TSE - Formation RDS sur Windows Server 2008R2

De PedroWiki

Introduction

Formation dispensée en Octobre 2011 par Bruno Dubois pour le compte d'ENI formation.

Site web d'ENI Formation

Cadre de cette formation

Formation générique sur les accès TSE.

Autres termes utiles ou en lien:

  • RDP: Remote Desktop Protocol (protocole côté client).
  • RDS: Remote Desktop Server.

Après explication des besoins en lien avec l'administration du parc Windows au CROUS de Nantes, orientation vers mes besoins plus spécifiques (optimisation de l'utilisation du service TSE, meilleure gestion des licences, meilleure organisation des rôles liés aux accès TSE sur le domaine).

Théorie et principes de TSE/RDS

Généralités

INSERER SCHEMA 1

A retenir:

  • Bande passante:
    • BP utilisée entre le client RDP et le serveur TSE <= 20Kb/s.
    • Sauf en cas d'impression ou de transfert de fichier (équivalent), ou la bande passante maxi est utilisée entre le serveur et le client portant le disque ou l'imprimante.
  • Sessions:
    • Jusqu'à 2008R2, 1 session 0 aussi appellée console, légèrement spécifique ou différente des sessions utilisateur classiques.
    • A partir de 2008R2, banalisation des sessions (pas ou très peu de différence entre la session 0 et la session 1, 2...).

Compatibilité entre versions de windows/serveur TSE et serveur de licence TSE

  • TS 2000 => Serveur de licences 2000 qui est DC.
  • TS 2003 => Serveur de licences 2003 (peut aussi servir de serveur de licences pour le TS2000 s'il est DC).
  • TS 2008 => Serveur de licences 2008 (peut aussi servir de serveur de licences pour le TS2000 s'il est DC, et peut servir de serveur de licences pour le TS2003).
  • TS 2008R2 => Serveur de licences 2008R2 (peut aussi servir de serveur de licences pour le TS2000 s'il est DC, et peut servir de serveur de licences pour le TS2003 et le TS2008).

En gros, on a pour chaque serveur de licences une compatibilité descendante avec les serveurs TS.

INSERER SCHEMA 3

Licences TSE ou CAL

  • Licences illimitées pour les accès TS2000, payante par la suite.
  • Licences par utilisateur ou par poste.
  • Dans le cas des licences par poste, 1 poste consomme une licence du pool à la connexion (en fait à la 2eme connexion) et cette licences et strictement associée à ce poste (au moins pour la durée du bail). Les licences ne constituent pas un pool qu'on peut faire tourner sur l'ensemble d'un parc, grosse contrainte.
  • Dans le cas des licences par utilisateur, 1 utilisateur est associé le temps d'un bail à une licence.
  • Le mode par utilisateur est recommandé.

Pools de licences dans le gestionnaire de licences TSE

Le gestionnaire de licences TSE présente à l'administrateur plusieurs pools de licences:

  • licences 2000 annoncées comme illimitée en nombre.
  • licences 2003, à acheter et à stocker dans un gestionnaire de licences.
  • licences 2008, à acheter et à stocker dans un gestionnaire de licences.
  • licences temporaires, sur un bail d'une durée de 2/3 mois, permettant d'attribuer des licences quand on a consommé (jusqu'à épuisement des baux) nos licences payantes.

NLA - Network Location Authentication

Travaux pratiques

Contexte

INSERER SCHEMA 2

  • Travail sur un poste physique installé en Windows Server 2008R2.
  • Utilisation d'Hyper-V pour mise en place de l'environnement de travaux pratiques.
  • Déploiement de 4 VM:
    • 1 VM DCWin2K8R2: DC + Gestionnaire de licences d'accès au Bureau à distance.
    • 1 VM R2 (Win2K8R2 Server): serveur d'accès TSE 2008.
    • 1 VM 2003 (Win2K3R2 Server): serveur d'accès TSE 2003.
    • 1 VM Seven: poste client.
    • 1 VM XP: poste client, pour mise en situation réaliste par rapport au parc du CROUS.

Opérations

  • Lancement de l'installation/déploiement des 4 VM.
  • Vérification des paramètres de chaque VM pour le réseau: connexion au réseau INTERNE (HOST).
  • Configuration d'un rôle de serveur DHCP sur la machine DCWin2K8R2 pour attribution des IP aux autres machines.
  • Configuration d'un domaine AD: labs.local et jonction des 4 autres machines sur ce domaine.
  • Installation d'un Service de rôle pour la gestion des licences TS sur le DC 2008R2.
  • Installation d'un composant windows Terminal Server sur le serveur TSE 2003.
  • Installation d'un Service de rôle Hôte de session bureau à distance pour le rôle Services bureau à distance sur le 2008R2.

Infos utiles et bons usages

Bons usages

  • en principe, les applications utilisées en TSE doivent être installées en local sur le serveur TSE (le serveur de bureau distant).
  • le Service de rôle TSE ou le composant windows Terminal Server doivent être installés préalablement à toute applis destinée à l'accès via TSE.

Installation d'application sur un serveur TSE

La procédure à suivre est la suivante:

  1. il ne doit rester qu'une seule session: la session console (virer tous les utilisateurs au préalable).
  2. passer en mode installation.
  3. installer l'application selon les modalités spécifiques s'appliquant pour une installation sur serveur TSE, si ces modalités existent bien entendu.
  4. Facultatif: lancer l'application sur la console après avoir vérifié que le mode installation est toujours actif.
  5. Reboot du TSE, ou sortie du mode installation.

NB:

  • En fonction de l'application à installer il n'est pas forcément nécessaire de fermer toutes les autres sessions.
  • Le passage en mode installation est automatique quand on installe:
    • un .msi
    • un programme nommé install.exe ou setup.exe
    • en dehors de ça, le passage en mode installation est à faire manuellement.
  • Le système en mode installation scrute les modifications dans HKEY_CURRENT_USER, et sur les .ini dans WINDOWS ou SYSTEM32. Après l'installation, toute nouvelle connexion TSE se voit appliquer les modifications observées lors de la scrutation. D'où l'utilité de lancer une fois le programme fraichement installé en console en mode installation: toutes les phases de configuration ou de fin d'installation d'une applications seront faites une fois par l'admin puis le résultat reporté dans le profil des utilisateurs lors de leurs ouvertures de sessions.

Infos utiles

Versions Windows

  • v4
    • NT4 = version 4
  • v5
    • 2000 = version 5.0
    • XP = version 5.1
    • 2003(R2) = version 5.2
  • v6
    • 2008/Vista = version 6.0
    • 2008R2/Seven = version 6.1
    • Windows 8 = version 6.2

Sécurité renforcée IE

Si les utilisateurs de sessions TSE accèdent à Internet via leurs sessions, il est souhaitable de désactiver, dans les composants windows pour un serveur TSE 2003, la sécurité renforcée Internet Explorer.

Vérification à faire au CROUS

  • Si serveur de licence 2003 installé sur l'un des DC2003, pas de consommation de licence pour les accès TS2000.