Alphorm.com Formation RDS Windows Server 2008 R2 - Guide du consultant

RDS – Windows Server 2008 R2
Présentation de la formation
Site : http://www.alphorm.com
Blog : http://www.alphorm.com/blog
Forum : http://www.alphorm.com/forum
Hicham KADIRI
Formateur et Consultant indépendant
Solutions Microsoft, VMware et Citrix
Certifications : MVP, MCT, MCSA, MCSE
Windows RDS (Remote Desktop Services) 2008 R2 alphorm.com™©

Plan
• Présentation du formateur
• Services Bureau à distance, qu’est ce que c’est ?
• Le plan de formation
• Publics concernés
• Connaissances requises
• Présentation du Lab
• Ateliers pratiques
• Liens des ressources logicielles
• Autres liens utiles

Présentation du formateur
• Hicham KADIRI
• hicham.kadiri@hichamsoft.fr
• Consultant et Expert Infrastructure Microsoft
• Mission d’audit, conseil, architecture, migration et formation
• MCSA, MCSE, MCTS, MCITP, MCT, MVP Windows Expert IT Pro
• Mes références :
Mon profil LinkedIn : http://fr.linkedin.com/in/hichamkadiri
Mon profil Viadeo : http://fr.viadeo.com/fr/profile/hicham.kadiri
Mon profil Alphorm : http://www.alphorm.com/auteur/hicham-kadiri
Mon profil MVP : https://mvp.microsoft.com/fr-fr/mvp/Hicham%20KADIRI-5000857

Mes formations sur alphorm.com
• Auteur de plusieurs formations sur www.alphorm.com
• Liste complète, disponible ici : http://www.alphorm.com/auteur/hicham-kadiri
Formation Windows 8.1
(70-688)
WSUS (Windows Server Update
Services) 3.0 SP2
Formation Windows Server Core
2008 (R2) – Le guide complet
de l‘Admin IT
Formation Windows Server Core
2012 (R2) – Le guide complet
de l‘Admin IT

Services Bureau à distance, qu’est ce que c’est ?
• Ou (RDS) pour Remote Desktop Services
• Anciennement appelé (TSE) pour Terminal Services
• Ensemble de technologies /services permettant à un ou
plusieurs utilisateurs d’accéder (simultanément) à des
applications publiées sur un serveur distant (Seamless
application) ou à des bureaux Windows, que ça soit via réseau
local ou Internet.
• Solution /Rôle natif dans Windows Server 2008 R2
• La solution RDS est composée de 6 services de rôle
• Solution VDI (Virtual Desktop Infrastructure)

Le plan de formation
• Ch1. Présentation de la formation
• Ch2. Introduction aux Services Bureau à distance
• Ch3. Les concepts clés d'une architecture RDS
• Ch4. Déployer votre premier serveur Hôte de session des services Bureau à distance
• Ch5. Déployer une ferme RDS
• Ch6. Personnaliser l'Expérience Utilisateur
• Ch7. Sécuriser l'environnement Utilisateur
• Ch8. Sécuriser les connexions RDP
• Ch9. Déployer et configurer un Serveur de Licences des Services Bureau à distance
• Ch10. Gérer les données utilisateur dans une infrastructure RDS
• Ch11. Déployer et configurer une Passerelle des Services Bureau à distance
• Ch12. Configurer une infrastructure RDS via GPO
• Ch13. Gérer une infrastructure RDS
• Ch14. Conclusion

Publics concernés
• Administrateur Systèmes
• Ingénieur Systèmes
• Ingénieur /Consultants Infrastructure
• Architecte Infrastructure
• Chef de projet Infrastructure
• Toute personne désirant concevoir, planifier, déployer et gérer une
infrastructure RDS 2008 R2.

Connaissances requises
• Connaissances sur les systèmes d’exploitation Windows Server et plus
particulièrement Windows Server 2008 /2008 R2
• Connaissances (de base) sur Active Directory 2008 R2
• Connaissances (de base) sur les Objets de Stratégie de groupe (GPO)
• Connaissances (de base) sur Terminal Server (TSE) ou RDS 2008
• Connaissances (de base) sur l’administration des systèmes
d’exploitation Windows
• Connaissances (de base) sur : TCP/IP, Adressage IP

Présentation du Lab – Part 1

Présentation du Lab – Part 2
Informations techniques
Option Valeur
Nom DNS du domaine AD ALPHORM.LOCAL
Nom NetBIOS du domaine AD ALPHORM
DHCP Activé Non
ID Réseau 10.101.100.0 /24
IP DNS Server 10.101.100.10
IP Passerelle 10.101.100.1
Note : pour simuler l’accès à l’infrastructure RDS depuis l’externe, un client externe se
connectant à travers Internet à la passerelle RDS avec une IP externe sera configuré
LAB ALPHORM – utilisateur de serveur dédié hébergé chez OVH

Ateliers pratiques
• Concevoir une infrastructure RDS 2008 R2
• Déployer une infrastructure RDS 2008 R2
• Gérer une infrastructure de licence RDS 2008 R2
• Sécuriser une infrastructure RDS 2008 R2
• Rendre une infrastructure RDS 2008 R2 accessible depuis l’externe
• Gérer une infrastructure RDS 2008 R2
• Gérer une infrastructure de licence RDS 2008 R2

Liens des ressources logicielles
• Remote Desktop Connection Manager (RDCMan)
http://www.microsoft.com/en-us/download/details.aspx?id=21101
• Windows Server 2008 R2
http://www.microsoft.com/fr-fr/download/details.aspx?id=11093
• Ressources associées (scripts, documentations ..)
Page de formation Rubrique Téléchargement - Fichier .zip

Autres liens utiles
Microsoft Technet | Windows Server 2008 /2008 R2
• http://social.technet.microsoft.com/Forums/fr-fr/
home?forum=windowsserver2008frfilter=alltypessort=lastpostdesc
Forum Alphorm | Remote Desktop Services (RDS) – Windows Server 2008 R2
• http://www.alphorm.com/forum/remote-desktop-services-rds-windows-server-
2008-r2-f59/

Are you ready ? ☺

RDS – Windows Server 2008 R2
DEMO : Préparation du LAB
Hicham KADIRI

Plan
• Informations utiles
• Préparation du LAB
• Gestion du LAB

Informations utiles
• Windows Server 2008 R2 Edition Standard : Limitation du nombre de connexions RDG
Rôle serveur Enterprise Datacenter Standard Itanium Web Foundation HPC
Services Bureau à distance (1) (2) (1)
• : Présent /complet | : Absent | : Présent /Restreint
• (1) : connexions à la passerelle RDG limitées à 250
• (2) : connexions à la passerelle RDS limitées à 50 connexions

Préparation du LAB
• Déployer Windows Server 2008 R2 Edition Standard ou Entreprise
• Configurer les hostnames adresses IP sur tous les serveurs et postes de travail
• Créer les OU /sous OU et objets AD pour chaque serveur et poste de travail
• Joindre tous les serveurs et postes de travail au domaine ALPHORM.LOCAL
• Activer /autoriser les connexions bureau à distance sur tous les serveurs et postes de
travail du LAB
• Télécharger et installer l’outil RDCMan
• Créer la structure : Groupes RDP et Connexions RDP
VOIR DEMONSTRATION

Gestion du LAB
• Toutes les machines du LAB (serveurs P2T) sont gérés via des
connexions Bureau à distance (RDCMan)
• Microsoft offre :
2 connexions Bureau à distance « Gratuites » pour des besoins de gestion et
d’administration de serveurs : 2 connexions Bureau à distance à la fois sur un
Serveur W2008 R2, et ce, ces 2 connexions nécessitent aucune Licence RDS
1 seule connexion Bureau à distance « Gratuite » pour gérer et administrer les
postes de travail : une seule connexion Bureau à distance à la fois sur un
Poste de Travail, cette connexion nécessite aucune Licence RDS

Introduction aux Services
Bureau à distance
Services Bureau à distance, qu'est
ce que c'est ?
Hicham KADIRI

Plan
• D’où vient le terme RDS ?
• Services Bureau à distance, qu’est ce que c’est ?
• Hôte de session Bureau à distance
• Hôte de Virtualisation des Services Bureau à distance
• Gestionnaire de licences des Services bureau à distance
• Service Broker pour les connexions Bureau à distance
• Passerelle des Services Bureau à distance
• Accès Bureau à distance par le Web
• Architecture de la solution RDS 2008 R2

D’où vient le terme RDS ?
• Citrix MultiWin : conçu pour Windows NT 3.51 (WinFrame)
• Windows NT : Terminal Server Edition (Citrix MetaFrame)
• Windows Server 2000 : Rôle natif
• Windows Server 2008 R2 et RDS : Rôle natif

Services Bureau à distance, qu’est ce que c’est ?
• Ou (RDS) pour Remote Desktop Services
• Anciennement appelé (TSE) pour Terminal Services
• Ensemble de technologies /services permettant à un ou plusieurs utilisateurs d’accéder
(simultanément) à des applications publiées sur un serveur distant (Seamless application)
ou à des bureaux Windows, que ça soit via réseau local ou Internet.
• Solution /Rôle natif dans Windows Server 2008 R2
• La solution RDS est composée de 6 services de rôle:
Hôte de session Bureau à distance (RD SH : Remote Desktop Session Host)
Hôte de Virtualisation des Services Bureau à distance (RD VH : Remote Desktop Virtualization Host)
Gestionnaire de licences des Services bureau à distance (RD LS : Remote Desktop Licensing Server)
Service Broker pour les connexions Bureau à distance (RD CB : Remote Desktop Connection Broker)
Passerelle des Services Bureau à distance (RDG : Remote Desktop Gateway)
Accès Bureau à distance par le Web (RD WA : Remote Desktop Web Access)

Hôte de session Bureau à distance
• Aussi appelé RD SH (pour Remote Desktop Session Host)
• Permet de gérer (accepter) plusieurs connexions Bureau à distance simultanément
• Inclut le serveur RemoteApp : publication et distribution des programmes RemoteApp
• Prend en charge plusieurs technologies de sécurité pour sécuriser et chiffrer les
connexions RDP
• Propose un environnement utilisateur optimisé :
Expérience utilisateur : Aero Glass – Thèmes Windows – Outils Windows 7
RemoteFX (incluse dans le SP1 de Windows Server 2008 R2) :
• Carte graphique 3D – Redirection périphériques USB - Codecs intelligents ..etc
Redirection des ressources locales : disques locaux, imprimantes, audio /vidéo …etc
VOIR CHAPITRES 4 5

Hôte de Virtualisation des Services Bureau à distance
• Aussi appelé RD VH (pour Remote Desktop Virtualization Host)
• Nouveau service de rôle introduit avec Windows Server 2008 R2
• S’intègre avec l’hyperviseur « Microsoft Hyper-V » pour fournir des
bureaux virtuels (hébergés sur des VMs) à la demande
Deux types de ressources :
• Personal VM (Machine Virtuelle Personnelle) : attribuée à un seul utilisateur
• VM Pool (Pool de Machines Virtuelles) : attribuée à plusieurs utilisateurs
• Élément essentiel de l’infrastructure VDI

Gestionnaire de licences des Services bureau à distance
• Aussi appelé RD LS (pour Remote Desktop License Server)
• Il permet de distribuer des Licences RDS (CAL RDS) par-utilisateur ou
par-périphérique aux utilisateurs /ordinateurs distants.
• Gestion de Licences : installation - suppression – révocation
• Inclut un outil de reporting /suivi et de protection des CALs RDS
VOIR CHAPITRE 9

Service Broker pour les connexions Bureau à distance
• Aussi appelé RD CB (Remote Desktop Connection Broker)
• Point central d’une infrastructure RDS
• Permet de gérer l’équilibrage de charges entre plusieurs serveurs Hôte
de session Bureau à distance (RD SH)
• Support de plusieurs options d’équilibrage de charges
• Rendre l’infrastructure RDS hautement disponibles
• Nécessite 2 serveurs RD SH et plus.
VOIR CHAPITRE 5

Passerelle des Services Bureau à distance
• Aussi appelé RDG (pour Remote Desktop Gateway)
• Composant intermédiaire entre les utilisateurs externes et les ressources
internes (Serveurs RD SH, Serveurs RemoteApp, VMs) qu’ils utilisent.
• Permet de gérer « Qui est » autorisé à se connecter via la Passerelle RDS
(CAP) et à accéder aux ressources internes comme Serveurs RD SH,
Serveurs RemoteApp, VMs (RAP)
:
• La passerelle RDS se base 2 stratégies définit par l’administrateur Stratégies d’Autorisation des Connexions (CAPs: Connection Access
Policies)
Stratégies d’Autorisation d’Accès aux Ressources (RAPs: Ressource
Access Policies)
VOIR CHAPITRE 11

Accès Bureau à distance par le Web
• Aussi appelé RD WA (pour Remote Desktop Web Access)
• Permet de rendre les programmes RemoteApp les connexions Bureau
à distance accessible via un portail Web (accès depuis réseau local)
• Permet aussi de rendre les programmes RemoteApp les connexions
Bureau à distance accessible à travers Internet.
VOIR CHAPITRE 4

Architecture de la solution RDS 2008 R2

Ce qu’on a couvert
• Historique des versions de la solution TSE /RDS
• Définition de la solution RDS
• Différents composants de la solution RDS 2008 R2
• Architecture de la solution RDS 2008 R2

Bureau à distance
Services Bureau à distance 2008 R2
Nouvelles fonctionnalités
Hicham KADIRI

Plan
• Nouveautés RDS Windows Server 2008 R2

Nouveautés RDS Windows Server 2008 R2
• Nouveau composant : RD VH (pour l’infrastructure VDI)
• Intégration des programmes RemoteApp Connexions Bureau à distance avec le
Menu Démarré : VOIR DEMO
• SSO (Single Sign-On) pour l’accès aux fermes RDS (Σ serveurs RD SH) VOIR DEMO
• Support de l’Interface Aero Glass sur les sessions distantes
• WSRM (Windows System Resource Manager) : VOIR DEMO
• Remote FX (inclut dans la R2 SP1)
• Redirection Audio /Vidéo (format compressé encapsulé dans RDP)
• Support du mode « Multi-Ecrans » : redirection de chaque moniteur individuellement
• DFSS (Dynamic Fair Share Scheduling)

• Les nouveautés apportées avec RDS 2008 R2

Bureau à distance
Pris en charge de RDS par les
autres services
Hicham KADIRI

Plan
• La solution RDS dépend elle d’autres services /composants ?

La solution RDS dépend elle d’autres services /composants ?
• La solution RDS a besoin de plusieurs services composants pour
fonctionner :
Client RDC (disponible sur les machines clientes) : pour les connexions à
l’infrastructure RDS (programmes RemoteApp, Bureau à distance, VMs)
Hyper-V (RD VH) pour héberger les VMs (Infrastructure VDI)
Certificats SSL pour l’authentification des serveurs et chiffrement des
communications RDP
IIS pour héberger les sites web du RD WA RDG
Objets de Stratégie de Groupe (GPO) pour centraliser la gestion
configuration de l’infrastructure RDS

• Dépendances de la solution RDS avec les autres Services.

Bureau à distance
Fonctionnalités RDS pour les
développeurs et scripteurs
Hicham KADIRI

Plan
• Fonctionnalités RDS pour les développeurs et scripteurs

Fonctionnalités RDS pour les développeurs et scripteurs
• La solution RDS n’est pas uniquement un produit de Microsoft
• RDS est aussi une plateforme de développement pour :
Les éditeurs de logiciels indépendants (ISVs : Independent Software Vendors)
Consultants /Ingénieurs développeurs qui conçoivent et développent des solutions
logicielles
• Windows Server 2008 R2 inclut plusieurs nouvelles APIs (Application Programming
Interface) pour les partenaires MS (ISVs Experts Indépendants)
• Les développeurs Scripteurs doivent dans un premier travailler sur les APIs publics, faire
valider leurs changements par Microsoft et cette dernière prendra en compte les
modifications en les incluant dans les API privées.
• Exemple d’API RDS : WTSLogoffSession | WTSSendMessage
• Voir le fichier RDS pour Développeurs Scripteurs.pdf | Fichier « Ressources.zip »

• Fonctionnalités RDS pour les développeurs et scripteurs

Les concepts clés d'une
architecture RDS
Comprendre le système de
distribution d'Applications
Hicham KADIRI

Plan
• Types de plateformes de distribution d’applications
• Serveurs Hôte de Session Bureau à distance
• Serveurs Hôte de Virtualisation des Services Bureau à distance

Types de plateformes de distribution d’applications
• La solution RDS regroupe deux modèles de plateformes de distribution
d’applications :
Sessions Bureau à distance programmes RemoteApp : RD SH
Machines Virtuelles (VMs) : RD VH

Serveurs Hôte de Session Bureau à distance
• RD SH est un espace de travail partagé pour multiples utilisateurs simultanés
• Dès l’établissement d’une connexion Bureau à distance, le RD SH démarre les applications
nécessaires et charge tous les fichiers dans la mémoire
• Les données des utilisateurs distants sont enregistrées après chaque fin de session Bureau à
distance. le RD SH charge les profils utilisateurs a chaque nouvelle connexion
• Les sessions Bureau à distance sont isolées et les utilisateurs exécutant des applications sur le
même serveur RD SH ne peuvent en aucun cas visualiser /récupérer les données depuis les autres
sessions.
• Le serveur RD SH lance plusieurs instances d’une même application, et ce, pour chaque utilisateur
distant.
• Le serveur RD SH (à l’aide d’un système de gestion des ressources natif dans 2008 R2) gère
l’utilisation du CPU RAM pour allouer la même quantité de ressources à chaque utilisateur
distant
• Les programmes RemoteApp lancés par les utilisateurs distants sont basés sur des Connexion
Bureau à distance (même protocole de communication :RDP, même port de communication :3389)

Serveurs Hôte de Virtualisation des Services Bureau à distance
• RD VH n’est pas un espace de travail partagé comme le RD SH mais
plutôt une collection de postes de travail virtuels individuels (VMs)
• Les VMs sont hébergées sur un RD VH et exécutent des OS séparés
/isolés, il ne s’agit pas d’un même espace de travail ! Ces VMs peuvent
exécuter des versions différentes d’OS, des applications différentes,
utiliser des périphériques différents ..Etc
• La quantité de RAM inutilisée ou de vCPU ne peut être partagée
/utilisées avec d’autes VMs
• Mais il s’agit du même objectif : permettre à plusieurs utilisateurs
d’utiliser la même ressource sur le même matériel (VMs).

• Fonctionnement du système de distribution d’Applications

architecture RDS
Performances optimisées avec
Windows Server 2008 R2
Hicham KADIRI

Plan
• Performances optimisées avec Windows Server 2008 R2

Performances optimisées avec Windows Server 2008 R2
• Distribution des cycles de processeurs par un RD SH
• Utilisation efficace de la mémoire par un RD SH
Mémoire virtuel
Winrod.exe
8 T.B
Msaccess.exe
8 TB
Excel.exe
8 TB
Calc.exe
8 TB
Notepad.exe
8 TB
Iexplorer.exe
8 TB
Outlook.exe
8 TB
Mode « Noyau »
8 TB
Mode « utilisateur »
Edition Windows 2008 R2 RAM Supportée
Windows Server 2008 R2 Datacenter 2 TB
Windows Server 2008 R2 Enterprise 2 TB
Windows Server 2008 R2 Standard 32 GB
Windows Server 2008 R2 Foundation 8 GB
Windows HPC Server 2008 R2 128 GB

• Optimisation des performances avec Windows Server 2008 R2

architecture RDS
Déterminer les prérequis matériels
du serveur Hôte de session des
services Bureau à distance
Hicham KADIRI

Plan
• Définir les prérequis matériels du serveur RD SH

Définir les prérequis du serveur RD SH
• Les prérequis matériels dépendent de de la charge prévue du serveur RD SH:
Nombre de connexions : utilisateurs /ordinateurs distants
Nombre des programmes /applications à installer sur le serveur RD SH
Nombre des programmes /applications à utiliser par les utilisateurs distants
Ressources matérielles requises par les programmes distants
Prendre en compte que W2008 R2 est une archi x64 uniquement donc plus de RAM consommée
Recommandations de l’équipe RDS de Microsoft
RAM : 16 GB (support de 1000 connexions simultanées et plus)
HDD : RAID1 avec ~140 GB
CPU : Quad-Core 3 GHz
Réseau : Gigabit (liaison WAN avec vitesse rapide pour accès depuis l’externe)

• Prérequis matériels du serveur RD SH

architecture RDS
Prise en charge des clients RDS
Hicham KADIRI

Plan
• Client RDS : PC ou Client Léger ?
• Quel est la meilleure option de Licence pour mon infrastructure ?
• Quelles sont les applications que je peux exécuter sur un RD SH ?
• Connaissez-vous l’outil « RDS Application Analyzer » ?

Client RDS : PC ou Client Léger ?
• Client Léger ou Thin Client
• Poste de travail fonctionnement en mode « Client /Serveur » avec un minimum
technologique
• Exécute une version Embedded de Windows XP, Windows 7 ou encore 8 et
inclut le client RDC (pour l’accès aux infrastructure RDS : RD SH RD VH)
• Pourquoi choisir le Client Léger ?
Nécessite moins de gestion /maintenance /personnalisation
Moins couteux qu’un PC
Sécurité (fournit avec un OS verrouillé) : aucune application exécutée localement et ne
dispose d’aucune donnée s’il est pas connecté à un serveur distant.
Facile à remplacer et consomme moins d’électricité (démarche GreenIT)

Quel est la meilleure option de Licence pour mon infrastructure ?
• Quelle est l’option de Licence qui :
Répond à mes besoins ?
Me coute moins cher ?
• 2 options de licences RDS
Licence associé à un ordinateur : CAL RDS Par-Périphérique
• L’ordinateur peut être un PC ou un Client Léger
Licence associé à un utilisateur : CAL RDS Par-Utilisateur
• Limitations /Contraintes
CAL RDS par-utilisateur : nécessite un domaine AD 2003 et ultérieur
CAL RDS par-périphérique : Problème d’association de licence RDS sur Clients Léger

Quelles sont les applications que je peux exécuter sur un RD SH ?
• Il n’y pas de réponse exacte à cette question !!!
Microsoft ne communique pas une liste complète des Applications qu’on
peut installer sur un RD SH et transformer en Programmes RemoteApp !
Demander plutôt des informations au éditeur de l’application ou voir fiche
technique de l’application /s’elle a été testée sur un RD SH
Faire des recherches sur Internet avec comme mots clés : nom de
l’application /logiciel à installer sur un RD SH + RDS ou RD SH
Utiliser l’outil « RDS Application Analyzer »
• Téléchargeable ici : https://connect.microsoft.com/tsappcompat/Downloads

Connaissez-vous l’outil « RDS Application Analyzer » ?
• En savoir plus : http://blogs.msdn.com/b/rds/archive/2010/01/19/how-to-detect-rds-specific-application-
compatibility-issues-by-using-the-rds-application-compatibility-analyzer.aspx

• Définition du besoin coté « Client RDS » et compatibilité des
applications dans un environnement Multi-utilisateur /Multi-session
Windows avec le serveur RD SH

Déployer votre premier serveur Hôte de
session des services Bureau à distance
Fonctionnement du serveur Hôte de
Hicham KADIRI

Plan
• Principal rôle du serveur RD SH
• Les services Windows requis pour le bon fonctionnement des clients RDS

Principal rôle du serveur RD SH
• Accepte les connexions distantes entrantes envoyées par multiple utilisateurs
• Chaque demande de connexion est traitée séparément et chaque utilisateur
dispose de chaque propre session.
• Un tunnel est établi entre le client et le serveur RD SH.
• Le client se connecte au serveur via un protocole RDP (Remote Desktop
Protocol)
• Si les options de redirections sont activées, celles-ci sont routées vers la session
distante : Lecteurs locaux, imprimantes, ClipBoard …
Note : Dans le cas d’un serveur RD CB, c’est ce dernier qui reçoit les demandes de
connexion et redirige les utilisateurs vers le serveur RD SH approprié.

Les services requis pour le bon fonctionnement des clients RDS
• Services Bureau à distance (anciennement appelé Service Terminal Services
Nom du service : TermService
• Configuration des Services Bureau à distance
Nom du service : SessionEnv
Redirecteur de port du mode utilisateur des Services Bureau à distance
• Nom du service : UmRdpService

• Fonctionnement du serveur RD SH
• Liste des services requis pour le bon fonctionnement des clients RDS

DEMO : Installation du serveur Hôte de
Hicham KADIRI

Plan
• Les bonnes pratiques
• Méthodes d’installation

Les bonnes pratiques
• Ne jamais installer le serveur Hôte de la session des Services Bureau à
distance (RD SH) sur un Contrôleur de domaine:
Sécurité : limiter la surface d’attaque
Downtime : mode Maintenance
• Utilisez l’authentification NLA (voir chapitre 8)

Méthodes d’installation
• Via Gestionnaire de serveur
• Via l’outil en ligne de commande ServerManagerCmd.exe
• Via Windows PowerShell : module ServerManager
VOIR DEMONSTRATION

• Les bonnes pratiques concernant le déploiement du serveur RD SH
• Les différentes méthodes de déploiement du serveur RD SH

DEMO : Configuration du serveur Hôte de
Hicham KADIRI

Plan
• Configuration des autorisations /accès
• Configuration du WSRM
• Tâches-post déploiement du RD SH
• Expérience utilisateur
• Analyse à l’aide du RD SH BPA
• DEMO : Configuration du serveur RD SH

Configuration des autorisations /accès
• Si vous avez déployé le serveur RD SH via un script batch basé sur des
commandes ServerManagerCmd.exe ou via un Script PowerShell, par
défaut uniquement les Administrateurs locaux sont autorisés à accéder
via Bureau à distance sur votre serveur RD SH, donc l’autorisation des
utilisateurs et/ou groupes d’utilisateurs RDS est à effectuer
manuellement.
• Deux méthodes sont possibles :
Utiliser l’outil LUSRMGR.MSC (GUI)
Utiliser l’outil en ligne de commande Net.exe avec le contexte LocalGroup
• E.i : Net LocalGroup « Utilisateurs du Bureau à distance » /add RDS : pour
ajouter /autoriser le groupe de sécurité RDS.

Configuration du WSRM
• L’outil WSRM (Windows Server Resource Manager) permet d’allouer /gérer
les ressources CPU RAM aux différentes applications /utilisateurs distants.
• Une bonne pratique MS consiste à utiliser cet outil dans une infrastructure
RDS, plus précisément sur les serveurs RD SH pour gérer l’allocation des
ressources aux différents utilisateurs distants.
• Pour installer WSRM, ouvrez cmd.exe en tant qu’Administrateur et saisissez :
ServerManagerCmd –Install WSRM
• Une fois installée, configurez la stratégie d’allocation de ressources
« Weighted_Remote_Sessions » pour ajouter le groupe d’utilisateur du
bureau à distance ou le groupe de sécurité AD content les comptes des
utilisateurs qui sont autorisés à accéder via RDP.

Tâches-post déploiement du RD SH
• Toutes les tâches post-déploiement du serveur RD SH se font depuis
l’outil /snap-in « Configuration d’hôte de session Bureau à distance ».
• Une fois lancé, sous Connexions, faites un click droit Propriétés sur
RDP-Tcp et configurez l’ensemble des paramètres.
• Sous Modifier les paramètres, configurez l’ensemble des paramètres,
notamment le Mode de Licence, serveur de Licence …Etc.

Expérience utilisateur
• Pour optimiser l’expérience utilisateur des utilisateurs distants :
Utilisation de la redirection audio /vidéo
Utilisation Thèmes de bureau W7, effets visuels
….
La fonctionnalité « Expérience Utilisateur » doit être installée sur le
serveur RD SH, ouvrez cmd.exe en tant qu’Administrateur et saisissez :
ServerManagerCmd –Install Desktop-Experience
Cette commande installera la fonctionnalité Expérience Utilisateur.
Notez qu’un redémarrage est requis.

Analyse à l’aide du RD SH BPA
• Le RD SH BPA (Best Practice Analyser) est fournit avec Windows 2008 R2
• Il permet de vérifier l’état de santé du serveur RD SH
• Au moins une analyse BPA doit être effectuée après la configuration initiale du
serveur RD SH
• Depuis le gestionnaire de serveur, sélectionnez le rôle « Services Bureau à
distance » depuis le volet gauche et cliquez sur « Analyse ce rôle »

DEMO
• Configuration du serveur RD SH
VOIR DEMONSTRATION

• Comment configurer les autorisations /accès au serveur RD SH
• Déploiement et configuration de la fonctionnalité WSRM
• L’ensemble des Tâches-post déploiement du RD SH
• Utilité Installation de l’Expérience utilisateur
• Utilisation de l’outil BPA RDS pour l’Analyse et diagnostic
• Configuration du serveur RD SH

DEMO : Installation des Applications
sur un serveur Hôte de session des
Hicham KADIRI

Plan
• Prérequis d’installation d’une application sur un serveur RD SH
• Les méthodes d’installation d’une application sur un serveur RD SH
• DEMO : Installation d’une application sur un serveur RD SH

Prérequis d’installation d’une application sur un serveur RD SH
• Vérifiez les prérequis matériels et logiciels : consultez site de l’éditeur
• Réinstaller toute application installée avant le déploiement du serveur
RD SH
• Vérifiez la compatibilité de l’application et le support d’environnement
MultiUtilisateur
• Les ressources requises par l’application (CPU, RAM) n’ont pas d’impact
sur les performances du serveur RD SH dans le cas d’une
MultiConnexion

Les méthodes d’installation d’une application sur un serveur RD SH
• Avant d’installation une application sur un serveur RD SH, ce dernier
doit être dans un mode particulier « RD-Install »
Lancez la commande Change user /Install avant l’installation de l’application
Lancez la commande Change user /Execute après l’installation de
l’application
Utilisez la commande Change user /Query pour connaître le mode du serveur
RD SH
Note : L’outil « Installer une application sur un serveur Bureau à distance » accessible
depuis le panneau de configuration permet d’effectuer l’installation d’une application en
basculement automatiquement entre les deux modes « Install Execute ». Cet outil est
disponible uniquement sur les serveurs RD SHs

DEMO
• Installation d’une application sur un serveur RD SH
VOIR DEMONSTRATION

• Liste des prérequis d’installation d’une application sur un serveur RD SH
• Les différentes méthodes d’installation d’une application sur un serveur
RD SH
• Comment installer une application sur un serveur RD SH

DEMO : Publier et attribuer des
Applications avec le Gestionnaire
RemoteApp
Hicham KADIRI

DEMO : Distribuer des Programmes
RemoteApp
Hicham KADIRI

DEMO : Fournir des Programmes
RemoteApp à travers l'Accès Web
Bureau à distance
Hicham KADIRI

Plan
• Qu’est ce qu’un Accès Bureau à distance par le Web ?
• Méthodes de configuration
• Délégation du droit de configuration du serveur RD WA
• Afficher ou Masquer le programme RemoteApp sur le portail du serveur RDWA
• Ajouter le(s) serveur(s) RDWA sur le serveur RDSH
• DEMO : Installation et configuration du serveur RDWA

Qu’est ce qu’un Accès Bureau à distance par le Web ?
• Anciennement appelé « Accès Web TS »
• Aussi appelé RD WA (Remote Desktop Web Access) depuis Windows 2008
• Il permet aux clients RDS d’utiliser /lancer les Programmes RemoteApp et/ou
Connexions Bureau à distance via un portail Web.
• Il peut être configuré avec un serveur RD SH ou un Service Broker (infra RDS HA)
• Il permet aux utilisateurs externes d’utiliser /lancer les Programmes RemoteApp
et/ou Connexions Bureau à distance via un portail Web en passant par la
Passerelle des Services Bureau à distance (RDG).
• Service nécessitant IIS (Serveur WEB MS) pour fonctionner

Méthodes de configuration
• 2 méthodes de configuration possibles :
Via l’outil « Configuration de l’accès Web des services Bureau à distance »
En se connectant sur https://FQDNRDWA/rdweb
• Exemple : https://LABRDWA.alphorm.local/rdweb

Délégation du droit de configuration du serveur RD WA
• Le groupe local « Administrateurs de l’Accès Web TS » est créé sur le serveur
RD WA après déploiement du service de rôle RD WA
• Les utilisateurs membres de ce groupe peuvent effectuer des tâches de
configuration sur le serveur RD WA
• Utilisez la commande suivante pour autoriser un utilisateur ou groupe
d’utilisateurs à configurer un serveur RD WA, la commande à exécuter sur
chaque RD WA sur lequel on souhaite déléguer ce droit:
Net localgroup « Administrateurs de l’Accès Web TS » /Add Nom_Utilisateur_ou_Groupe
• Exemple : les 2 commandes suivantes autoriseront l’utilisateur ALPHORMhkadiri
le groupe RDS
- Net localgroup « Administrateurs de l’Accès Web TS » /Add ALPHORMhkadiri
- Net localgroup « Administrateurs de l’Accès Web TS » /Add ALPHORMRDS

Afficher ou Masquer le programme RemoteApp sur le portail du serveur RDWA
• Après l’ajout de programme RemoteApp, par défaut celui-ci est affiché sur
l’Accès Bureau à distance par le Web (Portail Web du serveur RDWA)
• Pour masquer le programme RemoteApp,
il suffit de faire un clic droit dessus et
sélectionner : Masquer dans l’Accès Bureau
à distance par le Web

Ajouter le(s) serveur(s) RDWA sur le serveur RDSH
• Tout serveur RDWA doit être autorisé sur un serveur RD SH
• Le(s) serveur(s) RDWA devant être membre du groupe local suivant sur
le serveur RD SH:
Ordinateurs Accès Web TS

DEMO
• Installation et configuration du serveur RDWA
VOIR DEMONSTRATION

• Définition du serveur RD WA
• Comment installer et configurer un serveur RD WA

DEMO : Configurer le serveur RDWA
avec le Menu Démarré
Hicham KADIRI

Déployer une ferme RDS
Les concepts d'une infrastructure RDS
Hautement Disponible
Hicham KADIRI

Plan
• Qu’est ce qu’une ferme RDS ?
• Qu’est ce qu’un Service Broker pour les connexions Bureau à distance ?
• Rappel sur l’architecture RDS
• Options d’équilibrage de charge
• Prérequis des serveurs RD SH membres d’une ferme RDS

Qu’est ce qu’une ferme RDS ?
• Une ferme RDS est un ensemble de serveurs RD SH (2 et plus) ayant
une configuration (logicielle) identique :
Même version d’OS Service Pack
Mêmes mises à jour Windows
Même version d’Applications installées
Même paramètres de sécurité
Même stratégie de redirection de périphérique

Qu’est ce qu’un Service Broker pour les connexions Bureau à distance ?
• Anciennement appelé « Session Broker TS »
• Aussi appelé RD CB (Remote Desktop Connection Broker) depuis Windows 2008
• Il permet de gérer la répartition des charges (sessions RDS) sur plusieurs RD SH
membres d’une ferme RDS. Il assure également un suivi des sessions Bureau à
distance.
• Il gère la reconnexion des sessions Bureau à distance des utilisateurs distants
aux serveurs RD SH. Il utilise une base de données pour stocker les informations
des sessions (ID de la session, nom d’utilisateur, Nom du serveur RD SH ou se
trouve la session …)
• Aucune perte de données ou fermeture d’application en cas de déconnexion
subite (suite à une panne réseau par exemple).
• Le RD CB est basé sur un système de « Poids relatif »

Rappel sur l’architecture RDS

Options d’équilibrage de charge
• RR DNS (Round-Robin DNS)
• Fonctionnalité d’équilibrage de charge (logiciel)
Fonctionnalité Windows : NLB (Network Load Balancing)
• Fonctionnalité d’équilibrage de charge (matérielle)

Prérequis des serveurs RD SH membres d’une ferme RDS
• Les serveurs RD SH devant être membres d’une ferme RDS, doit être :
Membre d’un domaine Active Directory
Avoir le service de rôle RD SH installé et configuré correctement
Membre du groupe local « Ordinateurs du Service Session Broker » sur le
serveur RD CB

• Concept d’une ferme RDS
• Définition d’un service Broker pour les connexions Bureau à distance
• Prérequis d’appartenance à une ferme RDS

DEMO : Créer et déployer
une ferme RDS
Hicham KADIRI

Plan
• Architectures Scénarios à éviter et à adopter
• Les étapes de création d’une ferme RDS
• DEMO : création et déploiement d’une ferme RDS

Scénario à éviter Scénario à adopter

Les étapes de création d’une ferme RDS
1. Déployer et configurer plusieurs serveurs RD SH (2 et plus) d’une
manière identique : même OS, mêmes updates, mêmes apps
installées.
2. Déployer le service Broker pour les connexions Bureau à distance
(RDCB)
3. Ajouter tous les serveurs RD SH au groupe local « Ordinateurs du
Service Session Broker » sur le serveur RD CB
4. Joindre tous les serveurs RD SH à une ferme RDS
5. Configurer l’ équilibrage de charge à l’aide du RR DNS

DEMO
• Création et déploiement d’une ferme RDS
VOIR DEMONSTRATION

• Types d’architectures à éviter et à adopter
• Déploiement d’une ferme RDS

DEMO : Gérer le Service Broker
pour les connexions Bureau à
distance
Hicham KADIRI

Plan
• Méthodes de gestion du serveur RD CB
• DEMO : Gestion du serveur RD CB

Méthodes de gestion du serveur RD CB
1. Via l’outil « Gestionnaire de connexions aux Services Bureau à
distance »
2. Via l’outil « Observateur d’événements »

DEMO
• Gestion du serveur RD CB
VOIR DEMONSTRATION

• Différents outils de gestion du serveur RD CB
• Utilisation des outils de gestion du serveur RD CB

DEMO : Utiliser le RD CB comme
source de Programmes RemoteApp
Hicham KADIRI

DEMO : Mise en cluster du serveur
RD CB (Service Broker)
Hicham KADIRI

DEMO : Redondance du serveur
Accès Web Bureau à distance
Hicham KADIRI

DEMO : Haute disponibilité du
serveur Accès Web Bureau à
distance
Hicham KADIRI

Personnaliser l'Expérience
Utilisateur
Fonctionnement des connexions
distantes
Hicham KADIRI

Plan
• RDP, qu’est ce que c’est ?
• Nouvelles fonctionnalités apportées avec RDP 7.0
• Historique des versions RDP
• Qui définit l’Expérience de l’utilisateur distant ?
• Fonctionnement avancé d’une connexion Bureau à distance

RDP, qu’est ce que c’est ?
• RDP pour Remote Desktop Protocole
• Protocole basé sur le protocole T.128
• C’est un protocole qui permet de se connecter à un serveur exécutant la
solution Terminal Services (sous W2003) ou RDS (sous W2008 /2008 R2)
• Les communications entre clients serveur se font sur le port TCP : 3389
• La première version du protocole RDP (v4.0) était introduite dans la solution
« Terminal Services » de l’édition Terminal Server de Windows Server NT 4.0
• Chaque nouvelle version de RDP apporte son lot de nouveautés
Important : ne pas confondre avec RDC (pour Remote Desktop Connection) qui est
l’application cliente (mstsc.exe) permettant d’établir la connexion à un serveur RD SH

Historique des versions RDP
Version RDP Version d’OS Nouveautés
4.0 Windows Server NT 4.0
Edition Terminal Server
NA
5.0 Windows Server 2000 Imprimante locale, ClipBoard, Cache local...
5.1 Windows XP Professionnel Redirection de disques, Son, Ports COM…
5.2 Windows Server 2003 Utilisation ressources locales, TLS 1.0
6.0 Windows Vista NLA, Couleurs sur 32bits, Multi-écrans
6.1 Windows Server 2008 EasyPrint, NLA, Passerelle RD, RemoteApps
7.0 Windows 7 Pro /Ultimate
Windows Server 2008 R2
Windows Aero, Certificat de sécurité Auto-signé,
Audi Bidirectionnel
8.0 Windows 8 Windows
Server 2012
Ne prend plus en charge Aero Glass !
8.1 Windows 8.1 Windows
Server 2012 R2
NA

Nouvelles fonctionnalités apportées avec RDP 7.0
• Support du mode « Multi-écrans »
• Enregistrement audio depuis la session locale vers la session distante
• Redirection Multimédia (audio vidéo) depuis la session distante vers
la session locale
• Support de l’Interface Aero Glass
• Redirection de la barre de langue
Note : la version du RDP peut être mise à niveau vers une version récente
sans réinstallation du complète de l’OS !

Qui définit l’Expérience de l’utilisateur distant ?
• Client RDC : application fournit avec l’OS. Il peut être mise à niveau sans
réinstaller l’OS.
• L’écouteur RDP : intégré avec la solution TSE/RDS, il permet d’écouter
les connexions RDP entrantes et échange les données avec le client RDC
• Le protocole RDP : le protocole de communication utilisé entre le client
RDC et l’écouteur RDP pour les échanges de données

Fonctionnement avancé d’une connexion Bureau à distance
• La communication entre un client RDC un serveur RDS se fait en
réalité à travers des « Canaux Virtuels » et des « PDU »
• Les données entre client et serveur RDS transitent dans des canaux
virtuels et la méthode de négociation de « Comment les données » sont
envoyées /reçues) est faite par le PDU (Protocol Data Unit)
• 2 types de canaux virtuels :
Canal Virtuel Statique (Static Virtual Channel – SVC) : 31 canaux maximum
Canal Virtuel Dynamique (Dynamic Virtual Channel – DVC) : par défaut

• Définition du protocole RDP
• Nouvelles fonctionnalités du protocole RDP 7.0
• Historique des versions RDP
• Les pièces composants l’Expérience de l’utilisateur distant ?
• Fonctionnement avancé d’une connexion Bureau à distance

Utilisateur
DEMO : Utilisation de l'Expérience
Utilisateur et des ressources locales
sur une session bureau à distance
Hicham KADIRI

Plan
• Quels outils inclut-elle la fonctionnalité « Expérience Utilisateur » ?
• Comment configurer la redirection des périphériques et ressources sur une
session Bureau à distance ?
• Les niveaux de configuration via GPO
• DEMO : Configuration des options de redirection de périphériques et ressources
vers une session Bureau à distance

Quels outils inclut-elle la fonctionnalité « Expérience Utilisateur »
• Calendrier Windows
• Windows Mail
• Lecteur Windows Media
• Thèmes de Bureau
• Video for Windows (prise en charge AVI)
• Galerie de photos Windows
• Windows SideShow • Windows Defender
• Nettoyage de disque
• Centre de synchronisation
• Magnétophone
• Table des caractères
• Outil Capture
VOIR DEMONSTRATION

Comment configurer la redirection des périphériques et ressources sur une session Bureau à distance ?
• 4 méthodes de configuration :
Via GPO : Priorité #1
Via la console « Utilisateurs Ordinateurs AD » : Priorité #2
• Redirection de disques et d’imprimantes locales uniquement
Via l’outil «Configuration d’Hôte de session Bureau à distance » : Priorité #3
Via le client RDC : Priorité #4

Les niveaux de configuration via GPO
• 2 niveaux de configuration:
Par-Utilisateur:
Par-Périphérique (Ordinateur)

DEMO
• Configuration des options de redirection de périphériques
et ressources vers une session Bureau à distance
VOIR DEMONSTRATION

• Outils fournit avec la fonctionnalité « Expérience Utilisateur »
• Ordre de priorité de l’application des options de redirection de
périphériques et ressources vers une session Bureau à distance
• Configuration des options de redirection de périphériques et ressources
vers une session Bureau à distance

Utilisateur
DEMO : Impression à partir d'une
session Bureau à distance
Hicham KADIRI

Plan
• Types d’imprimantes utilisées sur une session Bureau à distance
• DEMO : Impression à partir d’une session Bureau à distance

Types d’imprimantes utilisées sur une session Bureau à distance
• Imprimantes distantes : installées sur le serveur RD SH distant
• Imprimantes locales : installées sur le poste de travail (client RDS) et
redirigées vers la session Bureau à distance grâce aux options de
redirections

DEMO
• Impression à partir d’une session Bureau à distance
VOIR DEMONSTRATION

• Types d’imprimantes utilisées sur une session Bureau à distance
• Impression à partir d’une session Bureau à distance

Sécuriser l'environnement
Utilisateur
DEMO : Verrouiller le serveur
RemoteApp
Hicham KADIRI

Utilisateur
DEMO : Empêcher les utilisateurs
d'exécuter des Applications
indésirables
Hicham KADIRI

Utilisateur
DEMO : Créer un Menu Démarrer
en Lecture seule
Hicham KADIRI

Utilisateur
DEMO : Disponibilité du serveur
Hôte de session des services
Bureau à distance
Hicham KADIRI

Utilisateur
DEMO : Contrôler les sessions
utilisateurs à distance
Hicham KADIRI

Sécuriser les connexions
RDP
Technologies de sécurité à
connaître
Hicham KADIRI

Plan
• Les différents niveaux de sécurité
• Chiffrement des connexions RDP
• Chiffrement des données
• TLS /SSL
• NLA (CredSSP)

Les différents niveaux de sécurité
• Deux niveaux de sécurités
Sécurité au niveau des connexions RDP
Sécurité au niveau des données échangées entre client et serveur RD SH
Sécurité au niveau de l’authentification des utilisateurs distants

Chiffrement des connexions RDP

Chiffrement des données
• Le protocole SSL /TLS établit un tunnel sécurisé entre client
et serveur RDS
• Un certificat SSL pour chiffrer les données en bidirectionnel
entre un client et un serveur RDS est requis
• La couche de sécurité SSL (TLS en v1.0) doit être utilisé sur
le RD SH

TLS /SSL
• TLS pour Transport Layer Security
• SSL pour Secure Sockets Layer
• Le protocole SSL a été développé par Netscape et a été adopté ensuite
par IETF.
• IETF a poursuit le développement et a nommé le nouveau protocole TLS
• Le protocole SSL n’existe plus, il est remplacé par TLS
• La version du TLS pris en charge par RDS 2008 R2 est la 1.0
• La version 1.0 de TLS correspond à SSL v3.1

NLA (CredSSP)
• NLA pour Network Level Authentication
• NLA est une méthode d’authentification nécessitant l’authentification
du client distant auprès du RD SH avant la création de session.
• NLA améliore la sécurité du serveur RD SH
• Diminue la surface d’attaque par DoS (Denial of Service)
• Nécessite RDP v6.0 et plus
• Nécessite le protocole CredSSP pour Credential Security Support
Provider
• NLA ( CredSSP) sont pris en charge par Windows XP SP3 et ultérieur

• Les différentes technologies de sécurité liées à la solution RDS

Utilisateur
DEMO : Utiliser le chiffrement RDP
Hicham KADIRI

Plan
• Méthodes de configuration du Chiffrement RDP
• Configuration via l’outil « Configuration d’Hôte de session Bureau à distance »
• Configuration via l’éditeur de stratégie de groupe
• Configuration via l’éditeur de registre

• Le Chiffrement RDP peut être configuré via :
L’outil « Configuration d’Hôte de session Bureau à distance »
Via GPO (gpedit.msc ou gpmc.msc)
L’éditeur de registre (regedit.exe)

Configuration via l’outil « Configuration d’Hôte de session Bureau à distance »

Configuration via l’éditeur de registre
• Lancez regedit.exe Naviguez jusqu’au
HKLMSYSTEMCurrentControlSetControlTerminal ServerWinStationsRDP-tcp Clé :
MinEncryptionLevel | Valeur de la clé : 1 – 2 – 3 ou 4 pour les 4 niveaux (par défaut 2)

• Les différentes méthodes de configuration du Chiffrement RDP

Utilisateur
DEMO : Configurer
l’Authentification du Serveur
Hicham KADIRI

Plan
• Types d’authentification de serveur
• Certificat SSL pour le serveur RD SH
• Configuration du mode d’authentification « SSL »

Types d’authentification de serveur
• 3 modes d’authentification:
Couche de sécurité RDP
Négocier
SSL (TLS 1.0)

Certificat SSL pour le serveur RD SH
• L’authentification SSL (en utilisant TSL 1.0) nécessite l’utilisation d’un
certificat SSL
• Après l’installation du service de rôle RD SH, un certificat SSL auto-signé
est généré
• Ce certificat est géré uniquement par le serveur RD SH lui-même

Configuration du mode d’authentification « SSL »

• Les modes d’authentification du serveur RD SH
• Configuration de l’authentification du serveur RD SH

Utilisateur
DEMO : configurer l’Authentification
des Clients avec NLA
Hicham KADIRI

Plan
• Méthodes de configuration du NLA
• Configuration via l’outil « Configuration d’Hôte de session Bureau à distance »
• Configuration via l’éditeur de stratégie de groupe
• Configuration via l’éditeur de registre
• Configuration via les « Propriétés Système »

• La NLA peut être configurée via :
L’outil « Configuration d’Hôte de session Bureau à distance »
Via GPO (gpedit.msc ou gpmc.msc)
L’éditeur de registre (regedit.exe)
Propriétés Système (sysdm.cpl Onglet « Utilisation à distance »

Configuration via l’éditeur de registre
• Lancez regedit.exe Naviguez jusqu’au
HKLMSYSTEMCurrentControlSetControlTerminal ServerWinStationsRDP-tcp Clé :
SecurityLayer | Valeur de la clé : 1 pour activer la NLA 0 pour désactiver la NLA

Configuration via les « Propriétés Système »
• Lancez Sysdm.cpl
• Onglet « Utilisation à distance »
• Rubrique « Bureau à distance »
• Cochez « N’autoriser que la connexion …… NLA (plus sûr) »

• Les différentes méthodes de configuration de l’option de sécurité NLA.

Utilisateur
DEMO : Configurer les paramètres de
sécurité sur le serveur Hôte de session des
Hicham KADIRI

Déployer et configurer un Serveur de
Licences des Services Bureau à distance
Modèles de Licences RDS
Hicham KADIRI

Plan
• Modèles de Licences RDS
• Licences RDS
• Licences VDI
• Suivi et protection des Licences

Modèles de Licences RDS
• 2 modèles de Licences sous Windows Server 2008 R2
Licence RDS (ou RDS CAL : Remote Desktop Services Client Access License)
• Pour l’accès aux serveurs : RD SH – RD WA – RD CB – RD CB
Licence VDI (ou VDI CAL : Virtual Desktop Infrastructure Client Access License)
• Pour l’accès aux VMs personnelles et/ou aux Pools de VMs hébergées sur Hôte de
Virtualisation RD et l’utilisation du Serveur Broker RD.
Note : un seul modèle de licence existait sous Windows Server 2000/ 2003 /2008.
il s’agit du TS CAL (Terminal Services Client Access License)

Licences RDS
• Permet l’accès à l’ensemble des services de rôles de la solution RDS
• Inclut le droit d’utilisation de la solution App-V
• 4 options de licence
RDS CAL « Par-Périphérique »
RDS CAL « Par-Utilisateur »
RDS External Connector
SPLA (Services Provider License Agreement)
• Les 2 premières options de licence sont les plus fréquemment utilisées en entreprise.
• Le RD SH supporte uniquement les 2 premières options de licence (UNE A LA FOIS !!)
• Les CAL TS 2008 peuvent être installées sur un serveur RD SH 2008 R2.
Note : Le modèle de Licence TS Windows Server 2000 incluait uniquement l’option « Par-
Périphérique » | Le modèle de Licence TS Windows Server 2003 /2008 incluait les deux options de
Licences « Par-Périphérique Par-Utilisateur »

Licences VDI
• Modèle de licence « Par-Périphérique » uniquement
• Licence intitulée VECD (Virtual Enterprise Centralized Desktop)
• 2 options de licence :
VDI Suite Standard :
• Inclut Hyper-V 2008 R2 – SCVMM 2008 R2 – SCOM 2007 R2 – SCCM 2007 R2 - MDOP
VDI Suite Premium :
• Inclut options VDI Suite Standard + Accès services RDS + App-V pour RDS
• La Software Assurance (SA) inclut des licences VECD illimitées
• Microsoft offre 500 licences VECD gratuites à tout client de VMware :D !

Suivi et protection des Licences
Type de Licence Suivie Protégée
CAL RDS Par-Utilisateur
CAL RDS Par-Périphérique
CAL RDS External Connector
VDI Standard Suite
VDI Premium Suite
Note : Windows Server 2008 R2 SP1 inclut les options de suivie et de protection des
CALs VDI Standard et Premium Suite
Important : un serveur RD SH configuré en mode « Par-Utilisateur » accepte toute demande de
connexion et autorise tout utilisateur à s’y connecter même si le nombre de CALs RDS « Par-
Utilisateur » installées est saturé !! Faille MS :-D

• Les modèles de Licences RDS
• Le suivi et la protection des Licences RDS /VDI

Comment un serveur de Licence
RDS attribue-t-il des CALs RDS ?
Hicham KADIRI

Plan
• Période de grâce des serveurs RDS
• Fonctionnement d’un serveur de licence (RD LS)
• Processus de demande de licence par un client RDS
• Redondance de serveurs RD LS

Période de grâce des serveurs RDS
• Le serveur RD SH est sous période de grâce pendant 120 jours
• La période de grâce commence à partir du moment ou la serveur accepte sa
première connexion client.
• Pendant la période de grâce, le serveur RD SH accepte un nombre illimité de
connexions Bureau à distance et ce, sans contacter un serveur de Licence.
• La période de grace s’achève après :
Les 120 jours d’éval
Installation des CAL RDS sur le serveur de Licence ET DISTRIBUTION DE LA PREMIERE
LICENCE RDS. Le serveur RD SH comprendra donc qu’il faudrait des licences pour toute
future connexion Bureau à distance.
Note : Un serveur de Licence RDS est aussi valable pendant 120 jours après son
installation. Cette période s’achève après la première attribution de Licence à un client

Fonctionnement d’un serveur de licence (RD LS) – Partie 1
• Quand un client RDS se connecte à un serveur RD SH (Ferme RDS), le serveur demande au
client de présenter sa licence, selon le mode de Licence configuré (Par-Utilisateur ou Par-
Périphérique)
• Si le mode de Licence est «Par-Utilisateur », le serveur RD SH vérifie lors de
l’authentification de l’utilisateur sa licence qui est un attribut Active Directory du compte
utilisateur (propriétés du compte utilisateur AD)
• Si le mode de Licence est « Par-Périphérique », l’ordinateur doit présenter sa licence qui
est stockée dans la BDR (Base De Registre)
• Toutes les licences fournies par un serveur de Licence RDS sont valables de 52 à 89 jours,
donc celles-ci peuvent être libérées à partir de cette période pour être distribuées à
nouveau à d’autres utilisateurs /ordinateurs.
• Les licences sont renouvelées à partir de la dernière semaine avant leurs expirations, et ce,
pour une période allant de 52 à 89 jours.

Fonctionnement d’un serveur de licence (RD LS) – Partie 2
• Les licences RDS « Par-Périphérique » peuvent être révoquées ‘manuellement’
avant leurs dates d’expiration. Cette opération permet de libérer la licence
immédiatement et éviter d’attendre la fin de la période de validité de la licence.
• Si un client RDS ne disposant d’aucune licence valide se connecte sur un serveur
RD SH, ce dernier va tenter d’obtenir une licence lui auprès d’un serveur de
Licence à l’ouverture de session Bureau à distance.
Si le serveur RD SH ne trouve aucun serveur de Licence RDS disponible pour
• obtenir une nouvelle licence pour un client RDS ou renouveler sa licence, la
Licence expire.
Question : qu’est ce qui se passe si le serveur RD SH n’arrive pas à obtenir une
licence pour un nouvel utilisateur ou renouveler sa licence existante ?!!!

Processus de demande de licence par un client RDS
Scénario Mode « Par-utilisateur » Mode « Par-Périphérique »
Le serveur RD SH n’a jamais trouvé de
serveur de Licence RDS et est en période de
grâce
Le serveur RD SH émet une licence RDS
temporaire valable 90 jours
Le serveur RD SH émet une licence RDS
temporaire valable 90 jours
Le serveur RD SH n’a jamais trouvé de
serveur de Licence RDS et est hors période
de grâce
Le serveur RD SH rejettera toute demande
de connexion. Connexion
Bureau à distance impossible
Le serveur RD SH rejettera toute demande
de connexion. Connexion
Bureau à distance impossible
Le serveur RD SH a trouvé le serveur de
Licence RDS mais ce dernier n’a aucune
licence RDS installée et n’est même pas
Les connexions Bureau à distance sont
autorisées pendant 120 jours.
Les connexions Bureau à distance sont
autorisées pendant 120 jours.
activé mais il est en période de grâce.
Licence RDS mais ce dernier n’a aucune
licence RDS installée et il est hors période de
grâce.
Le serveur RD SH autorisera les connexions
Bureau à distance
Le serveur RD SH n’autorisera pas les
connexions Bureau à distance « Mode de
Licence Protégé !! »
Licence avec des Licences RDS installées
Le serveur RD SH communique le nom
d’utilisateur essayant de se connecter au
serveur de Licence RDS. Ce dernier contacte
le service AD DS pour définir la propriété
(Licence RDS) sur le compte utilisateur AD
Le serveur RD SH contacte le serveur de
Licence RDS et lui communique l’ID du
matériel (HWID) de la machine essayant de
se connecter. Le serveur de Licence attribue
une licence RDS au HWID et crée un
enregistrement de l’attribution de la Licence.

Redondance de serveurs RD LS
• Pour une avoir une infrastructure de Licence RDS redondante, il suffit de
déployer plusieurs serveurs de Licence RDS (2 et plus) et y installer le
même type quantité de CAL RDS
• Il faut spécifier ensuite tous les serveurs de Licence RDS sur chaque
serveur RD SH, et ce, soit via l’outil « Configuration d’Hôte de
session Bureau à distance » ou via GPO
Voir la vidéo de démonstration technique :
• DEMO : Tâches post-déploiement du serveur de Licence RDS

• Définition de la Période de grâce des serveurs RDS
• Fonctionnement du serveur RD LS
• Processus de demande /obtention de licence par les clients RDS
• Redondance d’une infrastructure de licence RDS

DEMO : Installation du serveur
de Licence RDS
Hicham KADIRI

DEMO : Tâches post-déploiement du
serveur de Licence RDS
Hicham KADIRI

Plan
• Liste des tâches post-déploiement du serveur de licence RDS
• DEMO : configuration initiale du serveur de licence RDS

Liste des tâches post-déploiement du serveur de licence RDS
• Activer le serveur de Licence RDS
• Ajouter le serveur de Licence RDS dans le groupe de sécurité AD :
Serveurs de licence des Services Terminal Server
• Action nécessitant le droit : Administrateur de l’entreprise
• Déclarer /Spécifier le serveur de Licence RDS sur la ferme RDS (les
serveurs RD SH) ainsi que le mode de Licence.

DEMO
• Configuration initiale du serveur de licence RDS
VOIR DEMONSTRATION

• Tâches post-déploiement du serveur de licence RDS

DEMO : Installation des CALs RDS et
Migration d'un serveur de Licence RDS à
un autre
Hicham KADIRI

DEMO : Reconstruction de la base de
données du serveur de Licence RDS
Hicham KADIRI

DEMO : Sauvegarde du serveur de
Licence RDS et création
de la redondance
Hicham KADIRI

DEMO : Gestion et rapports
d'utilisation des Licences RDS
Hicham KADIRI

DEMO : Utilisation de l'Outil
Diagnostic de Licences RDS
Hicham KADIRI

Gérer les données utilisateur
dans une infrastructure RDS
Fonctionnement des Profils
Hicham KADIRI

Plan
• Qu’est ce qu’un profil utilisateur ?
• NTUSER.DAT
• Types de profils utilisateurs
• Comment les profils utilisateurs sont créés ?
• Existe-il une liaison entre le profil utilisateur et le Registre ?
• Contenu du profil utilisateur externe au Registre

Qu’est ce qu’un profil utilisateur ?
• Ensemble de paramètres et de données (documents fichiers) représentant
l’environnement de travail d’un utilisateur.
• Inclut deux types de données :
Données personnelles : Bureau – Documents – Images – Vidéos ….
Données de configuration : Paramètres d’application (e.i : signature outlook) – changement
paramètres systèmes (e.i : arrière-plan Bureau – Ecran de veille) …
• Les paramètres de l’ordinateur (comme les paramètres du Pare-feu) ne sont pas
stockés dans le profil utilisateur
• Les paramètres du profil utilisateur local et itinérant sont stockés dans un seul fichier
appelé NTUSER.DAT
• NTUSER.DAT est stocké dans la racine de chaque profil utilisateur
• Le fichier NTUSER.DAT est chargé à temporairement à chaque ouverture de session
de l’utilisateur dans la BDR, dans : HKCU (HKEY_CURRENT_USER)

NTUSER.DAT

Types de profils utilisateurs
• 3 types de profils utilisateurs
Profil « Local » : profil stocké localement (sur disque local)
• Stocké dans C:Utilisateurs
Profil « Itinérant » : profil stocké sur un partage réseau
• Exemple : Serveur1ProfilsToto (le partage doit être accessible)
Profil « Obligatoire » : profil stocké sur un partage réseau
• Profil non modifiable par l’utilisateur
• NTUSER.DAT peut être partagé avec plusieurs (Lecture-seule)

Comment les profils utilisateurs sont créés ?
• Un profil utilisateur est créé lors de la toute première connexion (ouverture de
session) sur une poste client ou et serveur
S’applique aussi aux serveurs RD SH
Ne s’applique pas aux profils obligatoires qui sont créés /définis par l’Admin
• Un profil utilisateur « Local ou Itinérant » est créé à partir du profil « Par défaut »
C:UtilisateursDefault
• Lors de la première connexion d’un utilisateur local, une copie du profil est créée
à partir du profil « Default » et stockée dans un nouveau dossier de profil
portant le login utilisé pour l’ouverture de session.
• Lors de la première connexion d’un utilisateur itinérant, une copie du profil est
créée à partir du profil « Default ». L’ordinateur sur lequel l’utilisateur
s’authentifie localisera le partage réseau dans le profil itinérant de l'utilisateur
est stocké pour le charger.

Existe-il une liaison entre le profil utilisateur et le Registre ?
• Les paramètres utilisateur sont stockés dans le Registre dans :
Chemin : HKEY_CURRENT_USER (HKCU)
• les paramètres de l’ordinateur sont stockés dans le Registre dans :
HKEY_LOCAL_MACHINE (HKLM)
Les paramètres liés au profil de l’utilisateur peuvent être changés via
• l’éditeur de Registre
• Les données stockées dans HKCU disparaissent à la fermeture de
session utilisateur
• Les données stockées dans HKLM persistent jusqu’au redémarrage de
l’ordinateur

Contenu du profil utilisateur externe au Registre
• Certaines données ne sont pas stockées dans HKCU :
Contacts
Bureau
Documents
Téléchargements
Favoris
Liens
Music
…

• Fonctionnement des profils utilisateurs
• Différents types de profils utilisateurs

Concevoir des règles pour les
profils utilisateurs
Hicham KADIRI

Plan
• Bonnes pratiques d’utilisation des profils utilisateurs

Bonnes pratiques d’utilisation des profils utilisateurs
• Profil Local, itinérant ou obligatoire ?
Profil Local pour les petits déploiement (TPE)
Profil itinérant ou obligatoire pour les déploiements multiserveurs RD SH
• Utilisateur de la Redirection de dossier
S’assurer de la taille des profils | profils avec taille importante ralentit le logon logoff
• Empêcher le stockage des données sur le Bureau
Pour éviter un enregistrement des données depuis les programmes RemoteApp
Mettre le Bureau en lecture-seule
• Rendre l’ouverture de session distante rapide !
Réduire la taille des profils utilisateurs (redirection de dossier)
Limiter le temps de chargement du profil utilisateur avant d’utiliser le profil temporaire

• Éléments à prendre en compte dans la conception des règles
d’utilisation des profils utilisateurs.

DEMO : Utilisation des profils itinérants
avec les Services Bureau à distance
Hicham KADIRI

Dépannage des profils et la
redirection de dossiers
Hicham KADIRI

Plan
• Dépannage des profils et la redirection de dossiers

Alphorm.com Formation RDS Windows Server 2008 R2 - Guide du consultant

Alphorm.com Formation RDS Windows Server 2008 R2 - Guide du consultant

Recommandé

Recommandé

Contenu connexe

Tendances

Tendances (20)

En vedette

En vedette (20)

Similaire à Alphorm.com Formation RDS Windows Server 2008 R2 - Guide du consultant

Similaire à Alphorm.com Formation RDS Windows Server 2008 R2 - Guide du consultant (20)

Plus de Alphorm

Plus de Alphorm (20)

Alphorm.com Formation RDS Windows Server 2008 R2 - Guide du consultant