alphorm.com formation rds windows server 2012 r2

RDS – Windows Server 2012 R2

Présentation de la formation

Windows RDS (Remote Desktop Services) 2012 R2 alphorm.com™©

Site : http://www.alphorm.comBlog : http://www.alphorm.com/blogForum : http://www.alphorm.com/forum

Hicham KADIRIFormateur et Consultant indépendant Solutions Microsoft, VMware et CitrixCertifications : MVP, MCP, MCSA, MSCE…

Présentation de la formation

Avez-vous déjà suivi cette formation ?Cette formation permet d’acquérir les connaissances et compétences nécessaires pour concevoir, planifier, déployer, configurer et gérer une infrastructure Remote Desktop Services (RDS) 2008 R2.

Vous découvrez comment déployer une ferme RDS composée de plusieurs serveurs Hôtes de session Bureau à distance, comment publier et distribuer les programmes RemoteApp et Connexions Bureau à distance via fichier .rdp ou package .msi, et les rendre accessibles via le portail Accès Bureau à distance par le Web mais aussi depuis un réseau externe via la Passerelle RDS.

De plus, les options d’équilibrage de charge permettant de rendre une


De plus, les options d’équilibrage de charge permettant de rendre une infrastructure RDS hautement disponible sont détaillées : Round Robin DNS (Ferme RDS) – Clustering avec basculement (Service Broker) – NLB du Serveur Accès bureau à distance par Web.Vous apprenez également comment gérer une infrastructure RDS via des outils en ligne de commande (documentation technique complète fournit par Alphorm) et via un certain nombre de scripts développé par votre formateur Hicham KADIRI

Durée de la formation : 23H05min

Lien de la formation : http://www.alphorm.com/formation/formation-rds-windows-server-2008-r2-guide-du-consultant

Plan• Présentation du formateur

• Services Bureau à distance, qu’est ce que c’est ?

• Le plan de formation

• Publics concernés

• Connaissances requises


• Connaissances requises

• Présentation du Lab

• Ateliers pratiques

• Liens des ressources logicielles

• Autres liens utiles

Présentation du formateur• Hicham KADIRI

• Consultant et Expert Infrastructure Microsoft

• Mission d’audit, conseil, architecture, migration et formation

• MCSA, MCSE, MCTS, MCITP, MCT, MVP Windows Expert IT Pro

• Mes références :


� Mon profil LinkedIn : http://fr.linkedin.com/in/hichamkadiri

� Mon profil Viadeo : http://fr.viadeo.com/fr/profile/hicham.kadiri

� Mon profil Alphorm : http://www.alphorm.com/auteur/hicham-kadiri

� Mon profil MVP : https://mvp.microsoft.com/fr-fr/mvp/Hicham%20KADIRI-5000857

Mes formations sur alphorm.com • Auteur de plusieurs formations sur www.alphorm.com

• Liste complète, disponible ici : http://www.alphorm.com/auteur/hicham-kadiri

Formation Windows 8.1 (70-688)

WSUS (Windows Server Update Services) 3.0 SP2

Formation Windows Server Core 2008 (R2) – Le guide complet

de l‘Admin IT

Formation Windows Server Core2012 (R2) – Le guide complet

de l‘Admin IT


Services Bureau à distance, qu’est ce que c’est ?• Ou (RDS) pour Remote Desktop Services

• Anciennement appelé (TSE) pour Terminal Services

• Ensemble de technologies /services permettant à un ou plusieurs utilisateurs d’accéder (simultanément) à des:

� Bureaux Windows


� Bureaux Windows

� Applications publiées (Programmes RemoteApp)

� Poste de travail virtuel (VDI : Virtual Desktop Infrastructure)

• Solution /Rôle natif dans Windows Server 2012 et 2012 R2

• La solution RDS est composée de 6 services de rôle

Le plan de formation• Ch1. Présentation de la formation

• Ch2. Introduction aux Services Bureau à distance

• Ch3. Déployer votre première infrastructure RDS 2012 R2

• Ch4. Création et gestion des Collections

• Ch5. Mise en place de la haute disponibilité d'une infrastructure RDS 2012 R2

• Ch6. Personnaliser l'Expérience Utilisateur

• Ch7. Sécuriser l'environnement Utilisateur



• Ch8. Sécuriser les connexions RDP

• Ch9. Configurer une infrastructure RDS 2012 R2 via GPO

• Ch10. Déployer et configurer un Serveur de Licences des Services Bureau à distance

• Ch11. Déployer et configurer une Passerelle des Services Bureau à distance

• Ch12. Gérer une infrastructure RDS 2012 R2

• Ch13. Conclusion

Publics concernés

• Administrateur Systèmes

• Ingénieur Systèmes

• Ingénieur /Consultants Infrastructure

• Architecte Infrastructure


• Chef de projet Infrastructure

• Toute personne désirant concevoir, planifier, déployer et gérer une infrastructure RDS 2012 R2.

Connaissances requises

• Avoir suivi la formation RDS – Windows Server 2008 R2

• Connaissances sur les systèmes d’exploitation Windows Server et plus particulièrement Windows Server 2008 R2 /2012 /2012 R2

• Connaissances (de base) sur Active Directory 2008 R2 /2012 /2012 R2

• Connaissances (de base) sur les Objets de Stratégie de groupe (GPO)


• Connaissances (de base) sur les Objets de Stratégie de groupe (GPO)

• Connaissances (de base) sur Terminal Server (TSE) / RDS 2008 R2 /2012

• Connaissances (de base) sur l’administration des systèmes d’exploitation Windows

• Connaissances (de base) sur : TCP/IP, Adressage IP

Présentation du Lab – Part 1


Présentation du Lab – Part 2Informations techniques

Option Valeur

Nom DNS du domaine AD ALPHORM.COM

Nom NetBIOS du domaine AD ALPHORM

DHCP Activé Non

ID Réseau 192.168.10.0 /24


ID Réseau 192.168.10.0 /24

IP DNS Server 192.168.10.10

IP Passerelle 192.168.10.1

Note : pour simuler l’accès à l’infrastructure RDS depuis l’externe, un client externe se connectant à travers Internet à la passerelle RDS avec une IP externe sera configuré

LAB ALPHORM – utilisation d’un serveur dédié hébergé chez OVH

Ateliers pratiques

• Concevoir une infrastructure RDS 2012 R2

• Déployer une infrastructure RDS 2012 R2

• Création et gestion des collections

• Sécuriser une infrastructure RDS 2012 R2


• Gérer une infrastructure de licence RDS 2012 R2

• Rendre une infrastructure RDS 2012 R2 accessible depuis l’externe

• Gérer une infrastructure RDS 2012 R2

• Mise en place d’une infrastructure RDS 2012 hautement disponible

Liens des ressources logicielles

• Remote Desktop Connection Manager (RDCMan) : v2.2� http://www.microsoft.com/en-us/download/details.aspx?id=21101

• Windows Server 2012 R2 : vEvaluation

� http://technet.microsoft.com/fr-fr/evalcenter/dn205286.aspx

• Windows 8.1 Entreprise : vEvaluation


• Windows 8.1 Entreprise : vEvaluation

� https://technet.microsoft.com/fr-fr/evalcenter/hh699156.aspx

• Ressources associées (scripts, documentations ..)

� Page de formation > Rubrique Téléchargement -> Fichier .zip

Autres liens utiles

� Microsoft Technet | Windows Server 2012 /2012 R2

• https://social.technet.microsoft.com/Forums/fr-FR/home?forum=windowsserver8fr

� Forum Alphorm | Remote Desktop Services (RDS) – Windows Server 2012 R2


• http://www.alphorm.com/forum/remote-desktop-services-rds-windows-server-2012-r2-f60/

Are you ready ? ☺



DEMO : Préparation du LAB




DEMO : Préparation du LAB

Plan• Informations utiles

• Préparation du LAB

• Gestion du LAB

• Console RDCMan (Remote Desktop Connection Manager)


Informations utiles• Limitation Passerelle RDS sur certaine Edition de Windows Server 2012 R2

• : Présent /complet | : Présent /Restreint

Rôle serveur Services de rôle Datacenter Standard Essentials Foundation

Services Bureau à distance Passerelle des Services Bureau à distance (1) (2)


• : Présent /complet | : Présent /Restreint

• (1) : La passerelle RDS est installé /configuré automatiquement. Les autres services de rôles ne sont pas supportés.

• (2) : connexions à la passerelle RDS limitées à 50 connexions

Préparation du LAB• Déployer Windows Server 2012 R2 Datacenter sur l’ensemble des serveurs

• Déployer Windows 8.1 Entreprise sur l’ensemble des postes de travail

• Configurer les Hostnames & adresses IP sur tous les serveurs et postes de travail

• Créer les OU /sous OU et objets AD pour chaque serveur et poste de travail

• Joindre tous les serveurs et postes de travail au domaine ALPHORM.COM


• Activer /autoriser les connexions bureau à distance sur tous les serveurs et postes de travail du LAB

• Télécharger et installer l’outil RDCMan

• Créer la structure : Groupes RDP et Connexions RDP

VOIR DEMONSTRATION

Gestion du LAB• Toutes les machines du LAB (serveurs & P2T) sont gérés via des

connexions Bureau à distance (RDCMan)

• Microsoft offre :

� 2 connexions Bureau à distance « Gratuites » pour des besoins de gestion et d’administration de serveurs : 2 connexions Bureau à distance à la fois sur un Serveur W2012 R2. Ces 2 connexions nécessitent aucune Licence RDS


Serveur W2012 R2. Ces 2 connexions nécessitent aucune Licence RDS

� 1 seule connexion Bureau à distance « Gratuite » pour gérer et administrer les postes de travail : une seule connexion Bureau à distance à la fois sur un Poste de Travail, cette connexion nécessite aucune Licence RDS

Console RDCMan (Remote Desktop Connection Manager)


Introduction aux Services Bureau à distance

Services Bureau à distance, qu'est




Services Bureau à distance, qu'est ce que c'est ?

Plan• D’où vient le terme RDS ?

• Services Bureau à distance, qu’est ce que c’est ?

• Hôte de session Bureau à distance

• Hôte de Virtualisation des Services Bureau à distance

• Gestionnaire de licences des Services bureau à distance


• Service Broker pour les connexions Bureau à distance

• Passerelle des Services Bureau à distance

• Accès Bureau à distance par le Web

• Architecture de la solution RDS 2012 R2

D’où vient le terme RDS ?• Citrix MultiWin : conçu pour Windows NT 3.51 (WinFrame)

• Windows NT : Terminal Server Edition (Citrix > MetaFrame)

• Windows Server 2000 : Rôle natif




• Windows Server 2008 R2 : Rôle natif


• Windows Server 2012 R2 : Rôle natif

Services Bureau à distance, qu’est ce que c’est ? • Ou (RDS) pour Remote Desktop Services

• Anciennement appelé (TSE) pour Terminal Services

• Solution /Rôle natif dans Windows Server 2012 et 2012 R2

• Ensemble de services permettant à un ou plusieurs utilisateurs d’accéder (simultanément) à des applications publiées (Seamless application) sur un serveur distant ou à des bureaux Windows ou carrément des postes de travail virtuels, et ce , que ça soit via le réseau local ou Internet.


ou Internet.

• La solution RDS est composée de 6 services de rôle:� Hôte de session Bureau à distance (RD SH : Remote Desktop Session Host)

� Hôte de Virtualisation des Services Bureau à distance (RD VH : Remote Desktop Virtualization Host)

� Gestionnaire de licences des Services bureau à distance (RD LS : Remote Desktop Licensing Server)

� Service Broker pour les connexions Bureau à distance (RD CB : Remote Desktop Connection Broker)

� Passerelle des Services Bureau à distance (RDG : Remote Desktop Gateway)

� Accès Bureau à distance par le Web (RD WA : Remote Desktop Web Access)

Hôte de session Bureau à distance

• Aussi appelé RD SH (pour Remote Desktop Session Host)

• Permet de gérer (accepter) plusieurs connexions Bureau à distance simultanément

• Inclut le serveur RemoteApp : publication et distribution des programmes RemoteApp

• Prend en charge plusieurs technologies de sécurité pour sécuriser et chiffrer les connexions et communications RDP

• Propose un environnement utilisateur optimisé :


• Propose un environnement utilisateur optimisé :

� Expérience utilisateur : Thèmes Windows – Outils Windows 8.1 - …

� Redirection des ressources locales : disques locaux, imprimantes, audio /vidéo …etc

VOIR CHAPITRES 3 & 4

Hôte de Virtualisation des Services Bureau à distance

• Aussi appelé RD VH (pour Remote Desktop Virtualization Host)

• S’intègre avec l’hyperviseur « Microsoft Hyper-V » pour fournir des bureaux virtuels (Machines Virtuelles) à la demande

� Deux types de ressources :

• Personal VM (Machine Virtuelle Personnelle) : attribuée à un seul utilisateur


• Personal VM (Machine Virtuelle Personnelle) : attribuée à un seul utilisateur

• VM Pool (Pool de Machines Virtuelles) : attribuée à plusieurs utilisateurs

• Élément essentiel de l’infrastructure VDI

Gestionnaire de licences des Services bureau à distance

• Aussi appelé RD LS (pour Remote Desktop License Server)

• Il permet de distribuer des Licences RDS (CAL RDS) par-utilisateur ou par-périphérique aux utilisateurs /ordinateurs distants.

• Gestion de Licences : installation - suppression – révocation

• Inclut un outil de reporting /suivi et de protection des CALs RDS


• Inclut un outil de reporting /suivi et de protection des CALs RDS

VOIR CHAPITRE 10

Service Broker pour les connexions Bureau à distance

• Aussi appelé RD CB (Remote Desktop Connection Broker)

• Point central d’une infrastructure RDS

• Permet de gérer l’équilibrage de charges entre plusieurs serveurs Hôte de session Bureau à distance (RD SH)

• Support de plusieurs options d’équilibrage de charges


• Support de plusieurs options d’équilibrage de charges

• Rendre l’infrastructure RDS hautement disponibles

• Nécessite 2 serveurs RD SH et plus.

VOIR CHAPITRE 3 & 5

Passerelle des Services Bureau à distance

• Aussi appelé RDG (pour Remote Desktop Gateway)• Composant intermédiaire entre les utilisateurs externes et les ressources

internes (Serveurs RD SH, Serveurs RemoteApp, VMs) qu’ils utilisent.• Permet de gérer « Qui est » autorisé à se connecter via la Passerelle RDS

(CAP) et à accéder aux ressources internes comme Serveurs RD SH, Serveurs RemoteApp, VMs (RAP)

:


• La passerelle RDS se base 2 stratégies définit par l’administrateur :� Stratégies d’Autorisation des Connexions (CAPs: Connection Access

Policies)� Stratégies d’Autorisation d’Accès aux Ressources (RAPs: Ressource

Access Policies)

VOIR CHAPITRE 11

Accès Bureau à distance par le Web

• Aussi appelé RD WA (pour Remote Desktop Web Access)

• Permet de rendre les programmes RemoteApp & les connexions Bureau à distance accessible via un portail Web (accès depuis réseau local)

• Permet aussi de rendre les programmes RemoteApp & les connexions Bureau à distance accessible à travers Internet.


VOIR CHAPITRE 3 & 5

Architecture de la solution RDS 2012 R2


Ce qu’on a couvert• Historique des versions de la solution TSE /RDS

• Définition de la solution RDS

• Différents composants de la solution RDS 2012 R2

• Architecture de la solution RDS 2012 R2



Nouveautés des Services Bureau à




Nouveautés des Services Bureau à distance 2012 R2

Plan• Les 3 axes d’amélioration & de développement de l’équipe RDS MS

• Nouveautés des Services Bureau à distance 2012 R2

• Autres nouveautés


Les 3 axes d’amélioration & de développement de l’équipe RDS MS

• L’équipe RDS de Microsoft s’est concentré sur 3 axes de développement

� Baisser l’écart entre l’expérience des applications locales et RemoteApp

� Faciliter la vie des administrateurs RDS

� Réduire les coûts du stockage et du réseau pour le déploiement de postes de travail (VDI)


travail (VDI)

Nouveautés des Services Bureau à distance 2012 R2 – Part 1

• Baisser l’écart entre l’expérience des applications locales et RemoteApp

� Support complet des fenêtres transparentes (par exemple Office 2013)

� Déplacement et contrôle des fenêtres Remote App

� Aperçu, Aero Peek et barre de tâches en temps réel

� Changements dynamique de la résolution et des moniteurs


Changements dynamique de la résolution et des moniteurs

� Support des applications qui utilisent la technologie ClickOnce

� Support de DirectX 11.1

� Amélioration de l’application Remote Desktop présente dans le Windows Store

� Fonction de reconnexion rapide (10sec vs 70sec sur sous RDS 2012 /2008 R2 /2008)


• Faciliter la vie des administrateurs RDS

� Session Shadowing pour dépanner les problèmes

� Personnalisation de l’authentification sur la Passerelle RDS

� Support de l’exécution des services RDS sur un contrôleur de domaine.

� Support de la mise à niveau « in-place » du rôle RD Session Host


Support de la mise à niveau « in-place » du rôle RD Session Host


• Réduire les coûts du stockage et du réseau pour le déploiement de postes de travail (VDI)

� Support de la déduplication de données en ligne. Ceci réduit de 90% la capacité de stockage lorsque plusieurs postes de travail accèdent (via SMB) au même VHD hébergé sur un serveur de fichiers Windows Server 2012 R2.

� Support de Storage Spaces


� Le streaming de contenu via RemoteFX se voit réduire de 50% la bande passante nécessaire

� Amélioration des codecs RemoteFX pour réduire la bande passante pour les contenus non-vidéo.

Autres nouveautés• Nouveaux modes de déploiement

• Nouvelles consoles de gestion

• Nouveaux concepts : Collection & Disques de profils utilisateurs


Pour en savoir plus

• https://technet.microsoft.com/fr-fr/library/hh831527.aspx

• https://technet.microsoft.com/en-us/library/dn283323.aspx#BKMK_RDS2012R2

• http://blogs.msdn.com/b/rds/archive/2013/07/09/what-s-new-in-remote-desktop-services-for-windows-server-2012-r2.aspx


Ce qu’on a couvert• Nouveautés des Services Bureau à distance 2012 R2



Les scénarios de déploiement de la




Les scénarios de déploiement de la solution RDS 2012 R2

Plan• Pourquoi déployer la solution RDS ?

• Scénarios de déploiement de la solution RDS


Pourquoi déployer la solution RDS ?• Réduire le budget dédié à l’informatique :

� Nombre de licences à acheter

� Achat de nouveau matériel (poste de travail et/ou serveur)

• Optimiser les performances de l’infrastructure Poste de travail

• Simplifier et Centraliser le déploiement /maintenance des Apps

• Résoudre les problèmes d’incompatibilité des Apps


• Résoudre les problèmes d’incompatibilité des Apps

� Prolonger le cycle de vie des Apps métier

• Avoir un accès depuis n’importe ou et via n’importe quel périphérique à vos Apps et bureaux virtuels :� Télétravailleurs, filiales et agences distantes

� Bypasser les solutions VPN et les équipements VPN physiques couteux.

� Accès optimisé à vos Apps via WAN : meilleure utilisation de la bande passante

Scénarios de déploiement de la solution RDS• 2 scénarios de déploiement :

� * Déploiement de Bureaux basés sur des Machines Virtuelles (VM)

• Solution VDI : ajout automatique du rôle Hyper-V

• Connexion à des Bureaux Virtuels & Programmes RemoteApp

� Déploiement de Bureaux basés sur des Sessions


• RemoteApp Server

• Connexion à des Session Windows & Programmes RemoteApp

• * : Ce scénario de déploiement n’est pas traité dans cette formation

Ce qu’on a couvert• Pourquoi déployer la solution RDS

• Scénarios de déploiement de la solution RDS


Déployer votre première infrastructure RDS 2012 R2

Fonctionnement du serveur Hôte




Fonctionnement du serveur Hôte de session des services Bureau à

distance

Plan• Principal rôle du serveur RD SH

• Les services Windows utilisés par la solution RDS

• Les principaux Processus utilisés par la solution RDS


Principal rôle du serveur RD SH• Accepte les connexions distantes entrantes envoyées par multiple utilisateurs

• Inclut le serveur RemoteApp : publication des programmes RemoteApp

• Chaque demande de connexion est traitée séparément et chaque utilisateur dispose sa propre session.

• Un tunnel est établi entre le client et le serveur RD SH.

• Le client se connecte au serveur via un protocole RDP (Remote Desktop Protocol)


• Si les options de redirections sont activées, celles-ci sont routées vers la session distante : Lecteurs locaux, imprimantes, ClipBoard …

• Envoie d’affichage sur le poste client

Note : Dans le cas d’un serveur RD CB, c’est ce dernier qui reçoit les demandes de connexion et redirige les utilisateurs vers le serveur RD SH approprié.

Les services Windows utilisés par la solution RDS

• Services Bureau à distance (anciennement appelé Service Terminal Services� Nom du service : TermService

• Configuration des Services Bureau à distance � Nom du service : SessionEnv

Redirecteur de port du mode utilisateur des Services Bureau à distance


• Redirecteur de port du mode utilisateur des Services Bureau à distance� Nom du service : UmRdpService

Note : les mêmes services sont présents sur les clients RDS (postes de travail), la seule différence est la partie Licensing : pas de CAL RDS requise sur les postes de travail – une

seule connexion bureau à distance à la fois est possible

Les principaux Processus utilisés par la solution RDS

• Smss.exe : Session Manager

• Wininit.exe : Windows Startup Manager

• Services.exe : Services & Controller Application

• Lsass.exe : Local System Authority


• Lsm.exe : Local Session Manager

• Quelques sous-Processus s’exécutant derrière Svchost.exe :

� Service « TerminService » : Service des Services Bureau à distance

� Desktop Windows Manager Session Manager

Ce qu’on a couvert• Fonctionnement du serveur RD SH

• Liste des Processus utilisés par le rôle RDS

• Liste des services utilisés par le rôle RDS



Concevoir une infrastructure RDS




Concevoir une infrastructure RDS 2012 R2

Plan• Concevoir la taille de votre future infrastructure RDS 2012 R2

• Quels sont les prérequis matériels du serveur RD SH ?

• Quels sont les prérequis matériels des autres services de rôles ?


Concevoir la taille de votre future infrastructure RDS 2012 R2

• Répondre aux questions suivantes :

� Nombre de connexions prévues ? Si 2 connexions uniquement > pas de CAL

� Nombre de connexions externes prévues ? Voir limitation Passerelle RDS

� Déployer une ferme de serveurs RDS ou un seul serveur RDS « Autonome » ?

� le type de CAL RDS à acheter ? Mode de Licence RDS, Nombre de licences …


le type de CAL RDS à acheter ? Mode de Licence RDS, Nombre de licences …

� Déployer ou pas une Passerelle RDS ?

� Déployer ou pas l’Accès Web RD ?

� Activer ou pas l’authentification NLA ou pas ?

� Utiliser ou pas un certificat SSL pour les connexions Bureau à distance ?

� La configuration du Firewall ? Port 3389 …

Quels sont les prérequis matériels du serveur RD SH ?

• Les prérequis matériels dépendent de de la charge prévue du serveur RD SH:

� Nombre de connexions : utilisateurs /ordinateurs distants

� Nombre des programmes /applications à installer sur le serveur RD SH

� Nombre des programmes /applications à utiliser par les utilisateurs distants

� Ressources matérielles requises par les programmes distants

Prendre en compte que W2012 R2 est une archi x64 uniquement donc plus de RAM consommée


Prendre en compte que W2012 R2 est une archi x64 uniquement donc plus de RAM consommée

Recommandations de l’équipe RDS de Microsoft

RAM : 16 GB (support de 1000 connexions simultanées et plus) | 8 GB (support de plus 500 connexions simultanées et plus)

HDD : RAID1 avec ~140 GB

CPU : Quad-Core 3 GHz

Réseau : Gigabit (liaison WAN avec vitesse rapide pour accès depuis l’externe)

Quels sont les prérequis matériels des autres services de rôles ?

RéseauEspace DisqueRAMCPUService de rôle

NIC Gigabit50 GB4 GB3 GHzPasserelle RDS

NIC Gigabit50 GB4 GB3 GHzServeur de Licence RDS

NIC Gigabit50 GB4 GB3 GHzServeur Accès Web RD

NIC Gigabit50 GB4 GB3 GHzServeur Broker


Note :

La configuration décrite sur le tableau ci-haut suffit pour une infrastructure comportant jusqu’à 200 utilisateurs

Prévoir plus de ressources (CPU, RAM, Disque) si le besoin /activité évolue

Ce qu’on a couvert• Conception d’une infrastructure RDS 2012 R2



Déploiement "Rapide" d'une




Déploiement "Rapide" d'une infrastructure RDS 2012 R2

Plan• Un déploiement « Rapide », qu’est ce que c’est ?

• Méthodes de déploiement

• Déploiement via le Gestionnaire de Serveur

• Déploiement via Windows PowerShell

• DEMO : Déploiement « Rapide » de la solution RDS 2012 R2


Un déploiement « Rapide », qu’est ce que c’est ?

• Déploie les 3 services de rôles suivants sur le même serveur :

• Hôte de Session Bureau à distance (RD SH)

• Service Broker pour les connexions Bureau à distance (RD CB)

• Accès Bureau à distance par le Web (RD WA)

• Crée automatiquement une Collection de test :


• Crée automatiquement une Collection de test :

- QuickSessionCollection

• Publie automatiquement des programmes RemoteApp de test :

- Calculatrice

- WordPad

- Paint

Méthodes de déploiement • 2 méthodes de déploiement :

� Via le Gestionnaire de Serveur

� Via Windows PowerShell

• Cmdlette New-RDSessionDeployment : sous Windows Server 2012 R2

Cmdlette New-SessionDeployment : sous Windows Server 2012


• Cmdlette New-SessionDeployment : sous Windows Server 2012

• &

• Cmdlette New-RDSessionCollection : sous Windows Server 2012 R2

• Cmdlette New-SessionCollection : sous Windows Server 2012

Déploiement via le Gestionnaire de Serveur


Déploiement via Windows PowerShell• New-RDSessionDeployment –ConnectionBroker FQDNduRDCB –SessionHost

FQDNduRDSH –WebAccessServer FQDNduRDWA

• New-RDSessionCollection –CollectionName NomdeCollection –CollectionDescription DescriptionDeCollection –ConnectionBrokerFQDNduRDCB –SessionHost FQDNduRDSH


• Exemples :

� New-RDSessionDeployment –ConnectionBroker LABRDS01.ALPHORM.COM –SessionHost LABRDS01.ALPHORM.COM –WebAccessServer LABRDS01.ALPHORM.COM

� New-RDSessionCollection –CollectionName DEMO –CollectionDescription « Il s’agit d’une Collection de DEMO » -ConnectionBroker LABRDS01.ALPHORM.COM –SessionHost LABRDS01.ALPHORM.COM

DEMO• Déploiement « Rapide » de la solution RDS 2012 R2


Ce qu’on a couvert• Déploiement « Rapide » de la solution RDS 2012 R2



Déploiement "Standard" d'une




Déploiement "Standard" d'une infrastructure RDS 2012 R2

Plan• Un déploiement « Standard », qu’est ce que c’est ?

• Méthodes de déploiement

• Déploiement via le Gestionnaire de Serveur

• Déploiement via Windows PowerShell

• DEMO : Déploiement « Standard » de la solution RDS 2012 R2


Un déploiement « Standard », qu’est ce que c’est ?

• Déploie les 3 services de rôles suivants sur 3 serveurs distincts :

• Hôte de Session Bureau à distance (RD SH)

• Service Broker pour les connexions Bureau à distance (RD CB)

• Accès Bureau à distance par le Web (RD WA)

• PAS de création automatique d’une Collection de test


• PAS de création automatique d’une Collection de test

• PAS de publication automatiquement des programmes RemoteApp de test

Méthodes de déploiement • 2 méthodes de déploiement :


� Via Windows PowerShell

• Cmdlette New-RDSessionDeployment : sous Windows Server 2012 R2

• Cmdlette New-SessionDeployment : sous Windows Server 2012


&

• Cmdlette New-RDSessionCollection : sous Windows Server 2012 R2

• Cmdlette New-SessionCollection : sous Windows Server 2012

• &

• Cmdlette New-RDRemoteApp : sous Windows Server 2012 R2

Déploiement via le Gestionnaire de Serveur


Déploiement via Windows PowerShell• New-RDSessionDeployment –ConnectionBroker FQDNduRDCB –SessionHost FQDNduRDSH –

WebAccessServer FQDNduRDWA

• New-RDSessionCollection –CollectionName NomdeCollection –CollectionDescriptionDescriptionDeCollection –ConnectionBroker FQDNduRDCB –SessionHost FQDNduRDSH

• New-RDRemoteApp –Alias AliasDuRemoteApp –DisplayName NomAffichageDuRemoteApp –FilePath"Chemin d’accès au RemoteApp" -ShowInWebAccess 1 –CollectionName NomDeCollection -ConnectionBroker FQDNduRDCB

• Exemples :


• Exemples :� New-RDSessionDeployment –ConnectionBroker LABRDCB01.ALPHORM.COM –SessionHost

LABRDS01.ALPHORM.COM –WebAccessServer LABRDWA01.ALPHORM.COM

� New-RDSessionCollection –CollectionName DEMO –CollectionDescription « Il s’agit d’une Collection de DEMO » -ConnectionBroker LABRDCB01.ALPHORM.COM –SessionHostLABRDS01.ALPHORM.COM

� New-RDRemoteApp –Alias Calculatrice –DisplayName Calculatrice –FilePath"C:\Windows\System32\Calc.exe" -ShowInWebAccess 1 –CollectionName DEMO -ConnectionBroker LABRDCB01.ALPHORM.COM

DEMO• Déploiement « Standard » de la solution RDS 2012 R2

� Serveurs utilisés pour le déploiement « Standard » :

• LABRDSH01 « Nouvelle VM » :

- Créer une VM

- Déployer W2012 R2

Configurer IP (…10.30) & Hostname (LABRDSH01) & Jonction au domaine


- Configurer IP (…10.30) & Hostname (LABRDSH01) & Jonction au domaine

- Autoriser la Connexion Bureau à distance

- Ajouter le serveur LABRDSH01 sur la console RDCMan

• LABRDCB01

• LABRDWA01

Ce qu’on a couvert• Déploiement « Standard » de la solution RDS 2012 R2



Tâches post-déploiement d'une




Tâches post-déploiement d'une infrastructure RDS 2012 R2

Plan• Modifier les propriétés du déploiement

• Modifier les propriétés de la Collection

• Configurer les Alertes de Performances


Modifier les propriétés du déploiement


Modifier les propriétés de la Collection


Configurer les Alertes de Performances


Ce qu’on a couvert• Tâches post-déploiement de la solution RDS (mode Rapide & Standard)



Personnalisation de la page




Personnalisation de la page d'Accès Web

Plan• Ajouter le lien de changement de mot de passe

• Changer le Logo, le Favicon et la Bannière

• Changer le nom de l’espace de travail

• Changer le descriptif de l’espace de travail

• DEMO : Personnalisation de la Page d’Accès Web BàD


• DEMO : Personnalisation de la Page d’Accès Web BàD

Ajouter le lien de changement de mot de passe – Part 1


Changer le logo, le Favicon et la Bannière – Part 1


• Copier les images dans C:\Windows\Web\RDWeb\Pages\images

• Editer le fichier C:\Windows\Web\RDWeb\Pages\Site.xsl



Changer le nom de l’espace de travail� Utiliser la cmdlette suivante :

• Set-RDWorkspace –Name ‘Nom de l’espace de travail’’ –ConnectionBrokerFQDNduRDCB

• Exemple : Set-RDWorkspace –Name ‘Espace Alphorm’’ –ConnectionBrokerLABRDCB01.ALPHORM.COM


Changer le descriptif de l’espace de travail• Editer le fichier : C:\Windows\Web\RDWeb\Pages\fr-

FR\RDWAstrings.xml


DEMO• Personnalisation de la Page d’Accès des Services Bureau à distance:

• Ajouter le lien de changement de mot de passe

• Changer le Logo, le Favicon et la Bannière

• Changer le nom de l’espace de travail




Ce qu’on a couvert• Personnalisation de la page d’Accès Web des Services Bureau à distance


Création et gestion des Collections

Une collection, qu'est ce que c'est ?




Une collection, qu'est ce que c'est ?

Plan• Une collection, qu’est ce que c’est ?


Une collection, qu’est ce que c’est ? – Part 1• Elle permet d’organiser les hôtes de session (RDSH) en fermes séparées

• Elle est constituée d’un ou plusieurs hôtes de session, qui ne peuvent être mutualisés entre les collections.

• La collection donne accès à un ou plusieurs groupes d’utilisateurs, à une ou plusieurs applications (RemoteApp) ou bureaux Windows, et ce sur un ou plusieurs hôtes de session.


un ou plusieurs hôtes de session.

Une collection, qu’est ce que c’est ? – Part 2


Ce qu’on a couvert• Définition et fonctionnement d’une Collection sous RDS 2012 R2



Création d'une Collection en mode




Création d'une Collection en mode GUI et CLI

Plan• Création d’une Collection en mode « GUI »

• Création d’une Collection en mode « CLI »


Création d’une Collection en mode « GUI » - Part 1• Via le Gestionnaire de Serveur


Création d’une Collection en mode « GUI » - Part 2


Création d’une Collection en mode « CLI »• Via Windows PowerShell

• Import du module RemoteDesktop :

� Cmdlette : Import-Module RemoteDesktop

• Création de la Collection :


� Cmdlette : New-RDSessionCollection -CollectionName « NomDeLaCollection » –SessionHostFQDNduRDSH -CollectionDescription « Description de la Collection » -ConnectionBrokerFQDNduRDCB

� Exemple :

• New-RDSessionCollection -CollectionName « RessourcesFormateurs » –SessionHostLABRDS01.ALPHORM.COM -CollectionDescription « Collection regroupant les ressources utilisées par les formateurs ALPHORM » -ConnectionBroker LABRDS01.ALPHORM.COM

Ce qu’on a couvert• Création d’une Collection :

� Via le Gestionnaire de Serveur : mode GUI

� Via Windows PowerShell : mode CLI



Installation des Applications sur le




Installation des Applications sur le serveur Hôte de session des services Bureau à distance

Plan• Installation des Applications en mode « GUI »

• Installation des Applications en mode « CLI »


Installation des Applications en mode « GUI »• Depuis le Panneau de Configuration, cliquez sur :

� Installer une application sur un serveur Bureau à distance


• Suivre l’assistant

Installation des Applications en mode « CLI »• Télécharger les sources de l’Application /Programme à publier et copier les sur

le serveur RDSH sur lequel le programme sera publié.

• Depuis cmd.exe lancé en tant qu’Administrateur, saisir :

� Change User /Install

• Installer l’Application /Programme à publier




� Change User /Execute

Ce qu’on a couvert• Installation des Applications sur un Serveur RDSH via :

� Panneau de Configuration : mode « GUI »

� Invite de commande (cmd.exe) : mode « CLI »



Publier et attribuer des




Publier et attribuer des programmes RemoteApp

Plan• Publier des programmes RemoteApp en mode « GUI »

• Publier des programmes RemoteApp en mode « CLI »

• Modifier les propriétés des programmes RemoteApp


Publier des programmes RemoteApp en mode « GUI »

• Via le Gestionnaire de Serveur


Publier des programmes RemoteApp en mode « CLI »• Via Windows PowerShell

� Import-Module RemoteDesktop

� New-RDRemoteApp –Alias AliasDuRemoteApp –DisplayName NomAffichageDuRemoteApp –FilePath "Chemin d’accès au RemoteApp" -ShowInWebAccess 1 –CollectionNameNomDeCollection -ConnectionBroker FQDNduRDCB

Exemple :


� Exemple :

• New-RDRemoteApp –Alias Notepad++ –DisplayName Notepad++ –FilePath"C:\Program Files (x86)\Notepad++\notepad++.exe” -ShowInWebAccess 1 –CollectionName RessourcesALPHORM –ConnectionBrokerLABRDS01.ALPHORM.COM

Modifier les propriétés des programmes RemoteApp – Part 1


Modifier les propriétés des programmes RemoteApp – Part 2


Ce qu’on a couvert• Publier des programmes RemoteApp via :

� Le Gestionnaire de Serveur : mode « GUI »

� Windows PowerShell : mode « CLI »

• Modifier les propriétés des programmes RemoteApp



Distribuer les Programmes




Distribuer les Programmes RemoteApp

Plan• Comment puis-je distribuer les Programmes RemoteApp aux utilisateurs ?

• Distribuer les Programmes RemoteApp via l’Accès Web BàD (Serveur RDWA)

• Distribuer les Programmes RemoteApp via l’Application du Panneau de Configuration

• Distribuer les Programmes RemoteApp via GPO

• Distribuer les Programmes RemoteApp via l’Application Moderne du Windows Store

• Distribuer les Programmes RemoteApp via Copie manuelle des fichiers RDP


• Distribuer les Programmes RemoteApp via Copie manuelle des fichiers RDP

Comment puis-je distribuer les Programmes RemoteApp aux utilisateurs ?

• Les programmes RemoteApp peuvent être distribuées via :

� Le Portail Web : Serveur RDWA (Serveur d'Accès Web BàD)

� L'application "Connexions RemoteApp et Bureau à distance"

� Objets de Stratégie de Groupe

� Application Moderne "Remote Desktop"


� Application Moderne "Remote Desktop"

� Copie manuelle des fichiers .RDP

Distribuer les Programmes RemoteApp via l’Accès Web BàD (Serveur RDWA)


Distribuer les Programmes RemoteApp via l’Application du Panneau de Configuration

• Depuis le Panneau de configuration

• Cliquer sur « Connexions RemoteApp & Bureau à distance »


Distribuer les Programmes RemoteApp via GPO

• Configuration Utilisateur | Stratégies | Paramètres Windows | Scripts


Distribuer les Programmes RemoteApp via l’Application Moderne du Windows Store


Distribuer les Programmes RemoteApp via Copie manuelle des fichiers RDP

• Configurer d’abord (au moins) un ordinateur via l’Application du panneau de Configuration « Connexions RemoteApp et Bureau à distance »

• Copier les fichiers RDP depuis :

� %appdata%\Microsoft\Workspaces\GUID\Ressource


Ce qu’on a couvert• Les différentes méthodes de distribution des programmes RemoteApp



Configurer les paramètres d'une




Configurer les paramètres d'une Collection

Ce qu’on a couvert• Comment configurer les différents paramètres d’une Collection



UPD (User Profile Disk),




UPD (User Profile Disk), qu'est ce que c'est ?

Plan• UPD, qu’est ce que c’est ?

• Prérequis d’activation des UPD

• Activation et configuration des UPD

• DEMO : Activation et configuration des UPD


UPD, qu’est ce que c’est ?• UPD Pour User Profile Disks ou Disques de Profil Utilisateur

• Stocke d’une manière centrale les données de l’utilisateur et de ses applications dans un seul disque virtuel (VHDx) dédié à un seul profil utilisateur

• Les disques virtuels (VHDx) sont stockés dans un partage réseau

• Lors de l’ouverture de session distante par un utilisateur, son disque de profil utilisateur est créé automatiquement dans le dossier partagé, celui-ci porte le SID de l’utilisateur comme nom

• Les disques de profils de tous les utilisateurs sont créés à partir d’un disque de profil modèle nommé UVHD-Template.vhdx


UVHD-Template.vhdx

• Les serveurs RDSH ont le contrôle total sur le partage contenant les UPD

• Le VHDX est monté sous C:\Utilisateurs\<NomUtilisateur> lorsqu’ils se connectent à un serveur RDHS

• Si l’utilisateur n’est pas connecté, l’administrateur peut monter le VHDX manuellement

� Note : UPD VS Pofils itinérant : copie des données de profils de l’utilisateur, qui parfois prend plusieurs minutes | les VHDx sont montés à l’ouverture de session et démonté à la fermeture de la session.

Prérequis d’activation des UPD• Une Collection RDS

• Un partage réseau par Collection RDS


Activation et configuration des UPD – Part 1


DEMO



Ce qu’on a couvert• Définition des UPD

• Prérequis d’utilisation des UPD



Personnaliser l'Expérience Utilisateur

Fonctionnement des connexions




Fonctionnement des connexions distantes

Plan• RDP, qu’est ce que c’est ?

• Historique des versions RDP

• Nouvelles fonctionnalités du protocole RDP v8.1

• Qui définit l’Expérience de l’utilisateur distant ?

• Fonctionnement avancé d’une connexion Bureau à distance


RDP, qu’est ce que c’est ?• RDP pour Remote Desktop Protocole

• Protocole basé sur le protocole T.128

• Protocole qui permet de se connecter à un serveur Terminal Services (sous W2003) ou RDS (sous W2008 /2008 R2 /2012 /2012 R2) via Connexion Bureau à distance

• Les communications entre clients & serveur se font sur le port TCP : 3389


• Les communications entre clients & serveur se font sur le port TCP : 3389

• La première version du protocole RDP (v4.0) était introduite dans la solution « Terminal Services » de l’édition Terminal Server de Windows Server NT 4.0

• Chaque nouvelle version de RDP apporte son lot de nouveautés

Important : ne pas confondre avec RDC (pour Remote Desktop Connection) qui est l’application cliente /client lourd (mstsc.exe) permettant d’établir la connexion à un serveur

TSE /RDSH

Historique des versions RDP

Version RDP Version d’OS Nouveautés

4.0 Windows Server NT 4.0Edition Terminal Server

NA

5.0 Windows Server 2000 Imprimante locale, ClipBoard, Cache local...

5.1 Windows XP Professionnel Redirection de disques, Son, Ports COM…

5.2 Windows Server 2003 Utilisation ressources locales, TLS 1.0


6.0 Windows Vista NLA, Couleurs sur 32bits, Multi-écrans

6.1 Windows Server 2008 EasyPrint, NLA, Passerelle RD, RemoteApps

7.0 Windows 7 Pro /Ultimate & Windows Server 2008 R2

Windows Aero, Certificat de sécurité Auto-signé, Audi Bidirectionnel

8.0 Windows 8 & Windows Server 2012

Ne prend plus en charge Aero Glass !

8.1 Windows 8.1 & Windows Server 2012 R2

VOIR DIAPOSITIVE SUIVANTE �

Nouvelles fonctionnalités du protocole RDP v8.1

• Accélération des délais de reconnexions

• Améliorations niveau « Programmes RemoteApp » :

� Déplacement et redimensionnement des fenêtres des programmes RemoteApp

� Prise en charge des fenêtres transparentes (tel que MS Office 2013)

� Aero Peek et barre des tâches en temps réel


� Aero Peek et barre des tâches en temps réel

• Prise en charge du Session Shadowing (contrôle de session utilisateur)

• En savoir plus : http://support.microsoft.com/kb/2830477

• Note : supporté par Windows 7 SP1

Note : la version du RDP peut être mise à niveau vers une version récente sans réinstallation du complète de l’OS !

Qui définit l’Expérience de l’utilisateur distant ?

• Le protocole RDP : le protocole de communication utilisé entre le client RDC et l’écouteur RDP pour les échanges de données

• L’écouteur RDP : intégré avec la solution TSE/RDS, il permet d’écouter les connexions RDP entrantes et échange les données avec le client RDC

• Client RDC (client lourd : mstsc.exe) : application fournit avec l’OS. Il peut être mise à niveau sans réinstaller l’OS.


peut être mise à niveau sans réinstaller l’OS.

Fonctionnement avancé d’une connexion Bureau à distance

• La communication entre un client RDC & un serveur RDS se fait en réalité à travers des « Canaux Virtuels » et des « PDU »

• Les données entre client et serveur RDS transitent dans des canaux virtuels et la méthode de négociation de « Comment les données » sont envoyées /reçues) est faite par le PDU (Protocol Data Unit)

• 2 types de canaux virtuels :


• 2 types de canaux virtuels :

� Canal Virtuel Statique (Static Virtual Channel – SVC) : 31 canaux maximum

� Canal Virtuel Dynamique (Dynamic Virtual Channel – DVC) : par défaut

Séquence d’une connexion RDP


Ce qu’on a couvert• Définition du protocole RDP

• Historique des versions RDP

• Nouvelles fonctionnalités du protocole RDP 8.1

• Fonctionnement avancé d’une connexion Bureau à distance



Utilisation de l'Expérience




Utilisation de l'Expérience Utilisateur

Plan• Quels outils inclut-elle la fonctionnalité « Expérience Utilisateur » ?

• Méthodes d’installation de l’Expérience Utilisateur

• DEMO : Installation et utilisation de l’Expérience Utilisateur


Quels outils inclut-elle la fonctionnalité « Expérience Utilisateur »

• Paramètres du PC• Panneau de saisie mathématique• Magnétophone• Outil de Capture d’écran

• 9 outils Windows 8.1


• Outil de Capture d’écran• Nettoyage de disque• Table des caractères• Lecteur Windows Media• Programmes par défaut• Windows Store

Méthodes d’installation de l’Expérience Utilisateur• 2 méthodes d’installation :

� Via la Gestionnaire de Serveur :


� Via Windows PowerShell :

• Add-WindowsFeature Desktop-Experience

DEMO• Installation et utilisation de la fonctionnalité Expérience Utilisateur


Ce qu’on a couvert• Outils fournit avec la fonctionnalité « Expérience Utilisateur »

• Installation et utilisation de la fonctionnalité « Expérience Utilisateur »



Redirection des ressources locales




Redirection des ressources locales sur une session bureau à distance

Plan• Comment configurer la redirection des périphériques et ressources sur une

session Bureau à distance ?

• Les niveaux de configuration via GPO

• DEMO : Configuration des options de redirection de périphériques et ressources vers une session Bureau à distance


Comment configurer la redirection des périphériques et ressources sur une session Bureau à distance ?

• 4 méthodes de configuration :

� Via GPO : Priorité #1

� Via la console « Utilisateurs & Ordinateurs AD » : Priorité #2

• Redirection de disques et d’imprimantes locales uniquement

� Via le Gestionnaire de Serveur | Propriétés de la Collection : Priorité #3


� Via le Gestionnaire de Serveur | Propriétés de la Collection : Priorité #3

� Via le client RDC : Priorité #4

Les niveaux de configuration via GPO• 2 niveaux de configuration:

� Config-Utilisateur:


� Config-Ordinateur

DEMO

• Configuration des options de redirection de périphériques et ressources vers une session Bureau à distance


Ce qu’on a couvert• Ordre de priorité de l’application des options de redirection de

périphériques et ressources vers une session Bureau à distance

• Configuration des options de redirection de périphériques et ressources vers une session Bureau à distance



Impression avec "Easy Print" à




Impression avec "Easy Print" à partir d'une session Bureau à

distance

Plan• Microsoft Easy Print, qu’est ce que c’est ?

• Configuration de l’impression universelle « Easy Print » avec RDS 2012

• DEMO : Configuration de l’impression universelle « Easy Print » avec RDS 2012


Microsoft Easy Print, qu’est ce que c’est ?

• Fonctionnalité apparue avec Windows Server 2008 R2

• Pas de grand changement avec Windows Server 2012 et 2012 R2 !

• Le Driver Easy Print est installé par défaut quand le rôle RDS est déployé

• Permet d’éviter d’installer tous les drivers d’imprimantes redirigées par tous les clients RDS (postes clients distants) sur un serveur RDSH


tous les clients RDS (postes clients distants) sur un serveur RDSH

• Utilisé par le serveur RDSH quand celui-ci ne dispose pas du Driver d’imprimante présente sur le poste client distant.

• Mappage du Driver de l’Imprimante du client RDS au Driver Easy Print

DEMO• Configuration de l’impression universelle « Easy Print » avec RDS 2012


Ce qu’on a couvert• Configuration de l’impression universelle « Easy Print » avec RDS 2012



Authentification Unique (SSO)




Authentification Unique (SSO)

Plan• SSO avec Windows 8.1 & Windows Server 2012 R2

• SSO avec des OS Clients antérieurs à Windows 8

• DEMO : Configuration de l’Authentification Unique (SSO)


SSO avec Windows 8.1 & Windows Server 2012 R2

• Aucune configuration n’est requise


SSO avec des OS Clients antérieurs à Windows 8 • Via GPO

� Configuration Ordinateur | Stratégies | Modèles d’Administration | Système | Délégation d’informations d’identification


DEMO• Configuration de l’Authentification Unique (SSO)


Ce qu’on a couvert• Authentification Unique (SSO) avec RDS 2012 R2


Sécuriser l'environnement Utilisateur

Sécuriser l'accès au serveur




Sécuriser l'accès au serveur RemoteApp

Plan• Comment peut-on verrouiller le serveur RDSH /RemoteApp ?

• Restreindre la redirection des ressources et périphériques

• Restreindre la redirection des imprimantes

• Restreindre l’accès au Panneau de configuration

• Restreindre l’installation des Pilotes d’imprimantes

• Restreindre l’accès au Registre



• Restreindre l’accès aux Mises à jour automatique de Windows

• Restreindre l’accès au Menu Démarré et aux options Réseau

• Cacher les icones du Bureau

• Restreindre l’accès au Lecteur CD et Lecteur de Disquette

• Restreindre l’accès à l’Invite de commande

• Restreindre l’accès au Gestionnaire des Tâches

Comment peut-on verrouiller le serveur RDSH /RemoteApp ?

• Restreindre la redirection des ressources et périphériques

• Restreindre la redirection des imprimantes

• Restreindre l’accès au Panneau de configuration

• Restreindre l’installation des Pilotes d’imprimantes





• Restreindre l’accès au Menu Démarré et aux options Réseau

• Cacher les icones du Bureau

• Restreindre l’accès au Lecteur CD et Lecteur de Disquette

• Restreindre l’accès à l’Invite de commande

• Restreindre l’accès au Gestionnaire des Tâches

Restreindre la redirection des ressources et périphériques

• Via GPO :

� Configuration Ordinateur | Stratégies | Modèles d’Administration | Composants Windows | Services Bureau à distance | Hôte de la session Bureau à distance | Redirection de périphérique et de ressource

• Via la console « Utilisateurs & Ordinateurs Active Directory »


• Via les propriétés de la Collection

Restreindre l’accès au Panneau de configuration

• Via GPO :

� Configuration Utilisateur | Stratégies | Modèles d’Administration | Panneau de Configuration

� Paramètre : Interdire l’accès au Panneau de Configuration et aux paramètres du PC


Restreindre l’installation des Pilotes d’imprimantes

• Via GPO :

� Configuration Ordinateur | Stratégies | Paramètres Windows | Paramètres de Sécurité | Stratégies locales | Options de Sécurité

� Paramètre : Périphériques : empêcher les utilisateurs d’installer les Pilotes d’imprimante


Restreindre l’accès au Registre

• Via GPO :

� Configuration Utilisateur | Stratégies | Modèles d’Administration | Système

� Paramètre : Empêcher l’accès aux outils de modification du Registre


Restreindre l’accès aux Mises à jour automatique de Windows

• Via GPO :


� Paramètre : Mises à jour automatique Windows


Restreindre l’accès au Menu Démarré et aux options Réseau

• Via GPO :

� Configuration Utilisateur | Stratégies | Modèles d’Administration | Menu Démarré et barre des tâches

� Paramètres : désactiver les paramètres qui répondent à votre besoin !


Cacher les icones du Bureau• Via GPO :

� Configuration Utilisateur | Stratégies | Modèles d’Administration | Bureau

� Paramètres :

• Masquer et désactiver tous les éléments du Bureau

• Supprimer Poste de travail du Bureau


• Supprimer Poste de travail du Bureau

Restreindre l’accès au Lecteur CD et Lecteur de Disquette

• Via GPO :

� Configuration Ordinateur | Stratégies | Paramètres Windows | Paramètres de Sécurité | Stratégies locales | Options de Sécurité

� Paramètres :

• Périphériques : Autoriser l'accès au CD-ROM uniquement aux utilisateurs ayant ouvert une session localement


• Périphériques : Autoriser l'accès au CD-ROM uniquement aux utilisateurs ayant ouvert une session localement

• Périphériques : ne permettre l'accès aux disquettes qu'aux utilisateurs connectés localement

Restreindre l’accès à l’Invite de commande

• Via GPO :


� Paramètre : Désactiver l’accès à l’Invite de commande


Restreindre l’accès au Gestionnaire des Tâches

• Via GPO :

� Configuration Utilisateur | Stratégies | Modèles d’Administration | Système | Options Ctrl+Alt+Suppr

� Paramètre : Supprimer le Gestionnaire des tâches


DEMO• Verrouiller /Sécuriser un serveur RDSH /Remote


Ce qu’on a couvert• Comment verrouiller /sécuriser un serveur RDSH /RemoteApp



Empêcher les utilisateurs d'exécuter




Empêcher les utilisateurs d'exécuter des Applications indésirables

Plan• Comment peut on empêcher les utilisateurs d’exécuter les Apps indésirables ?

• Via GPO

• Via AppLocker

• DEMO : empêcher les utilisateurs d’exécuter les Apps indésirables


Comment peut on empêcher les utilisateurs d’exécuter les Apps indésirables ?

• Deux méthodes :

� Via GPO

� Via AppLocker


Via GPO• Configuration Utilisateur | Stratégies | Modèles d’Administration | Système

� Paramètres :

• Ne pas exécuter les applications Windows spécifiées

• Exécuter uniquement les applications Windows spécifiées


Via AppLocker

• AppLocker permet de spécifier les utilisateurs ou groupes d’utilisateurs pouvant exécuter des applications particulières

• Vous pouvez créer des règles pour autoriser ou refuser l’exécution d’Applications

• En savoir plus : https://technet.microsoft.com/en-us/library/hh994629.aspx


DEMO

• Empêcher les utilisateurs d’exécuter les Apps indésirables suivantes :

� Table des caractères


Ce qu’on a couvert• Comment peut on empêcher les utilisateurs d’exécuter les Apps

indésirables



Disponibilité du serveur Hôte de




Disponibilité du serveur Hôte de session des services Bureau à

distance

Plan• Quelles sont les options de configuration de la disponibilité du serveur RD SH ?

• Via GPO

• Via Services Windows

• Via le Gestionnaire de Serveur

• Via Outils en ligne de commande


• Via le Registre

• DEMO : Configurer la disponibilité du Serveur RDSH

Quelles sont les options de configuration de la disponibilité du serveur RD SH ?

• La disponibilité du serveur RDSH peut être configuré via :

� GPO

� Services Windows

� Gestionnaire de Serveur

� Outils en ligne de commande


� Outils en ligne de commande

� Le Registre

Via Service Windows

• Net stop TermService

• La commande arrête le service Windows principal utilisé par le serveur RDSH


Via le Gestionnaire de Serveur


Via Outils en ligne de commande

• Chglogon.exe ou CHANGE LOGON

• Chglogon.exe /Disable | CHANGE LOGON /Disable


Via le Registre

• HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Terminal Server\fDenyTSConnections

• Valeur de données :

� 1 : désactiver les connexions | 0 : activer les connexions


DEMO• Configurer la disponibilité du Serveur RDSH


Ce qu’on a couvert• Configurer la disponibilité du serveur RDSH



Contrôler les sessions utilisateurs à




Contrôler les sessions utilisateurs à distance

Plan• Quelles sont les options de prise de contrôle des sessions RDS ?

• Contrôle via Interface graphique

• Contrôle via Outil en ligne de commande

• DEMO : contrôler une session RDS


Quelles sont les options de prise de contrôle des sessions RDS ?

• Deux options de prise de contrôle de session RDS

� Contrôle via Interface graphique (Gestionnaire de Serveur)

� Contrôle via Outil en ligne de commande (MSTSC.exe /Shadow)


Contrôle via Interface graphique


Contrôle via Outil en ligne de commande • Utilisation de l’outil MSTSC.exe

• Syntaxe :

� MSTSC /Shadow:IDdelaSession /Control

� Exemple de prise de contrôle de la session de John DEO ayant l’ID 3 :

• MSTSC /Shadow:3 /Control


DEMO• Contrôler une session RDS


Ce qu’on a couvert• Comment contrôler les sessions RDS


Sécuriser les connexions RDP

Technologies de sécurité à




Technologies de sécurité à connaître

Plan• Mon infrastructure RDS est-elle sécurisée ?

• Les différents niveaux de sécurité d’une infrastructure RDS

• Fonctionnalités de sécurité & Technologies de sécurité

• Chiffrement des données RDP

• Authentification du Serveur RDSH


• SSL /TLS, qu’est ce que c’est ?

• Authentification des Utilisateurs RDS

• NLA, qu’est ce que c’est ?

Mon infrastructure RDS est-elle sécurisée ?

• Le chapitre précédent « Sécuriser l'environnement Utilisateur » montre comment sécuriser l’accès au serveur RDSH uniquement !

• Les communications /échanges (RDP) entre le serveur RDSH et les utilisateurs distants sont elles sécurisées /chiffrées ? :

� Interception d’une connexion RDP et récupération des données !!


� Authentification d’un utilisateur sur un « faux » serveur RDSH !!

� Demande de connexion RDP d’un utilisateur « non autorisé » sur un serveur RDSH !!

Les différents niveaux de sécurité d’une infrastructure RDS

• Une connexion RDP sécurisée dépend des 3 éléments suivants :

� Chiffrement des données échangées entre client et serveur RD SH

� Sécurité lors de l’établissement d’une connexion RDP sur un serveur RDSH

� Sécurité lors de l’authentification des utilisateurs sur un serveur RDSH


Fonctionnalités de sécurité & Technologies de sécurité

Fonctionnalité de Sécurité Technologie de Sécurité


Chiffrement des données RDP


Authentification du Serveur RDSH• Le protocole SSL /TLS établit un tunnel sécurisé entre client

et serveur RDS

• Un certificat SSL (présent sur le Serveur RDSH & poste de travail distant) est utilisé pour authentifier le Serveur RDSH

• La couche de sécurité SSL (TLS en v1.0) doit être utilisé sur


• La couche de sécurité SSL (TLS en v1.0) doit être utilisé sur le RDSH

SSL /TLS, qu’est ce que c’est ?• TLS pour Transport Layer Security

• SSL pour Secure Sockets Layer

• Le protocole SSL a été développé par Netscape et a été adopté ensuite par IETF.

• IETF a poursuit le développement et a nommé le nouveau protocole TLS


• IETF a poursuit le développement et a nommé le nouveau protocole TLS

• Le protocole SSL n’existe plus, il est remplacé par TLS

• La version TLS pris en charge par RDS 2012 R2 est la 1.0

• La version 1.0 du protocole TLS correspond à SSL v3.1

Authentification des Utilisateurs RDS• Une session Bureau à distance est créée avant la vérification de

l’identité de l’utilisateur distant

• Des attaques types « DoS : Denial of Service » peuvent rendre le serveur RD SH indisponible

• Un utilisateur non autorisé peut compromettre un serveur RDSH et récupérer les données qu’il contient


récupérer les données qu’il contient

NLA, qu’est ce que c’est ?• NLA pour Network Level Authentication

• NLA est une méthode d’authentification nécessitant l’authentification du client distant auprès du RD SH avant même la création de sa session.

• NLA améliore la sécurité du serveur RD SH

• Diminue la surface d’attaque par DoS (Denial of Service)


• Diminue la surface d’attaque par DoS (Denial of Service)

• Nécessite RDP v6.0 et plus

• Nécessite le protocole CredSSP pour Credential Security Support Provider

• NLA (& CredSSP) sont pris en charge par Windows XP SP3 et ultérieur

Ce qu’on a couvert• Les différentes fonctionnalités et technologies de sécurité à connaitre

pour sécuriser son infrastructure RDS 2012 R2



Utiliser le chiffrement




Utiliser le chiffrement des données RDP

Plan• Méthodes de configuration du Chiffrement RDP

• Configuration via le Gestionnaire de Serveur

• Configuration via GPO

• Configuration via le Registre

• DEMO : Configuration du chiffrement des données RDP


• DEMO : Configuration du chiffrement des données RDP

Méthodes de configuration du Chiffrement RDP

• Le Chiffrement RDP peut être configuré via :

� Le Gestionnaire de Serveur

� GPO (GPedit.msc OU GPMC.msc)

� Le Registre (Regedit.msc)


Configuration via le Gestionnaire de Serveur

• Gestionnaire de Serveur > Services Bureau à distance > Collection > NomDeLaCollection > Propriétés > Sécurité


Configuration via le Registre

• Lancez regedit.exe > Naviguez jusqu’au

HKLM\SYSTEM\CurrentControlSet\Control\Terminal Server\WinStations\RDP-tcp > Clé :

MinEncryptionLevel | Valeur de la clé : 1 – 2 – 3 ou 4 pour les 4 niveaux (par défaut 2)


DEMO• Configuration du chiffrement des données RDP


Ce qu’on a couvert• Les différentes méthodes de configuration du Chiffrement RDP



Configurer l’Authentification du




Configurer l’Authentification du Serveur RDSH

Plan• Types d’authentification de serveur

• Certificat SSL pour le serveur RD SH

• Méthodes de Configuration de l’authentification du serveur RD SH

• Configuration de l’authentification du serveur RD SH via le Gestionnaire de Serveur

• Configuration de l’authentification du serveur RD SH via GPO


• Configuration de l’authentification du serveur RD SH via GPO

• DEMO : Configuration de l’authentification du serveur RDSH

Types d’authentification de serveur • 3 modes d’authentification:

� Couche de sécurité RDP

� Négocier

� SSL (TLS 1.0)


Certificat SSL pour le serveur RD SH• L’authentification SSL (en utilisant TSL 1.0) nécessite l’utilisation d’un

certificat SSL

• Après l’installation du service de rôle RD SH, un certificat SSL auto-signé est généré

• Ce certificat est géré uniquement par le serveur RD SH lui-même


• Le certificat SSL auto-signé doit être présent dans le magasin de certificats sur chaque poste de travail client > dans Autorité de certification racine de confiance.

Méthodes de Configuration de l’authentification du serveur RD SH

• 2 méthodes de configuration :


� Via GPO


Configuration de l’authentification du serveur RD SH via le Gestionnaire de Serveur


DEMO• Configuration de l’authentification du serveur RDSH


Ce qu’on a couvert• Les modes d’authentification du serveur RD SH

• Configuration de l’authentification du serveur RD SH



Configurer l’Authentification des




Configurer l’Authentification des Clients RDS avec NLA

Plan• Les méthodes de configuration du NLA

• La configuration du NLA via le Gestionnaire de Serveur

• La configuration du NLA via GPO

• DEMO : Configuration de l’authentification NLA


Les méthodes de configuration du NLA• Deux méthodes de configuration :

� Via le gestionnaire de Serveur

� Via GPO


La configuration du NLA via le Gestionnaire de Serveur• L’authentification NLA est activée par défaut


DEMO• Configuration de l’authentification NLA


Ce qu’on a couvert• Configuration de l’authentification NLA


Gérer une infrastructure RDS 2012 R2

Introduction aux Outils de gestion




Introduction aux Outils de gestion d’une infrastructure RDS 2012 R2

Plan• Quels sont les outils de gestion d’une infrastructure RDS ?

• Gestion via Gestionnaire de Serveur

• Gestion via Outils en ligne de commande

• Gestion à distance depuis Windows 8 et 8.1 via les Outils RSAT


Quels sont les outils de gestion d’une infrastructure RDS ?

• Une infrastructure RDS peut être gérée localement et à distance via :

� Le Gestionnaire de Serveur : localement et à distance

� Des outils en ligne de commande : localement et à distance

� Outils RSAT depuis Windows 8 /8.1 : à distance uniquement

� Objets de Stratégie de Groupe (GPO) : localement et à distance


� Objets de Stratégie de Groupe (GPO) : localement et à distance

� L’éditeur de Registre (regedit.exe) : localement uniquement

Gestion via Gestionnaire de Serveur


Gestion via Outils en ligne de commande• Change.exe

� Change Logon | Change Port

• Logoff.exe

• MSG.exe

• Query.exe� Query Session | Query Process | Query TermServer | Query User

• Reset.exe


• Reset.exe� Session

• Shadow.exe

• TSCon.exe

• TSDiscon.exe

• TSKill.exe

• TSProf.exe

Gestion à distance depuis Windows 8 et 8.1 via les Outils RSAT

• Via les outils RSAT (Remote Server Administration Tools) depuis un Windows 8 ou Windows 8.1

� Installer /Ajouter :

• Outils des Services Bureau à distance

• Gestionnaire de Serveur

• Via les outils RSAT (Remote Server Administration Tools) depuis un Windows


• Via les outils RSAT (Remote Server Administration Tools) depuis un Windows Server 2012 ou 2012 R2

� Installer /Ajouter :

• Outils de diagnostic des licences des services Bureau à distance

• Outils de la passerelle des services Bureau à distance

• Outils du gestionnaire de licences des services Bureau à distance

Ce qu’on a couvert• Outils de gestion (GUI & CLI) d’une infrastructure RDS


Impossible d'afficher l'image. Votre ordinateur manque peut-être de mémoire pour ouvrir l'image ou l'image est endommagée. Redémarrez l'ordinateur, puis ouvrez à nouveau le fichier. Si le x rouge est toujours affiché, vous devrez peut-être supprimer l'image avant de la réinsérer.


Gérer une infrastructure RDS 2012




Gérer une infrastructure RDS 2012 R2 via le Gestionnaire de Serveur

Ce qu’on a couvert• Gérer une infrastructure RDS 2012 R2 via le Gestionnaire de Serveur







Gérer une infrastructure RDS 2012 R2 via les Outils RSAT

Ce qu’on a couvert• Gérer une infrastructure RDS 2012 R2 via les Outils RSAT







Gérer une infrastructure RDS 2012 R2 via des Outils en ligne de

commande

Ce qu’on a couvert• Gérer une infrastructure RDS 2012 R2 via des Outils en ligne de

commande



Surveiller et mettre fin à un




Surveiller et mettre fin à un Processus

Ce qu’on a couvert• Comment surveiller et mettre fin à un Processus



Surveiller et mettre fin à une




Surveiller et mettre fin à une session Utilisateur

Ce qu’on a couvert• Comment surveiller et mettre fin à une session Utilisateur



Mettre un Serveur RDSH en




Mettre un Serveur RDSH en mode "Maintenance"

Ce qu’on a couvert• Comment mettre un Serveur RDSH en mode "Maintenance"


Déployer et configurer un Serveur de Licences des Services Bureau à distance

Modèles de Licences RDS




Modèles de Licences RDS

Plan• Modèles de Licences RDS

• Licences RDS

• Suivi et protection des Licences

• Ce que vous devez connaître


Modèles de Licences RDS• 2 modèles de Licences sous Windows Server 2012 R2

� Licence RDS (ou RDS CAL : Remote Desktop Services Client Access License)• Pour l’accès aux serveurs : RD SH – RD WA – RD CB – RD CB

� Licence VDI (ou VDI CAL : Virtual Desktop Infrastructure Client Access License)


� Licence VDI (ou VDI CAL : Virtual Desktop Infrastructure Client Access License)

• Pour l’accès aux VMs personnelles et/ou aux Pools de VMs hébergées sur Hôte de Virtualisation RD et l’utilisation du Serveur Broker RD.

Note : un seul modèle de licence existait sous Windows Server 2000/ 2003 /2008.

il s’agit du TS CAL (Terminal Services Client Access License)

Licences RDS• Permet l’accès à l’ensemble des services de rôles de la solution RDS

• Inclut le droit d’utilisation de la solution App-V

• 3 options de licence � RDS CAL « Par-Périphérique »

� RDS CAL « Par-Utilisateur »

� RDS External Connector

• Les 2 premières options de licence sont les plus fréquemment utilisées en entreprise.


• Les 2 premières options de licence sont les plus fréquemment utilisées en entreprise.

• Les CAL TS 2008 et CAL RDS 2008 R2 peuvent être installées et utilisées pour RDS 2012 R2

Note : Le modèle de Licence TS Windows Server 2000 incluait uniquement l’option « Par-Périphérique » | Le modèle de Licence TS Windows Server 2003 /2008 /2008 R2 incluait les deux

options de Licences « Par-Périphérique & Par-Utilisateur »

Suivi et protection des Licences

Type de Licence Suivie Protégée

CAL RDS Par-Utilisateur

CAL RDS Par-Périphérique

CAL RDS External Connector


Important : un serveur RD SH configuré en mode « Par-Utilisateur » accepte toute demande de connexion et autorise tout utilisateur à s’y connecter

même si le nombre de CALs RDS « Par-Utilisateur » installées est saturé !! Faille MS :-D

Ce que vous devez connaître• Jusqu’à 2 connexions Bureau à distance simultanée > pas de CAL RDS

• Après le déploiement du rôle RDS en mode « Rapide » ou « Standard », celui-ci peut être exploité pendant 120 jours : période d’évaluation

• Des CALs RDS doivent être installées avant le 121ème jours sinon perte des 2 connexions Bureau à distance offertes par Microsoft


Ce qu’on a couvert• Les modèles de Licences RDS 2012 R2

• Le suivi et la protection des Licences RDS 2012 R2



Comment un serveur de Licence




Comment un serveur de Licence RDS attribue-t-il des CALs RDS ?

Plan• Période de grâce des serveurs RDS

• Fonctionnement d’un serveur de licence (RD LS)

• Processus de demande de licence par un client RDS

• Redondance de serveurs RD LS


Période de grâce des serveurs RDS

• Le serveur RD SH est sous période de grâce pendant 120 jours

• La période de grâce commence à partir du moment ou la serveur accepte sa première connexion client.

• Pendant la période de grâce, le serveur RD SH accepte un nombre illimité de connexions Bureau à distance et ce, sans contacter un serveur de Licence.

• La période de grâce s’achève après :


• La période de grâce s’achève après :

� 120 Jours

� Installation des CAL RDS sur le serveur de Licence ET DISTRIBUTION DE LA PREMIERE LICENCE RDS. Le serveur RD SH comprendra donc qu’il faudrait des licences pour toute future connexion Bureau à distance.

Note : Un serveur de Licence RDS est aussi valable pendant 120 jours après son installation. Cette période s’achève après la première attribution de Licence à un client

Fonctionnement d’un serveur de licence (RD LS) – Partie 1

• Quand un client RDS se connecte à un serveur RD SH (Ferme RDS), le serveur demande au client de présenter sa licence, selon le mode de Licence configuré (Par-Utilisateur ou Par-Périphérique)

• Si le mode de Licence est «Par-Utilisateur », le serveur RD SH vérifie lors de l’authentification de l’utilisateur sa licence qui est un attribut Active Directory du compte utilisateur (propriétés du compte utilisateur AD)

• Si le mode de Licence est « Par-Périphérique », l’ordinateur doit présenter sa licence qui


• Si le mode de Licence est « Par-Périphérique », l’ordinateur doit présenter sa licence qui est stockée dans la BDR (Base De Registre)

• Toutes les licences fournies par un serveur de Licence RDS sont valables de 52 à 89 jours, donc celles-ci peuvent être libérées à partir de cette période pour être distribuées à nouveau à d’autres utilisateurs /ordinateurs.

• Les licences sont renouvelées à partir de la dernière semaine avant leurs expirations, et ce, pour une période allant de 52 à 89 jours.

Fonctionnement d’un serveur de licence (RD LS) – Partie 2

• Les licences RDS « Par-Périphérique » peuvent être révoquées ‘manuellement’ avant leurs dates d’expiration. Cette opération permet de libérer la licence immédiatement et éviter d’attendre la fin de la période de validité de la licence.

• Si un client RDS ne disposant d’aucune licence valide se connecte sur un serveur RD SH, ce dernier va tenter d’obtenir une licence auprès d’un serveur de Licence à l’ouverture de session Bureau à distance.

Si le serveur RD SH ne trouve aucun serveur de Licence RDS disponible pour


• Si le serveur RD SH ne trouve aucun serveur de Licence RDS disponible pour obtenir une nouvelle licence pour un client RDS ou renouveler sa licence, la Licence expire.

Question : qu’est ce qui se passe si le serveur RD SH n’arrive pas à obtenir une licence pour un nouvel utilisateur ou renouveler sa licence existante ?!!!

Processus de demande de licence par un client RDSScénario Mode « Par-utilisateur » Mode « Par-Périphérique »

Le serveur RD SH n’a jamais trouvé de serveur de Licence RDS et est en période de

grâce

Le serveur RD SH émet une licence RDS temporaire valable 90 jours

Le serveur RD SH émet une licence RDS temporaire valable 90 jours

Le serveur RD SH n’a jamais trouvé de serveur de Licence RDS et est hors période

de grâce

Le serveur RD SH rejettera toute demande de connexion. Connexion

Bureau à distance impossible

Le serveur RD SH rejettera toute demande de connexion. Connexion

Bureau à distance impossible

Le serveur RD SH a trouvé le serveur de Licence RDS mais ce dernier n’a aucune licence RDS installée et n’est même pas

Les connexions Bureau à distance sont autorisées pendant 120 jours.

Les connexions Bureau à distance sont autorisées pendant 120 jours.


licence RDS installée et n’est même pas activé mais il est en période de grâce.

Le serveur RD SH a trouvé le serveur de Licence RDS mais ce dernier n’a aucune

licence RDS installée et il est hors période de grâce.

Le serveur RD SH autorisera les connexions Bureau à distance

Le serveur RD SH n’autorisera pas les connexions Bureau à distance « Mode de

Licence Protégé !! »

Le serveur RD SH a trouvé le serveur de Licence avec des Licences RDS installées

Le serveur RD SH communique le nom d’utilisateur essayant de se connecter au

serveur de Licence RDS. Ce dernier contacte le service AD DS pour définir la propriété (Licence RDS) sur le compte utilisateur AD

Le serveur RD SH contacte le serveur de Licence RDS et lui communique l’ID du

matériel (HWID) de la machine essayant de se connecter. Le serveur de Licence attribue

une licence RDS au HWID et crée un enregistrement de l’attribution de la Licence.

Redondance de serveurs RD LS

• Pour une avoir une infrastructure de Licence RDS redondante, il suffit de déployer plusieurs serveurs de Licence RDS (2 et plus) et y installer le même type & quantité de CAL RDS

• Il faut spécifier ensuite tous les serveurs de Licence RDS sur chaque serveur RD SH, et ce, soit via le Gestionnaire de Serveur ou via GPO


Ce qu’on a couvert• Définition de la Période de grâce des serveurs RDS

• Fonctionnement du serveur RD LS

• Processus de demande /obtention de licence par les clients RDS

• Redondance d’une infrastructure de licence RDS



Installation et configuration du




Installation et configuration du serveur de Licence RDS (RD LS)

Plan• Méthodes d’installation du serveur de Licence RDS

• Installation via le Gestionnaire de Serveur

• Installation via Windows PowerShell

• Tâches post-déploiement du serveur de licence RDS

• DEMO : Installation et configuration du Serveur de Licence RDS


Méthodes d’installation du serveur de Licence RDS

• Le serveur de Licence RDS (RDLS) peut être déployé via :

� Le gestionnaire de Serveur (GUI)

� Windows PowerShell (CLI)


Installation via le Gestionnaire de Serveur

• Mode Standard :

� Gestionnaire de Serveur > Ajouter des rôles et des fonctionnalités > Installation basée sur un rôle ou une fonctionnalité > Services Bureau à distance > Gestionnaire de Licence des SBàD

• Mode Rapide :


Installation via Windows PowerShell• Lancer Windows PowerShell en tant qu’Administrateur et saisir :

� Install-WindowsFeature RDS-Licensing -IncludeManagementTools


Tâches post-déploiement du serveur de licence RDS – Part 1

• Activer le serveur de Licence RDS

• Ajouter le serveur de Licence RDS dans le groupe de sécurité AD :

� Serveurs de licence des Services Terminal Server

• Action nécessitant le droit : Administrateur de l’entreprise

• Déclarer /Spécifier le serveur de Licence RDS sur la ferme RDS (les


• Déclarer /Spécifier le serveur de Licence RDS sur la ferme RDS (les serveurs RD SH) ainsi que le mode de Licence.

Tâches post-déploiement du serveur de licence RDS – Part 2


DEMO• Installation du Serveur de Licence RDS

• Tâches post-déploiement du serveur de Licence RDS


Ce qu’on a couvert• Déploiement du serveur de Licence RDS via :

� Gestionnaire de Serveur

� Windows PowerShell

• Tâches post-déploiement du serveur de Licence RDS



Installation des CALs RDS et




Installation des CALs RDS et Migration d'un serveur de Licence

RDS à un autre

Plan• Installation des CAL RDS

• Migration des CALs RDS vers un autre serveur de Licence RDS


Installation des CAL RDS


Migration des CALs RDS vers un autre serveur de Licence RDS


Ce qu’on a couvert• Installation des CALs RDS et migration des CALs existantes vers un autre

serveur de Licence RDS.



Reconstruction de la base de




Reconstruction de la base de données du serveur de Licence RDS

Plan• Reconstruction de la base de données du serveur de Licence RDS


Reconstruction de la base de données du serveur de Licence RDS


Ce qu’on a couvert• Reconstruction de la base de données du serveur de Licence RDS



Sauvegarde de la BDD du




Sauvegarde de la BDD du serveur de Licence RD

Ce qu’on a couvert• Sauvegarde de la BDD du serveur de Licence RD



Gestion et rapports d'utilisation des




Gestion et rapports d'utilisation des Licences RDS

Plan• Gestion et rapports d'utilisation des Licences RDS


Gestion et rapports d'utilisation des Licences RDS


Ce qu’on a couvert• Gestion et rapports d'utilisation des Licences RDS



Utilisation de l'Outil "Diagnostic de




Utilisation de l'Outil "Diagnostic de Licences RDS"

Plan• Utilisation de l'Outil "Diagnostic de Licences RDS"


Utilisation de l'Outil "Diagnostic de Licences RDS"


Ce qu’on a couvert• Utilisation de l'Outil "Diagnostic de Licences RDS"



Mise en place de la haute disponibilité




Mise en place de la haute disponibilité du serveur de Licence RDS

Plan• Prérequis d’une infrastructure de Licence RDS HA

• Mise en place d’une infrastructure de Licence RDS HA

• DEMO : Configuration de la redondance du serveur de Licence RDS


Prérequis d’une infrastructure de Licence RDS HA

• Avoir « au moins » 2 serveurs de Licence RDS 2012 R2

• Tous les serveurs de Licence RDS doivent être configurés d’une manière identique : même nombre de CALs, même mode de Licence, même version d’OS server, même SP …


Mise en place d’une infrastructure de Licence RDS HA• Déployer au moins un deuxième serveur de Licence RDS 2012 R2

• Activer le deuxième serveur RDS

• Installer le même nombre de CALs présentes sur le premier serveur de licence RDS

• Spécifiez (via GPO de préférence) le deuxième serveur de Licence RDS


• Spécifiez (via GPO de préférence) le deuxième serveur de Licence RDS sur tous les serveurs Hôte de Session.

DEMO

• Configuration de la redondance du serveur de Licence RDS


Ce qu’on a couvert• Redondance du serveur de Licence RDS 2012 R2


Déployer et configurer une Passerelle des Services Bureau à distance

Fonctionnement de la




Fonctionnement de la Passerelle RDS

Plan• Qu’est ce qu’une Passerelle RDS ?

• Fonctionnement de la Passerelle RDS

• Architecture d’une infrastructure RDS avec une Passerelle RDS

• Pré requis de la Passerelle RDS


Qu’est ce qu’une Passerelle RDS ?

• Aussi appelé RDG (pour Remote Desktop Gateway)• Composant intermédiaire entre les utilisateurs externes et les ressources internes

(Serveurs RD SH, Serveurs RemoteApp) auxquelles ils ont accès.• Permet de gérer « Qui est » autorisé à se connecter via la Passerelle RDS (CAP) et

« Qui doit accéder à quoi » (ressources internes : Serveurs RD SH – RemoteApp (RAP)

• La passerelle RDS se base 2 stratégies définit par l’administrateur :� Stratégies d’Autorisation des Connexions (CAPs: Connection Access Policies)


� Stratégies d’Autorisation des Connexions (CAPs: Connection Access Policies)

� Stratégies d’Autorisation d’Accès aux Ressources (RAPs: Ressource Access Policies)

Fonctionnement de la Passerelle RDS

• Le client distant (Externe) tente de se connecter sur un serveur RD SH (Connexion Bureau à distance ou lancement d’un programme RemoteApp) en passant par la Passerelle RDS (Hostname ou IP de la passerelle est configurée dans le fichier rdp ou le package .msiinstallé.

• La passerelle RDS authentifie l’utilisateur distant (login /password) et vérifie s’il est autorisé à se connecter (à passer par la passerelle) en vérifiant la stratégie d’autorisation de connexion (CAP).


• Si l’utilisateur est authentifié & autorisé à se connecter à la Passerelle RDS, ensuite cette dernière vérifie que l’utilisateur est maintenant autorisé à accéder aux ressources locales (RD SH, programme RemoteApp) en vérifiant la stratégie d’autorisation d’accès aux ressources. Si c’est le cas, l’utilisateur est redirigé vers la ressource à laquelle à accès.

• Tout le trafic passe par la Passerelle RDS, la connexion RDP entre le client distant et la ressource locale (RD SH ou Programme RemoteApp ..) est établit également par celle-ci.

VOIR SCHEMA D’ARCHITECTURE SUIVANT

Architecture d’une infrastructure RDS avec une Passerelle RDS


Pré requis de la Passerelle RDS• La Passerelle RDS peut être une VM (Machine Virtuelle) ou un serveur physique

• Les prérequis matériels dépendent de la charge prévue pour la passerelle RDS

• Si la RDG est placée dans une DMZ et doit gérer plusieurs centaines ou milliers de connexions entrantes, prévoir :

� Réseau

• La passerelle doit être placé sur un réseau local ayant une vitesse de 1 GB /s


• La passerelle doit être placé sur un réseau local ayant une vitesse de 1 GB /s

• Carte réseau Ethernet Gigabit (type NIC Inter Gigabit Ethernet)

� RAM

• RAM : 4 GB Minimum > entre 0 et 1000 connexions (1000 utilisateurs externes)

• RAM : 8 GB Minimum > 1200 connexions et plus (plus de 1200 utilisateurs externes)

Ce qu’on a couvert• Définition d’une Passerelle RDS

• Prérequis et fonctionnement de la Passerelle RDS

• Architecture d’une infrastructure RDS avec une Passerelle RDS



Installation et configuration de la




Installation et configuration de la Passerelle RDS (RDG)

Plan• Méthodes d’installation de la Passerelle RDS

• Installation via le Gestionnaire de Serveur

• Installation via Windows PowerShell

• DEMO : Installation et configuration de la Passerelle RDS


Méthodes d’installation du serveur de Licence RDS

• La passerelle RDS (RDG) peut être déployé via :

� Le gestionnaire de Serveur (GUI)

� Windows PowerShell (CLI)


Installation via le Gestionnaire de Serveur

• Mode Standard :

� Gestionnaire de Serveur > Ajouter des rôles et des fonctionnalités > Installation basée sur un rôle ou une fonctionnalité > Services Bureau à distance > Passerelle des Services Bureau à distance

• Mode Rapide :


Installation via Windows PowerShell• Lancer Windows PowerShell en tant qu’Administrateur et saisir :

� Install-WindowsFeature RDS-Gateway -IncludeAllSubFeature -IncludeManagementTools


DEMO• Installation et configuration de la Passerelle RDS


Ce qu’on a couvert• Installation et configuration de la Passerelle RDS


Impossible d'afficher l'image. Votre ordinateur manque peut-être de mémoire pour ouvrir l'image ou l'image est endommagée. Redémarrez l'ordinateur, puis ouvrez à nouveau le fichier. Si le x rouge est toujours affiché, vous devrez peut-être supprimer l'image avant de la réinsérer.


Configuration des Serveurs RDSH




Configuration des Serveurs RDSH avec la Passerelle RDS

Plan• Configuration via le Gestionnaire de Serveur

• Configuration via GPO


Configuration via le Gestionnaire de Serveur

• Editer /modifier les propriétés du Déploiement


Ce qu’on a couvert• Configuration des Serveurs RDSH avec la Passerelle RDS



Rendre l'infrastructure RDS




Rendre l'infrastructure RDS accessible depuis l'externe

Ce qu’on a couvert• Configurer l’accès à votre infrastructure RDS depuis l'externe



Utilisation de la Passerelle RDS et




Utilisation de la Passerelle RDS et l'Accès Web Bureau à distance

Plan• Configuration de la Passerelle RDS avec serveur RDWA


Configuration de la Passerelle RDS avec serveur RDWA

• Lancer le Gestionnaire des services Internet (IIS) > inetmgr.exe

• Naviguez jusqu’au :


• Modifier les deux paramètres « DefaultTSGateway » & « GatewayCredentialsSource »

Ce qu’on a couvert• Utilisation de la Passerelle RDS et l'Accès Web Bureau à distance



Mise en place de la haute




Mise en place de la haute disponibilité de la passerelle RDS

Plan• Les différentes options d’équilibrage de charge de la Passerelle RDS

• DEMO : Configurer la haute disponibilité de le Passerelle RDS


les différentes options d’équilibrage de charge de la Passerelle RDS• Solution d’Équilibrage de charge « Matérielle »

� Solution d’équilibrage de charge type F5 Networks BIG-IP : équipement réseau permettant l’équilibrage de charge du traffic SSL vers les différents serveurs de Passerelles RDS.

� Solution onéreuse !

• Solution d’ Équilibrage de charge « Logicielle »

� Solution d’équilibrage de charge logicielle comme Microsoft NLB (Network Load Balancing), native dans Windows Server 2012 R2.


dans Windows Server 2012 R2.

� Solution gratuite & facile à mettre en place ☺.

• DNSRR « DNS Round Robin »

� Technique qui consiste à créer une entrée DNS faisant référence à toutes les adresses IP de tous les serveurs de Passerelles RDS

� Solution gratuite & facile à mettre en place MAIS ..

� Représente un inconvénient > pas de bascule automatique en cas de crash d’un des serveurs Passerelles RDS

DEMO• Configurer la haute disponibilité de le Passerelle RDS


Ce qu’on a couvert• Les différentes options d’équilibrage de charge de la Passerelle RDS

• Mise en place de la haute disponibilité de la Passerelle RDS en utilisant la fonctionnalité NLB de Windows Server 2012 R2.


Configurer une infrastructure RDS 2012 R2 via GPO

Configurer une infrastructure RDS




Configurer une infrastructure RDS 2012 R2 via GPO

Plan• Procédure : Configuration via l’éditeur de stratégie de groupe locale

• Procédure : Configuration via la Console de Gestion des Stratégies de Groupe

• DEMO : Configuration via gpedit.msc & gpmc.msc


Configuration via l’éditeur de stratégie de groupe locale

• Menu Exécuter > saisir : gpedit.msc > Naviguez jusqu’au : Configuration Ordinateur | Modèles d’Administration | Composants Windows | Services Bureau à distance


Configuration via la Console de Gestion des Stratégies de Groupe

• Menu Exécuter > saisir : gpmc.msc > Naviguez jusqu’au l’OU contenant les comptes de serveurs RDS > faire clic droit dessus > Créer un objet GPO dans ce domaine, et le lier ici...


Enfin, faire clic-droit sur la GPO créée > Modifier

DEMO : Configuration via gpedit.msc & gpmc.msc

VOIR DEMONSTRATION


VOIR DEMONSTRATION

Ce qu’on a couvert• La configuration d’une infrastructure RDS via les outils :

� GPEDIT.MSC

� GPMC.MSC


Mise en place de la haute disponibilité d'une infrastructure

RDS 2012 R2

Les concepts d'une infrastructure




Les concepts d'une infrastructure RDS Hautement Disponible

Plan• Redondance du serveur RDSH

• Redondance du serveur RDWA

• Redondance du serveur RDCB


Redondance du serveur RDSH• Depuis RDS 2012, le concept de la ferme RDS n’existe plus !

• Les options d’équilibrage de charge comme DNSRR & NLB ne sont plus prises en charge pour le serveur RDSH

• Comment puis-je alors rendre mes serveurs RDSHs redondants ? �

• Nouveau concept avec RDS 2012 et 2012 R2 : Les Collections ☺


• Nouveau concept avec RDS 2012 et 2012 R2 : Les Collections ☺

• Une collection nous permet de regrouper un ensemble de serveurs RDSH (identiques) dans un même espace logique (Ferme)

• Best practice : avoir au moins deux serveurs RDSH par Collection

Redondance du serveur RDWA• Meilleure solution pour mettre en place une infra RDWA HA est de :

� Déployer la fonctionnalité Microsoft NLB de Windows Server 2012 R2 sur l’ensemble des serveurs RDWAs

� Créer un Cluster regroupant l’ensemble des serveurs RDWA :

• Au moins deux serveurs > deux Nœuds


• Au moins deux serveurs > deux Nœuds

� Ajouter tous les hôtes au Cluster

� Configurer les propriétés de chaque Hôte (chaque Nœud du Cluster NLB)

Redondance du serveur RDCB• Depuis RDS 2012, la mise en place d’une infra RDCB HA est simplifiée

• Utilisation d’une Base de données SQL

� Best Practice : pour un déploiement jusqu’à 1000 connexions, SQL Server Express Edition 2012 R2 peut être utilisé.

� L’ensemble des serveurs RDCB doivent avoir le droit DBCreator sur le serveur


� L’ensemble des serveurs RDCB doivent avoir le droit DBCreator sur le serveur SQL

• Utilisation du DNSRR : création d’une entrée DNS (fermeRDCB par exemple) faisant référence à toutes les adresses IP des serveurs RDCBs

• Lancement de l’assistant de création de la haute disponibilité du Service Broker depuis le Gestionnaire de Serveur > Onglet « Services BàD ».

Ce qu’on a couvert• Différentes solution de haute disponibilité des serveurs RDSH – RDWA -

RDCB


Mise en place de la haute disponibilité d'une infrastructure

RDS 2012 R2

Mise en place de la haute




Mise en place de la haute disponibilité des Serveurs RDSH -

RDCB - RDWA

Ce qu’on a couvert• Mise en place de la haute disponibilité des serveurs RDSH-RDWA-RDCB



Conclusion




Conclusion

Ce qu’on a couvert• Ch1. Présentation de la formation

• Ch2. Introduction aux Services Bureau à distance

• Ch3. Déployer votre première infrastructure RDS 2012 R2

• Ch4. Création et gestion des Collections

• Ch5. Personnaliser l'Expérience Utilisateur





• Ch8. Gérer une infrastructure RDS 2012 R2

• Ch9. Déployer et configurer un Serveur de Licences des Services Bureau à distance

• Ch10. Déployer et configurer une Passerelle des Services Bureau à distance

• Ch11. Configurer une infrastructure RDS 2012 R2 via GPO

• Ch12. Mise en place de la haute disponibilité d'une infrastructure RDS 2012 R2

• Ch13. Conclusion

What Next ?

Dois-je déjà commencer à déployer des calculatrices fonctionnelles & accessibles de partout :D ?


Avez-vous des Questions /Remarques /Commentaires ?


A bientôt ☺

Keep in touch !


Keep in touch !

E-mail : [email protected]

Linkedin : http://www.linkedin.com/in/hichamkadiri

Viadeo : http://fr.viadeo.com/fr/profile/hicham.kadiriTwitter : https://twitter.com/Hicham_KADIRI

alphorm.com formation rds windows server 2012 r2

Technology