrowser ermöglicht. Diese Rolle wird auch für den RemoteApp-Zugriff von Windows-Clients verwendet. Über dieses Portal ist es auch möglich, Benutzerpasswörter zu ändern.
Lizenzmanager: Dieser Dienst dient der Verteilung von Lizenzen (CAL RDS).
Das Tutorial wurde unter Windows 2012R2 erstellt. Die Bereitstellung einer RDS-Farm unter Windows 2016 und 2019 ist nahezu identisch.
Umweltvorbereitung
Bevor Sie mit der Bereitstellung der verschiedenen Rollen auf den Servern beginnen, müssen Sie die Umgebung vorbereiten.
Verschieben Sie Remotedesktop-Sitzungshostserver innerhalb einer Organisationseinheit
Durch diese Manipulation können anschließend bestimmte Gruppenrichtlinienobjekte mithilfe einer Rückrufschleifenstrategie für Benutzerparameter auf die RDS-Umgebung angewendet werden.
Öffnen Sie die Konsole „Active Directory-Benutzer und -Computer“, erstellen Sie eine bestimmte Organisationseinheit für die RD-Sitzungshostserver und verschieben Sie sie dorthin.
Ordner für Benutzerprofildatenträger – UPD
Erstellen Sie auf einem Dateiserver einen Ordner zum Speichern von UPDs.
Geben Sie den Ordner frei. Die Computerkonten mit der Rolle „Remotedesktop-Sitzungshost“ (LAB-RDS1$ und LAB-RDS2$) müssen vollständige Kontrolle haben.
DNS-Einträge
Erstellen Sie einen Datensatz vom Typ A mit demselben Namen, der auf die IPs Ihres Remotedesktop-Sitzungshosts verweist, wie unten gezeigt.
Die oben genannten DNS-Einträge sollten nur erstellt werden, wenn Sie durch manuelle Konfiguration des RDP-Clients auf den Remote-Desktop zugreifen möchten oder wenn Sie einen Thin Client verwenden, der die Sammlungskonfiguration nicht unterstützt.
Diese Lösung wird nicht empfohlen.
Als Teil des LAB habe ich einen rdsgw-Typ-A-Eintrag hinzugefügt, der auf die IP des LAB-RDS-GW-WEB-Servers verweist, um das Gateway intern verwenden zu können.
In der Produktion ist es notwendig, sich in einer Domäne zu registrieren, auf die über das Internet vom Typ A mit einer öffentlichen IP zugegriffen werden kann, und eine Regel auf dem Router/der Firewall einzurichten, um den Datenverkehr auf Port 443 zu autorisieren.
Es ist auch möglich, auf die RDS-Farm zuzugreifen, indem die Verbindung direkt über den Broker-Server konfiguriert wird. Diese Lösung beinhaltet das Bearbeiten der .rdp-Datei.
Server-Manager: Server in derselben Konsole hinzufügen
Um das Windows-Bereitstellungstool verwenden zu können, müssen Sie die Server, aus denen die RDS-Umgebung besteht, in derselben Konsole hinzufügen.
Die folgenden Vorgänge müssen auf dem Broker-Server (LAB-RDS-BRK.rdr-it.intra) ausgeführt werden.
Klicken Sie im Server-Manager auf „Weitere Server hinzufügen, um 1 zu verwalten“.
Führen Sie eine Suche nach 1 im Active Directory durch, um verfügbare Computer anzuzeigen. Wählen Sie die Computer aus, aus denen die RDS-Infrastruktur 2 besteht, und klicken Sie auf den Pfeil 3, um sie hinzuzufügen.
Die Server sind ausgewählt 1, klicken Sie auf OK 2.
Gehen Sie im Server-Manager zu Alle Server 1, um sie anzuzeigen.
Server-Manager: Erstellen Sie eine Servergruppe
Dieser Schritt ist optional
Klicken Sie im Server-Manager-Dashboard auf „Servergruppe erstellen 1“.
Benennen Sie die Gruppe 1, wählen Sie die Server 2 aus und klicken Sie auf den Pfeil 3, um sie hinzuzufügen.
Bestätigen Sie die Erstellung der Gruppe, indem Sie auf OK 1 klicken.
Im Servermanager ist die Gruppe im linken Menü 1 verfügbar. Die Gruppe finden Sie im Abschnitt „Serverrollen und Gruppen“ in einem Feld 2.
Klicken Sie auf die Gruppe „RDS Farm 1“. Wir finden dasselbe wie unter „Alle Server“, beschränken es jedoch auf die Server, die zur Gruppe gehören.
Rollenbereitstellung
Die Bereitstellung einer RDS-Infrastruktur wird durch das in den Servermanagern integrierte Tool erleichtert. In einem einzigen Vorgang werden die folgenden Rollen installiert:
- Remotedesktop-Sitzungshost
- Broker
- Remotedesktopzugriff über das Web
Installation von Rollen auf verschiedenen Servern
Klicken Sie im Servermanager auf Verwalten 1 / Rollen und Funktionen hinzufügen 2.
Klicken Sie beim Starten des Assistenten auf Weiter 1.
Installationstyp: Wählen Sie „Remotedesktopdienste-Installation“ 1 und klicken Sie auf „Weiter“ 2.
Bereitstellungstyp: Wählen Sie Standardbereitstellung 1 und klicken Sie auf Weiter 2.
Bereitstellungsszenario: Wählen Sie Sitzungsbasierte Desktop-Bereitstellung 1 und klicken Sie auf Weiter 2.
Der Assistent fasst die Rollen zusammen, die bereitgestellt werden. Klicken Sie auf Weiter 1.
Service Broker: Wählen Sie den Server aus, der die Rolle 1 haben soll, klicken Sie auf den Pfeil 2, um ihn zur Auswahl hinzuzufügen, und klicken Sie auf Weiter 3.
Remotedesktopdienste-Webzugriff: Wählen Sie den Server aus, der die Rolle 1 haben soll, klicken Sie auf den Pfeil 2, um ihn zur Auswahl hinzuzufügen, und klicken Sie auf Weiter 3.
Remotedesktop-Sitzungshosts: Wählen Sie die Server aus, die die Rolle 1 haben sollen, klicken Sie auf den Pfeil 2, um sie zur Auswahl hinzuzufügen, und klicken Sie auf Weiter 3.
Aktivieren Sie das Kontrollkästchen Zielserver bei Bedarf automatisch neu starten 1 und klicken Sie dann auf die Schaltfläche „Bereitstellen“ 2.
Warten Sie während der Bereitstellung. Dieser Schritt nimmt je nach Anzahl der Server und der Hardware-Infrastruktur mehr oder weniger Zeit in Anspruch.
Die Installation ist abgeschlossen, klicken Sie auf Schließen 1.
Gehen Sie im Server-Manager zu Remotedesktopdienste 1. In dieser Ansicht ist eine Vorschau der Bereitstellung sichtbar. Auch die Administration der RDS-Infrastruktur erfolgt von diesem Standort aus.
Im Abschnitt „Server 1“ finden wir dieselben Informationen wie im Abschnitt „Alle Server“, wobei das Ergebnis auf die Maschinen beschränkt ist, aus denen die RDS-Umgebung besteht.
Auf der Registerkarte „Sammlungen 1“ können Sie diese verwalten und auch verbundene Benutzer sehen. Dieser Teil ist derzeit leer.
Konfigurieren Sie eine Sammlung
Mit einer Sammlung können Sie Remote-Desktops konfigurieren, indem Sie die Hosts angeben, aus denen die Sammlung besteht, und angeben, wer darauf zugreifen kann.
Auf der Sammlungsebene wird die Verwendung von Benutzerprofildatenträgern (UPD) und in RemoteApp über Webzugriff veröffentlichten Anwendungen konfiguriert.
Erstellen Sie eine Sammlung
Klicken Sie im Server-Manager auf der Sammlungsverwaltungsseite auf AUFGABEN 1 und auf „Sitzungssammlung erstellen“ 2.
Klicken Sie beim Starten des RDS-Sammlungserstellungsassistenten auf Weiter 1.
Geben Sie den Sammlungsnamen 1 ein und klicken Sie auf Weiter 2.
Fügen Sie die RD-Sitzungshostserver aus der Sammlung 1 hinzu und klicken Sie auf Weiter 2.
Geben Sie die Benutzergruppe(n) an, die berechtigt sind 1, sich mit der Sammlung zu verbinden, und klicken Sie dann auf Weiter 2.
Aktivieren Sie das Kontrollkästchen Benutzerprofildatenträger aktivieren 1, geben Sie die Freigabe zum Speichern von UPDs an 2, geben Sie die maximale Größe eines Datenträgers ein 3 und klicken Sie auf Weiter 4.
Standardmäßig wird auf Benutzerdatenträgern das gesamte Profil gespeichert (appdata/desktop/documents/…).
Es ist wichtig, die zu konfigurierende Größe sorgfältig abzuwägen.
Sobald die Festplatte erstellt wurde (Anmeldung bei der Sammlung), ist die Größenänderung der virtuellen Festplatte „kompliziert“..
Klicken Sie auf 1 erstellen.
Warten Sie, während die Sammlung erstellt wird …
Die Sammlung ist fertig, klicken Sie auf Schließen 1.
Im Server Manager ist die Sammlung sichtbar 1.
Klicken Sie auf den Sammlungsnamen 1, um auf die Details zuzugreifen.
Öffnen Sie den Parameterordner zum Speichern von Updates. Es wird ein Datenträger mit dem Namen UVHD-template.vhdx 1 erstellt. Es entspricht dem Standardprofilordner auf einer Workstation.
Bearbeiten Sie eine Sammlung
Klicken Sie auf der Sammlungsseite in der Einfügung EIGENSCHAFTEN auf AUFGABEN 1 / Eigenschaften ändern 2.
Es ist möglich, den Namen und die zur Verbindung berechtigten Benutzergruppen zu ändern.
Abschnitt „Sitzung 1“: Festlegen der Verzögerung bei der Auswanderung und Wiederverbindung auf den Sammlungshosts, Festlegen des Verhaltens temporärer Ordner.
Sicherheitsabschnitt 1: Konfiguration der Sicherheitsschichten zwischen dem RDP-Client und den Servern.
Lastausgleichsabschnitt 1: Bei der Verwendung von Servern unterschiedlicher Leistung besteht die Möglichkeit, einen Server zu priorisieren und ein Sitzungslimit festzulegen.
Abschnitt „Client-Einstellungen“ 1: Konfigurieren der Geräte- und Druckerumleitung.
Abschnitt Benutzerprofildatenträger 1: Konfiguration von UPDs (Größe, Ordnerausschlüsse, Speicherort…).
Die Sammlungen haben keine Geheimnisse mehr. Die RDS-Farm ist jetzt nutzbar.
Es ist möglich, mehrere Sammlungen auf derselben RDS-Bereitstellung bereitzustellen, wodurch Brokerdienste und Webzugriff gebündelt werden können. Remotedesktop-Sitzungshosts sind einer Sammlung zugeordnet.
Jetzt werden wir sehen, wie man Anwendungen in RemoteApp veröffentlicht, auf die über den RDS-Farm-Webzugriff zugegriffen werden kann.
RemoteApps veröffentlichen
Mit in RemoteApp veröffentlichten Programmen können Sie Programme von Remotedesktop-Sitzungshostservern starten und so dem Benutzer den Eindruck vermitteln, dass sie von seinem Arbeitsplatzrechner aus ausgeführt werden. Es wird nur das Programmfenster angezeigt.
Diese Lösung bietet den Vorteil, die Leistung der Server zu nutzen und erleichtert die Verwaltung, da nur die Server aktualisiert werden müssen. Bei der Bereitstellung einer neuen Workstation erspart diese Lösung die Installation der gesamten Software.
Die Verwendung von RemoteApps kann Benutzer verwirren, wenn sie nicht gut über deren Funktionsweise informiert sind. Wenn keine Benutzerdokumentumleitung vorhanden ist, sind die von der Anwendung gespeicherten Dateien nicht auf der Workstation verfügbar.
Bevor ein Programm veröffentlicht wird, muss es auf allen Hosts in der Sammlung installiert werden.
Programmveröffentlichung
Klicken Sie auf der Sammlungsverwaltungsseite auf „RemoteApp 1-Programme veröffentlichen“.
Warten Sie, während der Assistent die auf einem Host verfügbaren Programme sammelt.
Wählen Sie die zu veröffentlichenden Programme aus 1 und klicken Sie auf Weiter 2.
Sollte ein Programm nicht in der Liste vorhanden sein, besteht die Möglichkeit, es manuell zu deklarieren, indem man auf Hinzufügen… klickt.
Klicken Sie auf Veröffentlichen 1.
Warten Sie beim Veröffentlichen…
Die Programme werden veröffentlicht. Schließen Sie 1 den Assistenten.
Bewerbungen sind 1 auf der Sammlungsverwaltungsseite sichtbar.
Passen Sie ein Programm an
Klicken Sie mit der rechten Maustaste auf das Programm 1 und klicken Sie auf Eigenschaften ändern 2.
Allgemeiner Abschnitt 1: Anwendungsnamen ändern / Programm auf dem Webportal ausblenden / in einem Ordner organisieren.
Abschnitt „Parameter 1“: Ermöglicht das Definieren von Parametern in der Befehlszeile.
Abschnitt Benutzerzuweisung 1: Es ist möglich, den Zugriff auf das Programm auf bestimmte Gruppen zu beschränken.
Abschnitt „Dateitypzuordnung“ 1: Ermöglicht Ihnen, dem Programm eine Erweiterung zuzuordnen (funktioniert für Dateien, auf die über eine Sitzung in der Sammlung zugegriffen werden kann).
Entfernen Sie ein Programm
Klicken Sie im Abschnitt REMOTEAPP-PROGRAMME auf AUFGABEN 1 und dann auf Veröffentlichung von RemoteApp-Programmen abbrechen 2.
Aktivieren Sie das Kontrollkästchen der zu entfernenden Programme 1 und klicken Sie auf Weiter 2.
Klicken Sie auf Veröffentlichung aufheben 1.
Warten Sie…
Klicken Sie auf Schließen 1. Die Anwendung ist in RemoteApp nicht mehr verfügbar.
Remotedesktop-Gateway – Gateway RDS
Zusammenfassend lässt sich sagen, dass das Remote Desktop Gateway den Zugriff auf Ressourcen (Server/Computer) ermöglicht, die von außerhalb des Unternehmens über Port 443 (https) zugänglich sind, ohne dass eine VPN-Verbindung aufgebaut werden muss und indem Sicherheitsstrategien angewendet werden.
Installieren des Remotedesktopdienste-Gateways
Gehen Sie zur Übersicht über Remotedesktopdienste 1 und klicken Sie auf Services Gateway… 2. Dadurch wird der Rolleninstallationsassistent für die RDS-Farm geöffnet.
Wählen Sie den Server 1 aus, auf dem die Rolle installiert werden soll, und klicken Sie auf Weiter 2.
Geben Sie den SSL-Zertifikatnamen 1 ein (normalerweise den Namen der Internetpublikation) und klicken Sie auf Weiter 2.
Klicken Sie auf „Hinzufügen 1“, um die Installation zu starten.
Warten Sie während der Installation…
Wenn die Installation abgeschlossen ist, klicken Sie auf „Schließen“ 1.
Installieren des Remotedesktop-Gateway-Managers auf dem Brokerserver
Zur Erinnerung: Alle Manipulationen werden vom Broker-Server aus durchgeführt. Bei der Installation des RDS Gateways wurde die Managementkonsole auf dem Zielserver installiert.
Öffnen Sie eine PowerShell-Eingabeaufforderung als Administrator.
Geben Sie die folgende Zeile ein, um die Konsole zu installieren:
Install-WindowsFeature RSAT-RDS-GATEWAYVerstehen der Rolle des Remotedesktop-Gateways
Um das RDS-Gateway mit einem selbstsignierten Zertifikat verwenden zu können, muss es auf Client-Workstations als vertrauenswürdige Stammzertifizierungsstelle bereitgestellt werden.
Um zu funktionieren, verwendet das Remote-Desktop-Gateway zwei Arten von Strategien:
- Verbindungsautorisierungsrichtlinien: Diese definieren, wer eine Verbindung zum Gateway herstellen kann (Benutzer und Stationen), welche Geräte umgeleitet werden und wie lange die Sitzung abläuft.
- Autorisierungsrichtlinien für den Ressourcenzugriff: Diese definieren, wer womit eine Verbindung herstellen kann.
Öffnen Sie die Konsole über Server-Manager, Extras 1 / Terminaldienste 2 / Remotedesktop-Gateway-Manager 3.
Klicken Sie auf Mit Remotedesktop-Gateway-Server verbinden 1. Überprüfen Sie im neuen Fenster den Remote-Server 2, geben Sie den Namen des Servers ein, auf dem die Rolle installiert ist 3 und klicken Sie dann auf OK 4.
Bei der Installation der Rolle erstellte der Assistent zwei Richtlinien 1, wodurch das Gateway normal nutzbar ist.
Nachdem Sie einen DNS-Eintrag für die RDS-Farm (rds.rdr-it.intra) hinzugefügt und den Clientzugriff mit diesem Eintrag konfiguriert haben, müssen Sie die Ressourcenzugriffsrichtlinie ändern oder einen Computer mit diesem Namen im Active Directory hinzufügen.
Klicken Sie im Menü Aktionen auf Eigenschaften 1. Es öffnet sich ein Fenster mit verschiedenen verfügbaren Registerkarten, mit denen Sie die Optionen und das Verhalten des Remotedesktop-Gateway-Dienstes ändern können.
Standardmäßig wird während der Installation ein selbstsigniertes SSL-Zertifikat erstellt. Es kann über die Registerkarte „SSL-Zertifikat“ oder im Server-Manager im Abschnitt „Remotedesktopdienste“ geändert werden.
Verbindungsautorisierungsrichtlinien
Gehen Sie im linken Menü zum Ordner Verbindungsautorisierungsrichtlinie 1. Von hier aus ist es möglich, die vorhandenen Strategien einzusehen und zu verwalten. Doppelklicken Sie auf die Strategie RDG_CAP_AllUsers 2.
Registerkarte „Allgemein“: Von hier aus können Sie den Namen der Strategie ändern und festlegen, ob sie aktiviert ist oder nicht, indem Sie das Kontrollkästchen „Diese Strategie aktivieren“ aktivieren.
Registerkarte „Anforderungen“: Definition der Benutzerkonfiguration, um eine Verbindung zu den Gateway-Diensten herstellen zu können. Da der Benutzer einer Gruppe angehört, ist dieser Parameter obligatorisch. Die andere optionale, aber sehr nützliche Einstellung zur Erhöhung der Sicherheitsstufe ist die Gruppenmitgliedschaft für den Computer. Durch die Definition dieser Option ist es beispielsweise möglich, zu verhindern, dass ein Mitarbeiter eine Verbindung von seinem PC aus herstellt.
Registerkarte „Geräteumleitung“: Für die Erfassungskonfiguration können Sie festlegen, welche Geräte über das Gateway umgeleitet werden. Richtlinieneinstellungen haben Vorrang vor Sammlungseinstellungen. Das heißt, wenn die Drucker in der Sammlung autorisiert und vom Gateway nicht autorisiert sind, verfügt der Benutzer während einer Verbindung über das Gateway nicht über die Drucker.
Autorisierungsrichtlinien für den Ressourcenzugriff
Gehen Sie im linken Menü zum Ordner „Resource Access Authorization Policies“ 1. Von hier aus ist es möglich, die vorhandenen Strategien einzusehen und zu verwalten. Doppelklicken Sie auf die Richtlinie RDG_AllDomainComputers 2.
Registerkarte „Allgemein“: Von hier aus können Sie den Namen der Strategie ändern und festlegen, ob sie aktiviert ist oder nicht, indem Sie das Kontrollkästchen „Diese Strategie aktivieren“ aktivieren.
Registerkarte „Benutzergruppen“: Definieren Sie, wer diese Richtlinie verwenden kann.
Registerkarte „Netzwerkressource“: Worauf diese Richtlinie den Zugriff ermöglicht.
Registerkarte „Autorisierte Ports“: Wenn der Remote-Desktop-Zugriff auf einem anderen Port als 3389 konfiguriert wurde, muss er hier konfiguriert werden.
Aufbau
In diesem Teil erfahren Sie, wie Sie das Gateway für die RDS-Farm nutzbar machen. Es stehen mehrere Methoden und Lösungen zur Verfügung. Sie sollten die beste Lösung basierend auf Ihrer Umgebung und dem gewünschten Sicherheitsniveau auswählen.
- Methode 1: Zugriff auf alle Ressourcen zulassen (nicht empfohlen)
- Methode 2: Verwenden Sie die Standardkonfiguration
- Methode 3: Erlauben Sie den Zugriff auf eine Active Directory-Gruppe, die auf die RDS-Farm beschränkt ist
- Methode 4: Verwenden von Gateway-verwalteten Gruppen
Methode 1: Zugriff auf alle Ressourcen zulassen (nicht empfohlen)
Öffnen Sie die Richtlinie RDG_AllDomainComputers und wechseln Sie zur Registerkarte Netzwerkressource 1. Aktivieren Sie „Benutzern erlauben, eine Verbindung zu einer beliebigen Netzwerkressource herzustellen 2“. Klicken Sie auf die Schaltflächen Übernehmen 3 und OK 4.
Erläuterung: Diese Methode autorisiert den Zugriff auf alle Computer (auch außerhalb der Domäne) mit aktiviertem Remotedesktop. In der Produktion wird die Verwendung dieser Lösung nicht empfohlen.
Methode 2: Verwenden Sie die Standardkonfiguration
Wie zu Beginn dieses Tutorials erläutert, verhindert die Verwendung eines DNS-Alias für Hostserver die Verbindung zur RDS-Farm, da der RDS-Computer (AD-Objekt) nicht vorhanden ist.
Gehen Sie zum Domänencontroller, öffnen Sie die Konsole „Active Directory-Benutzer und -Computer“ und gehen Sie zur RDS-Organisationseinheit 1.
Klicken Sie mit der rechten Maustaste auf ODER 1, gehen Sie zu Neu 2 und klicken Sie auf Computer 3.
Geben Sie den Computernamen 1 ein, der Ihrem Alias entsprechen muss, und klicken Sie dann auf OK 2.
Der Computer 1 wird erstellt und ist Mitglied der Gruppe: Computer in Domäne 2.
Bei dieser Methode funktionieren die Standardregeln mit der RDS-Farm.
Erläuterung: Diese Methode autorisiert den Zugriff auf alle Computer in der Domäne. Durch das Hinzufügen eines Dummy-Computers kann das Gateway überprüfen, ob der Computer rds.rdr-it.intra Teil der AD-Gruppe ist, und den Zugriff ermöglichen.
Methode 3: Erlauben Sie den Zugriff auf eine Active Directory-Gruppe, die auf die RDS-Farm beschränkt ist
Methode 3: Erlauben Sie den Zugriff auf eine Active Directory-Gruppe, die auf die RDS-Farm beschränkt ist
Diese Methode besteht darin, eine Gruppe zu erstellen, in die wir die RDS-Server einordnen und in der Ressourcenzugriffsrichtlinie deklarieren.
Kehren Sie zur Konsole „Active Directory-Benutzer und -Computer“ zurück und gehen Sie zur RDS-Organisationseinheit 1.
Klicken Sie auf das Symbol 1, um eine Gruppe im Container zu erstellen.
Geben Sie den Gruppennamen 1 ein und klicken Sie auf OK 2.
Wählen Sie die Computerobjekte 1 aus, die Sie der Gruppe hinzufügen möchten, klicken Sie mit der rechten Maustaste und klicken Sie auf „Zur Gruppe hinzufügen 2“.
Geben Sie den Namen der gerade erstellten Gruppe 1 ein und klicken Sie auf OK 2.
Klicken Sie auf OK 1, um das Bestätigungsfenster zu schließen.
Doppelklicken Sie auf die Gruppe 1, gehen Sie zur Registerkarte Mitglieder 2 und überprüfen Sie, ob die Computer 3 hinzugefügt wurden.
Kehren Sie zur Gateway-Verwaltungskonsole zurück, gehen Sie zum Ordner „Resource Access Authorization Policies“ 1 und doppelklicken Sie auf die Standardrichtlinie 2.
Gehen Sie zur Registerkarte Netzwerkressourcen 1 und klicken Sie auf Durchsuchen… 2.
Geben Sie den Gruppennamen 1 ein und klicken Sie auf OK 2.
Klicken Sie auf Übernehmen 1 und OK 2.
Die Gruppenänderung 1 ist in der Richtlinienübersicht sichtbar.
Um RemoteApps von außerhalb des Netzwerks (Internet) nutzen zu können, müssen Sie den Broker-Server zur Gruppe hinzufügen.
Methode 4: Verwenden von Gateway-verwalteten Gruppen
Diese Methode entspricht Methode 3 mit einem Unterschied: Die für Autorisierungen verwendeten Gruppen werden direkt vom Gateway verwaltet, wodurch Computer von außerhalb der Domäne oder aus einer anderen Domäne ohne Vertrauensbeziehung hinzugefügt werden können.
Gehen Sie in der Gateway-Verwaltungskonsole zum Ordner „Resource Access Authorization Policies“ 1 und doppelklicken Sie auf die Standardrichtlinie 2.
Gehen Sie zur Registerkarte Netzwerkressourcen 1, wählen Sie die Option „Eine vom Remotedesktop-Gateway verwaltete Gruppe auswählen oder erstellen“ aus 2 und klicken Sie auf Durchsuchen… 3.
Klicken Sie auf Neue Gruppe erstellen… 1.
Geben Sie den Gruppennamen 1 ein und gehen Sie zur Registerkarte Netzwerkressourcen 2.
Geben Sie den FQDN-Servernamen des Servers 1 ein und klicken Sie auf „Hinzufügen 2“.
Fügen Sie alle Hostserver, aus denen die RDS-Farm besteht, sowie den Alias 1 hinzu und klicken Sie auf OK 2.
Wählen Sie die gerade erstellte Gruppe 1 aus und klicken Sie auf OK 2.
Überprüfen Sie, ob die Gruppe ausgewählt ist 1, validieren Sie die Server, aus denen sie besteht 2, klicken Sie dann auf Übernehmen 3 und OK 4.
Die Gruppenänderung 1 ist in der Richtlinienübersicht sichtbar.
Wenn Sie RemoteApps von außerhalb Ihres Netzwerks verwenden möchten, müssen Sie wie bei Methode 3 den Broker-Server zur Gruppe hinzufügen.
Gehen Sie mit Remote Desktop Gateway noch einen Schritt weiter
Jetzt werden wir die notwendigen Richtlinien einführen, um Administratoren den Zugriff auf alle Ressourcen zu ermöglichen
Es gibt zwei Methoden zum Erstellen von Strategien:
- Erstellung mit dem Assistenten, der uns bei der Einrichtung von Verbindungs- und Ressourcenstrategien unterstützt.
- Erstellen Sie die beiden Richtlinien separat.
In diesem Tutorial verwenden wir den Assistenten.
Gehen Sie in der Verwaltungskonsole zum Ordner „Richtlinien“ 1 und klicken Sie auf „Autorisierungsrichtlinien erstellen“ 2.
Aktivieren Sie die erste Option 1, um die beiden Regeln zu erstellen, und klicken Sie auf Weiter 2.
Geben Sie einen Namen 1 für die Verbindungsautorisierungsrichtlinie ein und klicken Sie auf Weiter 2.
Klicken Sie auf „Hinzufügen 1“, um eine Gruppe zu konfigurieren.
Wählen Sie die Gruppe „Domänen-Admins“ 1 aus und klicken Sie auf „OK“ 2.
Um das Sicherheitsniveau zu erhöhen, ist es möglich, eine Computergruppe hinzuzufügen. Klicken Sie auf Weiter 1.
Aktivieren oder deaktivieren Sie die Geräteumleitung 1 und klicken Sie auf Weiter 2.
Konfigurieren Sie Sitzungsfristen 1 und klicken Sie auf Weiter 2.
Eine Zusammenfassung der Richtlinie wird angezeigt. Klicken Sie auf Weiter 1, um mit der Ressourcenzugriffsrichtlinie fortzufahren.
Benennen Sie die Richtlinie 1 und klicken Sie auf Weiter 2.
Die Mitgliedergruppe ist bereits definiert. Klicken Sie auf Weiter 1.
Wählen Sie die Option Benutzern erlauben, eine Verbindung zu einer beliebigen Netzwerkressource (Computer) herzustellen 1 und klicken Sie auf Weiter 2.
Passen Sie je nach verwendeten Ports die Parameter 1 an und klicken Sie auf Weiter 2.
Eine Zusammenfassung der Richtlinie wird angezeigt. Klicken Sie auf Fertig stellen 1.
Die Strategien sind erstellt, klicken Sie auf Schließen 1.
Gehen Sie zu dem Ordner mit den Verbindungsautorisierungsrichtlinien 1 und wählen Sie die neue Richtlinie 2 aus.
Verbindungsrichtlinien werden wie Firewall-Regeln von oben nach unten gelesen (Reihenfolge). Durch Auswahl einer Strategie ist es möglich, deren Reihenfolge über das Menü „Aktionen“ auf der rechten Seite der Konsole zu ändern.
Wir sind mit der Remotedesktop-Gateway-Rolle fertig. Wir sehen nun den Remote Desktop Services License Manager.
Lizenzmanager für Remotedesktopdienste
Mit dem Lizenzmanager können Sie Benutzern oder Geräten, die eine Verbindung zur RDS-Farm herstellen, eine Zugriffslizenz (CAL) ausstellen.
Es kann nur ein Lizenzierungsmodus für die RDS-Farm konfiguriert werden: Benutzer oder Geräte. Ein Lizenzserver kann mehrere Arten von Lizenzen und verschiedene Versionen (2008/2012…) verteilen.
Einrichtung
Klicken Sie im Server-Manager in der RDS-Farmübersicht auf Lizenzmanager… 1, um den Assistenten zu öffnen.
Fügen Sie den Server hinzu, der 1 die Rolle erhalten soll, und klicken Sie auf Weiter 2.
Klicken Sie auf „Hinzufügen 1“, um die Installation zu starten.
Warten Sie während der Installation…
Die Installation ist abgeschlossen. Klicken Sie auf Schließen 1, um den Assistenten zu verlassen.
Die Bereitstellung der RDS-Farmrollen ist abgeschlossen. Der Speicherort der Rollen kann in der Einfügung DEPLOYMENT SERVERS angezeigt werden.
Konfigurieren des Lizenzierungsmodus für Remotedesktopdienste
1. Depuis la vue d’ensemble, du déploiement, cliquer sur TACHES 1 / Modifier les propriétés de déploiement 2.
Gehen Sie zum Abschnitt „Lizenzmanager…“ 1, wählen Sie den Lizenzmodus 2 und klicken Sie dann auf „Übernehmen“ 3 und OK 4.
Lizenzen hinzufügen
Öffnen Sie die Konsole, klicken Sie im Server-Manager auf Extras 1 / Terminaldienste 2 / Lizenzmanager für Remotedesktopdienste 3.
Bevor Sie Lizenzen hinzufügen, müssen Sie den Server aktivieren, mit der rechten Maustaste darauf klicken 1 und dann auf Server aktivieren 2 klicken.
Klicken Sie beim Starten des Aktivierungsassistenten auf Weiter 1.
Lassen Sie die Welt automatisch verbinden. Klicken Sie auf Weiter 1.
Geben Sie die Firmeninformationen 1 ein und klicken Sie auf Weiter 2.
Geben Sie die Kontaktinformationen ein (optional) 1 und klicken Sie auf Weiter 2.
7. Le serveur est activé, cliquer sur Suivant 1, l’assistant d’ajout de licence va se lancer.
Wenn Sie die Lizenzen später installieren möchten, müssen Sie in der Konsole mit der rechten Maustaste auf den Server klicken und auf Lizenzen installieren klicken.
Klicken Sie beim Starten des neuen Assistenten auf Weiter 1.
Wählen Sie den Lizenztyp 1 und klicken Sie auf Weiter 2.
Geben Sie die Lizenzinformationen 1 ein und klicken Sie auf Weiter 2.
Wählen Sie die Produktversion 1 und die Menge 2 aus und klicken Sie dann auf Weiter 3.
Klicken Sie auf Fertig stellen 1, um den Assistenten zu schließen.
Lizenzen sind auf dem Server sichtbar 1.
Über den Lizenzmanager ist es möglich, Berichte zu erstellen, um den Status der Lizenzen zu ermitteln.
Die RDS-Farm ist konfiguriert und funktionsfähig. Wir werden den Client-Teil sehen.
Verwendung der RDS-Farm – Client
Dans cette partie, nous allons voir comment exploiter la ferme RDS avec un client.
Während der verschiedenen Schritte erhalten Sie immer wieder die folgenden Meldungen, die nicht jedes Mal detailliert beschrieben werden:
Identifikation: Geben Sie den Benutzernamen und das Passwort eines Kontos ein, das zur Verbindung mit der RDS-Sammlung berechtigt ist.
Zertifikatsicherheitswarnung: Klicken Sie auf „Ja“, um die Warnung zu überspringen und das Kontrollkästchen zu aktivieren, um die Anforderung nicht mehr zu erhalten. Während einer Verbindung ist es möglich, dass die Nachricht im Falle eines Wechsels von einem Host zu einem anderen durch den Broker mehrmals empfangen wird.
Zuvor wurde das Gateway-Zertifikat auf dem Test-Client-Arbeitsplatz installiert. Hier finden Sie ein Tutorial zum Bereitstellen eines Zertifikats mithilfe eines GPO.
Um das Zertifikat manuell auf einem Computer zu installieren, fügen Sie es nach dem Export auf dem Client-Computer ein, doppelklicken Sie darauf, um den Installationsassistenten zu starten, und legen Sie es im Speicher der vertrauenswürdigen Stammzertifizierungsstelle des Computers ab.
Mögliche Verbindungsmethoden:
- Anbindung an das Büro über das Webportal
- Herstellen einer Verbindung über den Windows-RDC-Client mithilfe eines DNS-Eintrags
- Windows-RDC-Clientverbindung mit Gateway über DNS-Eintrag
- Herstellen einer Verbindung zu RemoteApp-Anwendungen über Webzugriff
- RemoteApp direkt von Windows
- Windows 10: Verwenden Sie die Remotedesktop-App
Anbindung an das Büro über das Webportal
Diese Lösung ist die bevorzugte Methode. Wir gehen zum Webportal, um die RDP-Datei herunterzuladen, mit der Sie eine Verbindung zur Serversammlung herstellen können.
Öffnen Sie auf einem Computer einen Internetbrowser und geben Sie die Webzugriffs-URL ein (https://nom-fqdn.dom/rdweb). Geben Sie im Portal die Zugangsdaten (Benutzer/Passwort) 1 eines verbindungsberechtigten Kontos ein und klicken Sie auf Registrieren 2.
Klicken Sie auf das Symbol, das den Remote-Desktop darstellt 1 und öffnen oder speichern Sie dann je nach verwendetem Internetbrowser die Datei 2. (Wenn die Datei gespeichert ist, führen Sie sie aus).
Eine Warnmeldung wird angezeigt. Klicken Sie auf Verbindung 1.
Geben Sie die Anmeldeinformationen eines Benutzers ein, der berechtigt ist, sich anzumelden und Sicherheitswarnmeldungen für Zertifikate zu validieren.
Warten Sie, während Sie sich anmelden…
Die Sitzung ist auf dem Server geöffnet.
Es ist durchaus möglich, die RDP-Datei herunterzuladen, umzubenennen und zu verwenden, ohne das RdWeb-Portal nutzen zu müssen. Die Datei kann über ein GPO auf anderen Computern bereitgestellt werden.
Verbindung über den Windows RDC-Client
Diese Methode ist zu verwenden, wenn Sie den DNS-Eintrag erstellt haben, der allen Hostservern in derselben Sammlung gemeinsam ist
Starten Sie den Client, geben Sie den RDS-Farmalias 1 ein und klicken Sie auf Verbindung 2.
Geben Sie Ihr Passwort ein und validieren Sie die Zertifikatsanfragen.
Die Sitzung wird auf dem Sammlungshostserver geöffnet.
Verbindung über Windows RDC-Client mit Gateway
Starten Sie den Client, geben Sie den RDS-Farmalias 1 ein und klicken Sie auf Optionen 2.
Gehen Sie zur Registerkarte Verbindung 1 (falls diese nicht sichtbar ist, klicken Sie auf die Pfeile) und klicken Sie auf Einstellungen… 2.
Aktivieren Sie „Diese Remotedesktop-Gateway-Servereinstellungen verwenden“ 1, geben Sie die für das Gateway definierte URL ein 2, A, um die Passage durch das Gateway zu erzwingen, deaktivieren Sie das Kontrollkästchen. Aktivieren Sie das Kontrollkästchen 3 Meine Remotedesktop-Gateway-Anmeldeinformationen für den Remotecomputer verwenden und klicken Sie auf OK 4.
Kehren Sie zur Registerkarte Allgemein 1 zurück und klicken Sie auf Verbindung 2.
Im Passwort-Anfragefenster sehen wir die Server 1, auf denen der Benutzer identifiziert wird. Geben Sie die Bezeichner 2 ein und klicken Sie auf OK 3.
Sobald Sie mit dem Server verbunden sind, klicken Sie auf die Taste 1 und es ist möglich, den Durchgang durch das Gateway 2 zu überprüfen.
Geben Sie den Broker-Server zurück und öffnen Sie die Gateway-Verwaltungskonsole. Wechseln Sie zum Ordner Analysis 1. Die Verbindung ist sichtbar.
RemoteApp über Web Access
Starten Sie auf einem Client-Computer einen Browser, vorzugsweise IE, und geben Sie die URL https://rdsgw.rdr-it.intra/rdweb für den Webzugriff ein
Geben Sie die Anmeldeinformationen 1 ein und klicken Sie auf Registrieren 2.
Nach der Anmeldung wird eine Seite mit verfügbaren Anwendungen angezeigt 1. Klicken Sie auf ein Programm, um es zu starten (Microsoft Expression Web 4).
Eine Sicherheitswarnung wird angezeigt und bietet auch die Möglichkeit, die umgeleiteten Geräte auszuwählen. Klicken Sie auf Verbindung 1.
Geben Sie Ihre Anmeldeinformationen ein und validieren Sie die Zertifikatswarnungen.
Die Anwendung wird mit dem Eindruck gestartet, dass sie direkt auf der Workstation geöffnet ist. Das in der Taskleiste sichtbare 1-Badge der Anwendung weist darauf hin, dass sie sich in RemoteApp befindet.Die Anwendung wird mit dem Eindruck gestartet, dass sie direkt auf der Workstation geöffnet ist. Das in der Taskleiste sichtbare 1-Badge der Anwendung weist darauf hin, dass sie sich in RemoteApp befindet.
RemoteApp direkt von Windows
Unter Windows ist es möglich, den Zugriff auf die RemoteApp so zu konfigurieren, als ob sie auf dem Arbeitsplatzrechner installiert wäre.
Öffnen Sie auf dem Client die Systemsteuerung und klicken Sie je nach Windows-Version auf Remoteverbindungen 1 oder RemoteApp- und Remotedesktopverbindungen.
Klicken Sie auf Neue Verbindung mit RemoteApp- und Remotedesktop-1-Verbindungen einrichten.
Geben Sie die RemoteApp-Zugriffs-URL 1 in der Form https://url-acces-web/rdweb/feed/webfeed.aspx ein und klicken Sie auf Weiter 2.
Klicken Sie auf Weiter 1, um mit der Konfiguration zu beginnen.
Geben Sie Ihre Anmeldeinformationen ein und validieren Sie die Zertifikatswarnungen.
Klicken Sie auf Fertig stellen 1.
Die RemoteApp-Programme werden auf der Workstation „installiert“. Der Zugriff erfolgt entweder über diese Seite der Systemsteuerung oder über das Startmenü.
Programme 1 aus dem Startmenü.
Über ein Symbol im Benachrichtigungsbereich können Sie auch die auf der Workstation konfigurierten RemoteApps verwalten.
Es ist möglich, die Konfiguration von RemoteApps mithilfe eines GPO zu automatisieren.
Aktivieren Sie die Einstellung und geben Sie die Web Access-Server-URL in das Feld „Standardverbindungs-URL-Einstellungen angeben“ ein, das sich unter „Benutzerkonfiguration/Richtlinien/Administrative Vorlagen/Windows-Komponenten/Remotedesktopdienste/Verbindungen, RemoteApp-Programme und Remotedesktopdienste“ befindet.
Ergänzungen:
Öffnen Sie in einer „Desktop“-Umgebung und wenn die UPDs konfiguriert sind, den Windows-Datei-Explorer und gehen Sie zum Ordner C\:Users 1. Der UPD des angemeldeten Benutzers ist gemountet und verfügt über den Anmeldenamen des Benutzers.
Auf dem Server, der die UPDs hostet, gibt es jetzt VHDXs mit der ID 1, die der ID des Benutzers entspricht.
Gehen Sie auf dem Broker-Server zu den Sammlungsdetails. Im Feld VERBINDUNGEN sehen wir den Benutzer, der seine Sitzung 1 geöffnet hat. Durch einen Rechtsklick darauf sind mehrere Aktionen möglich, unter anderem die Übernahme der Sitzungskontrolle, um einer Person im Problemfall Unterstützung zu leisten.
Fehlerbehebung
Verbindung zum Remotedesktop-Sitzungshost erzwingen
Um die Verbindung zu einem bestimmten Host zu erzwingen und eine Weiterleitung durch den Broker zu vermeiden, müssen Sie den RDC-Client im Administratormodus starten
- Öffnen Sie das Fenster „Ausführen“.
- Geben Sie ein: mstsc.exe /admin
- Geben Sie den IP- oder DNS-Namen des Hostservers ein. Die Verbindung wird vom Broker nicht umgeleitet.
FAQs
Warum auf eine RDS-Umgebung umsteigen?
Aus technischer Sicht: Ermöglicht die Reduzierung der Parkwartung, da nur die RDS-Farm gewartet werden muss. Softwareupdates dürfen nur auf den Servern in der Sammlung bereitgestellt werden. Aus dem gleichen Grund geht auch die Bereitstellung neuer Software schneller. Aus der gleichen Perspektive ist der Wechsel einer Benutzerstation einfacher, da ihre Arbeitsumgebung auf den Servern gehostet wird. Alle Benutzer arbeiten in derselben Umgebung, was den Support erleichtert.
Aus finanzieller Sicht: Die Erneuerungsrate von Stellen kann dadurch erhöht werden, dass die Rechenleistung von den Servern bereitgestellt wird. Auch Thin-Client-Workstations (Mini-PCs) sind in der Anschaffung günstiger.
Wie viele Remotedesktop-Sitzungshosts sind für eine RDS-Bereitstellung mindestens erforderlich?
Die theoretische Antwort auf diese Frage lautet 1. Aus Verfügbarkeits- und Verwaltungsgründen rate ich Ihnen, mindestens zwei Hosts zu haben. Es ist besser, zwei kleine virtuelle Maschinen mit 4 CPUs und 8 GB RAM zu installieren, als eine „große“ virtuelle Maschine mit 8 CPUs und 16 GB RAM.
Wenn ein Host abstürzt oder Sie Wartungsarbeiten durchführen müssen, ist dies auf diese Weise möglich, ohne die Produktion zu beeinträchtigen.
Wie dimensioniert man Host-Server?
Diese Frage taucht regelmäßig in den Foren auf und leider gibt es keine fertige Antwort.
Vor dem Einrichten einer RDS-Farm muss ein Audit durchgeführt werden, um Folgendes herauszufinden:
Die verwendete Softwareumgebung
Was ?
Von wem?
Wie ?
– CPU-/RAM-Verbrauch
– Editor-Voraussetzungen…
– Konflikt zwischen Software
– Die Anzahl der gleichzeitigen Benutzer
Nach der Durchführung des Audits muss eine Analyse der gesammelten Informationen durchgeführt werden, um die beste Lösung für die Umsetzung zu finden.
Wie viele maximale Benutzer pro Host?
Cette question qui revient aussi régulièrement n’a pas de réponse toute faite. La réponse à cette question dépend l’audit réalisé pour la mise en place de la fermes RDS.
Wie viele CAL RDS?
Die Antwort auf diese Frage ist sehr einfach, da viele Benutzer oder Geräte RDS-Dienste nutzen. Lizenzen werden für einen bestimmten Zeitraum vergeben.
Um Geld zu sparen, neigen Menschen oft dazu, weniger Lizenzen zu kaufen als Benutzer, unter dem Vorwand, dass es nur X gleichzeitige Verbindungen gibt.
Wenn 20 Benutzer die RDS-Farm nutzen und nur 10 gleichzeitig, benötigen Sie 20 Lizenzen.
Ist es möglich, mehrere Sammlungen zu haben?
Ja, das ist möglich. Sie müssen lediglich berücksichtigen, dass ein Remotedesktop-Sitzungshost nicht Teil mehrerer Sammlungen sein kann und dass die UPDs ebenfalls mit einer Sammlung verknüpft sind. Es ist nicht möglich, einen Benutzerprofildatenträger zwischen mehreren Sammlungen zu teilen.
Warum mehrere Sammlungen verwenden?
Die Antwort auf diese Frage ist vielfältig.
– Trennung nach Dienst.
– Trennung nach Standort.
– Erstellen Sie spezifische Sammlungen pro Anwendung und präsentieren Sie sie dann in RemoteApp entweder auf Client-Workstations oder auf Remote-Desktops.
Durch die Verwendung mehrerer Sammlungen ist es möglich, die RDS-Infrastruktur je nach Bedarf (Leistung/Softwarekonflikte etc.) zu segmentieren.