Remote Desktop Services Windows 2008 R2

Download Remote Desktop Services Windows 2008 R2

Post on 06-Jul-2015

1.570 views

Category:

Documents

0 download

TRANSCRIPT

P gi n a |1 Windows Server 2008 R2 Remote Desktop Services Escrito por Juliano Sathler http://jsathler.spaces.live.com

IntroduoNeste artigo falaremos sobre os componentes de uma infra-estrutura do Remote Desktop Services (RDS), anteriormente conhecido como Terminal Server Services. No foi apenas o nome que mudou mas sim um conceito. Com estas novas funcionalidades a Microsoft deu um passo importante no conceito de virtualizao. Remote Desktop Services um conjunto de papis (ou roles) disponveis no Windows Server 2008 R2 que permite a virtualizao de aplicaes e desktops, facilitando o acesso de usurios a partir de diferentes localidades utilizando diferentes dispositivos. Vejamos uma tabela comparativa dos componentes do RDS e das veres anteriores: Pr-Windows 2008 R2 Terminal Server (2000 ou superior) Terminal Services Licensing (2000 ou superior) Terminal Services Gateway (2008 ou superior) Terminal Services Session Directory Service (2003 ou superior) Terminal Services Web Access (2008 ou superior) No existia. Tabela 1 Uma pequena descrio das principais funes/funcionalidades de cada papel: RD Licensing Server Gerencia as licenas requeridas pelos dispositivos ou usurios; Permite revogar ate 20% das licenas per-device de uma nica vez; Windows 2008 R2 Remote Desktop Session Host Remote Desktop Licensing Remote Desktop Gateway Remote Desktop Connection Broker Remote Desktop Web Access Remote Desktop Virtualization Host

RD Connection Broker Realiza a distribuio das conexes de entrada entre os vrios servidores da Farm; Reconecta uma sesso com status desconectada mesmo que o usurio autentique em um outro servidor. Se o Network Level Autentication utilizado, o usurio validado junto ao RD Connection Broker antes da sesso ser criada evitando a criao desnecessria de uma sesso em um servidor (para o caso do usurio ter uma sesso desconectada em outro servidor);

RD Session Host aqui que tudo acontece, onde efetivamente as aplicaes so executadas; Ao contrrio das verses anteriores, no Windows Server 2008 este servio pode ser reiniciado; O uso do Network Level Authentication requer Windows XP/Vista/7, no permitindo conexes a partir de outro S.O.; O WSRM (Windows System Resource Manager) pode ser instalado como uma feature em qualquer verso do Windows Server 2008; A ferramenta Licensing diagnostics tool pode ser utilizada para verificar se existe algum problema de comunicao com o servidor de licenas; No Windows Server 2008 R2 possivel realizar a publicao de aplicaes baseada em grupos/usurios.

RD Web Access Integrado com o IIS, o portal onde as aplicaes so disponibilizadas para acesso.

P gi n a |2 Windows Server 2008 R2 Remote Desktop Services Escrito por Juliano Sathler http://jsathler.spaces.live.com Caso vrias aplicaes sejam publicadas em um mesmo servidor, a mesma sesso utilizada caso o usurio faa uso destas aplicaes simultaneamente; Requer cliente RDP 6.x e Windows XP SP3 ou superior (a verso 7.0 recomendada); Pode ser integrado ao Sharepoint atravs de webparts; Permite o uso de Single Sign On, ou seja o usurio faz logon apenas uma vez na interface do Web Access e consegue acessar todas as aplicaes sem a necessidade de informar novamente usurio/senha;

RD Gateway Permite a conexao ao RD Host Session atravs de uma conexo HTTPS (o protocolo RDP encapsulado no HTTPs); Na verso Standard do Windows Server 2008 suporta apenas 250 conexes simultaneas;

A Microsoft criou tambem novas classes WMI afim de simplificar o gerenciamento destes papeis. Estas classes podem ser visualizadas em (http://msdn.microsoft.com/en-us/library/aa383515(VS.85).aspx). Depois desta introduo bsica, vamos aos objetivos deste artigo.

ObjetivoO objetivo deste artigo criar um ambiente que permita o acesso a aplicaes existentes no datacenter de uma empresa ficticia. Para simplificar o gerenciamento e disponibilizao das aplicaes iremos utilizar os recursos do RDS disponiveis no Windows Server 2008 R2. Recursos indispensveis para este projeto: Acesso centralizado atravs de uma interface WEB; Forma de acesso igual para usurios internos e externos a rede da empresa; Criptografia do trfego entre os usurios externos e o firewall da empresa; O acesso externo precisa ser restrito a um grupo de usurios;

Pr-requisitosNenhum pr-requisito na infra-estrutura necessrio para o funcionamento do RDS. Para suportar todas as novidades do Windows Server 2008 R2 em clientes executando o Windows XP SP3 ou Vista SP1 (ou superior) instale o Remote Desktop Client 7.0 disponivel atravs do KB 969084. Esta verso j padro no Windows 7 e Windows Server 2008 R2.

Estrutura do laboratrioA estrutura do labratrio relativamente simples. Devido a limitao de recursos (que tenho no meu notebook) iremos agrupar alguns Papis do servio RDS. Teremos 5 hosts neste ambiente, os nomes, ips e funcionalidades esto descritos na tabela abaixo. Todos os hosts executam o Windows Server 2008 R2, exceto o host cl-01 que executa o Windows 7. Hostname dc-01 sh-01 gw-01 Aplicao AD-DS, DNS Remote Desktop Session Host Remote Desktop Gateway, Web Access e IIS IP 192.168.1.1 192.168.1.2 192.168.1.3/192.168.56.1

P gi n a |3 Windows Server 2008 R2 Remote Desktop Services Escrito por Juliano Sathler http://jsathler.spaces.live.com cb-01 cl-01 NPS, AD CS, IIS, Remote Desktop Connection Broker e Licensing Server Cliente Web Access Tabela 2 192.168.1.4 192.168.56.2

Um desenho do ambiente pode ser visto na imagem 1:GW-01 Roles: - IIS - Remote Desktop Services -- Gateway -- Web Access

Tunel SSLCL-01

SH-01 Roles: - Remote Desktop Services -- Session Host

CB-01 Roles: - AD CS - NPS - IIS - Remote Desktop Services -- Licensing Server -- Connection Broker

DC-01 Roles: - AD DS - DNS

Imagem 1 Agora que ja temos uma ideia de como ficar o ambiente, mos a obra.

Instalando os papisAps ter todos os hosts com o Windows Server 2008 R2 devidamente instalados (atualizados) e inseridos no dominio, o primeiro passo instalar os papis do RDS. Caso tenha dvidas quanto a utilizao do AD-DS executando em um Windows Server 2008 R2, consulte o artigo http://jsathler.spaces.live.com/blog/cns!40CBF5E035DEF7B3!217.entry disponvel em meu blog.

Instalando os componentes Connection Broker, Licensing Server, NAP e AD-CSEstes papis devem ser instalados no host cb-01: 1. 2. 3. 4. 5. 6. 7. 8. Atravs do mmc Server Manager, expandir o menu Roles e clicar em Add Roles; Na tela Select Server Roles selecione as opes Active Directory Certificate Services, Network Policy and Access Services e Remote Desktop Services, e clique em Next; Na tela Remote Desktop Services clique em Next; Na tela Select Role Services selecione as opes Remote Desktop Licensing e Remote Desktop Connection Broker e clique em Next; Na tela Configure Discovery Scope for RD Licensing selecione a opo Configure a discovery scope for this license server e em seguida a opo The forest e clique em Next. Na tela Network Policy and Access Services clique em Next; Na tela Select Role Services selecione a opo Network Policy Server e clique em Next. a. Iremos utilizar o NPS para centralizar as politicas de acesso do Remote Desktop Gateway; Na tela Introduction to Active Directory Certificate Services clique em Next; a. Iremos utilizar o AD-CS para emisso dos certificados digitais necessrios pelo RDS. b. O ideal utilizar certificados emitidos por CAs comerciais;

P gi n a |4 Windows Server 2008 R2 Remote Desktop Services Escrito por Juliano Sathler http://jsathler.spaces.live.com 1. Na tela Select Role Services selecione as opes Certification Authority, Certification Authority Web Enrollment. Uma mensagem informando que este papel requer o IIS e este no se encontra instalado ser mostrada, clique em Add Required Role Services e clique em Next; Na tela Specify Setup Type selecione Standalone e clique em Next; Na tela Specify CA Type selecione Root CA e clique em Next; Na tela Set Up Private Key selecione Create a new Private Key e clique em Next; Na tela Configure Cryptography for CA, clique em Next; Na tela Configure CA Name, clique em Next; Na tela Set Validity Period, clique em Next; Na tela Configure certificate database, clique em Next; Na tela Na tela Web Server (IIS) clique em Next; Na tela Select Role Services clique em Next; Na tela Confirm Installation Selections valide as opes selecionadas e clique em Install para iniciar a instalao; Finalmente na tela Installation Results verifique o resultado da instalao e se necessrio reinicie o servidor;

9. 10. 11. 12. 13. 14. 15. 2. 16. 17. 18.

Instalando o Remote Desktop Session HostEstes papis devem ser instalados no host sh-01: 1. 2. 3. 4. 5. 6. Atravs do mmc Server Manager, expandir o menu Roles e clicar em Add Roles; Na tela Select Server Roles selecione a opo Remote Desktop Services e clique em Next; Na tela Remote Desktop Services clique em Next; Na tela Select Role Services selecione a opo Remote Desktop Session Host e clique em Next; Na tela Uninstall and Reinstall Application for Compatibility e clique em Next; Na tela Specify Authentication Method for Remote Desktop Session Host selecione a opo Require Network Level Authentication e clique em Next. a. Com esta opo definida, apenas hosts executando o Windows XP SP3 ou superior conseguiro acesso ao RDS. b. Caso precise suportar uma verso diferente de S.O., escolha a opo Do not require Network Level Authentication. c. Por fim para ativar o suporte ao NLA no Windows XP, siga os procedimentos no KB 951608; i. Ateno durante a configurao destas chaves, pois so necessrias tanto para suporte ao NLA e Single Sign On; 7. Na tela Specify Licensing Mode selecione a opo que corresponda com seu mtodo de licenciamento e clique em Next; 8. Na tela Select User Groups Allowed Access To This RD Session Host Server informe os usurios/grupos que podero acessar este servidor atravs do RDS e clique em Next. a. As informaes inseridas aqui refletem no grupo local Remote Desktop Users; 9. Na tela Configure Client Experience clique em Next; a. Caso queira incrementar os recursos do Windows para que o usurio tenha o desktop do servidor parecido com o Windows 7, selecione todas as opes; b. Ateno para uma possivel perda de desempenho ao ativar esta opo; 10. Na tela Confirm Installation Selections valide as opes selecionadas e clique em Install para iniciar a instalao; 11. Finalmente na tela Installation Results verifique o resultado da instalao e se necessrio reinicie o servidor;

Instalando o Remote Desktop Web Access e Remote Desktop GatewayEstes papis devem ser instalados no host gw-01: 1. Atravs do mmc Server Manager, expandir o menu Roles e clicar em Add Roles;

P gi n a |5 Windows Server 2008 R2 Remote Desktop Services Escrito por Juliano Sathler http://jsathler.spaces.live.com 2. 3. 4. Na tela Select Server Roles selecione a opo Remote Desktop Services e clique em Next; Na tela Remote Desktop Services clique em Next; Na tela Select Role Services selecione as opes Remote Desktop Gateway e Remote Desktop Web Services, Uma mensagem informando que estes papis requerem o IIS e NPS, e estes no se encontram instalados ser mostrada, clique em Add Required Role Services e clique em Next; 5. Na tela Choose a Server Authentication Certificate for SSL Encryption selecione a opo Choose a certificate for SSL encryption later e clique em Next; 6. Na tela Create Authorization Policies for RD Gateway selecione a opo Later e clique em Next; 7. Na tela Network Policy and Access Services clique em Next; 8. Na tela Select Role Services clique em Next; 9. Na tela Web Server (IIS) clique em Next; 10. Na tela Select Role Services clique em Next; 11. Na tela Confirm Installation Selections valide as opes selecionadas e clique em Install para iniciar a instalao; 12. Finalmente na tela Installation Results verifique o resultado da instalao e se necessrio reinicie o servidor; Agora que j temos todos os papis instalados, vamos configura-los.

Configurando os papeisAgora que temos tudo o que precisamos instalado, vamos iniciar a configurao do RDS. Lembrando que temos alguns objetivos a serem atendidos neste projeto, vamos relembra-los? Acesso centralizado atravs de uma interface WEB; Forma de acesso igual para usurios internos e externos a rede da empresa; Criptografia do trfego entre os usurios externos e o firewall da empresa; O acesso externo precisa ser restrito a um grupo de usurios;

Antes de iniciar, providencie a instalao das aplicaes que sero disponibilizadas aos usurios no servidor sh-01 (servidor que possui o papel RD Session Host), lembrando apenas que, as aplicaes a serem publicadas precisam ser testadas afim de verificar se as mesmas so suportadas em ambiente multi-usurio. A microsoft disponibilizou uma ferramenta para ajudar nesta validao, para baixa-la utilize a url https://connect.microsoft.com/tsappcompat.

Solicitando os certificados digitaisComo alguns papis utilizam SSL, ser necessrio fazer a solicitao de certificados digitais a uma CA. No nosso caso iremos utilizar uma CA interna para emisso dos certificados. A partir do host cb-01: 1. Abra o MMC Internet Information Services (IIS) Manager disponivel em Start/Administrative Tools; a. Clique em CB-01, em seguida clique em Server Certificates; b. No painel de aes a direita, clique em Create Self-Signed Certificate; i. Este passo necessrio para solicitao dos certificados, caso contrrio o Windows no deixar submeter a solicitao dos certificados; c. Informe o nome para o certificado e clique em OK; d. Expanda cb-01/Sites/Default Web Site e no painel de aes clique em Bindings; e. Clique em Add, em Type selecione HTTPS e em SSL certificate selecione o certificado criado no passo b e clique em OK;

P gi n a |6 Windows Server 2008 R2 Remote Desktop Services Escrito por Juliano Sathler http://jsathler.spaces.live.com 2. Abra a url https://cb-01.jsathler.spaces.live.com/certsrv, informe as credencias do usuario administrator (ou outra qualquer) a. Clique em Request a Certificate; b. Clique em Advanced certificate request; c. Clique em Create and submit a request to this CA. Caso seja apresentada a tela Web Access Confirmation clique em Yes; d. No campo Name, informe o nome DNS a ser utilizado no certificado, em Type of Certificate Needed selecion Server Authentication Certificate, marque a opo Mark keys as exportable e clique em Submit; i. Ser necessrio criar um certificado para cada um dos nomes: rds-app.jsathler.spaces.live.com e gw-01.jsathler.spaces.live.com; Abra o MMC Certification Authority disponivel em Start/Administrative Tools; a. Expanda nome-da-ca/Pending Requests, clique sobre o nome dos certificados e com o boto direito clique em All Tasks/Issue; Volte na url https://cb-01.jsathler.spaces.live.com/certsrv e clique em View the status of a pending certificate request; Clique sobre link do certificado e clique em Install this certificate. Repita este procedimento para cada um dos dois certificados solicitados no passo 02; Faa uma cpia do certificado raiz da CA: a. A...

Recommended

View more >