Встановлення та налаштування ферми віддаленого робочого столу (RDS) у Windows Server

Ця велика інструкція присвячена функціям встановлення, встановлення та експлуатації ферми термінальних серверів на основі ролі Послуги віддаленого робочого столу (RDS) У Windows Server. Стаття допоможе вам розгорнути служби віддаленої столу на Windows Server 2022, 2019 та 2016 у домені Active Directory.

Зміст:

• Компоненти віддалених робочих послуг у Windows Server 2022/2016/2012/22R2
• Ми створюємо нову конфігурацію служб віддаленого робочого столу на сервері Windows
• Створіть колекції віддалених настільних послуг у Windows Server
• Публікація RemoteApp у віддалених службах настільних ПК
• Налаштування фермерських послуг віддалених настільних комп'ютерів за допомогою PowerShell

Компоненти віддалених робочих послуг у Windows Server 2022/2016/2012/22R2

Наступні компоненти включені до ролі RDS на Windows Server:

• Хост віддаленого робочого столу (Rdsh) - RDS -сеанси. Основні роботи коні ферми RDS, на якій працюють програми;
• Віддалений настільний брокер підключення (RDCB) - посередницькі RDS -з'єднання. Він використовується для контролю ферми RDS, розподілу навантаження, забезпечує повторне з'єднання користувача до своїх сеансів, зберігає колекції RDS та опубліковані програми RemoteApp;
• Віддалений шлюз робочого столу (RDGW) - забезпечує безпечний доступ до послуг RDS з Інтернету;
• RD Web Access (RDWA) - Веб -інтерфейс для доступу до настільних комп'ютерів, програм RemoteApp;
• Ліцензування віддаленого робочого столу (Ліцензування RD) - Ліцензійна послуга, контролює LDS -ліцензії (CAL) користувачів.

У нашій маленькій підставці буде лише три сервери з наступними розподілом ролей

• MSK-RDS1.Winitpro.ru - Rdsh
• MSK-RDS2.Winitpro.ru - Rdsh
• MSK-RDSMAN.Winitpro.ru - RDSH, RDWA, RDCB, RD Ліцензія

У найпростіших випадках ви можете розгорнути окремий сервер з роллю хоста віддаленого настільного сеансу (RDSH) без брокера підключення та доступу до веб -сайтів RDS.

Попередні вимоги, які потрібно виконати перед створенням ферми RDS:

1. Встановіть одну і ту ж версію Windows Server для всіх серверів, налаштуйте їх та додайте в одну доменну рекламу;
2. Відкрийте консоль Aduc ( DSA.MSC ) і перемістіть усіх господарів з роллю RDSH до одного в AD. Тож буде зручніше використовувати рівномірні параметри через GPO;
3. Створіть групу для серверів RDSH у домені (наприклад,, MSK-RDSH ) і додайте до нього всіх господарів;
4. Якщо ви хочете використовувати диск профілю користувача (upd) для зберігання профілів користувачів RDS (або рухомі профілі), вам потрібно створити мережевий каталог на файловому сервері, в якому вони будуть зберігатися (бажано розміщувати на стійкі до несправності файлові кластерні Windows Windows Windows Сервер). Надайте повні права на контроль на цьому каталозі мережі для групи MSK-RDSH .

Ми створюємо нову конфігурацію служб віддаленого робочого столу на сервері Windows

Поміркуйте, як створити та налаштувати конфігурацію RDS за допомогою графічного інтерфейсу Server Manager Manager.

ВІДЧИНЕНО Менеджер сервера і додайте до консолі всі заплановані сервери RDS. Клацніть на весь сервер -> Додати сервери.

Тепер у меню Server Manager виберіть Додати ролі та функції -> Установка віддаленого робочого столу -> Стандартне розгортання -> Розгортання на основі сеансу.

Режим Швидкий початок використовується для розгортання всіх компонентів RDS на одному сервері. На фермі RDS мінімум може мати один сервер, який поєднує в собі всі ролі RDS (хост RD Session, RD Web Access та брокер з підключення RD). Але така конфігурація не забезпечує толерантність до відмови та збалансування навантаження в службах віддаленого сервера Windows Windows.

Далі вам потрібно вказати, як ви хочете розподілити ролі RDS відповідно до ваших серверів. У розробці ферми RDS потрібно вибрати сервер для відповідних ролей. У моєму випадку я хочу створити таку конфігурацію:

• RD -брокер підключення - MSK-RDSMAN
• RD Web Access - MSK-RDSMAN
• RD -хости сеансу - MSK-RDSMAN, MSK-RDS1, MSK-RDS2

Ви можете розподілити ролі RDS на серверах у будь -якій іншій конфігурації.

Покладати Перезавантажте сервер призначення автоматично, якщо потрібно І натисніть кнопку Розгортання. Зачекайте установок на даху RDS на всіх серверах.

Тож ваша ферма RDS створена.

Наступним кроком є ​​встановлення та налаштування сервера ліцензування RDS. Ви можете встановити роль RD ліцензування Для одного з серверів у вашій фермі або використовуйте сервер ліцензування RDS, що існує в домені. Детальні інструкції щодо встановлення, налаштування та активізації ролі доступу до ліцензування RD за посиланням.

Щоб керувати розгортанням RDS, вам потрібно перейти до менеджера сервера -> розділ Послуги віддаленого робочого столу. На вкладці Огляд Показана поточна конфігурація ферми RDS.

Щоб змінити налаштування ферми RDS, виберіть Завдання -> Редагувати властивості розгортання У розділі Огляд розгортання.

Тут ви можете змінити:

• Параметри RD Gateway;
• Адреса сервера ліцензування та тип ліцензій користувачів RDS CAL (на користувача/на пристрій);
• Переглянути адресу URL -адреси RD Web Access;
• Додайте сертифікати SSL для послуг RDS (в інструкціях ми пропустимо цей товар).

Ферма контролюється через сервер RDCB. Вся конфігурація ферми RDS зберігається у своїй базі SQL. Якщо необхідно, ви можете вручну перенести роль та конфігурацію брокера з підключення RDS на інший сервер

Щоб побудувати несправностійкі послуги з віддаленого робочого столу на фермі, вам потрібно надати Висока доступність брокера RD Connection. Це досягається за допомогою запуску декількох копій RDCB (активних/активних) на різних серверах із загальною базою даних SQL, яка містить конфігурацію брокера підключення. Щоб забезпечити високу доступність SQL бази RDCB, його можна регулювати в групі високої доступності SQL Server завжди. Раніше ми опублікували детальні налаштування брокера з підключення RDS з високою доступністю.

Створіть колекції віддалених настільних послуг у Windows Server

Наступним етапом налаштування є створення колекцій сеансів RDS. Колекції віддаленого робочого столу дозволяють розділити хостів на фермі RDSH на окремі групи або створювати інший набір налаштувань та доступні додатки для віддалених додатків для різних груп користувачів.

Перейдіть до розділу Колекція, Оберіть Редагувати -> Створіть колекцію сеансу.

Тут потрібно встановити:

1. Назва колекції RDS: RDS-MSK-менеджери
2. Виберіть, які хости RDSH будуть обслуговувати користувачів колекції (один хост RDSH може бути в одній колекції; не рекомендується комбінувати сервер з різними версіями Windows Server);
3. Вкладка Групи користувачів вказує на групи користувачів, яким дозволено підключитися до колекції. Видаліть з груп користувачів домену та додайте свою групу (MSK-менеджери);
4. На вкладці Диск профілю користувача Вам потрібно вказати, чи хочете ви використовувати формат UPD для зберігання профілів користувачів (увімкнути диски профілю користувача). В полі Місцезнаходження дисків профілю користувача Вкажіть UNC до мережевого каталогу (наприклад, \\ msk-fs01 \ mskrds_upd ), в яких профілі користувачів у колишньому віртуальному дисковому будуть зберігатись (у цьому випадку, на вході на будь -який сервер RDS, користувач завжди буде завантажувати свій профіль) та максимальний розмір диска (20 ГБ за замовчуванням); Детальніше про диски профілю користувача в RDS Windows Server, описані в цій статті.
5. Клацати Створювати створити нову колекцію RDS;
6. Переконайтеся, що у вказаному каталозі створив файл UPD з шаблоном профілю користувача UVHD-Tamplaate.VHDX.

Щоб встановити параметри колекції RDS, виберіть її та натисніть кнопку Завдання -> Редагувати властивості.

Тут ви можете змінити основні параметри колекції (ім'я, опис, групи доступу) та ряд інших важливих налаштувань.

В розділі Сеанс Ви можете встановити параметри відновлення/ автоматичного відключення бездіяльних сеансів RDP (докладніше це було розглянуто в статті, що встановлює Taimows для сеансів RDP).

На вкладці Безпека Ви можете вибрати налаштування безпеки (переговори, рівень безпеки RDP або SSL/TLS) та шифрування (низький, високий, сумісний з клієнтом або сумісні з FIPS) для сеансів RDP. Тут ви також можете ввімкнути/вимкнути автентифікацію мережевого рівня для RDP.

Він повідомляє, як налаштувати сертифікати SSL/TLS для захисту RDP -з'єднань.

У розділі Баланс завантаження Ви можете змінити ваги ( Відносна вага ) RDSH господарі у вашій фермі. Якщо характеристики серверів (оперативна пам’ять, процесор) у колекції дуже різні, вам потрібно встановити меншу вагу для менш продуктивних серверів. У цьому випадку RDCB розповсюдить сеанси користувачів на серверах залежно від їх ваги.

На вкладці Налаштування клієнта Ви можете вказати, які пристрої для користувачів дозволяють кидати на сеанс RDP. Наприклад, ви можете дозволити/заборонити кидати сеанс принтера, мережеві колеса, аудіопристрої, обмінний буфер з локального комп'ютера в RDS.

В розділі Диски профілю користувача Ви можете більш тонко налаштувати параметри upd профілів користувачів. Певні папок або файли можна виключити із синхронізації. Це зменшить розмір профілю оновлень у мережевому каталозі та збільшить швидкість завантаження профілю (не забувайте, що він завантажується по мережі з мережевої папки на вході користувача).

Налаштування та експлуатація оновлення, як правило, набагато простіше, ніж використання рухомих профілів або перенаправлення папки. Один профіль UPD не може бути використаний у різних колекціях RDS.

Щоб зменшити розмір диска користувача UPD, ви можете використовувати стандартну команду PowerShell Змінити розмір-VHD , використовується для зміни розміру віртуальних дисків VHDX Hyper-V.

У розділі Хост -сервери Колекції RDS можуть бути перетворені на будь -який сервер фермерського господарства в режим обслуговування RDSH (режим зливу). Для цього натисніть на нього та виберіть Не допускайте нового з'єднання. Як результат, Broker Connection не надсилає підключення нових користувачів на цей сервер. У цьому режимі ви можете безпечно встановлювати оновлення Windows або оновлювати програму на сервері додатків, не впливаючи на користувачів.

Тут ви можете додати/видалити хост RDS з колекції.

Якщо хост RDSH поза замовленням і недоступний, його можна правильно вилучити з ферми віддалених настільних послуг відповідно до цих інструкцій.

Публікація RemoteApp у віддалених службах настільних ПК

Переробляти - Вони опубліковані для користувачів програми на RDS -серверах. Завдяки RemoteApp, ви можете використовувати програми, встановлені на сервері терміналу RDSH, як ніби він був запущений безпосередньо на комп'ютері користувача. Користувач не бачить весь робочий стіл Windows Server RDS і працює лише з програмами, які адміністратор опублікував для нього. На комп’ютері користувача відображатиметься лише вікно, що працює на RDS.

Якщо ви не створюєте RemoteApp, користувачі працюватимуть безпосередньо на власних робочих столах на Windows Server. Тому не забудьте скопіювати всі програми, необхідні для користувача, у папку C: \ користувачі \ public \ desktop. Файли з цієї папки будуть відображатися на робочому столі всіх користувачів. Якщо ви встановлюєте MS Office 365 на RDSH, зауважте, що офіс повинен бути розгорнутий у режимі SharedComputerLicensing.

Програми RemoteApp створюються в параметрах колекцій RDS. Виберіть елемент Завдання -> Опублікувати програми RemoteApp У розділі RemoteApp програм.

Windows відобразить усі програми, встановлені на поточному сервері. Ви можете вибрати один із них. Якщо ваша програма не знаходиться в списку, але вона встановлена ​​на інших хостах RDS, натисніть кнопку Додавання і вкажіть повний шлях до виконуваного файлу програми (EXE, BAT, CMD тощо.D.).

Опублікуйте додаток RemoteApp.

Потім у налаштуваннях RemoteApp ви можете вказати додаткові параметри програми.

• Чи потрібно показати опубліковану програму RemoteApp у веб -інтерфейсі веб -доступу RD;
• Встановити параметри запуску (аргументи) програми (параметри командного рядка-> Завжди використовуйте наступні параметри командної лінії);
• На вкладці Завдання користувача Ви можете додатково обмежити, які групи користувачів дозволяють запустити програму.

Якщо ви хочете змінити значок опублікованого RemoteApp, вам потрібно відкрити наступну папку на сервері з роллю брокера RDS Connection:

C: \ Windows \ remotePackages \ cpubfarms \ rds-msk-managers \ cpubremoteaps

Замініть значок програми на інший файл ICO.

Тепер користувач може запустити додаток RemoteApp з веб -доступу RD ( https: // msk-rdsman.Вокт.ru/rdweb ) або за допомогою спеціального файлу RDP.

Ви можете налаштувати прозору авторизацію на веб -доступі RDS за допомогою SSO.

Щоб запустити опубліковану програму RemoteApp, вам потрібно додати наступні рядки до файлу RDP:

RemoteApplicationMode: 1 RemoteApplicationName: S: Putty RemoteApplicationProgram: S: "C: \ Tools \ Putty.Exe "infabledemoteapcapscheck: i: 1 альтернативна оболонка: s: rdpinit.Екзе

Кілька корисних дрібниць для зручної роботи ферми RDS:

• Для ролі RDWEB ви можете налаштувати підтримку HTML5, це дозволить користувачам підключитися до серверів RDS з будь -якого браузера та ОС навіть без клієнта RDP;
• На веб -доступі Web Server RD ви можете опублікувати посилання, щоб змінити пароль користувача, що закінчився (за замовчуванням, коли NLA ви не можете автентифікуватись на RDSH з паролем Active Directory користувача);
• Інструкції для користувачів змінювати пароль у сеансі RDP;
• Адміністратор може використовувати тіньові підключення Shadow Session Session для підключення/перегляду робочого столу користувача на сервері RDS;
• Щоб швидко знайти, які сервери RDS мають сеанси певного користувача, ви можете використовувати PowerShell:
  Імпорт-модуль remoteDesktop
Get-rduserssision -connectionbroker msk-rdsman.Winitpro.ru | Що $ _.Ім'я користувача -eq "a.Іванов " | Виберіть HostServer
• Ви можете використовувати сценарії PowerShell для перегляду та аналізу журналів з'єднання RDP до серверів RDS;
• Для отримання додаткового захисту ви можете налаштувати дві -факторні автентифікацію (2FA) користувачів на серверах Windows RDS за допомогою третій партії фондів.

Налаштування фермерських послуг віддалених настільних комп'ютерів за допомогою PowerShell

Якщо ви чітко уявляєте концепцію ферми RDS, ви можете швидко розгорнути конфігурацію RDS за допомогою PowerShell.

Наступні команди PowerShell для створення ферми RDS краще бігати від іншого на інший сервер, t.до. Контрольовані хостів RDS повинні будуть перезавантажити.

Вимийте імена серверів у вашій фермі RDS. У цьому прикладі я встановлю ролі ліцензування RDCB та RDS на окремому сервері (в майбутньому рекомендується налаштувати конфігурацію RDCB, стійкий до відмови).

$ Rdsh1 = "msk-rds1.Winitpro.ru "
$ Rdsh2 = "MSK-RDS2.Winitpro.ru "
$ Rdscb = "MSK-RDCB.Winitpro.ru "
$ Rdsgw = "msk-rdsgw.Winitpro.ru "
Імпорт-модуль remoteDesktop

Встановіть на сервері ролі RDS:

Додати -windowsfeature -ComputErname $ rdsh1, $ rdsh2 -name rds -rd -server -includemanageentols
Додати -windowsfeature -ComputErname $ rdscb -name rds -connection -braker -includemanagementtools
Add-windowsfeature -ComputErname $ rdsgw -name rds-web-cccess, rds-gateway -inkludemanagementtools

Перезавантажте всіх господарів:

Перезапуск -computer -ComputErname $ rdsh1, $ rdsh2, $ rdscb, $ rdsgw

Створіть новий екземпляр rdsessionDeployment:

New -rdsissionDeployment -connectionEbroker $ rdscb -sessionHost $ rdsh1, $ rdsh2 -verbose

Додайте на серверну ферму RDWA та RDGW:

Додати -rdserver -Server $ rdsgw -rola rds -web -cccess -connectionebroker $ rdscb
Додати -rdserver -Server $ rdsgw -rola rds -gateway -connectionebroker $ rdscb -gatewayexternalfqdn "rd.Winitpro.ru "

Поточний розподіл ролей RDS на серверах ферми може бути видалений наступним чином:

Отримати -rdserver -connectionbroker $ rdsgw

Встановлення ролі ліцензування RDS:

Add-WindowsFeature -ComputErname $ rdscb -name rds-ліцензування, rds-ліцензування-ui

Запитайте режим ліцензування персоналу:

App -Command -ComputErname $ rdscb -ScriptBlock set -rdliceenseconfiguration -mode peruser $ rdscb -connectionbroker $ rdscb

Додати -rdserver -Server $ rdscb -rola rds -licensing -connectionebroker $ rdscb

Додайте сервер ліцензування до групи домену за допомогою додатка-dragroupMeber:

Add-AdgroupMember "Сервери ліцензій на сервер терміналів" -ммберс "MSK-RDCB $"

Якщо у вас є сертифікат на RDS, ви можете додати його до конфігурації ферми (ви можете використовувати безкоштовний сертифікат SSL для шифрування для вашого хоста RDS):

Path = "C: \ ps \ rdscert.Pfx "
$ Пароль = convertto -securestring -String "certpassddr0w11-" -AsplainText -force
Встановити -rdcertificate -Role Rdgateway -importpath $ path -password $ password -connectionbroker $ rdscb -force
Встановити -rdcertificate -Rola rdwebaccess -importpath $ path -password $ password -connectionbroker $ rdscb -force
Встановіть -rdcertificate -Role rdpubling -importpath $ path -password $ password -connectionbroker $ rdscb -force
Встановити -rdcertificate -Role rdredirector -importpath $ path -password $ password -connectionbroker $ rdscb -force

Інформацію про сертифікати, встановлені SSL, можна отримати наступним чином:

Get-rdcertificate

Тепер ви можете створити колекції RDS:

$ CollectionName = "devDept"
New -rdsisisionCollenection $ Collection -SessionHost $ RDSH1, $ RDSH2 -ConnectionEbrokB $ RDSCB -Collection Devoovers "

Дозволити доступ до RDS -серверів для груп:

$ Usergroup =@("WinitPro \ MSK-розробники", "winitpro \ msk_devops")
Встановити -rdsessionColleneConfiguration -Collection $ collection -Susergroup $ usergroup

Опублікуйте додаток RemoteApp:

Новий -rdremoteap -alias googlechrome -displayname googlechrome -filepath "c: \ програмні файли (x86) \ goome \ додаток \ chrome.exe "-showinwebaccess 1 -Collection $ collection -conage -conagebroker $ rdscb

У статті ми розглянули, як встановити та налаштувати ферму віддаленого робочого столу на основі Windows Server 2019/2022 за допомогою графічного інтерфейсу Server Manager та використання PowerShell. У статті є більш детальний опис ролей Web Access та RD Gateway. Ми розглянемо конфігурацію цих ролей окремо у наступних статтях.