Windows Server

Wdrożenie roli Remote Desktop Services (serwer terminali)

Usługi pulpitu zdalnego (Remote Desktop Services (w skrócie RDS)) to zbiór ról w systemie Windows Server, które pozwalają użytkowniom na zdalny dostęp do pulpitów graficznych i aplikacji Windows. Od wersji systemu operacyjnego Windows Server 2008 R2 nazwa usług terminalowaych zmieniała się z Terminal Services na Remote Desktop Services (RDS).

Tabela 1. Zmiana nazewnictwa usług roli serwera terminali począwszy od wersji Windows Server 2008 R2.

Remote Desktop Services idealnie zastępuje rozwiązania terminalowe takie jak Citrix XenApp, Citrix XenDesktop, VMware View oraz inne produkty mniejszych firm. W skład roli pulpitu zdalnego wchodzi sześć usług: Host sesji usług pulpitu zdalnego (RD Session Host), Host wirtualizacji pulpitu zdalnego (RD Virtualization Host), Licencjonowanie usług pulpitu zdalnego (RD Licensing), Dostęp w sieci Web do usług pulpitu zdalnego (RD Web Access), Brama usług pulpitu zdalnego (RD Gateway) oraz Broker połączeń usług pulpitu zdalnego (RD Connection Broker).
RD Session Host udostępnia mechanizmy zdalnego dostępu do pulpitu i programów na serwerze na podstawie połączeń sesji. To podstawowy komponent usługi, który umożliwia administratorom zdalny dostęp do serwera, a użytkownikom pracę ze swoimi programami i plikami. W trybie sesji mogą być obsługiwane programy w funkcji RemoteApp realizowane przez usługę RD Web Access.
RD Virtualization Host dostarcza użytkownikom te same usługi, a więc pulpit zdalny i programy Remote­App, ale robi to w odmienny sposób. Zamiast współdzielonego środowiska systemowego Hosta wirtualizacji pulpitu bazuje na mechanizmach wirtualnych desktopów oraz wirtualizacji środowiska użytkownika w Hyper-V.
Trzy pozostałe role usług terminalowych to Licencjonowanie usług pulpitu zdalnego (RD Licensing) która odpowiada za zarządzanie (instalowanie, śledzenie dostępności) licencjami dostępu klienta (CAL) dla urządzenia lub użytkownika do hosta sesji lub hosta wirtualizacji.
RD Web Access ułatwia uzyskiwanie dostępu do zdalnych pulpitów i programów RemoteApp za pomocą menu Start systemu Windows lub przeglądarki internetowej, natomiast usługa RD Gateway umożliwia uzyskiwanie dostępu do tych zasobów przez sieć Internet.

Należy mieć świadomość, że w przypadku udostępniania aplikacji jako RemoteApp za pośrednictwem menu Start w komputerze użytkownika lub przeglądarki internetowej, daną aplikację należy zainstalować na serwerze z usługą RD Session Host. Dostęp do niej będzie ralizowany przez usługę RD Web Access, która może ale nie musi być hostowana przez ten sam serwer co usługa RD Session Host. W obciążonych środowiskach warto rozdzielić te usługi pomiędzy dwa serwery. W takim przypadku użytkownikom należy udostępnić adres serwera z usługą RD Web Access np.: https://webapp.domena.pl/RdWeb. Usługa RD Web Access wymaga usługi RD Session Host uruchominej przynajmniej na jednym serwerze.

Pełna konfiguracja środowiska Remote Desktop Services zakłada wdrożenie czterech serwerów:
- serwer 1 (sieć DMZ): usługi RD Web Access, RD Gateway
- serwer 2 (sieć wewnętrzna): usługa RD Connection Broker
- serwer 3 (sieć wewnętrzna): usługa RD Licensing
- serwer 4 (sieć wewnętrzna): usługa RD Session Host lub RD Virtualization Host

Oczywiście chcąc wprowadzić wysoką dostępność należy wdrożyć kolejne serwery z powyższymi usługami tworząc w ten sposób klaster High Availability (HA). Pełne osiągnięcie funkcjonalności HA zakłada zdublowanie każdej usługi.

Jeżeli nie jest planowane udostępnianie aplikacji i pulpitu zdalnego użytkownikom z poziomu sieci Internet wówczas nie ma potrzeby wdrażania serwera z usługą RD Gateway. W silnie obciążonych środowiskach zaleca się wdrożenie kilku serwerów z usługą RD Session Host lub RD Virtualization Host oraz z dedykowanymi serwerami dla RD Licensing, RD Connection Broker i RD Web Accesss.

W miejszych środowiskach można znacząco ograniczyć ilość serwerów dedykowanych do obsługi roli Remote Desktop Services. Jeżeli nie jest planowane udostępnianie usługi w sieci Internet wówczas wdrożenie można ograniczyć do dwóch serwerów, pierwszego z usługą RD Session Host (i dodatkowo z RD Web Access jeżeli chcemy udostępniać aplikacje jako RemoteApps) lub RD Virtualization Host i drugiego z usługami RD Licensing i RD Connection Broker.

Można dokonać również wdrożenia wszystkich usług na jednym serwerze. Jest to jednak zalecane tylko dla małych środowisk, gdzie planowana jest niewielka liczba połączeń terminalowaych lub gdy mamy do czynienia z wdrożeniem testowym.

Wdrożenie roli Remote Desktop Services
Przedstawione poniżej wdrożenie obejmie drugi przypadek. W domenie Active Directory o nazwie DNS: msa.domena.pl wdrożone zostały dwa serwery z systemem operacyjnym Windows Server 2016 o nazwach rds1.msa.domena.pl i rds2.msa.domena.pl hostującymi usługi:
- serwer RDS1: RD Session Host, RD Web Access,
- serwer RDS2: RD Licensing, RD Connection Broker.

Jeżeli dysponujemy wewnętrznym serwerem pełniącym rolę Urzędu Certyfikacji, wówczas za jego pomocą generujemy certyfiakty dla obu serwerów. Wymagany certyfikat musi zawierać OID: Server Authentication (1.3.6.1.5.5.7.3.1). Pole Subject musi zawierać lokalną nazwę serwera (np. rds1.msa.domena.pl). W przypadku braku wewnętrznego Urzędu Certyfikacji można skorzystać z certyfikatów utworzonych podczas konfiguracji środowiska Remote Desktop Services lub z certyfikatów zakupionych u zewnętrznego dostawcy (opcja najbardziej uniwersalna, ale i najdroższa).

1. Instalacja roli RD Licensing
Po zalogowaniu się na serwer RDS2 należy uruchomić konsolę Server Manager i przejść do opcji Manage > Add Roles and Features > Role-based or feature-based installation. Na karcie Select server roles wybrać opcję Remote Desktop Services a następnie zaznaczamy opcję Remote Desktop Licencing. Po zakończniu instalacji należy ponownie uruchomić serwer. Rola RD Connection Broker zostanie zainstalowana na serwerze RDS2 podczas instalacji ról na serwerze RDS1.

2. Standardowa instalacji roli Remote Desktop Services
Na serwerze RDS1 należy uruchomić konsolę Server Manager, zaznaczyć ikonę All Servers i z menu podręcznego wybrać opcję Add Servers (zdjęcie 1), dodać serwery, na których zainstalowane zostaną usługi RD Connection Broker (serwer RDS1), RD Web Access (serwer RDS2) i RD Session Host (serwer RDS2).

Zdjęcie 1. Konsola Server Maanger i opcja Add Servers.

Następnie w konsoli Server Manager należy przejść do opcji Manage > Add Roles and Features. W oknie kreatora instalacji na karcie Select installation type wybrać opcję Remote Desktop Services installation (zdjęcie 2). W oknie Select deployment type wybrać opcję Standard deployment.

Informacja.
W przypadku wyboru Quick Start kreator przeprowadzi przez instalację wszystkich usług na jednym serwerze. Jest to najprostsze wdrożenie dedykowane dla testów lub dla małych środowisk, gdzie serwer będzie obsługiwał niewielką ilość połączeń Pulpitu zdalnego i aplikacji RemoteApps.



Zdjęcie 2. Kreator instalcji ról. Moment wyboru instalacji roli Remote Desktop services.

Następnie należy wybrać opcję Session-based desktop deployment. W tym momencie nastąpi wybór pomiędzy usługą RD Session Host a RD Virtualization Host. Virtual machinebased desktop deployment bazuje na tworzeniu osobnych wirtualnych maszyn, które mogą być przydzielone w jednym czasie tylko dla jednego użytkownika.
W oknie kreatora Specify RD Connection Broker server wskazać serwer z zainstalowaną już rolą RD Licensing (serwer RDS2).
W oknie kreatora Specify RD Web Access server wybrać serwer dedytkowany dla tej roli (serwer RDS1).
W oknie kreatora Specify RD Session Host servers wybrać serwer ten sam jak dla roli RD Web Access.
W oknie Confirm selections sprawdzić poprawność przydzielonych ról.


Zdjęcie 3. Kreator instalacji roli RDS. Wybór standardowej instalacji usług wchodzących w skład roli RDS.

Instalacja roli RDS wymaga ponownego uruchomienia serwera. W tym celu należy znaznaczyć opcję Restart the destination server… i kliknąć Deploy.













3. Konfiguracja środowiska Remote Desktop Services
W konsoli Server Manager na serwerze RDS2 nelaży uruchomić opcję Edit Deployment Properties znajdującą się pod ścieżką Remote Desktop Services > Overview > Tasks. W oknie konfiguratora wskazać na sekcję RD Licensing (zdjęcie 4).

Zdjęcie 4. Kreator konfiguracji środowiska Remote Desktop Services.

W oknie należy określić typ licencji dostępowych (na użytkownika lub na urządzenie). Wybór odpowiedniej licencji musi być zgodny z typem zakupionej licencji dla połączeń zdalnych.

Informacja
Domyślnie serwer z usługą RD Session Host posiada wbudowaną licencję na nieokreśloną liczbę urządzeń dostępowych aktywną przez okres 120 dni. Jest to czas dany na przetestowanie środowiska RDS. Potem wymagany jest zakup licencji dostępowych w jednym z dwóch trybów: na użytkownika lub na urządzenie. Przy braku licencji i minięciu okresu 120 dni dostęp do serwera będzie możliwy tylko dla dwóch połączeń sesji.

Określić należy także serwer licencji. W naszym przypadku jest to serwer RDS2. Jeżeli do konfiguracji danego środowiska RDS istnieje potrzeba dodania kolejnego serwera licencji, pełniącego funkcję zapasową, należy dodać go także do tej listy.

Zdjęcie 5. Aktywacja serwera licencji w konsoli RD Licencing Manager.

Serwer licencji wymaga aktywowania, aby mógł nadzorować przydział licencji serwerom RD Session Host i RD Virtualization Host. W tym celu należy uruchomić konsolę MMC: RD Licencing Manager na serwerze RDS2. Na liście serwerów licencji wybrać pozycję RDS2 i z menu podręcznego uruchomić opcję Activate Server (zdjęcie 5). Uruchomiony zostanie kreator aktywacji. Należy wypełnić odpowiednie pola zgodnie z wymaganiami kreatora.

Strona: 1, 2