Windows Server 2016 RDS et VDI - Aide...

http://aide.informatique1.fr/

Page 0 sur 47

Windows Server 2016 RDS et VDI

OLIVIER DEHECQ



Page 1 sur 47

Table des matières 1 Type d’infrastructure standard RDS/VDI .................................................................................. 3

1.1 Les rôles RDS ................................................................................................................. 3

2 Gestion Hyper-V ..................................................................................................................... 4

2.1 Console de management Hyper-V .................................................................................... 4

2.2 Gestionnaire commutateur virtuel .................................................................................... 4

2.3 Paramètres de la VM ....................................................................................................... 4

3 Installation du contrôleur ADDS .............................................................................................. 5

4 Public Key Infrastructure – ADCS ............................................................................................ 6

4.1 Présentation ................................................................................................................... 6

4.2 Installation – marche à suivre .......................................................................................... 6

4.2.1 Créer les templates de certificats pour l’infrastructure ................................................ 7

4.2.2 Configurer les GPO pour le déploiement automatisé des certificats ............................. 8

5 RDS – Session ....................................................................................................................... 9

5.1 Infrastructure ................................................................................................................. 9

5.2 Installation de base RDS – marche à suivre ...................................................................... 9

5.3 Configuration des collections ........................................................................................... 9

5.4 Nota bene : installation d’applications pour RemoteApp ...................................................10

5.5 A propos des disques de profil utilisateur ........................................................................10

5.6 Best practices RDS (sessions) .........................................................................................10

5.7 Astuce – activer les adresses IP virtualisées ....................................................................11

5.8 Configuration du certificat du site web RDWEB (WebAccess) ............................................12

5.8.1 Méthode 1 .............................................................................................................12

5.8.2 Méthode 2 .............................................................................................................12

5.8.3 Ajouter la liaison HTTPS avec le certificat généré .....................................................12

5.8.4 Configuration du certificat en utilisant la méthode manuelle ......................................13

5.9 Configuration des certificats liés à RDS ...........................................................................16

5.9.1 Etape 1: créer le certificat et l'export en tant que fichier ...........................................16

5.9.2 Etape 2: importer le certificat et l'utiliser pour authentifier les roles liés à RDS ...........17

5.10 Configuration de la Gateway ...........................................................................................18

6 RDS – bureau virtuel (VDI) ....................................................................................................19

6.1 Infrastructure ................................................................................................................19

6.2 Installation du rôle VDI ..................................................................................................20

6.3 Création de la collection de bureau VDI ...........................................................................24

6.4 Accès au bureau virtuel ..................................................................................................30

6.5 Aparté WAIK .................................................................................................................30

6.6 Informations utiles .........................................................................................................30

7 Configuration d’un cluster à basculement ...............................................................................31

7.1 Infrastructure ................................................................................................................31

7.2 Configuration du pool de stockage pour CSV ...................................................................32

7.2.1 Coté serveur de stockage type WS2016 ...................................................................32

7.2.2 Coté client iSCSI .....................................................................................................42

7.3 Installation ....................................................................................................................44



Page 2 sur 47



Page 3 sur 47

1 Type d’infrastructure standard RDS/VDI

1.1 Les rôles RDS

RDS :

• Applications virtualisées

• Bureau distant

• VDI

Session broker : répartit la charge entre les serveurs RDS

Web Access : permet un accès web aux applications ou bureaux distants (cf. citrix) – les connexions

restent sur le port 3389

RD Gateway : serveur de présentation, à placer en DMZ - passe les connexions RDP en 443 au lieu

de 3389



Page 4 sur 47

2 Gestion Hyper-V

2.1 Console de management Hyper-V

Paramètres Hyper-V :

• Fractionnement : activer Numa (permet de meilleurs performances CPU)

• Migration dynamique ( = migration à chaud) • Stat mode session étendu : copier/coller dans session RDP

• Configuration de la réplication

2.2 Gestionnaire commutateur virtuel

• Externe ( = brigde) : fait un pont qui communique avec ETH0

• Interne : les VM et l’hôte se voient mais pas d’accès à ETH0. Crée une carte réseau virtuelle

sur l’hyperviseur

• Privé : les VM ne voient pas l’hôte

Nota 1 : dans le cas « Externe », la configuration de la carte physique ne doit pas être

modifiée (laisser DHCP). La configuration de l’hyperviseur se fait par le biais de l’interface « Virtual ETH » liée à l’interface externe.

Nota 2 : en privé et en interne, les hyperviseurs ne communiquent pas

2.3 Paramètres de la VM

• Mémoire dynamique : la mémoire libérée passe en swap (consomme de la ressource)

• Mémoire non dynamique : la mémoire est libérée immédiatement (best practice)

• Génération 1 : compatibilité accrue, demande + de ressources (XP, vieux Linux)

• Génération 2 : dégage les vieux drivers, performances accrues de 20%



Page 5 sur 47

3 Installation du contrôleur ADDS

Architecture de base

Il faut ensuite ajouter le rôle DHCP et plus tard les GPO



Page 6 sur 47

4 Public Key Infrastructure – ADCS

4.1 Présentation

• Le certificat racine (CA_root) est créé, ensuite on crée l’autorité de certification

subordonnée sur un autre serveur puis on éteint le serveur contenant l’autorité de certification

racine. Cela permet de régénérer les certificats serveurs si l’autorité de certification subordonnée est révoquée (suite à corruption par exemple).

• L’autorité de certification subordonnée (facultative) sert dans le cas précédent. Elle a

une durée moindre.

• Le certificat webserver permet de créer un certificat pour les serveurs (RDS, web, etc.)

• Le certificat ordinateur permet d’authentifier l’ordinateur

• Le certificat utilisateur permet d’authentifier l’utilisateur AD

Tout le monde se fait confiance.

4.2 Installation – marche à suivre

Prérequis : pour une autorité de certification dans un ADDS, le serveur ADDS doit exister

Best practice : à installer sur un serveur à part

Rôle : Active Directory Certificate Services

• Certification autority (rôle de base)

• Certification autority web enrolment (permet d’utiliser http://adcs/certsrv)

Télécharger les certificats racine et les sauvegarder en lieu sûr (permet de refaire le serveur ADCS)

1) http://localhost/certsrv/

2) Download a CA certificate, certificate chain, or CRL 3) Enregistrer le certificate CA_root_DER (encodé en DER) et CA_root_BASE64 (encodé en

base64)


http://adcs/certsrv

http://localhost/certsrv/


Page 7 sur 47

4.2.1 Créer les templates de certificats pour l’infrastructure

1) Outils d’administration > Certificate Autority management tools

2) Clic droit sur les certificate templates > Manage templates

3) Sélectionner le certificate template « Computer » puis Duplicate :

• Security : authenticated user (mieux : utiliser le gg_ordis contenant les ordinateurs qui vont avoir besoin de ce certificat) = enroll à autoriser / autoenroll à autoriser

• General > name : Computer_DOMAINE

• General > publish certificate in Active Directory : cocher

• General > do not automatically reenroll if a duplicate certificate exists in AD : cocher

• General > sélectionner la durée de validité (5 ans c’est pas mal pour un certificat

serveur)

4) Faire la même chose pour le certificat utilisateurs : utiliser le groupe DomainUsers

5) Dans le cas exemple, faire la même chose pour le certificat WebServeur : utiliser le groupe gg_servers. En général, on le fait à la main.

6) Penser ensuite à ajouter le modèle aux modèles publiés en faisant certificats >

Clic droit > manage templates



Page 8 sur 47

4.2.2 Configurer les GPO pour le déploiement automatisé des certificats

GPO « faire confiance à CA_root » :

Computer > policies > windows settings > security settings > Public Key Infrastructure

• Trusted Publishers Certificates : ajouter le certificat CA_root

GPO “Auto-Enrollment Certificat Ordinateur”


• Certificate services client – autoenrollment settings : enabled + renew expired certificates

• Automatic certificate request settings > ajouter le certificate “ordinateur”

GPO “Auto-Enrollment Certificat Utilisateur”

User > policies > windows settings > security settings > Public Key Infrastructure

• Certificate services client – autoenrollment settings : enabled + renew expired certificates

• Automatic certificate request settings > ajouter le certificate “utilisateur”

Pour les Certificats WebServer, il faut normalement le faire à la main … sinon on fait comme ça :


• certificate services client – autoenrollment settings : enabled + renew expired certificates

• automatic certificate request settings > ajouter le certificate “webserver” (attention, il y a un

KB à passer avant sous ws2016)



Page 9 sur 47

5 RDS – Session

5.1 Infrastructure

La console indique notamment les étapes à réaliser

5.2 Installation de base RDS – marche à suivre

Il faut commencer par aller dans la console Gestion de serveur du serveur ADDS et ajouter tous les

serveurs ayant un rôle lié à RDS. Cela permet de tous les manager à partir du serveur ADDS.

Rôle : Rôle basé sur RDS > Remote Destion Services Installation

Deployment type :

• Standard Deployment : installation normale

• Quick start : permet de configurer 1 serveur qui fait tout. Installe le rôle Session de bureau à distance (permet aussi RemoteApp)

• MultiPoint services : clients particuliers (une UC, plusieurs écrans/claviers/souris)

Deployment scenario :

• Session based : utilisation de sessions bureau distants / sessions RemoteApp

• Virtual machine based : utilisation de virtual bureau distants / virtual RemoteApp

5.3 Configuration des collections

Pour configurer une collection, il faut supprimer la collection existante (QuickSessionCollection) puis

en créer une nouvelle (server manager > RDS > tasks > create session collection).

La collection permet de :

• Définir les RemoteApp

• Définir quels groupes accèdent à la collection

• Les paramètres de session : inactivité/déconnexion

• Définir le partage utilisé pour stocker les profils itinérants (répertoire partagé / les droits NTFS sont gérés par windows) : \\ADDS1\profiles$

• Etc.



Page 10 sur 47

Pour se connecter à un bureau distant, l’utilisateur doit être membre du groupe Remote Destop Users

5.4 Nota bene : installation d’applications pour RemoteApp

Cela permet d’installer un programme en ne mettant rien dans la partie utilisateurs (roaming, etc.).

1) Dans la session, dans un CMD à part : change user /install

2) Installer le programme, même en interface graphique 3) Après installation, dans un CMD : change user /execute (permet de repasser en mode

normal)

5.5 A propos des disques de profil utilisateur

5.6 Best practices RDS (sessions)

Configurations prises en charge pour les Services Bureau à distance dans Windows Server 2016:

https://docs.microsoft.com/fr-fr/windows-server/remote/remote-desktop-services/rds-supported-

config


https://docs.microsoft.com/fr-fr/windows-server/remote/remote-desktop-services/rds-supported-config

https://docs.microsoft.com/fr-fr/windows-server/remote/remote-desktop-services/rds-supported-config


Page 11 sur 47

5.7 Astuce – activer les adresses IP virtualisées

Il faut créer une GPO ordinateur qui devra s’appliquer sur le serveur RDS1



Page 12 sur 47

5.8 Configuration du certificat du site web RDWEB (WebAccess)

Objectif : pouvoir accéder à https://rds1/rdweb avec un certificat valide et accepté

5.8.1 Méthode 1

Créer un certificat https propre au serveur

Console IIS > server > server certificates - Partie droite > create domain certificate

• Common name = fqdn

• Cela permet d’enregistrer le certificat en même temps que la demande est faite

5.8.2 Méthode 2

Créer un certificat générique à plusieurs machines ou à un nom non-fqdn

Cela permet d’accepter le certificat utilisé avec https://rds1.domaine.local/site ou https://rds1/site ou

https://*.domaine.local/site

mmc.exe > certificats > ordinateur, puis Personnel > clic-droit > demander un nouveau certificat

• utiliser le template WebServer_DOMAINE puis cliquer sur « properties »

• onglet subject > Common Name = FQDN : rds1.domaine.local

• onglet subject > DNS = Alias : *.domaine.local + rds1

On peut ensuite voir dans le certificat, onglet Details > Subject Alternative Name

5.8.3 Ajouter la liaison HTTPS avec le certificat généré

A faire après la méthode 1 ou la méthode 2

Console IIS > sites > default website > clic droit : site binding > add site binding


https://rds1/rdweb

https://rds1.domaine.local/site

https://rds1/site

https://*.domaine.local/site


Page 13 sur 47

5.8.4 Configuration du certificat en utilisant la méthode manuelle

Cette méthode est similaire aux deux précédentes

Etape 1 :

Console IIS > server certificates > create certificate request

Cliquer sur « create certificate request »



Page 14 sur 47

Common name = fqdn du serveur web

Choix de la demande du certificat (doit correspondre aux prérequis du modèle de certificat webserver à récupérer)

Chemin du CSR généré (fichier texte contenant la demande)

Etape 2 :

• https://adds1.formation.local/certsrv

• Request a certificate



Page 15 sur 47

• advanced certificate request.

• Submit a certificate request by using a base-64-encoded CMC or PKCS #10 file, or submit a

renewal request by using a base-64-encoded PKCS #7 file.

• donner le contenu du fichier certificate_request

Renseigner le contenu du CSR et le template à récupérer

Nota : le template doit avoir l’option clé privée exportable

Propriétés du template (sur l’ADCS)

• Download certificate

• Clic droit > open file > copy to file

• Définir un mot de passe

Etape 3 :

• console IIS > server certificates > complete certificate request

• Renseigner le fichier et le mot de passe indiqué dans l’étape 2



Page 16 sur 47

5.9 Configuration des certificats liés à RDS

Les étapes sont à faire depuis les serveurs RDS

5.9.1 Etape 1: créer le certificat et l'export en tant que fichier

• https://adds1.formation.local/certsrv

• Request a certificate

• advanced certificate request

• Create and submit a request to this CA.

Attention aux informations renseignées

• Install this certificate (You have already installed this certificate)

mmc.exe > Certificats Utilisateur > Personnel > Certificates > sélectionner le certificat nouvellement

installé

Clic-droit > open > onglet detail > copy to file > créer un fichier .pfx (avec mdp)



Page 17 sur 47

Attention à créer un fichier pfx avec mot de passe

5.9.2 Etape 2: importer le certificat et l'utiliser pour authentifier les roles liés à

RDS

Server Manager\Remote Desktop Services\Overview

Deployment overview > tasks > edit deployment properties

Certificates

Cliquer sur Deployment Overview > Tasks > Deployment Properties

Pour ajouter les certificats, sélectionner le fichier .pfx et renseigner le mot de passe



Page 18 sur 47

5.10 Configuration de la Gateway

Dans ce certificat de la passerelle, il faut renseigner le nom public (FQDN) de la passerelle.

Il faut créer un alias CNAME faisant pointer le nom public vers l’enregistrement du serveur de

passerelle.

Création du CNAME de la passerelle – console d’administration DNS



Page 19 sur 47

6 RDS – bureau virtuel (VDI)

6.1 Infrastructure

* : facultatif

Aperçu de la vue d’ensemble

Nota : une machine virtualisée sous Hyper-V supporte mal d’avoir le rôle Hyper-V installé.

Dans l’exemple, la machine physique WINDOWS-6IT8SVI (qui a le rôle Hyper-V), a donc aussi eu le rôle Virtualization Host



Page 20 sur 47

6.2 Installation du rôle VDI

Le Remote Desktop Session host doit être une machine dédiée à ce rôle qui est consommateur de ressources

Installation RDS

Standalone deployment



Page 21 sur 47

VDI

Les 3 rôles nécessaires



Page 22 sur 47

Sélectionner le serveur RD Broker

Sélectionner le serveur RD Web Access



Page 23 sur 47

Sélectionner le serveur RD virtual host (installe aussi HyperV)

Attention : il faut cocher la création du virtual switch (crée un switch externe pour communiquer avec les clients)

Déployer



Page 24 sur 47

6.3 Création de la collection de bureau VDI

Aller dans Gestion Bureau à distance > Collection > Tasks > Create

Attentions aux prérequis et best practices



Page 25 sur 47

Nommer la collection

Sélectionner le type

• Bureaux virtuels mis en pool : à chaque nouvelle connexion, l’environnement est

conforme au master ; l’utilisateur n’est pas administrateur : les seuls paramètres stockés sont ceux du profil disque

• Bureaux virtuels personnels : équivalent à un poste de travail décentralisé ; l’utilisateur

est administrateur



Page 26 sur 47

Sélectionner le master

Le master doit exécuter un sysprep avant :

Il faut sortir la machine du domaine et être connecté en admin local pour pouvoir sysprep



Page 27 sur 47

Choisir le profil à appliquer au premier démarrage

Pour la création de fichiers de réponses (personnalisation du menu démarrer, bureau, applications à

installer … il est possible d’utiliser WAIK)

Télécharger windows AIK:

https://docs.microsoft.com/en-us/windows-hardware/get-started/adk-install

Sélectionner l’OU des bureaux virtuels

Trouver le FQDN d’une OU :

• Utilisateurs et ordinateurs AD > View > Advanced features


https://docs.microsoft.com/en-us/windows-hardware/get-started/adk-install


Page 28 sur 47

• Sélectionner l’OU puis clic-droit > propriétés > onglet « attributes editor » >

DistinguishedName

Sélectionner le groupe utilisateurs, le nombre de bureaux maxi de cette collection et le modèle de nommage des bureaux virtuels

Spécifier l’allocation mémoire et ram des bureaux par hôte (cf. cluster de virtualization hosts)



Page 29 sur 47

Sélectionner l’emplacement des disques de différenciation sur le réseau1

• Sur chaque serveur : crash de l’hote de virtualisation = données perdues

• Magasin de partage réseau (même DFS) : crash de l’hote de virtualisation = données

bloquées en écriture (DFS = mode fichier = duplication à chaque fichier modifié2)

• CSV : à privilégier (RAID = mode bloc = duplication à chaque bloc modifié)

1 Les droits NTFS et partages sont créés automatiquement. En cas d’erreur d’accès, refaire [suivant]. Le disque de différenciation contient la différence entre le master et le virtual host (lié à l’utilisateur). 2 En cas de gros fichier (exemple : datafile), il y a beaucoup de données à synchroniser. Le mode bloc

n’a pas ce genre de problème.



Page 30 sur 47

Sélectionner l’emplacement des disques de profils et la taille maximale3

Créer la collection

6.4 Accès au bureau virtuel

Il est ensuite possible de se connecter :

• Soit en utilisant l’accès RD web : https://rdwebaccessserver/rdweb/

• Soit en faisant une connexion bureau à distance sur le broker

6.5 Aparté WAIK

C’est une aide à la recopie des machines. Le composant System Image Manager permet de créer

un fichier de réponses qui s’applique après sysprep. Il peut s’appliquer lors du 1er démarrage dans une collection VDI. Il y a besoin du fichier .wim qui se trouve sur l’ISO d’install de l’OS

dans .\sources\*.wim (boot.wim est une copie de winpe)

System Image Manager > Concepteur de configuration Windows > créer un projet.

6.6 Informations utiles

Paramètres recommandés pour les bureaux VDI:

https://docs.microsoft.com/fr-fr/windows-server/remote/remote-desktop-services/rds-vdi-

recommendations

Exemples d’optimisation applicables par GPO :

• Ordinateur > Policies > Admin Templates > Windows Components > RDS

o RemoteFX : diminue la bande passante utilisée

o vGPU : la partie calcul graphique est exécutée par le GPU de l’hyperviseur et non pas

son CPU (par défaut c’est le CPU de l’hyperviseur qui exécute cette partie)

3 Les droits NTFS et partages sont créés automatiquement.


https://rdwebaccessserver/rdweb/

https://docs.microsoft.com/fr-fr/windows-server/remote/remote-desktop-services/rds-vdi-recommendations

https://docs.microsoft.com/fr-fr/windows-server/remote/remote-desktop-services/rds-vdi-recommendations


Page 31 sur 47

7 Configuration d’un cluster à basculement

7.1 Infrastructure

Type standard de cluster à basculement

• Eléments du nœud : serveurs avec le rôle Hyper-V + la fonctionnalité Cluster de

basculement

• Stockage : CSV (Cluster Storage Volume) - disques rattachés en iSCSI, SMBv3, Fibre

Channel, etc.

Exemple de serveurs de stockage possible :

• Baies de disques

• WS2016 + rôle serveur de fichiers + stockage (besoin d’une licence datacenter)



Page 32 sur 47

7.2 Configuration du pool de stockage pour CSV

7.2.1 Coté serveur de stockage type WS2016

Installer le role

Sur le serveur de stockage, il faut au moins 3 disques pour faire du RAID6



Page 33 sur 47

Les 3 disques sont présents et non alloués

Console d’admin – créer le pool de stockage > tasks > new storage pool



Page 34 sur 47

Renseigner le nom

Indiquer les disques durs physiques et le type d’allocation (spare, automatique …)

Le pool est créé



Page 35 sur 47

Configurer un nouveau Virtual Disk

Le nommer



Page 36 sur 47

Choisir le mode de RAID (parity = raid 6)

Choisir le mode de provisionnement



Page 37 sur 47

Renseigner la taille du virtual disk

un virtual pool peut servir à plusieurs virtual disks mais les perfs sont moins bonnes

Et pouf !



Page 38 sur 47

Il est apparu

Il faut maintenant le formater (en NTFS)

Prêt pour des aventures

On peut maintenant créer le iSCSI pour le rendre accessible …



Page 39 sur 47

… Ne pas oublier d’installer le rôle iSCSI avant (ça va sans dire)

Sélectionner le futur volume iSCSI



Page 40 sur 47

On lui donne un nom

On indique la taille du volume qu’on « partage » en iSCSI



Page 41 sur 47

On crée une nouvelle cible (le client iSCSI) – les hyperviseurs du cluster qui s’en serviront comme CSV

On nomme sa cible



Page 42 sur 47

On attribue les IPAddress de la cible

7.2.2 Coté client iSCSI

Les clients iSCSI (car il y en a plusieurs dans le cas présent) sont les hypervieurs du cluster.

Le volume iSCSI sera dédié pour servir de Cluster Storage Volume.

Pour rattacher un disque en iSCSI, il faut ouvrir l’initiateur iSCSI



Page 43 sur 47

Ouvrir les propriétés et sélectionner la cible

La connexion à la cible est réussie



Page 44 sur 47

C’était facile

Diskmgmt.msc : le volume est visible. On le connecte et on peut s’y connecter

7.3 Installation

Après installation du rôle Cluster de basculement, dans le gestionnaire de cluster à basculement

1) Configurer un nouveau cluster

2) Ajouter les Nœuds (hyperviseurs)



Page 45 sur 47

3) Ajouter les disques (stockage > disques)

Nota : les disques de cluster n’ont plus de lettre de lecteur, mais ils sont accessible en lecture/écriture

dans C:\ClusterStorage\[nom du volume sur le cluster]\

4) Ajouter les rôles (tout ce qui sera en haute disponibilité : machines virtuelles, partages, etc.) a. Pour ajouter une machine virtuelle existante, il faut qu’elle soit sur un des disques

SCV, il faut donc la déplacer dessus)

Pour déplacer la future VM haute dispo, il faut donc la déplacer sur le CSV, dans un endroit propre

b. Création d’un partage haute disponibilité (pour les profils disques utilisateurs de VDI

par exemple)



Page 46 sur 47

Cliquer dans la partie droite sur Configurer un Rôle

Sélectionner Serveur de fichiers

Choisir le nom et l’adresse IP du partage à créer



Page 47 sur 47

On valide de tout. Le partage haute dispo aura le même comportement qu’un partage DFS … en mieux


Windows Server 2016 RDS et VDI - Aide...

Documents

Transcript of Windows Server 2016 RDS et VDI - Aide...