remote desktop services windows 2008 r2
TRANSCRIPT
P gi n a |1 Windows Server 2008 R2 Remote Desktop Services Escrito por Juliano Sathler http://jsathler.spaces.live.com
IntroduoNeste artigo falaremos sobre os componentes de uma infra-estrutura do Remote Desktop Services (RDS), anteriormente conhecido como Terminal Server Services. No foi apenas o nome que mudou mas sim um conceito. Com estas novas funcionalidades a Microsoft deu um passo importante no conceito de virtualizao. Remote Desktop Services um conjunto de papis (ou roles) disponveis no Windows Server 2008 R2 que permite a virtualizao de aplicaes e desktops, facilitando o acesso de usurios a partir de diferentes localidades utilizando diferentes dispositivos. Vejamos uma tabela comparativa dos componentes do RDS e das veres anteriores: Pr-Windows 2008 R2 Terminal Server (2000 ou superior) Terminal Services Licensing (2000 ou superior) Terminal Services Gateway (2008 ou superior) Terminal Services Session Directory Service (2003 ou superior) Terminal Services Web Access (2008 ou superior) No existia. Tabela 1 Uma pequena descrio das principais funes/funcionalidades de cada papel: RD Licensing Server Gerencia as licenas requeridas pelos dispositivos ou usurios; Permite revogar ate 20% das licenas per-device de uma nica vez; Windows 2008 R2 Remote Desktop Session Host Remote Desktop Licensing Remote Desktop Gateway Remote Desktop Connection Broker Remote Desktop Web Access Remote Desktop Virtualization Host
RD Connection Broker Realiza a distribuio das conexes de entrada entre os vrios servidores da Farm; Reconecta uma sesso com status desconectada mesmo que o usurio autentique em um outro servidor. Se o Network Level Autentication utilizado, o usurio validado junto ao RD Connection Broker antes da sesso ser criada evitando a criao desnecessria de uma sesso em um servidor (para o caso do usurio ter uma sesso desconectada em outro servidor);
RD Session Host aqui que tudo acontece, onde efetivamente as aplicaes so executadas; Ao contrrio das verses anteriores, no Windows Server 2008 este servio pode ser reiniciado; O uso do Network Level Authentication requer Windows XP/Vista/7, no permitindo conexes a partir de outro S.O.; O WSRM (Windows System Resource Manager) pode ser instalado como uma feature em qualquer verso do Windows Server 2008; A ferramenta Licensing diagnostics tool pode ser utilizada para verificar se existe algum problema de comunicao com o servidor de licenas; No Windows Server 2008 R2 possivel realizar a publicao de aplicaes baseada em grupos/usurios.
RD Web Access Integrado com o IIS, o portal onde as aplicaes so disponibilizadas para acesso.
P gi n a |2 Windows Server 2008 R2 Remote Desktop Services Escrito por Juliano Sathler http://jsathler.spaces.live.com Caso vrias aplicaes sejam publicadas em um mesmo servidor, a mesma sesso utilizada caso o usurio faa uso destas aplicaes simultaneamente; Requer cliente RDP 6.x e Windows XP SP3 ou superior (a verso 7.0 recomendada); Pode ser integrado ao Sharepoint atravs de webparts; Permite o uso de Single Sign On, ou seja o usurio faz logon apenas uma vez na interface do Web Access e consegue acessar todas as aplicaes sem a necessidade de informar novamente usurio/senha;
RD Gateway Permite a conexao ao RD Host Session atravs de uma conexo HTTPS (o protocolo RDP encapsulado no HTTPs); Na verso Standard do Windows Server 2008 suporta apenas 250 conexes simultaneas;
A Microsoft criou tambem novas classes WMI afim de simplificar o gerenciamento destes papeis. Estas classes podem ser visualizadas em (http://msdn.microsoft.com/en-us/library/aa383515(VS.85).aspx). Depois desta introduo bsica, vamos aos objetivos deste artigo.
ObjetivoO objetivo deste artigo criar um ambiente que permita o acesso a aplicaes existentes no datacenter de uma empresa ficticia. Para simplificar o gerenciamento e disponibilizao das aplicaes iremos utilizar os recursos do RDS disponiveis no Windows Server 2008 R2. Recursos indispensveis para este projeto: Acesso centralizado atravs de uma interface WEB; Forma de acesso igual para usurios internos e externos a rede da empresa; Criptografia do trfego entre os usurios externos e o firewall da empresa; O acesso externo precisa ser restrito a um grupo de usurios;
Pr-requisitosNenhum pr-requisito na infra-estrutura necessrio para o funcionamento do RDS. Para suportar todas as novidades do Windows Server 2008 R2 em clientes executando o Windows XP SP3 ou Vista SP1 (ou superior) instale o Remote Desktop Client 7.0 disponivel atravs do KB 969084. Esta verso j padro no Windows 7 e Windows Server 2008 R2.
Estrutura do laboratrioA estrutura do labratrio relativamente simples. Devido a limitao de recursos (que tenho no meu notebook) iremos agrupar alguns Papis do servio RDS. Teremos 5 hosts neste ambiente, os nomes, ips e funcionalidades esto descritos na tabela abaixo. Todos os hosts executam o Windows Server 2008 R2, exceto o host cl-01 que executa o Windows 7. Hostname dc-01 sh-01 gw-01 Aplicao AD-DS, DNS Remote Desktop Session Host Remote Desktop Gateway, Web Access e IIS IP 192.168.1.1 192.168.1.2 192.168.1.3/192.168.56.1
P gi n a |3 Windows Server 2008 R2 Remote Desktop Services Escrito por Juliano Sathler http://jsathler.spaces.live.com cb-01 cl-01 NPS, AD CS, IIS, Remote Desktop Connection Broker e Licensing Server Cliente Web Access Tabela 2 192.168.1.4 192.168.56.2
Um desenho do ambiente pode ser visto na imagem 1:GW-01 Roles: - IIS - Remote Desktop Services -- Gateway -- Web Access
Tunel SSLCL-01
SH-01 Roles: - Remote Desktop Services -- Session Host
CB-01 Roles: - AD CS - NPS - IIS - Remote Desktop Services -- Licensing Server -- Connection Broker
DC-01 Roles: - AD DS - DNS
Imagem 1 Agora que ja temos uma ideia de como ficar o ambiente, mos a obra.
Instalando os papisAps ter todos os hosts com o Windows Server 2008 R2 devidamente instalados (atualizados) e inseridos no dominio, o primeiro passo instalar os papis do RDS. Caso tenha dvidas quanto a utilizao do AD-DS executando em um Windows Server 2008 R2, consulte o artigo http://jsathler.spaces.live.com/blog/cns!40CBF5E035DEF7B3!217.entry disponvel em meu blog.
Instalando os componentes Connection Broker, Licensing Server, NAP e AD-CSEstes papis devem ser instalados no host cb-01: 1. 2. 3. 4. 5. 6. 7. 8. Atravs do mmc Server Manager, expandir o menu Roles e clicar em Add Roles; Na tela Select Server Roles selecione as opes Active Directory Certificate Services, Network Policy and Access Services e Remote Desktop Services, e clique em Next; Na tela Remote Desktop Services clique em Next; Na tela Select Role Services selecione as opes Remote Desktop Licensing e Remote Desktop Connection Broker e clique em Next; Na tela Configure Discovery Scope for RD Licensing selecione a opo Configure a discovery scope for this license server e em seguida a opo The forest e clique em Next. Na tela Network Policy and Access Services clique em Next; Na tela Select Role Services selecione a opo Network Policy Server e clique em Next. a. Iremos utilizar o NPS para centralizar as politicas de acesso do Remote Desktop Gateway; Na tela Introduction to Active Directory Certificate Services clique em Next; a. Iremos utilizar o AD-CS para emisso dos certificados digitais necessrios pelo RDS. b. O ideal utilizar certificados emitidos por CAs comerciais;
P gi n a |4 Windows Server 2008 R2 Remote Desktop Services Escrito por Juliano Sathler http://jsathler.spaces.live.com 1. Na tela Select Role Services selecione as opes Certification Authority, Certification Authority Web Enrollment. Uma mensagem informando que este papel requer o IIS e este no se encontra instalado ser mostrada, clique em Add Required Role Services e clique em Next; Na tela Specify Setup Type selecione Standalone e clique em Next; Na tela Specify CA Type selecione Root CA e clique em Next; Na tela Set Up Private Key selecione Create a new Private Key e clique em Next; Na tela Configure Cryptography for CA, clique em Next; Na tela Configure CA Name, clique em Next; Na tela Set Validity Period, clique em Next; Na tela Configure certificate database, clique em Next; Na tela Na tela Web Server (IIS) clique em Next; Na tela Select Role Services clique em Next; Na tela Confirm Installation Selections valide as opes selecionadas e clique em Install para iniciar a instalao; Finalmente na tela Installation Results verifique o resultado da instalao e se necessrio reinicie o servidor;
9. 10. 11. 12. 13. 14. 15. 2. 16. 17. 18.
Instalando o Remote Desktop Session HostEstes papis devem ser instalados no host sh-01: 1. 2. 3. 4. 5. 6. Atravs do mmc Server Manager, expandir o menu Roles e clicar em Add Roles; Na tela Select Server Roles selecione a opo Remote Desktop Services e clique em Next; Na tela Remote Desktop Services clique em Next; Na tela Select Role Services selecione a opo Remote Desktop Session Host e clique em Next; Na tela Uninstall and Reinstall Application for Compatibility e clique em Next; Na tela Specify Authentication Method for Remote Desktop Session Host selecione a opo Require Network Level Authentication e clique em Next. a. Com esta opo definida, apenas hosts executando o Windows XP SP3 ou superior conseguiro acesso ao RDS. b. Caso precise suportar uma verso diferente de S.O., escolha a opo Do not require Network Level Authentication. c. Por fim para ativar o suporte ao NLA no Windows XP, siga os procedimentos no KB 951608; i. Ateno durante a configurao destas chaves, pois so necessrias tanto para suporte ao NLA e Single Sign On; 7. Na tela Specify Licensing Mode selecione a opo que corresponda com seu mtodo de licenciamento e clique em Next; 8. Na tela Select User Groups Allowed Access To This RD Session Host Server informe os usurios/grupos que podero acessar este servidor atravs do RDS e clique em Next. a. As informaes inseridas aqui refletem no grupo local Remote Desktop Users; 9. Na tela Configure Client Experience clique em Next; a. Caso queira incrementar os recursos do Windows para que o usurio tenha o desktop do servidor parecido com o Windows 7, selecione todas as opes; b. Ateno para uma possivel perda de desempenho ao ativar esta opo; 10. Na tela Confirm Installation Selections valide as opes selecionadas e clique em Install para iniciar a instalao; 11. Finalmente na tela Installation Results verifique o resultado da instalao e se necessrio reinicie o servidor;
Instalando o Remote Desktop Web Access e Remote Desktop GatewayEstes papis devem ser instalados no host gw-01: 1. Atravs do mmc Server Manager, expandir o menu Roles e clicar em Add Roles;
P gi n a |5 Windows Server 2008 R2 Remote Desktop Services Escrito por Juliano Sathler http://jsathler.spaces.live.com 2. 3. 4. Na tela Select Server Roles selecione a opo Remote Desktop Services e clique em Next; Na tela Remote Desktop Services clique em Next; Na tela Select Role Services selecione as opes Remote Desktop Gateway e Remote Desktop Web Services, Uma mensagem informando que estes papis requerem o IIS e NPS, e estes no se encontram instalados ser mostrada, clique em Add Required Role Services e clique em Next; 5. Na tela Choose a Server Authentication Certificate for SSL Encryption selecione a opo Choose a certificate for SSL encryption later e clique em Next; 6. Na tela Create Authorization Policies for RD Gateway selecione a opo Later e clique em Next; 7. Na tela Network Policy and Access Services clique em Next; 8. Na tela Select Role Services clique em Next; 9. Na tela Web Server (IIS) clique em Next; 10. Na tela Select Role Services clique em Next; 11. Na tela Confirm Installation Selections valide as opes selecionadas e clique em Install para iniciar a instalao; 12. Finalmente na tela Installation Results verifique o resultado da instalao e se necessrio reinicie o servidor; Agora que j temos todos os papis instalados, vamos configura-los.
Configurando os papeisAgora que temos tudo o que precisamos instalado, vamos iniciar a configurao do RDS. Lembrando que temos alguns objetivos a serem atendidos neste projeto, vamos relembra-los? Acesso centralizado atravs de uma interface WEB; Forma de acesso igual para usurios internos e externos a rede da empresa; Criptografia do trfego entre os usurios externos e o firewall da empresa; O acesso externo precisa ser restrito a um grupo de usurios;
Antes de iniciar, providencie a instalao das aplicaes que sero disponibilizadas aos usurios no servidor sh-01 (servidor que possui o papel RD Session Host), lembrando apenas que, as aplicaes a serem publicadas precisam ser testadas afim de verificar se as mesmas so suportadas em ambiente multi-usurio. A microsoft disponibilizou uma ferramenta para ajudar nesta validao, para baixa-la utilize a url https://connect.microsoft.com/tsappcompat.
Solicitando os certificados digitaisComo alguns papis utilizam SSL, ser necessrio fazer a solicitao de certificados digitais a uma CA. No nosso caso iremos utilizar uma CA interna para emisso dos certificados. A partir do host cb-01: 1. Abra o MMC Internet Information Services (IIS) Manager disponivel em Start/Administrative Tools; a. Clique em CB-01, em seguida clique em Server Certificates; b. No painel de aes a direita, clique em Create Self-Signed Certificate; i. Este passo necessrio para solicitao dos certificados, caso contrrio o Windows no deixar submeter a solicitao dos certificados; c. Informe o nome para o certificado e clique em OK; d. Expanda cb-01/Sites/Default Web Site e no painel de aes clique em Bindings; e. Clique em Add, em Type selecione HTTPS e em SSL certificate selecione o certificado criado no passo b e clique em OK;
P gi n a |6 Windows Server 2008 R2 Remote Desktop Services Escrito por Juliano Sathler http://jsathler.spaces.live.com 2. Abra a url https://cb-01.jsathler.spaces.live.com/certsrv, informe as credencias do usuario administrator (ou outra qualquer) a. Clique em Request a Certificate; b. Clique em Advanced certificate request; c. Clique em Create and submit a request to this CA. Caso seja apresentada a tela Web Access Confirmation clique em Yes; d. No campo Name, informe o nome DNS a ser utilizado no certificado, em Type of Certificate Needed selecion Server Authentication Certificate, marque a opo Mark keys as exportable e clique em Submit; i. Ser necessrio criar um certificado para cada um dos nomes: rds-app.jsathler.spaces.live.com e gw-01.jsathler.spaces.live.com; Abra o MMC Certification Authority disponivel em Start/Administrative Tools; a. Expanda nome-da-ca/Pending Requests, clique sobre o nome dos certificados e com o boto direito clique em All Tasks/Issue; Volte na url https://cb-01.jsathler.spaces.live.com/certsrv e clique em View the status of a pending certificate request; Clique sobre link do certificado e clique em Install this certificate. Repita este procedimento para cada um dos dois certificados solicitados no passo 02; Faa uma cpia do certificado raiz da CA: a. Abra o site https://cb-01.jsathler.spaces.live.com/certsrv; b. Clique no link Download a CA certificate, certificate chain, or CRL; c. Clique no link Download CA certificate e salve o arquivo certnew.cer; Por fim, clique no menu Start/Run e abra o mmc.exe; a. No menu File, escolha a opo Add/Remove Snap in; b. Clique em Certificates e clique em Add, em seguida clique em My User Account e clique em Finish, em seguida clique em OK; c. Expanda Certificates Current User/Personal/Certificates e clique com o botao direito sobre o certificado a ser exportado e selecione All Tasks/Export...; d. Na tela Welcome to the certificate export wizard clique em Next; e. Na tela Export private Key, selecione Yes, export the private key e clique em Next; f. Na tela Export file format, clique em Personal Information Exchange - PKCS #12(.PFX) e clique em Next; g. Na tela Password informe uma senha para o certificado e clique em Next; h. Na tela File to export informe um caminho/nome para o certificado e clique em Next; i. Na tela Completing the certificate export wizard, clique em Finish; i. Repita este procedimento para cada um dos dois certificados emitidos no passo 02;
3.
4. 5. 6.
7.
Configurando o NPS8. Abra o MMC Network Policy Serverdisponivel em Start/Administrative Tools; a. No menu Radius Clients clique com o boto direito e selecione a opo New; b. Na tela New RADIUS Client: i. Informe um nome em Friendly Name, por exemplo RDS Gatway 01; ii. Informe o hostname ou IP do cliente Radius (o nome do servidor que executa o papel Remote Desktop Gateway) no campo Address (IP or DNS). No nosso caso vamos utilizar o nome gw01.jsathler.spaces.live.com; iii. Em Shared Secret selecione a opo Generate e clique no boto Generate; iv. Copie a senha gerada e guarde em um arquivo texto, ela ser necessria durante a configurao do RD Gateway; c. Clique em NPS (Local), no painel da direita selecione Network Access Protection e clique em Configure NAP;
P gi n a |7 Windows Server 2008 R2 Remote Desktop Services Escrito por Juliano Sathler http://jsathler.spaces.live.com i. Na tela Select Network Connection Method for user with NAP, selecione Remote Desktop Gateway (RD Gateway), informe o nome da politica e clique em Next; ii. Na tela Specify NAP Enforcement Servers Running RD Gateway selecione o servidor RD Gateway criado no passo 03 e clique em Next; iii. Na tela Configure Client Device and Authentication Methods selecione apenas as opes Enable redirection for all devices on remote clients e Password allowed e clique em Next; iv. Na tela Configure the idle timeout and session timeout actions, configure as opes conforme necessrio e clique em Next; v. Na tela Configure User Groups and Machine Groups, em User Groups (Required) adicione o grupo de usurios que ter acesso ao RD Gateway e clique em Next; vi. Na tela Define NAP Health Policy escolha as opes Windows Security Health Validator, Deny client access to Remote Desktop Session Host servers and computers running Remote Desktop e clique em Next; vii. Na tela Completing NAP Enforcement Policy and Radius Client Configuration valide as informaes e clique em Finish;
Configurando o Licensing ServerAtivar o servio atravs do mmc Remote Desktop Licensing Manager disponivel em Start/Administrative Tools/Remote Desktop Services; a. Clicar no nome do servidor com o boto direito e escolher a opo Activate Server; i. Na tela Welcome to the Activate Server Wizard clique em Next; ii. Na tela Connection Method selecione a opao desejada (no nosso caso Automatic connection (recommended)) e clique em Next; 1. Esta opo far uma conexo ao servidor de licenas da Microsoft atravs da internet, portanto este servidor precisa de acesso a internet para prosseguir com o processo de ativao; iii. Na tela Company Information preencha os campos e clique em Next; iv. Na tela Completing the Activate Server Wizard desmarque a opo Start Install Licenses Wizard now e clique em Finish; b. Para adicionar licenas, basta clicar no nome do servidor com o boto direito e escolher a opo Install Licenses; i. Como no tenho nenhuma licena disponivel para instalao, no iremos abordar este procedimento ate o final. O assistente bem intuitivo e voc no tera dificuldades; 10. Caso queira controlar quais servidores podem utilizar este RD Licensing Server basta seguir o procedimento: c. Atavs do editor de Group Policy alterar para Enabled a politica Computer Configuration/Administrative Templates/Windows Components/Remote Desktop Services/RD Licensing/License Server Security Group; d. Abrir o mmc Server Manager, expandir Configuration/Local Users and Groups/Groups e adicionar todas as contas de computador que executam o papel Remote Desktop Session Host ao grupo Terminal Server Computers. No nosso caso iremos adicionar apenas a conta do computador sh-01; e. Aps alteraes neste grupo necessrio reiniciar o servio Remote Desktop Licensing; 9.
Configurando o Connection Broker11. Clique no menu Start/Run e abra o mmc.exe; a. No menu File, escolha a opo Add/Remove Snap in;
P gi n a |8 Windows Server 2008 R2 Remote Desktop Services Escrito por Juliano Sathler http://jsathler.spaces.live.com Clique em Certificates e clique em Add, em seguida clique em Computer Account, clique em Next, selecione a opo Local computer e finalmente em Finish, em seguida clique em OK; c. Expanda Certificates (Local Computer)/Personal/Certificates e clique com o botao direito e selecione All Tasks/Import...; d. Na tela Welcome to the certificate import wizard clique em Next; e. Na tela File to import informe o caminho/nome do certificado e clique em Next. Importar o certificado criado para o DNS rds-app.jsathler.spaces.live.com; f. Na tela Password informe a senha para o certificado e clique em Next; g. Na tela Certificate Store clique em Next; h. Na tela Completing the certificate import wizard, clique em Finish; 12. Abrir o mmc Server Manager, expandir Configuration/Local Users and Groups/Groups e adicionar todas as contas de computador que executam o papel RD Session Host ao grupo Session Broker Computers. No nosso caso iremos adicionar apenas a conta do computador sh-01; i. Sem este procedimento, os servidores RD Session Host no conseguiro utilizar os recursos disponibilizados pelo RD Connection Broker (criar FARMs, listar as aplicaes publicadas, reconectar sesses desconectadas, etc); 13. Abrir o mmc Remote Desktop Connection Manager disponivel em Start/Administrative Tools/Remote Desktop Services; j. Clicar com o boto direito em Remote Desktop Connection Manager: cb-01 e no painel de aes a direita selecione Properties; i. Na guia Connection Settings informe o nome que ser mostrado no menu Iniciar/Programas dos computadores que executam o Windows 7. Utilize por exemplo o nome Aplicaes centralizadas; ii. Na guia RD Web Access informe os servidores que executam o papel Remote Desktop Web Access que podero listar aplicaes atravs deste RD Connection Broker. No nosso caso iremos adicionar apenas a conta do computador gw-01; k. No painel de Visualizao, clique no boto Specify (em frente a Digital Certificate); i. Na guia Digital Signature Settings, marque a opo Sign with a digital certificate, clique no boto Select e selecione o certificado importado no passo 01 (rds-app.jsathler.spaces.live.com). Clique em OK; l. No menu Remote app Sources adicione o nome DNS do RD Session Host que ser utilizado para popular as aplicaes no RD Web Access. No nosso caso iremos adicionar o dns name da FARM rdsapp.jsathler.spaces.live.com. Ir aparecer uma mensagem informando que no foi possivel contactar o host, clique em Yes (o nome DNS da farm ainda no foi criado neste ponto no DNS Server, por isso a mensagem de erro); i. Isso far com que o RD Connection Broker tenha uma lista de todos os servidores RD Session Host x Aplicaes publicadas; ii. Esta lista ser utilizada pelos servidores RD Web Access quando o usurio fizer logon na interface Web; iii. Caso seja informado o nome de vrios servidores de uma mesma farm o usurio ver as aplicaes duplicadas na interface do Web Access. Uma alternativa informar o nome de apenas um servidor da FARM, porem caso este fique indisponivel a lista de aplicaes no RD Web Access ficara vazia; iv. Por fim caso esteja utilizando o NLB nos servidores RD Session Host para fazer este balanceamento ao invs do round-robin, basta informar o nome virtual do cluster NLB; b.
Configurando o RD Session HostA partir do host sh-01:
P gi n a |9 Windows Server 2008 R2 Remote Desktop Services Escrito por Juliano Sathler http://jsathler.spaces.live.com 1. Atravs do MMC Server Manager, adicione no grupo TS Web Access Computers group a conta dos computadores que executam o papel RD Connection Broker. No nosso caso a conta do computador cb-01; a. Isto necessrio para que as aplicaes sejam carregadas no RD Connection Broker e posteriormente listadas na interface do RD Web Access; Abra o mmc Remote Desktop Session Host Configuration disponivel em Start/Administrative Tools/Remote Desktop Services; a. Selecione o conector RDP j criado (por padro) e obtenha as propriedades dele; i. Na guia General, verifique se a opo Allow connections only from computers running Remote Desktop witch Network Level Authentication est devidamente ativa. Ainda nesta guia, defina a opo Security Layer como SSL (TLS 1.0); ii. Na guia Log on Settings deixe apenas a opo Use client-provided log on information marcada; iii. Na guia Sessions defina os tempos de time-out e reconexo; iv. Na guia Remote Control marque as opes Use Remote control with the following settings:, Require user's permission e Interact with the session; 1. Desta forma sera possivel interagir com uma sesso de usurio; v. Em Client Settings defina quais dispositivos podero ser mapeados em uma sesso de terminal, assim como o nmero mximo de monitores e cor da tela, clique em OK; b. Por padro o servidor de licenas descoberto automaticamente, caso queira forar o uso de um RD Licensing server, basta na rea Editing Settings clicar duas vezes na opo Remote Desktop license servers, clicar no boto Add informar o nome do servidor de licena e clicar em OK. No nosso caso, informar o nome cb-01; c. Na rea Editing Settings clique duas vezes na opo RD Connection Broker e clique no boto Change Settings i. Na tela RD Connection Broker Settings escolha a opo Farm member e informe os valores cb01.jsathler.spaces.live.com e rds-app para os campos RD Connection Broker server name e Farm Name respectivamente, clique em OK; 1. Todos os servidores que faro parte de uma mesma FARM precisam ter o campo Farm Name definidos com o mesmo nome; ii. Selecione a opo Participate in Connection Broker Load-Balancing para permitir o balanceamento de conexes entrantes nos servidores RD Session Host; iii. Por fim selecione a opo Use IP address redirection (recommended) e informe qual interface ser utilizada para reconexo durante o balanceamento do Connection Broker; 1. Caso utilize um balanceador de carga diferente do NLB ou DNS round robin, pode ser necessrio selecionar a opo Use token redirection ao invs da opo Use IP address redirection (recommended); d. Caso queira ativar atribuir um endereo IP por sesso, na rea Editing Settings clique duas vezes na opo IP Virtualization e marque a opo Enable IP virtualization, caso contrrio clique em OK; i. Defina a interface que ser utilizada para obter o endereo IP (um DHCP server necessrio para esta funcionalidade); ii. Por fim defina como ser a atribuio de IP, a cada nova sesso ou baseado em aplicaes; Crie no DNS (dc-01) um registro A para cada servidor que execute o RD Session Host com o mesmo nome da farm. Por exemplo, caso existam 3 servidores RD Session Host com os ips 192.168.1.2, 192.168.1.3 e 192.168.1.4 e o nome da farm seja rds-app, basta criar 3 entradas no DNS com o nome rds-app, um para cada ip. Lembre de ativar o recurso de round-robin no DNS. Uma alternativa ao round-robin o uso do o NLB nos servidores RD Session Host;
2.
3.
Publicando as aplicaes4. Clique no menu Start/Run e abra o mmc.exe; a. No menu File, escolha a opo Add/Remove Snap in;
P g i n a | 10 Windows Server 2008 R2 Remote Desktop Services Escrito por Juliano Sathler http://jsathler.spaces.live.com Clique em Certificates e clique em Add, em seguida clique em Computer Account, clique em Next, selecione a opo Local computer e finalmente em Finish, em seguida clique em OK; c. Expanda Certificates (Local Computer)/Personal/Certificates e clique com o botao direito e selecione All Tasks/Import...; d. Na tela Welcome to the certificate import wizard clique em Next; e. Na tela File to import informe o caminho/nome do certificado e clique em Next. Importar o certificado criado para o DNS rds-app.jsathler.spaces.live.com; f. Na tela Password informe a senha para o certificado e clique em Next; g. Na tela Certificate Store clique em Next; h. Na tela Completing the certificate import wizard, clique em Finish; Abra o mmc Remoteapp Manager disponivel em Start/Administrative Tools/Remote Desktop; i. No painel Actions a direita, clique em RD Session Host Server Settings e informe o nome DNS do IP virtual (o nome da farm) no campo Server Name. No nosso caso informe o nome rds-app.jsathler.spaces.live.com. Clique em OK; j. Na guia Digital Signature Settings, marque a opo Sign with a digital certificate, clique no boto Change e selecione o certificado importado no passo 01. Clique em OK; i. O mesmo certificado deve ser utilizado para todos os servidores RD Session Host na FARM; k. Na guia RD Gateway: i. Selecione a opo Use these RD Gateway Server Settings e no campo nome informe o nome de acesso ao RD Gateway (nome externo, para permitir conexo a partir da internet), neste caso utilize gw-01.jsathler.spaces.live.com; ii. Selecione o mtodo de logon Ask for password (NTLM) e marque as opes Use the same user credentials for RD Gateway and RD Session Host server e Bypass RD Gateway server for local addresses; b. Na guia Custom RDP Settings digite o texto authentication level:i:0 (sem aspas) e clique OK para finalizar; i. Desta forma iremos evitar possiveis mensagens de erro relacionadas a certificados digitais; l. No painel Actions a direita, clique em Add RemoteApp Programs para iniciar o assistente de publicao; ii. Na tela Welcome to the RemoteApp Wizard clique em Next; iii. Selecione a aplicao a ser publicada ou clique em Browse para localizar uma e clique em Next; iv. Na tela Review Settings valide as informaes e clique em Finish para terminar; m. Para manter todos os servidores RD Session Host com as mesmas listas de aplicaes publicadas, aps configurar todas as aplicaes em um RD Session Host, basta exportar as configuraes atravs da opo Export RemoteApp Settings e importar nos demais servidores atravs da opo Import RemoteApp Settings; n. Caso queira limitar o acesso a uma aplicao a um determinado grupo de usurios, basta obter as propriedades da aplicao, na guia User Assignment escolher a opo Specified domain users and domain groups e finalmente adicionar o grupo; o. possivel gerar um arquivo .rdp ou .msi para ser utilizado/instalado pelos usurios, sem a necessidade de utilizar o RD Web Access, caso queira basta clicar nas opes Create .rdp file ou Create Windows Installer Package; b.
5.
O virtual IP Os usurios de uma empresa acessam uma aplicao WEB atravs do servio de terminal e esta aplicao balanceada atravs do NLB com afinidade de IP habilitada. Existem cerca de 8 servidores RDSH e 3 de aplicao. Aps algumas conexes voce percebe que a carga no devidamente distribuida entre os servidores de aplicao. Porque isso acontece? Isso acontece porque como o NLB esta (por padro) definido para manter afinidade de endereos IP, todos os usurios de um mesmo servidor de terminal direcionado para um mesmo servidor de aplicao.
P g i n a | 11 Windows Server 2008 R2 Remote Desktop Services Escrito por Juliano Sathler http://jsathler.spaces.live.com Ativando o recurso de virtual IP, cada usurio ter um IP para apresentar ao NLB, fazendo com que o balanceamento seja feito pelo IP virtual do usurio e no pelo IP do servidor que executa o RD Session Host. Como evitar que um usurio faa uso de toda a cpu e memria disponiveis? No Windows Server 2003 Enterprise a Microsoft disponibilizou uma ferramenta que evitava que um nico usurio utilizasse toda cpu/memria do servidor de Terminal Service. No Windows Server 2008 R2, esta ferramenta passou a ser uma feature e no requer mais a verso Enterprise do Windows.. Estamos falando do Windows System Resource Manager. Para maiores informaes sobre a configurao deste recurso, consulte a documentao do Windows. Facilitando o gerenciamento dos papeis Uma forma de manter vrios hosts com as mesmas configuraes atravs de GPO. No Windows Server 2008 R2 existem vrios templates para cada um dos papeis do RDS.
Configurando o Web AccessA configurao do RD Web Access bem simples e se resume a configurar o certificado a ser utilizado no SSL e o servidor RD Connection Broker que ser utilizado para obter a lista de aplicaes disponiveis no ambiente. A partir do host gw-01: 1. Clique no menu Start/Run e abra o mmc.exe; a. No menu File, escolha a opo Add/Remove Snap in; b. Clique em Certificates e clique em Add, em seguida clique em Computer Account, clique em Next, selecione a opo Local computer e finalmente em Finish, em seguida clique em OK; c. Expanda Certificates (Local Computer)/Personal/Certificates e clique com o botao direito e selecione All Tasks/Import...; d. Na tela Welcome to the certificate import wizard clique em Next; e. Na tela File to import informe o caminho/nome do certificado e clique em Next. Importar o certificado criado para o DNS gw-01.jsathler.spaces.live.com; f. Na tela Password informe a senha para o certificado e clique em Next; g. Na tela Certificate Store clique em Next; h. Na tela Completing the certificate import wizard, clique em Finish; Abra o mmc Internet Information Services (IIS) Manager disponivel em Start/Administrative Tools: a. Expanda cb-01/Sites/Default Web Site e no painel Actions, clique em Bindings; b. Clique em https, em seguida no boto Edit; c. Em SSL Certificate, selecione o certificado importado no passo 01 e clique em OK; Abra a url https://gw-01.jsathler.spaces.live.com/RDWeb/Pages/en-US/config.aspx, escolha a opo An RD Connection Broker server e informe o nome do servidor que mantem o papel RD Connection Broker. No nosso caso basta informar o nome cb-01.jsathler.spaces.live.com; a. Verifique atravs do link https://gw-01.jsathler.spaces.live.com/RDWeb/Pages/en-US/default.aspx que as aplicaes publicadas ja aparecem na lista;
2.
3.
Configurando o Gateway4. Abra o mmc Remote Desktop Gateway Manager disponivel em Start/Administrative Tools/Remote Desktop Services; a. Clicar com o boto direito em gw-01 (local) e selecione a opo Properties;
P g i n a | 12 Windows Server 2008 R2 Remote Desktop Services Escrito por Juliano Sathler http://jsathler.spaces.live.com i. Na guia General informe o nmero mximo de conexes que voce deseja suportar atravs deste servidor; ii. Na guia SSL Certificate, clique no boto Import Certificate, selecione o certificado criado no passo 01 do tpico Configurando o Web Access e clique em Import; iii. Na guia RD Cap Store selecione a opo Central server running NPS, em seguida informe o nome do servidor que ser o NPS do ambiente e finalmente a senha criada durante a configurao do NAP Server. No nosso caso iremos utilizar o host cb-01.jsathler.spaces.live.com. Clique em OK; No menu Policies/Resource Authorization Policies clique com o boto direito e selecione a opo Create new policy/Wizard; i. Na tela Create Authorization Policies for RD Gateway clique em Next; ii. Informe o nome para a politica e clique em Next; iii. Na tela Select User Groups, informe o grupo que poder acessar o ambiente RDS atravs deste RD Gateway e clique em Next; 1. Atravs das politicas de autorizao de acesso possivel definir os usurios que podero ter acesso apenas dentro da rede daqueles que precisam de acesso externamente; iv. Na tela Select Network Resources selecione a opo que se aplica ao seu ambiente e clique em Next. Para este laboratorio iremos utilizar a opo Allow user to connect to any network resource (computer); 1. O ideal criar um Grupo dentro do AD e inserir os computadores que podem ser acessados pelos usurios clientes deste RD Gateway; v. Na tela Select Allowed TCP Ports selecione a opo Allow connections only through TCP port 3389 e clique em Next; vi. Na tela RD RAP Settings Summary verifique se as informaes esto corretas e clique em Finish;
b.
Testando o acesso ao ambienteA partir do host cl-01: 1. Clique no menu Start/Run e abra o mmc.exe; a. No menu File, escolha a opo Add/Remove Snap in; b. Clique em Certificates e clique em Add, em seguida clique em Computer Account, clique em Next, selecione a opo Local computer e finalmente em Finish, em seguida clique em OK; c. Expanda Certificates (Local Computer)/Personal/Certificates e clique com o botao direito e selecione All Tasks/Import...; d. Na tela Welcome to the certificate import wizard clique em Next; e. Na tela File to import informe o caminho/nome do certificado e clique em Next. Importar o certificado certnew.cer salvo durante o passo 06 do tpico Solicitando os certificados digitais; f. Na tela Certificate Store, selecione a opo Place all certificates in the following store, clique em Browse i. Marque a opo Show Physical Stores; ii. Selecione a pasta "Trusted Root Certification Authorities/Local Stores" e clique em OK, em seguida clique em Next; g. Na tela Security Warning clique em Yes; h. Na tela Completing the certificate import wizard, clique em Finish; Abra o site https://gw-01.jsathler.spaces.live.com/RDWeb, informe um usurio/senha e clique em alguma aplicao que tenha sido publicada; a. Veja que ser necessria a execuo de um add-on, basta autorizar a execuo do mesmo; b. Na primeira conexo clique na caixa Don't ask me again for remote connections from this publisher, para evitar que esta mensagem seja mostrada nas prximas conexes;
2.
P g i n a | 13 Windows Server 2008 R2 Remote Desktop Services Escrito por Juliano Sathler http://jsathler.spaces.live.com c. Perceba que nenhuma outra tela de login solicitada, comprovando o perfeito funcionamento do Single Sign On;
Mantendo o ambiente com alta disponibilidadeVeremos agora o que necessrio para tornar o ambiente altamente disponivel, ou seja em caso de falha de algum componente da infra-estrutura do RDS, como garantir que o acesso no ser comprometido. RD Licensing Server No existe uma forma de tornar este papel altamente disponivel. Como contorno poderiam ser ativados dois servidores de licena e as licenas serem divididas entre eles; RD Connection Broker Para poder manter este papel em uma estrutura de alta disponibilidade, necessria a utilizao do servio de cluster (Failover Cluster); RD Session Host Basta instalar vrios servidores RD Session Host na mesma farm e configurar o DNS round-robin ou NLB para acesso aos servidores. Neste caso o round-robin ou NLB seriam utilizados apenas na conexo inicial uma vez que o Connection Broker ir analisar o servidor com menor nmero de conexes e encaminhar a solitao a ele; RD Web Access Basta instalar vrios servidores RD Web Access e configurar o DNS round-robin, NLB ou outro balanceador de cargas; RD Gateway Basta instalar vrios servidores RD Gateway e configurar o DNS round-robin, NLB ou outro balanceador de cargas. O nico detalhe em relao aos Resource Access Policy, pois diferentemente dos Connection Access Policy no podem ser gerenciados centralmente (no caso do CAP utilizamos o NPS para centralizar as politicas). Para contornar o problema, basta modificar a chave no registro (hklm\software\microsoft\windows nt\currentversion\terminalservergateway\config\core\rapstore) e configura-la de forma a apontar para um compartilhamento na rede. Cuidado durante a definio das permisses NTFS/Compartilhamento, pois a conta dos hosts que executam o RD Gateway precisam de acesso de escrita. isso ai pessoal, ate a prxima.
Juliano Sathler com mais de 8 anos de experincia na rea de TI. Trabalha com suporte/projetos de Exchange Server e Active Directory em uma multinacional no interior de SP. Possui atualmente as certificaes MCSA/MCSE +M +S em Windows 2000 e 2003, MCTS/MCITP em Exchange 2007 e MCT.