Alphorm.com Formation RDS Windows Server 2012 R2

RDS – Windows Server 2012 R2
Présentation de la formation
Windows RDS (Remote Desktop Services) 2012 R2 alphorm.com™©
Site : http://www.alphorm.com
Blog : http://www.alphorm.com/blog
Forum : http://www.alphorm.com/forum
Hicham KADIRI
Formateur et Consultant indépendant
Solutions Microsoft, VMware et Citrix
Certifications : MVP, MCP, MCSA, MSCE…
Présentation de la formation

Avez-vous déjà suivi cette formation ?
Cette formation permet d’acquérir les connaissances et compétences nécessaires
pour concevoir, planifier, déployer, configurer et gérer une infrastructure Remote
Desktop Services (RDS) 2008 R2.
Vous découvrez comment déployer une ferme RDS composée de plusieurs
serveurs Hôtes de session Bureau à distance, comment publier et distribuer les
programmes RemoteApp et Connexions Bureau à distance via fichier .rdp ou
package .msi, et les rendre accessibles via le portail Accès Bureau à distance par le
Web mais aussi depuis un réseau externe via la Passerelle RDS.
De plus, les options d’équilibrage de charge permettant de rendre une
De plus, les options d’équilibrage de charge permettant de rendre une
infrastructure RDS hautement disponible sont détaillées : Round Robin DNS
(Ferme RDS) – Clustering avec basculement (Service Broker) – NLB du Serveur
Accès bureau à distance par Web.
Vous apprenez également comment gérer une infrastructure RDS via des outils en
ligne de commande (documentation technique complète fournit par Alphorm) et
via un certain nombre de scripts développé par votre formateur Hicham KADIRI
Durée de la formation : 23H05min
Lien de la formation : http://www.alphorm.com/formation/formation-rds-
windows-server-2008-r2-guide-du-consultant

Plan
• Présentation du formateur
• Services Bureau à distance, qu’est ce que c’est ?
• Le plan de formation
• Publics concernés
• Connaissances requises
• Connaissances requises
• Présentation du Lab
• Ateliers pratiques
• Liens des ressources logicielles
• Autres liens utiles

Présentation du formateur
• Hicham KADIRI
• Consultant et Expert Infrastructure Microsoft
• Mission d’audit, conseil, architecture, migration et formation
• MCSA, MCSE, MCTS, MCITP, MCT, MVP Windows Expert IT Pro
• Mes références :
Mon profil LinkedIn : http://fr.linkedin.com/in/hichamkadiri
Mon profil Viadeo : http://fr.viadeo.com/fr/profile/hicham.kadiri
Mon profil Alphorm : http://www.alphorm.com/auteur/hicham-kadiri
Mon profil MVP : https://mvp.microsoft.com/fr-fr/mvp/Hicham%20KADIRI-5000857

Mes formations sur alphorm.com
• Auteur de plusieurs formations sur www.alphorm.com
• Liste complète, disponible ici : http://www.alphorm.com/auteur/hicham-kadiri
Formation Windows 8.1
(70-688)
WSUS (Windows Server Update
Services) 3.0 SP2
Formation Windows Server Core
2008 (R2) – Le guide complet
de l‘Admin IT
Formation Windows Server Core
2012 (R2) – Le guide complet
de l‘Admin IT

Services Bureau à distance, qu’est ce que c’est ?
• Ou (RDS) pour Remote Desktop Services
• Anciennement appelé (TSE) pour Terminal Services
• Ensemble de technologies /services permettant à un ou
plusieurs utilisateurs d’accéder (simultanément) à des:
Bureaux Windows
Bureaux Windows
Applications publiées (Programmes RemoteApp)
Poste de travail virtuel (VDI : Virtual Desktop Infrastructure)
• Solution /Rôle natif dans Windows Server 2012 et 2012 R2
• La solution RDS est composée de 6 services de rôle

Le plan de formation
• Ch1. Présentation de la formation
• Ch2. Introduction aux Services Bureau à distance
• Ch3. Déployer votre première infrastructure RDS 2012 R2
• Ch4. Création et gestion des Collections
• Ch5. Mise en place de la haute disponibilité d'une infrastructure RDS 2012 R2
• Ch6. Personnaliser l'Expérience Utilisateur
• Ch7. Sécuriser l'environnement Utilisateur
• Ch8. Sécuriser les connexions RDP
• Ch9. Configurer une infrastructure RDS 2012 R2 via GPO
• Ch10. Déployer et configurer un Serveur de Licences des Services Bureau à distance
• Ch11. Déployer et configurer une Passerelle des Services Bureau à distance
• Ch12. Gérer une infrastructure RDS 2012 R2
• Ch13. Conclusion

Publics concernés
• Administrateur Systèmes
• Ingénieur Systèmes
• Ingénieur /Consultants Infrastructure
• Architecte Infrastructure
• Chef de projet Infrastructure
• Toute personne désirant concevoir, planifier, déployer et gérer une
infrastructure RDS 2012 R2.

Connaissances requises
• Avoir suivi la formation RDS – Windows Server 2008 R2
• Connaissances sur les systèmes d’exploitation Windows Server et plus
particulièrement Windows Server 2008 R2 /2012 /2012 R2
• Connaissances (de base) sur Active Directory 2008 R2 /2012 /2012 R2
• Connaissances (de base) sur les Objets de Stratégie de groupe (GPO)
• Connaissances (de base) sur les Objets de Stratégie de groupe (GPO)
• Connaissances (de base) sur Terminal Server (TSE) / RDS 2008 R2 /2012
• Connaissances (de base) sur l’administration des systèmes
d’exploitation Windows
• Connaissances (de base) sur : TCP/IP, Adressage IP

Présentation du Lab – Part 1

Présentation du Lab – Part 2
Informations techniques
Option Valeur
Nom DNS du domaine AD ALPHORM.COM
Nom NetBIOS du domaine AD ALPHORM
DHCP Activé Non
ID Réseau 192.168.10.0 /24
ID Réseau 192.168.10.0 /24
IP DNS Server 192.168.10.10
IP Passerelle 192.168.10.1
Note : pour simuler l’accès à l’infrastructure RDS depuis l’externe, un client externe se
connectant à travers Internet à la passerelle RDS avec une IP externe sera configuré
LAB ALPHORM – utilisation d’un serveur dédié hébergé chez OVH

Ateliers pratiques
• Concevoir une infrastructure RDS 2012 R2
• Déployer une infrastructure RDS 2012 R2
• Création et gestion des collections
• Sécuriser une infrastructure RDS 2012 R2
• Gérer une infrastructure de licence RDS 2012 R2
• Rendre une infrastructure RDS 2012 R2 accessible depuis l’externe
• Gérer une infrastructure RDS 2012 R2
• Mise en place d’une infrastructure RDS 2012 hautement disponible

Liens des ressources logicielles
• Remote Desktop Connection Manager (RDCMan) : v2.2
http://www.microsoft.com/en-us/download/details.aspx?id=21101
• Windows Server 2012 R2 : vEvaluation
http://technet.microsoft.com/fr-fr/evalcenter/dn205286.aspx
• Windows 8.1 Entreprise : vEvaluation
• Windows 8.1 Entreprise : vEvaluation
https://technet.microsoft.com/fr-fr/evalcenter/hh699156.aspx
• Ressources associées (scripts, documentations ..)
Page de formation > Rubrique Téléchargement -> Fichier .zip

Autres liens utiles
Microsoft Technet | Windows Server 2012 /2012 R2
• https://social.technet.microsoft.com/Forums/fr-FR/home?forum=windowsserver8fr
Forum Alphorm | Remote Desktop Services (RDS) – Windows Server 2012 R2
• http://www.alphorm.com/forum/remote-desktop-services-rds-windows-server-
2012-r2-f60/

Are you ready ? ☺

DEMO : Préparation du LAB
Hicham KADIRI
DEMO : Préparation du LAB

Plan
• Informations utiles
• Préparation du LAB
• Gestion du LAB
• Console RDCMan (Remote Desktop Connection Manager)

Informations utiles
• Limitation Passerelle RDS sur certaine Edition de Windows Server 2012 R2
• : Présent /complet | : Présent /Restreint
Rôle serveur Services de rôle Datacenter Standard Essentials Foundation
Services Bureau à distance Passerelle des Services Bureau à distance (1) (2)
• : Présent /complet | : Présent /Restreint
• (1) : La passerelle RDS est installé /configuré automatiquement. Les autres services de
rôles ne sont pas supportés.
• (2) : connexions à la passerelle RDS limitées à 50 connexions

Préparation du LAB
• Déployer Windows Server 2012 R2 Datacenter sur l’ensemble des serveurs
• Déployer Windows 8.1 Entreprise sur l’ensemble des postes de travail
• Configurer les Hostnames & adresses IP sur tous les serveurs et postes de travail
• Créer les OU /sous OU et objets AD pour chaque serveur et poste de travail
• Joindre tous les serveurs et postes de travail au domaine ALPHORM.COM
• Activer /autoriser les connexions bureau à distance sur tous les serveurs et postes de
travail du LAB
• Télécharger et installer l’outil RDCMan
• Créer la structure : Groupes RDP et Connexions RDP
VOIR DEMONSTRATION

Gestion du LAB
• Toutes les machines du LAB (serveurs & P2T) sont gérés via des
connexions Bureau à distance (RDCMan)
• Microsoft offre :
2 connexions Bureau à distance « Gratuites » pour des besoins de gestion et
d’administration de serveurs : 2 connexions Bureau à distance à la fois sur un
Serveur W2012 R2. Ces 2 connexions nécessitent aucune Licence RDS
Serveur W2012 R2. Ces 2 connexions nécessitent aucune Licence RDS
1 seule connexion Bureau à distance « Gratuite » pour gérer et administrer les
postes de travail : une seule connexion Bureau à distance à la fois sur un
Poste de Travail, cette connexion nécessite aucune Licence RDS

Console RDCMan (Remote Desktop Connection Manager)

Introduction aux Services
Bureau à distance
Services Bureau à distance, qu'est
Hicham KADIRI
Services Bureau à distance, qu'est
ce que c'est ?

Plan
• D’où vient le terme RDS ?
• Services Bureau à distance, qu’est ce que c’est ?
• Hôte de session Bureau à distance
• Hôte de Virtualisation des Services Bureau à distance
• Gestionnaire de licences des Services bureau à distance
• Service Broker pour les connexions Bureau à distance
• Passerelle des Services Bureau à distance
• Accès Bureau à distance par le Web
• Architecture de la solution RDS 2012 R2

D’où vient le terme RDS ?
• Citrix MultiWin : conçu pour Windows NT 3.51 (WinFrame)
• Windows NT : Terminal Server Edition (Citrix > MetaFrame)
• Windows Server 2000 : Rôle natif
• Windows Server 2008 R2 : Rôle natif
• Windows Server 2012 R2 : Rôle natif

Services Bureau à distance, qu’est ce que c’est ?
• Ou (RDS) pour Remote Desktop Services
• Anciennement appelé (TSE) pour Terminal Services
• Solution /Rôle natif dans Windows Server 2012 et 2012 R2
• Ensemble de services permettant à un ou plusieurs utilisateurs d’accéder (simultanément)
à des applications publiées (Seamless application) sur un serveur distant ou à des bureaux
Windows ou carrément des postes de travail virtuels, et ce , que ça soit via le réseau local
ou Internet.
ou Internet.
• La solution RDS est composée de 6 services de rôle:
Hôte de session Bureau à distance (RD SH : Remote Desktop Session Host)
Hôte de Virtualisation des Services Bureau à distance (RD VH : Remote Desktop Virtualization Host)
Gestionnaire de licences des Services bureau à distance (RD LS : Remote Desktop Licensing Server)
Service Broker pour les connexions Bureau à distance (RD CB : Remote Desktop Connection Broker)
Passerelle des Services Bureau à distance (RDG : Remote Desktop Gateway)
Accès Bureau à distance par le Web (RD WA : Remote Desktop Web Access)

Hôte de session Bureau à distance
• Aussi appelé RD SH (pour Remote Desktop Session Host)
• Permet de gérer (accepter) plusieurs connexions Bureau à distance simultanément
• Inclut le serveur RemoteApp : publication et distribution des programmes RemoteApp
• Prend en charge plusieurs technologies de sécurité pour sécuriser et chiffrer les
connexions et communications RDP
• Propose un environnement utilisateur optimisé :
• Propose un environnement utilisateur optimisé :
Expérience utilisateur : Thèmes Windows – Outils Windows 8.1 - …
Redirection des ressources locales : disques locaux, imprimantes, audio /vidéo …etc
VOIR CHAPITRES 3 & 4

Hôte de Virtualisation des Services Bureau à distance
• Aussi appelé RD VH (pour Remote Desktop Virtualization Host)
• S’intègre avec l’hyperviseur « Microsoft Hyper-V » pour fournir des
bureaux virtuels (Machines Virtuelles) à la demande
Deux types de ressources :
• Personal VM (Machine Virtuelle Personnelle) : attribuée à un seul utilisateur
• Personal VM (Machine Virtuelle Personnelle) : attribuée à un seul utilisateur
• VM Pool (Pool de Machines Virtuelles) : attribuée à plusieurs utilisateurs
• Élément essentiel de l’infrastructure VDI

Gestionnaire de licences des Services bureau à distance
• Aussi appelé RD LS (pour Remote Desktop License Server)
• Il permet de distribuer des Licences RDS (CAL RDS) par-utilisateur ou
par-périphérique aux utilisateurs /ordinateurs distants.
• Gestion de Licences : installation - suppression – révocation
• Inclut un outil de reporting /suivi et de protection des CALs RDS
• Inclut un outil de reporting /suivi et de protection des CALs RDS
VOIR CHAPITRE 10

Service Broker pour les connexions Bureau à distance
• Aussi appelé RD CB (Remote Desktop Connection Broker)
• Point central d’une infrastructure RDS
• Permet de gérer l’équilibrage de charges entre plusieurs serveurs Hôte
de session Bureau à distance (RD SH)
• Support de plusieurs options d’équilibrage de charges
• Support de plusieurs options d’équilibrage de charges
• Rendre l’infrastructure RDS hautement disponibles
• Nécessite 2 serveurs RD SH et plus.
VOIR CHAPITRE 3 & 5

Passerelle des Services Bureau à distance
• Aussi appelé RDG (pour Remote Desktop Gateway)
• Composant intermédiaire entre les utilisateurs externes et les ressources
internes (Serveurs RD SH, Serveurs RemoteApp, VMs) qu’ils utilisent.
• Permet de gérer « Qui est » autorisé à se connecter via la Passerelle RDS
(CAP) et à accéder aux ressources internes comme Serveurs RD SH,
Serveurs RemoteApp, VMs (RAP)
:
• La passerelle RDS se base 2 stratégies définit par l’administrateur :
Stratégies d’Autorisation des Connexions (CAPs: Connection Access
Policies)
Stratégies d’Autorisation d’Accès aux Ressources (RAPs: Ressource
Access Policies)
VOIR CHAPITRE 11

Accès Bureau à distance par le Web
• Aussi appelé RD WA (pour Remote Desktop Web Access)
• Permet de rendre les programmes RemoteApp & les connexions Bureau
à distance accessible via un portail Web (accès depuis réseau local)
• Permet aussi de rendre les programmes RemoteApp & les connexions
Bureau à distance accessible à travers Internet.
VOIR CHAPITRE 3 & 5

Architecture de la solution RDS 2012 R2

Ce qu’on a couvert
• Historique des versions de la solution TSE /RDS
• Définition de la solution RDS
• Différents composants de la solution RDS 2012 R2
• Architecture de la solution RDS 2012 R2

Bureau à distance
Nouveautés des Services Bureau à
Hicham KADIRI
Nouveautés des Services Bureau à
distance 2012 R2

Plan
• Les 3 axes d’amélioration & de développement de l’équipe RDS MS
• Nouveautés des Services Bureau à distance 2012 R2
• Autres nouveautés

Les 3 axes d’amélioration & de développement de l’équipe RDS MS
• L’équipe RDS de Microsoft s’est concentré sur 3 axes de développement
Baisser l’écart entre l’expérience des applications locales et RemoteApp
Faciliter la vie des administrateurs RDS
Réduire les coûts du stockage et du réseau pour le déploiement de postes de
travail (VDI)
travail (VDI)

Nouveautés des Services Bureau à distance 2012 R2 – Part 1
• Baisser l’écart entre l’expérience des applications locales et RemoteApp
Support complet des fenêtres transparentes (par exemple Office 2013)
Déplacement et contrôle des fenêtres Remote App
Aperçu, Aero Peek et barre de tâches en temps réel
Changements dynamique de la résolution et des moniteurs
Changements dynamique de la résolution et des moniteurs
Support des applications qui utilisent la technologie ClickOnce
Support de DirectX 11.1
Amélioration de l’application Remote Desktop présente dans le Windows Store
Fonction de reconnexion rapide (10sec vs 70sec sur sous RDS 2012 /2008 R2 /2008)

• Faciliter la vie des administrateurs RDS
Session Shadowing pour dépanner les problèmes
Personnalisation de l’authentification sur la Passerelle RDS
Support de l’exécution des services RDS sur un contrôleur de domaine.
Support de la mise à niveau « in-place » du rôle RD Session Host
Support de la mise à niveau « in-place » du rôle RD Session Host

• Réduire les coûts du stockage et du réseau pour le déploiement de
postes de travail (VDI)
Support de la déduplication de données en ligne. Ceci réduit de 90% la capacité de
stockage lorsque plusieurs postes de travail accèdent (via SMB) au même VHD hébergé
sur un serveur de fichiers Windows Server 2012 R2.
Support de Storage Spaces
Le streaming de contenu via RemoteFX se voit réduire de 50% la bande passante
nécessaire
Amélioration des codecs RemoteFX pour réduire la bande passante pour les contenus
non-vidéo.

Autres nouveautés
• Nouveaux modes de déploiement
• Nouvelles consoles de gestion
• Nouveaux concepts : Collection & Disques de profils utilisateurs

Pour en savoir plus
• https://technet.microsoft.com/fr-fr/library/hh831527.aspx
• https://technet.microsoft.com/en-us/library/dn283323.aspx#BKMK_RDS2012R2
• http://blogs.msdn.com/b/rds/archive/2013/07/09/what-s-new-in-remote-
desktop-services-for-windows-server-2012-r2.aspx

• Nouveautés des Services Bureau à distance 2012 R2

Bureau à distance
Les scénarios de déploiement de la
Hicham KADIRI
Les scénarios de déploiement de la
solution RDS 2012 R2

Plan
• Pourquoi déployer la solution RDS ?
• Scénarios de déploiement de la solution RDS

Pourquoi déployer la solution RDS ?
• Réduire le budget dédié à l’informatique :
Nombre de licences à acheter
Achat de nouveau matériel (poste de travail et/ou serveur)
• Optimiser les performances de l’infrastructure Poste de travail
• Simplifier et Centraliser le déploiement /maintenance des Apps
• Résoudre les problèmes d’incompatibilité des Apps
• Résoudre les problèmes d’incompatibilité des Apps
Prolonger le cycle de vie des Apps métier
• Avoir un accès depuis n’importe ou et via n’importe quel périphérique à vos
Apps et bureaux virtuels :
Télétravailleurs, filiales et agences distantes
Bypasser les solutions VPN et les équipements VPN physiques couteux.
Accès optimisé à vos Apps via WAN : meilleure utilisation de la bande passante

Scénarios de déploiement de la solution RDS
• 2 scénarios de déploiement :
* Déploiement de Bureaux basés sur des Machines Virtuelles (VM)
• Solution VDI : ajout automatique du rôle Hyper-V
• Connexion à des Bureaux Virtuels & Programmes RemoteApp
Déploiement de Bureaux basés sur des Sessions
• RemoteApp Server
• Connexion à des Session Windows & Programmes RemoteApp
• * : Ce scénario de déploiement n’est pas traité dans cette formation

• Pourquoi déployer la solution RDS
• Scénarios de déploiement de la solution RDS

Déployer votre première
infrastructure RDS 2012 R2
Fonctionnement du serveur Hôte
Hicham KADIRI
Fonctionnement du serveur Hôte
de session des services Bureau à
distance

Plan
• Principal rôle du serveur RD SH
• Les services Windows utilisés par la solution RDS
• Les principaux Processus utilisés par la solution RDS

Principal rôle du serveur RD SH
• Accepte les connexions distantes entrantes envoyées par multiple utilisateurs
• Inclut le serveur RemoteApp : publication des programmes RemoteApp
• Chaque demande de connexion est traitée séparément et chaque utilisateur dispose sa
propre session.
• Un tunnel est établi entre le client et le serveur RD SH.
• Le client se connecte au serveur via un protocole RDP (Remote Desktop Protocol)
• Si les options de redirections sont activées, celles-ci sont routées vers la session distante :
Lecteurs locaux, imprimantes, ClipBoard …
• Envoie d’affichage sur le poste client
Note : Dans le cas d’un serveur RD CB, c’est ce dernier qui reçoit les demandes de
connexion et redirige les utilisateurs vers le serveur RD SH approprié.

Les services Windows utilisés par la solution RDS
• Services Bureau à distance (anciennement appelé Service Terminal Services
Nom du service : TermService
• Configuration des Services Bureau à distance
Nom du service : SessionEnv
Redirecteur de port du mode utilisateur des Services Bureau à distance
• Redirecteur de port du mode utilisateur des Services Bureau à distance
Nom du service : UmRdpService
Note : les mêmes services sont présents sur les clients RDS (postes de travail), la seule
différence est la partie Licensing : pas de CAL RDS requise sur les postes de travail – une
seule connexion bureau à distance à la fois est possible

Les principaux Processus utilisés par la solution RDS
• Smss.exe : Session Manager
• Wininit.exe : Windows Startup Manager
• Services.exe : Services & Controller Application
• Lsass.exe : Local System Authority
• Lsm.exe : Local Session Manager
• Quelques sous-Processus s’exécutant derrière Svchost.exe :
Service « TerminService » : Service des Services Bureau à distance
Desktop Windows Manager Session Manager

• Fonctionnement du serveur RD SH
• Liste des Processus utilisés par le rôle RDS
• Liste des services utilisés par le rôle RDS

Concevoir une infrastructure RDS
Hicham KADIRI
Concevoir une infrastructure RDS
2012 R2

Plan
• Concevoir la taille de votre future infrastructure RDS 2012 R2
• Quels sont les prérequis matériels du serveur RD SH ?
• Quels sont les prérequis matériels des autres services de rôles ?

Concevoir la taille de votre future infrastructure RDS 2012 R2
• Répondre aux questions suivantes :
Nombre de connexions prévues ? Si 2 connexions uniquement > pas de CAL
Nombre de connexions externes prévues ? Voir limitation Passerelle RDS
Déployer une ferme de serveurs RDS ou un seul serveur RDS « Autonome » ?
le type de CAL RDS à acheter ? Mode de Licence RDS, Nombre de licences …
le type de CAL RDS à acheter ? Mode de Licence RDS, Nombre de licences …
Déployer ou pas une Passerelle RDS ?
Déployer ou pas l’Accès Web RD ?
Activer ou pas l’authentification NLA ou pas ?
Utiliser ou pas un certificat SSL pour les connexions Bureau à distance ?
La configuration du Firewall ? Port 3389 …

Quels sont les prérequis matériels du serveur RD SH ?
• Les prérequis matériels dépendent de de la charge prévue du serveur RD SH:
Nombre de connexions : utilisateurs /ordinateurs distants
Nombre des programmes /applications à installer sur le serveur RD SH
Nombre des programmes /applications à utiliser par les utilisateurs distants
Ressources matérielles requises par les programmes distants
Prendre en compte que W2012 R2 est une archi x64 uniquement donc plus de RAM consommée
Prendre en compte que W2012 R2 est une archi x64 uniquement donc plus de RAM consommée
Recommandations de l’équipe RDS de Microsoft
RAM : 16 GB (support de 1000 connexions simultanées et plus) | 8 GB (support de plus
500 connexions simultanées et plus)
HDD : RAID1 avec ~140 GB
CPU : Quad-Core 3 GHz
Réseau : Gigabit (liaison WAN avec vitesse rapide pour accès depuis l’externe)

Quels sont les prérequis matériels des autres services de rôles ?
RéseauEspace DisqueRAMCPUService de rôle
NIC Gigabit50 GB4 GB3 GHzPasserelle RDS
NIC Gigabit50 GB4 GB3 GHzServeur de Licence RDS
NIC Gigabit50 GB4 GB3 GHzServeur Accès Web RD
NIC Gigabit50 GB4 GB3 GHzServeur Broker
Note :
La configuration décrite sur le tableau ci-haut suffit pour une infrastructure
comportant jusqu’à 200 utilisateurs
Prévoir plus de ressources (CPU, RAM, Disque) si le besoin /activité évolue

• Conception d’une infrastructure RDS 2012 R2

Déploiement "Rapide" d'une
Hicham KADIRI
Déploiement "Rapide" d'une

Plan
• Un déploiement « Rapide », qu’est ce que c’est ?
• Méthodes de déploiement
• Déploiement via le Gestionnaire de Serveur
• Déploiement via Windows PowerShell
• DEMO : Déploiement « Rapide » de la solution RDS 2012 R2

Un déploiement « Rapide », qu’est ce que c’est ?
• Déploie les 3 services de rôles suivants sur le même serveur :
• Hôte de Session Bureau à distance (RD SH)
• Service Broker pour les connexions Bureau à distance (RD CB)
• Accès Bureau à distance par le Web (RD WA)
• Crée automatiquement une Collection de test :
• Crée automatiquement une Collection de test :
- QuickSessionCollection
• Publie automatiquement des programmes RemoteApp de test :
- Calculatrice
- WordPad
- Paint

Méthodes de déploiement
• 2 méthodes de déploiement :
Via le Gestionnaire de Serveur
Via Windows PowerShell
• Cmdlette New-RDSessionDeployment : sous Windows Server 2012 R2
Cmdlette New-SessionDeployment : sous Windows Server 2012
• Cmdlette New-SessionDeployment : sous Windows Server 2012
• &
• Cmdlette New-RDSessionCollection : sous Windows Server 2012 R2
• Cmdlette New-SessionCollection : sous Windows Server 2012

Déploiement via le Gestionnaire de Serveur

Déploiement via Windows PowerShell
• New-RDSessionDeployment –ConnectionBroker FQDNduRDCB –SessionHost
FQDNduRDSH –WebAccessServer FQDNduRDWA
• New-RDSessionCollection –CollectionName NomdeCollection –
CollectionDescription DescriptionDeCollection –ConnectionBroker
FQDNduRDCB –SessionHost FQDNduRDSH
• Exemples :
New-RDSessionDeployment –ConnectionBroker LABRDS01.ALPHORM.COM –
SessionHost LABRDS01.ALPHORM.COM –WebAccessServer LABRDS01.ALPHORM.COM
New-RDSessionCollection –CollectionName DEMO –CollectionDescription « Il s’agit
d’une Collection de DEMO » -ConnectionBroker LABRDS01.ALPHORM.COM –
SessionHost LABRDS01.ALPHORM.COM

DEMO
• Déploiement « Rapide » de la solution RDS 2012 R2

• Déploiement « Rapide » de la solution RDS 2012 R2

Déploiement "Standard" d'une
Hicham KADIRI
Déploiement "Standard" d'une

Plan
• Un déploiement « Standard », qu’est ce que c’est ?
• Méthodes de déploiement
• Déploiement via le Gestionnaire de Serveur
• Déploiement via Windows PowerShell
• DEMO : Déploiement « Standard » de la solution RDS 2012 R2

Un déploiement « Standard », qu’est ce que c’est ?
• Déploie les 3 services de rôles suivants sur 3 serveurs distincts :
• Hôte de Session Bureau à distance (RD SH)
• Service Broker pour les connexions Bureau à distance (RD CB)
• Accès Bureau à distance par le Web (RD WA)
• PAS de création automatique d’une Collection de test
• PAS de création automatique d’une Collection de test
• PAS de publication automatiquement des programmes RemoteApp de test

Méthodes de déploiement
• 2 méthodes de déploiement :
Via Windows PowerShell
• Cmdlette New-RDSessionDeployment : sous Windows Server 2012 R2
• Cmdlette New-SessionDeployment : sous Windows Server 2012
&
• Cmdlette New-RDSessionCollection : sous Windows Server 2012 R2
• Cmdlette New-SessionCollection : sous Windows Server 2012
• &
• Cmdlette New-RDRemoteApp : sous Windows Server 2012 R2

Déploiement via Windows PowerShell
• New-RDSessionDeployment –ConnectionBroker FQDNduRDCB –SessionHost FQDNduRDSH –
WebAccessServer FQDNduRDWA
• New-RDSessionCollection –CollectionName NomdeCollection –CollectionDescription
DescriptionDeCollection –ConnectionBroker FQDNduRDCB –SessionHost FQDNduRDSH
• New-RDRemoteApp –Alias AliasDuRemoteApp –DisplayName NomAffichageDuRemoteApp –FilePath
"Chemin d’accès au RemoteApp" -ShowInWebAccess 1 –CollectionName NomDeCollection -
ConnectionBroker FQDNduRDCB
• Exemples :
• Exemples :
New-RDSessionDeployment –ConnectionBroker LABRDCB01.ALPHORM.COM –SessionHost
LABRDS01.ALPHORM.COM –WebAccessServer LABRDWA01.ALPHORM.COM
New-RDSessionCollection –CollectionName DEMO –CollectionDescription « Il s’agit d’une
Collection de DEMO » -ConnectionBroker LABRDCB01.ALPHORM.COM –SessionHost
LABRDS01.ALPHORM.COM
New-RDRemoteApp –Alias Calculatrice –DisplayName Calculatrice –FilePath
"C:WindowsSystem32Calc.exe" -ShowInWebAccess 1 –CollectionName DEMO -
ConnectionBroker LABRDCB01.ALPHORM.COM

DEMO
• Déploiement « Standard » de la solution RDS 2012 R2
Serveurs utilisés pour le déploiement « Standard » :
• LABRDSH01 « Nouvelle VM » :
- Créer une VM
- Déployer W2012 R2
Configurer IP (…10.30) & Hostname (LABRDSH01) & Jonction au domaine
- Configurer IP (…10.30) & Hostname (LABRDSH01) & Jonction au domaine
- Autoriser la Connexion Bureau à distance
- Ajouter le serveur LABRDSH01 sur la console RDCMan
• LABRDCB01
• LABRDWA01

• Déploiement « Standard » de la solution RDS 2012 R2

Tâches post-déploiement d'une
Hicham KADIRI
Tâches post-déploiement d'une

Plan
• Modifier les propriétés du déploiement
• Modifier les propriétés de la Collection
• Configurer les Alertes de Performances

Modifier les propriétés du déploiement

Modifier les propriétés de la Collection

Configurer les Alertes de Performances

• Tâches post-déploiement de la solution RDS (mode Rapide & Standard)

Personnalisation de la page
Hicham KADIRI
Personnalisation de la page
d'Accès Web

Plan
• Ajouter le lien de changement de mot de passe
• Changer le Logo, le Favicon et la Bannière
• Changer le nom de l’espace de travail
• Changer le descriptif de l’espace de travail
• DEMO : Personnalisation de la Page d’Accès Web BàD
• DEMO : Personnalisation de la Page d’Accès Web BàD

Ajouter le lien de changement de mot de passe – Part 1

Changer le logo, le Favicon et la Bannière – Part 1

• Copier les images dans C:WindowsWebRDWebPagesimages
• Editer le fichier C:WindowsWebRDWebPagesSite.xsl

Changer le nom de l’espace de travail
Utiliser la cmdlette suivante :
• Set-RDWorkspace –Name ‘Nom de l’espace de travail’’ –ConnectionBroker
FQDNduRDCB
• Exemple : Set-RDWorkspace –Name ‘Espace Alphorm’’ –ConnectionBroker
LABRDCB01.ALPHORM.COM

Changer le descriptif de l’espace de travail
• Editer le fichier : C:WindowsWebRDWebPagesfr-
FRRDWAstrings.xml

DEMO
• Personnalisation de la Page d’Accès des Services Bureau à distance:
• Ajouter le lien de changement de mot de passe
• Changer le Logo, le Favicon et la Bannière
• Changer le nom de l’espace de travail

• Personnalisation de la page d’Accès Web des Services Bureau à distance

Création et gestion des Collections
Une collection, qu'est ce que c'est ?
Hicham KADIRI
Une collection, qu'est ce que c'est ?

Plan
• Une collection, qu’est ce que c’est ?

Une collection, qu’est ce que c’est ? – Part 1
• Elle permet d’organiser les hôtes de session (RDSH) en fermes séparées
• Elle est constituée d’un ou plusieurs hôtes de session, qui ne peuvent
être mutualisés entre les collections.
• La collection donne accès à un ou plusieurs groupes d’utilisateurs, à une
ou plusieurs applications (RemoteApp) ou bureaux Windows, et ce sur
un ou plusieurs hôtes de session.
un ou plusieurs hôtes de session.

Une collection, qu’est ce que c’est ? – Part 2

• Définition et fonctionnement d’une Collection sous RDS 2012 R2

Création d'une Collection en mode
Hicham KADIRI
Création d'une Collection en mode
GUI et CLI

Plan
• Création d’une Collection en mode « GUI »
• Création d’une Collection en mode « CLI »

Création d’une Collection en mode « GUI » - Part 1
• Via le Gestionnaire de Serveur

Création d’une Collection en mode « GUI » - Part 2

Création d’une Collection en mode « CLI »
• Via Windows PowerShell
• Import du module RemoteDesktop :
Cmdlette : Import-Module RemoteDesktop
• Création de la Collection :
Cmdlette : New-RDSessionCollection -CollectionName « NomDeLaCollection » –SessionHost
FQDNduRDSH -CollectionDescription « Description de la Collection » -ConnectionBroker
FQDNduRDCB
Exemple :
• New-RDSessionCollection -CollectionName « RessourcesFormateurs » –SessionHost
LABRDS01.ALPHORM.COM -CollectionDescription « Collection regroupant les ressources
utilisées par les formateurs ALPHORM » -ConnectionBroker LABRDS01.ALPHORM.COM

• Création d’une Collection :
Via le Gestionnaire de Serveur : mode GUI
Via Windows PowerShell : mode CLI

Installation des Applications sur le
Hicham KADIRI
Installation des Applications sur le
serveur Hôte de session des
services Bureau à distance

Plan
• Installation des Applications en mode « GUI »
• Installation des Applications en mode « CLI »

Installation des Applications en mode « GUI »
• Depuis le Panneau de Configuration, cliquez sur :
Installer une application sur un serveur Bureau à distance
• Suivre l’assistant

Installation des Applications en mode « CLI »
• Télécharger les sources de l’Application /Programme à publier et copier les sur
le serveur RDSH sur lequel le programme sera publié.
• Depuis cmd.exe lancé en tant qu’Administrateur, saisir :
Change User /Install
• Installer l’Application /Programme à publier
Change User /Execute

• Installation des Applications sur un Serveur RDSH via :
Panneau de Configuration : mode « GUI »
Invite de commande (cmd.exe) : mode « CLI »

Publier et attribuer des
Hicham KADIRI
Publier et attribuer des
programmes RemoteApp

Plan
• Publier des programmes RemoteApp en mode « GUI »
• Publier des programmes RemoteApp en mode « CLI »
• Modifier les propriétés des programmes RemoteApp

Publier des programmes RemoteApp en mode « GUI »

Publier des programmes RemoteApp en mode « CLI »
• Via Windows PowerShell
Import-Module RemoteDesktop
New-RDRemoteApp –Alias AliasDuRemoteApp –DisplayName NomAffichageDuRemoteApp –
FilePath "Chemin d’accès au RemoteApp" -ShowInWebAccess 1 –CollectionName
NomDeCollection -ConnectionBroker FQDNduRDCB
Exemple :
Exemple :
• New-RDRemoteApp –Alias Notepad++ –DisplayName Notepad++ –FilePath
"C:Program Files (x86)Notepad++notepad++.exe” -ShowInWebAccess 1 –
CollectionName RessourcesALPHORM –ConnectionBroker
LABRDS01.ALPHORM.COM

Modifier les propriétés des programmes RemoteApp – Part 1

Modifier les propriétés des programmes RemoteApp – Part 2

• Publier des programmes RemoteApp via :
Le Gestionnaire de Serveur : mode « GUI »
Windows PowerShell : mode « CLI »
• Modifier les propriétés des programmes RemoteApp

Distribuer les Programmes
Hicham KADIRI
Distribuer les Programmes
RemoteApp

Plan
• Comment puis-je distribuer les Programmes RemoteApp aux utilisateurs ?
• Distribuer les Programmes RemoteApp via l’Accès Web BàD (Serveur RDWA)
• Distribuer les Programmes RemoteApp via l’Application du Panneau de Configuration
• Distribuer les Programmes RemoteApp via GPO
• Distribuer les Programmes RemoteApp via l’Application Moderne du Windows Store
• Distribuer les Programmes RemoteApp via Copie manuelle des fichiers RDP
• Distribuer les Programmes RemoteApp via Copie manuelle des fichiers RDP

Comment puis-je distribuer les Programmes RemoteApp aux utilisateurs ?
• Les programmes RemoteApp peuvent être distribuées via :
Le Portail Web : Serveur RDWA (Serveur d'Accès Web BàD)
L'application "Connexions RemoteApp et Bureau à distance"
Objets de Stratégie de Groupe
Application Moderne "Remote Desktop"
Application Moderne "Remote Desktop"
Copie manuelle des fichiers .RDP

Distribuer les Programmes RemoteApp via l’Accès Web BàD (Serveur RDWA)

Distribuer les Programmes RemoteApp via l’Application du Panneau de Configuration
• Depuis le Panneau de configuration
• Cliquer sur « Connexions RemoteApp & Bureau à distance »

Distribuer les Programmes RemoteApp via GPO
• Configuration Utilisateur | Stratégies | Paramètres Windows | Scripts

Distribuer les Programmes RemoteApp via l’Application Moderne du Windows Store

Distribuer les Programmes RemoteApp via Copie manuelle des fichiers RDP
• Configurer d’abord (au moins) un ordinateur via l’Application du panneau de
Configuration « Connexions RemoteApp et Bureau à distance »
• Copier les fichiers RDP depuis :
%appdata%MicrosoftWorkspacesGUIDRessource

• Les différentes méthodes de distribution des programmes RemoteApp

Configurer les paramètres d'une
Hicham KADIRI
Configurer les paramètres d'une
Collection

• Comment configurer les différents paramètres d’une Collection

UPD (User Profile Disk),
Hicham KADIRI
UPD (User Profile Disk),
qu'est ce que c'est ?

Plan
• UPD, qu’est ce que c’est ?
• Prérequis d’activation des UPD
• Activation et configuration des UPD
• DEMO : Activation et configuration des UPD

UPD, qu’est ce que c’est ?
• UPD Pour User Profile Disks ou Disques de Profil Utilisateur
• Stocke d’une manière centrale les données de l’utilisateur et de ses applications dans un seul disque
virtuel (VHDx) dédié à un seul profil utilisateur
• Les disques virtuels (VHDx) sont stockés dans un partage réseau
• Lors de l’ouverture de session distante par un utilisateur, son disque de profil utilisateur est créé
automatiquement dans le dossier partagé, celui-ci porte le SID de l’utilisateur comme nom
• Les disques de profils de tous les utilisateurs sont créés à partir d’un disque de profil modèle nommé
UVHD-Template.vhdx
UVHD-Template.vhdx
• Les serveurs RDSH ont le contrôle total sur le partage contenant les UPD
• Le VHDX est monté sous C:Utilisateurs<NomUtilisateur> lorsqu’ils se connectent à un serveur RDHS
• Si l’utilisateur n’est pas connecté, l’administrateur peut monter le VHDX manuellement
Note : UPD VS Pofils itinérant : copie des données de profils de l’utilisateur, qui parfois prend plusieurs minutes | les
VHDx sont montés à l’ouverture de session et démonté à la fermeture de la session.

Prérequis d’activation des UPD
• Une Collection RDS
• Un partage réseau par Collection RDS

Activation et configuration des UPD – Part 1

DEMO

• Définition des UPD
• Prérequis d’utilisation des UPD

Personnaliser l'Expérience
Utilisateur
Fonctionnement des connexions
Hicham KADIRI
Fonctionnement des connexions
distantes

Plan
• RDP, qu’est ce que c’est ?
• Historique des versions RDP
• Nouvelles fonctionnalités du protocole RDP v8.1
• Qui définit l’Expérience de l’utilisateur distant ?
• Fonctionnement avancé d’une connexion Bureau à distance

RDP, qu’est ce que c’est ?
• RDP pour Remote Desktop Protocole
• Protocole basé sur le protocole T.128
• Protocole qui permet de se connecter à un serveur Terminal Services (sous
W2003) ou RDS (sous W2008 /2008 R2 /2012 /2012 R2) via Connexion Bureau à
distance
• Les communications entre clients & serveur se font sur le port TCP : 3389
• Les communications entre clients & serveur se font sur le port TCP : 3389
• La première version du protocole RDP (v4.0) était introduite dans la solution
« Terminal Services » de l’édition Terminal Server de Windows Server NT 4.0
• Chaque nouvelle version de RDP apporte son lot de nouveautés
Important : ne pas confondre avec RDC (pour Remote Desktop Connection) qui est
l’application cliente /client lourd (mstsc.exe) permettant d’établir la connexion à un serveur
TSE /RDSH

Historique des versions RDP
Version RDP Version d’OS Nouveautés
4.0 Windows Server NT 4.0
Edition Terminal Server
NA
5.0 Windows Server 2000 Imprimante locale, ClipBoard, Cache local...
5.1 Windows XP Professionnel Redirection de disques, Son, Ports COM…
5.2 Windows Server 2003 Utilisation ressources locales, TLS 1.0
6.0 Windows Vista NLA, Couleurs sur 32bits, Multi-écrans
6.1 Windows Server 2008 EasyPrint, NLA, Passerelle RD, RemoteApps
7.0 Windows 7 Pro /Ultimate &
Windows Server 2008 R2
Windows Aero, Certificat de sécurité Auto-
signé, Audi Bidirectionnel
8.0 Windows 8 & Windows
Server 2012
Ne prend plus en charge Aero Glass !
8.1 Windows 8.1 & Windows
Server 2012 R2
VOIR DIAPOSITIVE SUIVANTE

Nouvelles fonctionnalités du protocole RDP v8.1
• Accélération des délais de reconnexions
• Améliorations niveau « Programmes RemoteApp » :
Déplacement et redimensionnement des fenêtres des programmes RemoteApp
Prise en charge des fenêtres transparentes (tel que MS Office 2013)
Aero Peek et barre des tâches en temps réel
Aero Peek et barre des tâches en temps réel
• Prise en charge du Session Shadowing (contrôle de session utilisateur)
• En savoir plus : http://support.microsoft.com/kb/2830477
• Note : supporté par Windows 7 SP1
Note : la version du RDP peut être mise à niveau vers une version récente sans
réinstallation du complète de l’OS !

Qui définit l’Expérience de l’utilisateur distant ?
• Le protocole RDP : le protocole de communication utilisé entre le client
RDC et l’écouteur RDP pour les échanges de données
• L’écouteur RDP : intégré avec la solution TSE/RDS, il permet d’écouter
les connexions RDP entrantes et échange les données avec le client RDC
• Client RDC (client lourd : mstsc.exe) : application fournit avec l’OS. Il
peut être mise à niveau sans réinstaller l’OS.
peut être mise à niveau sans réinstaller l’OS.

Fonctionnement avancé d’une connexion Bureau à distance
• La communication entre un client RDC & un serveur RDS se fait en
réalité à travers des « Canaux Virtuels » et des « PDU »
• Les données entre client et serveur RDS transitent dans des canaux
virtuels et la méthode de négociation de « Comment les données » sont
envoyées /reçues) est faite par le PDU (Protocol Data Unit)
• 2 types de canaux virtuels :
• 2 types de canaux virtuels :
Canal Virtuel Statique (Static Virtual Channel – SVC) : 31 canaux maximum
Canal Virtuel Dynamique (Dynamic Virtual Channel – DVC) : par défaut

Séquence d’une connexion RDP

• Définition du protocole RDP
• Historique des versions RDP
• Nouvelles fonctionnalités du protocole RDP 8.1
• Fonctionnement avancé d’une connexion Bureau à distance

Utilisateur
Utilisation de l'Expérience
Hicham KADIRI
Utilisation de l'Expérience
Utilisateur

Plan
• Quels outils inclut-elle la fonctionnalité « Expérience Utilisateur » ?
• Méthodes d’installation de l’Expérience Utilisateur
• DEMO : Installation et utilisation de l’Expérience Utilisateur

Quels outils inclut-elle la fonctionnalité « Expérience Utilisateur »
• Paramètres du PC
• Panneau de saisie mathématique
• Magnétophone
• Outil de Capture d’écran
• 9 outils Windows 8.1
• Outil de Capture d’écran
• Nettoyage de disque
• Table des caractères
• Lecteur Windows Media
• Programmes par défaut
• Windows Store

Méthodes d’installation de l’Expérience Utilisateur
• 2 méthodes d’installation :
Via la Gestionnaire de Serveur :
Via Windows PowerShell :
• Add-WindowsFeature Desktop-Experience

DEMO
• Installation et utilisation de la fonctionnalité Expérience Utilisateur

• Outils fournit avec la fonctionnalité « Expérience Utilisateur »
• Installation et utilisation de la fonctionnalité « Expérience Utilisateur »

Utilisateur
Redirection des ressources locales
Hicham KADIRI
Redirection des ressources locales
sur une session bureau à distance

Plan
• Comment configurer la redirection des périphériques et ressources sur une
session Bureau à distance ?
• Les niveaux de configuration via GPO
• DEMO : Configuration des options de redirection de périphériques et ressources
vers une session Bureau à distance

Commentconfigurerla redirectiondespériphériquesetressourcessur unesessionBureauà distance?
• 4 méthodes de configuration :
Via GPO : Priorité #1
Via la console « Utilisateurs & Ordinateurs AD » : Priorité #2
• Redirection de disques et d’imprimantes locales uniquement
Via le Gestionnaire de Serveur | Propriétés de la Collection : Priorité #3
Via le Gestionnaire de Serveur | Propriétés de la Collection : Priorité #3
Via le client RDC : Priorité #4

Les niveaux de configuration via GPO
• 2 niveaux de configuration:
Config-Utilisateur:
Config-Ordinateur

DEMO
• Configuration des options de redirection de périphériques
et ressources vers une session Bureau à distance

• Ordre de priorité de l’application des options de redirection de
périphériques et ressources vers une session Bureau à distance
• Configuration des options de redirection de périphériques et ressources
vers une session Bureau à distance

Utilisateur
Impression avec "Easy Print" à
Hicham KADIRI
Impression avec "Easy Print" à
partir d'une session Bureau à
distance

Plan
• Microsoft Easy Print, qu’est ce que c’est ?
• Configuration de l’impression universelle « Easy Print » avec RDS 2012
• DEMO : Configuration de l’impression universelle « Easy Print » avec RDS 2012

Microsoft Easy Print, qu’est ce que c’est ?
• Fonctionnalité apparue avec Windows Server 2008 R2
• Pas de grand changement avec Windows Server 2012 et 2012 R2 !
• Le Driver Easy Print est installé par défaut quand le rôle RDS est déployé
• Permet d’éviter d’installer tous les drivers d’imprimantes redirigées par
tous les clients RDS (postes clients distants) sur un serveur RDSH
tous les clients RDS (postes clients distants) sur un serveur RDSH
• Utilisé par le serveur RDSH quand celui-ci ne dispose pas du Driver
d’imprimante présente sur le poste client distant.
• Mappage du Driver de l’Imprimante du client RDS au Driver Easy Print

DEMO

Utilisateur
Authentification Unique (SSO)
Hicham KADIRI
Authentification Unique (SSO)

Plan
• SSO avec Windows 8.1 & Windows Server 2012 R2
• SSO avec des OS Clients antérieurs à Windows 8
• DEMO : Configuration de l’Authentification Unique (SSO)

SSO avec Windows 8.1 & Windows Server 2012 R2
• Aucune configuration n’est requise

SSO avec des OS Clients antérieurs à Windows 8
• Via GPO
Configuration Ordinateur | Stratégies | Modèles d’Administration | Système |
Délégation d’informations d’identification

DEMO
• Configuration de l’Authentification Unique (SSO)

• Authentification Unique (SSO) avec RDS 2012 R2

Sécuriser l'environnement
Utilisateur
Sécuriser l'accès au serveur
Hicham KADIRI
Sécuriser l'accès au serveur
RemoteApp

Plan
• Comment peut-on verrouiller le serveur RDSH /RemoteApp ?
• Restreindre la redirection des ressources et périphériques
• Restreindre la redirection des imprimantes
• Restreindre l’accès au Panneau de configuration
• Restreindre l’installation des Pilotes d’imprimantes
• Restreindre l’accès au Registre
• Restreindre l’accès aux Mises à jour automatique de Windows
• Restreindre l’accès au Menu Démarré et aux options Réseau
• Cacher les icones du Bureau
• Restreindre l’accès au Lecteur CD et Lecteur de Disquette
• Restreindre l’accès à l’Invite de commande
• Restreindre l’accès au Gestionnaire des Tâches

Comment peut-on verrouiller le serveur RDSH /RemoteApp ?
• Restreindre la redirection des ressources et périphériques
• Restreindre la redirection des imprimantes
• Restreindre l’accès au Panneau de configuration
• Restreindre l’installation des Pilotes d’imprimantes
• Restreindre l’accès au Menu Démarré et aux options Réseau
• Cacher les icones du Bureau
• Restreindre l’accès au Lecteur CD et Lecteur de Disquette
• Restreindre l’accès à l’Invite de commande
• Restreindre l’accès au Gestionnaire des Tâches

Restreindre la redirection des ressources et périphériques
• Via GPO :
Configuration Ordinateur | Stratégies | Modèles d’Administration | Composants
Windows | Services Bureau à distance | Hôte de la session Bureau à distance |
Redirection de périphérique et de ressource
• Via la console « Utilisateurs & Ordinateurs Active Directory »
• Via les propriétés de la Collection

Restreindre l’accès au Panneau de configuration
• Via GPO :
Configuration Utilisateur | Stratégies | Modèles d’Administration | Panneau de
Configuration
Paramètre : Interdire l’accès au Panneau de Configuration et aux paramètres
du PC

Restreindre l’installation des Pilotes d’imprimantes
• Via GPO :
Configuration Ordinateur | Stratégies | Paramètres Windows | Paramètres de
Sécurité | Stratégies locales | Options de Sécurité
Paramètre : Périphériques : empêcher les utilisateurs d’installer les Pilotes
d’imprimante

Restreindre l’accès au Registre
• Via GPO :
Configuration Utilisateur | Stratégies | Modèles d’Administration | Système
Paramètre : Empêcher l’accès aux outils de modification du Registre

Restreindre l’accès aux Mises à jour automatique de Windows
• Via GPO :
Paramètre : Mises à jour automatique Windows

Restreindre l’accès au Menu Démarré et aux options Réseau
• Via GPO :
Configuration Utilisateur | Stratégies | Modèles d’Administration | Menu
Démarré et barre des tâches
Paramètres : désactiver les paramètres qui répondent à votre besoin !

Cacher les icones du Bureau
• Via GPO :
Configuration Utilisateur | Stratégies | Modèles d’Administration | Bureau
Paramètres :
• Masquer et désactiver tous les éléments du Bureau
• Supprimer Poste de travail du Bureau
• Supprimer Poste de travail du Bureau

Restreindre l’accès au Lecteur CD et Lecteur de Disquette
• Via GPO :
Configuration Ordinateur | Stratégies | Paramètres Windows | Paramètres de
Sécurité | Stratégies locales | Options de Sécurité
Paramètres :
• Périphériques : Autoriser l'accès au CD-ROM uniquement aux utilisateurs
ayant ouvert une session localement
• Périphériques : Autoriser l'accès au CD-ROM uniquement aux utilisateurs
ayant ouvert une session localement
• Périphériques : ne permettre l'accès aux disquettes qu'aux utilisateurs
connectés localement

Restreindre l’accès à l’Invite de commande
• Via GPO :
Paramètre : Désactiver l’accès à l’Invite de commande

Restreindre l’accès au Gestionnaire des Tâches
• Via GPO :
Configuration Utilisateur | Stratégies | Modèles d’Administration | Système |
Options Ctrl+Alt+Suppr
Paramètre : Supprimer le Gestionnaire des tâches

DEMO
• Verrouiller /Sécuriser un serveur RDSH /Remote

• Comment verrouiller /sécuriser un serveur RDSH /RemoteApp

Utilisateur
Empêcher les utilisateurs d'exécuter
Hicham KADIRI
Empêcher les utilisateurs d'exécuter
des Applications indésirables

Plan
• Comment peut on empêcher les utilisateurs d’exécuter les Apps indésirables ?
• Via GPO
• Via AppLocker
• DEMO : empêcher les utilisateurs d’exécuter les Apps indésirables

Comment peut on empêcher les utilisateurs d’exécuter les Apps indésirables ?
• Deux méthodes :
Via GPO
Via AppLocker

Via GPO
• Configuration Utilisateur | Stratégies | Modèles d’Administration | Système
Paramètres :
• Ne pas exécuter les applications Windows spécifiées
• Exécuter uniquement les applications Windows spécifiées

Via AppLocker
• AppLocker permet de spécifier les utilisateurs ou groupes d’utilisateurs pouvant exécuter
des applications particulières
• Vous pouvez créer des règles pour autoriser ou refuser l’exécution d’Applications
• En savoir plus : https://technet.microsoft.com/en-us/library/hh994629.aspx

DEMO
• Empêcher les utilisateurs d’exécuter les Apps indésirables suivantes :
Table des caractères

• Comment peut on empêcher les utilisateurs d’exécuter les Apps
indésirables

Utilisateur
Disponibilité du serveur Hôte de
Hicham KADIRI
Disponibilité du serveur Hôte de
session des services Bureau à
distance

Plan
• Quelles sont les options de configuration de la disponibilité du serveur RD SH ?
• Via GPO
• Via Services Windows
• Via Outils en ligne de commande
• Via le Registre
• DEMO : Configurer la disponibilité du Serveur RDSH

Quelles sont les options de configuration de la disponibilité du serveur RD SH ?
• La disponibilité du serveur RDSH peut être configuré via :
GPO
Services Windows
Gestionnaire de Serveur
Outils en ligne de commande
Outils en ligne de commande
Le Registre

Via Service Windows
• Net stop TermService
• La commande arrête le service Windows principal utilisé par le serveur RDSH

Via Outils en ligne de commande
• Chglogon.exe ou CHANGE LOGON
• Chglogon.exe /Disable | CHANGE LOGON /Disable

Via le Registre
• HKEY_LOCAL_MACHINESYSTEMCurrentControlSetControlTerminal
ServerfDenyTSConnections
• Valeur de données :
1 : désactiver les connexions | 0 : activer les connexions

DEMO
• Configurer la disponibilité du Serveur RDSH

• Configurer la disponibilité du serveur RDSH

Utilisateur
Contrôler les sessions utilisateurs à
Hicham KADIRI
Contrôler les sessions utilisateurs à
distance

Plan
• Quelles sont les options de prise de contrôle des sessions RDS ?
• Contrôle via Interface graphique
• Contrôle via Outil en ligne de commande
• DEMO : contrôler une session RDS

Quelles sont les options de prise de contrôle des sessions RDS ?
• Deux options de prise de contrôle de session RDS
Contrôle via Interface graphique (Gestionnaire de Serveur)
Contrôle via Outil en ligne de commande (MSTSC.exe /Shadow)

Contrôle via Interface graphique

Contrôle via Outil en ligne de commande
• Utilisation de l’outil MSTSC.exe
• Syntaxe :
MSTSC /Shadow:IDdelaSession /Control
Exemple de prise de contrôle de la session de John DEO ayant l’ID 3 :
• MSTSC /Shadow:3 /Control

DEMO
• Contrôler une session RDS

• Comment contrôler les sessions RDS

Sécuriser les connexions RDP
Technologies de sécurité à
Hicham KADIRI
Technologies de sécurité à
connaître

Plan
• Mon infrastructure RDS est-elle sécurisée ?
• Les différents niveaux de sécurité d’une infrastructure RDS
• Fonctionnalités de sécurité & Technologies de sécurité
• Chiffrement des données RDP
• Authentification du Serveur RDSH
• SSL /TLS, qu’est ce que c’est ?
• Authentification des Utilisateurs RDS
• NLA, qu’est ce que c’est ?

Mon infrastructure RDS est-elle sécurisée ?
• Le chapitre précédent « Sécuriser l'environnement Utilisateur » montre
comment sécuriser l’accès au serveur RDSH uniquement !
• Les communications /échanges (RDP) entre le serveur RDSH et les
utilisateurs distants sont elles sécurisées /chiffrées ? :
Interception d’une connexion RDP et récupération des données !!
Authentification d’un utilisateur sur un « faux » serveur RDSH !!
Demande de connexion RDP d’un utilisateur « non autorisé » sur un serveur
RDSH !!

Les différents niveaux de sécurité d’une infrastructure RDS
• Une connexion RDP sécurisée dépend des 3 éléments suivants :
Chiffrement des données échangées entre client et serveur RD SH
Sécurité lors de l’établissement d’une connexion RDP sur un serveur RDSH
Sécurité lors de l’authentification des utilisateurs sur un serveur RDSH

Fonctionnalités de sécurité & Technologies de sécurité
Fonctionnalité de Sécurité Technologie de Sécurité

Chiffrement des données RDP

Authentification du Serveur RDSH
• Le protocole SSL /TLS établit un tunnel sécurisé entre client
et serveur RDS
• Un certificat SSL (présent sur le Serveur RDSH & poste de
travail distant) est utilisé pour authentifier le Serveur RDSH
• La couche de sécurité SSL (TLS en v1.0) doit être utilisé sur
• La couche de sécurité SSL (TLS en v1.0) doit être utilisé sur
le RDSH

SSL /TLS, qu’est ce que c’est ?
• TLS pour Transport Layer Security
• SSL pour Secure Sockets Layer
• Le protocole SSL a été développé par Netscape et a été adopté ensuite
par IETF.
• IETF a poursuit le développement et a nommé le nouveau protocole TLS
• IETF a poursuit le développement et a nommé le nouveau protocole TLS
• Le protocole SSL n’existe plus, il est remplacé par TLS
• La version TLS pris en charge par RDS 2012 R2 est la 1.0
• La version 1.0 du protocole TLS correspond à SSL v3.1

Authentification des Utilisateurs RDS
• Une session Bureau à distance est créée avant la vérification de
l’identité de l’utilisateur distant
• Des attaques types « DoS : Denial of Service » peuvent rendre le serveur
RD SH indisponible
• Un utilisateur non autorisé peut compromettre un serveur RDSH et
récupérer les données qu’il contient
récupérer les données qu’il contient

NLA, qu’est ce que c’est ?
• NLA pour Network Level Authentication
• NLA est une méthode d’authentification nécessitant l’authentification
du client distant auprès du RD SH avant même la création de sa session.
• NLA améliore la sécurité du serveur RD SH
• Diminue la surface d’attaque par DoS (Denial of Service)
• Diminue la surface d’attaque par DoS (Denial of Service)
• Nécessite RDP v6.0 et plus
• Nécessite le protocole CredSSP pour Credential Security Support
Provider
• NLA (& CredSSP) sont pris en charge par Windows XP SP3 et ultérieur

• Les différentes fonctionnalités et technologies de sécurité à connaitre
pour sécuriser son infrastructure RDS 2012 R2

Utiliser le chiffrement
Hicham KADIRI
Utiliser le chiffrement
des données RDP

Plan
• Méthodes de configuration du Chiffrement RDP
• Configuration via le Gestionnaire de Serveur
• Configuration via GPO
• Configuration via le Registre
• DEMO : Configuration du chiffrement des données RDP
• DEMO : Configuration du chiffrement des données RDP

Méthodes de configuration du Chiffrement RDP
• Le Chiffrement RDP peut être configuré via :
Le Gestionnaire de Serveur
GPO (GPedit.msc OU GPMC.msc)
Le Registre (Regedit.msc)

Configuration via le Gestionnaire de Serveur
• Gestionnaire de Serveur > Services Bureau à distance > Collection > NomDeLaCollection
> Propriétés > Sécurité

Configuration via le Registre
• Lancez regedit.exe > Naviguez jusqu’au
HKLMSYSTEMCurrentControlSetControlTerminal ServerWinStationsRDP-tcp > Clé :
MinEncryptionLevel | Valeur de la clé : 1 – 2 – 3 ou 4 pour les 4 niveaux (par défaut 2)

DEMO
• Configuration du chiffrement des données RDP

• Les différentes méthodes de configuration du Chiffrement RDP

Configurer l’Authentification du
Hicham KADIRI
Configurer l’Authentification du
Serveur RDSH

Plan
• Types d’authentification de serveur
• Certificat SSL pour le serveur RD SH
• Méthodes de Configuration de l’authentification du serveur RD SH
• Configuration de l’authentification du serveur RD SH via le Gestionnaire de
Serveur
• Configuration de l’authentification du serveur RD SH via GPO
• Configuration de l’authentification du serveur RD SH via GPO
• DEMO : Configuration de l’authentification du serveur RDSH

Types d’authentification de serveur
• 3 modes d’authentification:
Couche de sécurité RDP
Négocier
SSL (TLS 1.0)

Certificat SSL pour le serveur RD SH
• L’authentification SSL (en utilisant TSL 1.0) nécessite l’utilisation d’un
certificat SSL
• Après l’installation du service de rôle RD SH, un certificat SSL auto-signé
est généré
• Ce certificat est géré uniquement par le serveur RD SH lui-même
• Le certificat SSL auto-signé doit être présent dans le magasin de
certificats sur chaque poste de travail client > dans Autorité de
certification racine de confiance.

Méthodes de Configuration de l’authentification du serveur RD SH
• 2 méthodes de configuration :
Via GPO

Configuration de l’authentification du serveur RD SH via le Gestionnaire de Serveur

DEMO
• Configuration de l’authentification du serveur RDSH

• Les modes d’authentification du serveur RD SH
• Configuration de l’authentification du serveur RD SH

Configurer l’Authentification des
Hicham KADIRI
Configurer l’Authentification des
Clients RDS avec NLA

Plan
• Les méthodes de configuration du NLA
• La configuration du NLA via le Gestionnaire de Serveur
• La configuration du NLA via GPO
• DEMO : Configuration de l’authentification NLA

Les méthodes de configuration du NLA
• Deux méthodes de configuration :
Via le gestionnaire de Serveur
Via GPO

La configuration du NLA via le Gestionnaire de Serveur
• L’authentification NLA est activée par défaut

DEMO
• Configuration de l’authentification NLA

• Configuration de l’authentification NLA

Gérer une infrastructure
RDS 2012 R2
Introduction aux Outils de gestion
Hicham KADIRI
Introduction aux Outils de gestion
d’une infrastructure RDS 2012 R2

Plan
• Quels sont les outils de gestion d’une infrastructure RDS ?
• Gestion via Gestionnaire de Serveur
• Gestion via Outils en ligne de commande
• Gestion à distance depuis Windows 8 et 8.1 via les Outils RSAT

Quels sont les outils de gestion d’une infrastructure RDS ?
• Une infrastructure RDS peut être gérée localement et à distance via :
Le Gestionnaire de Serveur : localement et à distance
Des outils en ligne de commande : localement et à distance
Outils RSAT depuis Windows 8 /8.1 : à distance uniquement
Objets de Stratégie de Groupe (GPO) : localement et à distance
Objets de Stratégie de Groupe (GPO) : localement et à distance
L’éditeur de Registre (regedit.exe) : localement uniquement

Gestion via Gestionnaire de Serveur

Gestion via Outils en ligne de commande
• Change.exe
Change Logon | Change Port
• Logoff.exe
• MSG.exe
• Query.exe
Query Session | Query Process | Query TermServer | Query User
• Reset.exe
• Reset.exe
Session
• Shadow.exe
• TSCon.exe
• TSDiscon.exe
• TSKill.exe
• TSProf.exe

Gestion à distance depuis Windows 8 et 8.1 via les Outils RSAT
• Via les outils RSAT (Remote Server Administration Tools) depuis un Windows 8
ou Windows 8.1
Installer /Ajouter :
• Outils des Services Bureau à distance
• Gestionnaire de Serveur
• Via les outils RSAT (Remote Server Administration Tools) depuis un Windows
• Via les outils RSAT (Remote Server Administration Tools) depuis un Windows
Server 2012 ou 2012 R2
Installer /Ajouter :
• Outils de diagnostic des licences des services Bureau à distance
• Outils de la passerelle des services Bureau à distance
• Outils du gestionnaire de licences des services Bureau à distance

• Outils de gestion (GUI & CLI) d’une infrastructure RDS
Impossible d'afficher l'image. Votre ordinateur manque peut-être de mémoire pour ouvrir l'image ou l'image est endommagée. Redémarrez
l'ordinateur, puis ouvrez à nouveau le fichier. Si le x rouge est toujours affiché, vous devrez peut-être supprimer l'image avant de la réinsérer.

RDS 2012 R2
Gérer une infrastructure RDS 2012
Hicham KADIRI
R2 via le Gestionnaire de Serveur

• Gérer une infrastructure RDS 2012 R2 via le Gestionnaire de Serveur

RDS 2012 R2
Hicham KADIRI
R2 via les Outils RSAT

• Gérer une infrastructure RDS 2012 R2 via les Outils RSAT

RDS 2012 R2
Hicham KADIRI
R2 via des Outils en ligne de
commande

• Gérer une infrastructure RDS 2012 R2 via des Outils en ligne de
commande

RDS 2012 R2
Surveiller et mettre fin à un
Hicham KADIRI
Surveiller et mettre fin à un
Processus

• Comment surveiller et mettre fin à un Processus

RDS 2012 R2
Surveiller et mettre fin à une
Hicham KADIRI
Surveiller et mettre fin à une
session Utilisateur

• Comment surveiller et mettre fin à une session Utilisateur

RDS 2012 R2
Mettre un Serveur RDSH en
Hicham KADIRI
Mettre un Serveur RDSH en
mode "Maintenance"

• Comment mettre un Serveur RDSH en mode "Maintenance"

Déployer et configurer un Serveur de
Licences des Services Bureau à distance
Modèles de Licences RDS
Hicham KADIRI

Plan
• Modèles de Licences RDS
• Licences RDS
• Suivi et protection des Licences
• Ce que vous devez connaître

• 2 modèles de Licences sous Windows Server 2012 R2
Licence RDS (ou RDS CAL : Remote Desktop Services Client Access License)
• Pour l’accès aux serveurs : RD SH – RD WA – RD CB – RD CB
Licence VDI (ou VDI CAL : Virtual Desktop Infrastructure Client Access License)
Licence VDI (ou VDI CAL : Virtual Desktop Infrastructure Client Access License)
• Pour l’accès aux VMs personnelles et/ou aux Pools de VMs hébergées sur Hôte de
Virtualisation RD et l’utilisation du Serveur Broker RD.
Note : un seul modèle de licence existait sous Windows Server 2000/ 2003 /2008.
il s’agit du TS CAL (Terminal Services Client Access License)

Licences RDS
• Permet l’accès à l’ensemble des services de rôles de la solution RDS
• Inclut le droit d’utilisation de la solution App-V
• 3 options de licence
RDS CAL « Par-Périphérique »
RDS CAL « Par-Utilisateur »
RDS External Connector
• Les 2 premières options de licence sont les plus fréquemment utilisées en entreprise.
• Les 2 premières options de licence sont les plus fréquemment utilisées en entreprise.
• Les CAL TS 2008 et CAL RDS 2008 R2 peuvent être installées et utilisées pour RDS 2012 R2
Note : Le modèle de Licence TS Windows Server 2000 incluait uniquement l’option « Par-
Périphérique » | Le modèle de Licence TS Windows Server 2003 /2008 /2008 R2 incluait les deux
options de Licences « Par-Périphérique & Par-Utilisateur »

Suivi et protection des Licences
Type de Licence Suivie Protégée
CAL RDS Par-Utilisateur
CAL RDS Par-Périphérique
CAL RDS External Connector
Important : un serveur RD SH configuré en mode « Par-Utilisateur » accepte
toute demande de connexion et autorise tout utilisateur à s’y connecter
même si le nombre de CALs RDS « Par-Utilisateur » installées est saturé !!
Faille MS :-D

Ce que vous devez connaître
• Jusqu’à 2 connexions Bureau à distance simultanée > pas de CAL RDS
• Après le déploiement du rôle RDS en mode « Rapide » ou « Standard »,
celui-ci peut être exploité pendant 120 jours : période d’évaluation
• Des CALs RDS doivent être installées avant le 121ème jours sinon perte
des 2 connexions Bureau à distance offertes par Microsoft

• Les modèles de Licences RDS 2012 R2
• Le suivi et la protection des Licences RDS 2012 R2

Comment un serveur de Licence
Hicham KADIRI
Comment un serveur de Licence
RDS attribue-t-il des CALs RDS ?

Plan
• Période de grâce des serveurs RDS
• Fonctionnement d’un serveur de licence (RD LS)
• Processus de demande de licence par un client RDS
• Redondance de serveurs RD LS

Période de grâce des serveurs RDS
• Le serveur RD SH est sous période de grâce pendant 120 jours
• La période de grâce commence à partir du moment ou la serveur accepte sa
première connexion client.
• Pendant la période de grâce, le serveur RD SH accepte un nombre illimité de
connexions Bureau à distance et ce, sans contacter un serveur de Licence.
• La période de grâce s’achève après :
• La période de grâce s’achève après :
120 Jours
Installation des CAL RDS sur le serveur de Licence ET DISTRIBUTION DE LA PREMIERE
LICENCE RDS. Le serveur RD SH comprendra donc qu’il faudrait des licences pour toute
future connexion Bureau à distance.
Note : Un serveur de Licence RDS est aussi valable pendant 120 jours après son
installation. Cette période s’achève après la première attribution de Licence à un client

Fonctionnement d’un serveur de licence (RD LS) – Partie 1
• Quand un client RDS se connecte à un serveur RD SH (Ferme RDS), le serveur demande au
client de présenter sa licence, selon le mode de Licence configuré (Par-Utilisateur ou Par-
Périphérique)
• Si le mode de Licence est «Par-Utilisateur », le serveur RD SH vérifie lors de
l’authentification de l’utilisateur sa licence qui est un attribut Active Directory du compte
utilisateur (propriétés du compte utilisateur AD)
• Si le mode de Licence est « Par-Périphérique », l’ordinateur doit présenter sa licence qui
• Si le mode de Licence est « Par-Périphérique », l’ordinateur doit présenter sa licence qui
est stockée dans la BDR (Base De Registre)
• Toutes les licences fournies par un serveur de Licence RDS sont valables de 52 à 89 jours,
donc celles-ci peuvent être libérées à partir de cette période pour être distribuées à
nouveau à d’autres utilisateurs /ordinateurs.
• Les licences sont renouvelées à partir de la dernière semaine avant leurs expirations, et ce,
pour une période allant de 52 à 89 jours.

Fonctionnement d’un serveur de licence (RD LS) – Partie 2
• Les licences RDS « Par-Périphérique » peuvent être révoquées ‘manuellement’
avant leurs dates d’expiration. Cette opération permet de libérer la licence
immédiatement et éviter d’attendre la fin de la période de validité de la licence.
• Si un client RDS ne disposant d’aucune licence valide se connecte sur un serveur
RD SH, ce dernier va tenter d’obtenir une licence auprès d’un serveur de Licence
à l’ouverture de session Bureau à distance.
Si le serveur RD SH ne trouve aucun serveur de Licence RDS disponible pour
• Si le serveur RD SH ne trouve aucun serveur de Licence RDS disponible pour
obtenir une nouvelle licence pour un client RDS ou renouveler sa licence, la
Licence expire.
Question : qu’est ce qui se passe si le serveur RD SH n’arrive pas à obtenir une
licence pour un nouvel utilisateur ou renouveler sa licence existante ?!!!

Processus de demande de licence par un client RDS
Scénario Mode « Par-utilisateur » Mode « Par-Périphérique »
Le serveur RD SH n’a jamais trouvé de
serveur de Licence RDS et est en période de
grâce
Le serveur RD SH émet une licence RDS
temporaire valable 90 jours
Le serveur RD SH émet une licence RDS
temporaire valable 90 jours
Le serveur RD SH n’a jamais trouvé de
serveur de Licence RDS et est hors période
de grâce
Le serveur RD SH rejettera toute demande
de connexion. Connexion
Bureau à distance impossible
Le serveur RD SH rejettera toute demande
de connexion. Connexion
Bureau à distance impossible
Le serveur RD SH a trouvé le serveur de
Licence RDS mais ce dernier n’a aucune
licence RDS installée et n’est même pas
Les connexions Bureau à distance sont
autorisées pendant 120 jours.
Les connexions Bureau à distance sont
autorisées pendant 120 jours.
licence RDS installée et n’est même pas
activé mais il est en période de grâce.
Licence RDS mais ce dernier n’a aucune
licence RDS installée et il est hors période de
grâce.
Le serveur RD SH autorisera les connexions
Bureau à distance
Le serveur RD SH n’autorisera pas les
connexions Bureau à distance « Mode de
Licence Protégé !! »
Licence avec des Licences RDS installées
Le serveur RD SH communique le nom
d’utilisateur essayant de se connecter au
serveur de Licence RDS. Ce dernier contacte
le service AD DS pour définir la propriété
(Licence RDS) sur le compte utilisateur AD
Le serveur RD SH contacte le serveur de
Licence RDS et lui communique l’ID du
matériel (HWID) de la machine essayant de
se connecter. Le serveur de Licence attribue
une licence RDS au HWID et crée un
enregistrement de l’attribution de la Licence.

Redondance de serveurs RD LS
• Pour une avoir une infrastructure de Licence RDS redondante, il suffit de
déployer plusieurs serveurs de Licence RDS (2 et plus) et y installer le
même type & quantité de CAL RDS
• Il faut spécifier ensuite tous les serveurs de Licence RDS sur chaque
serveur RD SH, et ce, soit via le Gestionnaire de Serveur ou via GPO

• Définition de la Période de grâce des serveurs RDS
• Fonctionnement du serveur RD LS
• Processus de demande /obtention de licence par les clients RDS
• Redondance d’une infrastructure de licence RDS

Installation et configuration du
Hicham KADIRI
Installation et configuration du
serveur de Licence RDS (RD LS)

Plan
• Méthodes d’installation du serveur de Licence RDS
• Installation via le Gestionnaire de Serveur
• Installation via Windows PowerShell
• Tâches post-déploiement du serveur de licence RDS
• DEMO : Installation et configuration du Serveur de Licence RDS

Méthodes d’installation du serveur de Licence RDS
• Le serveur de Licence RDS (RDLS) peut être déployé via :
Le gestionnaire de Serveur (GUI)
Windows PowerShell (CLI)

Installation via le Gestionnaire de Serveur
• Mode Standard :
Gestionnaire de Serveur > Ajouter des rôles et des fonctionnalités > Installation basée sur un rôle
ou une fonctionnalité > Services Bureau à distance > Gestionnaire de Licence des SBàD
• Mode Rapide :

Installation via Windows PowerShell
• Lancer Windows PowerShell en tant qu’Administrateur et saisir :
Install-WindowsFeature RDS-Licensing -IncludeManagementTools

Tâches post-déploiement du serveur de licence RDS – Part 1
• Activer le serveur de Licence RDS
• Ajouter le serveur de Licence RDS dans le groupe de sécurité AD :
Serveurs de licence des Services Terminal Server
• Action nécessitant le droit : Administrateur de l’entreprise
• Déclarer /Spécifier le serveur de Licence RDS sur la ferme RDS (les
• Déclarer /Spécifier le serveur de Licence RDS sur la ferme RDS (les
serveurs RD SH) ainsi que le mode de Licence.

Tâches post-déploiement du serveur de licence RDS – Part 2

DEMO
• Installation du Serveur de Licence RDS
• Tâches post-déploiement du serveur de Licence RDS

• Déploiement du serveur de Licence RDS via :
Gestionnaire de Serveur
Windows PowerShell
• Tâches post-déploiement du serveur de Licence RDS

Installation des CALs RDS et
Hicham KADIRI
Installation des CALs RDS et
Migration d'un serveur de Licence
RDS à un autre

Plan
• Installation des CAL RDS
• Migration des CALs RDS vers un autre serveur de Licence RDS

Installation des CAL RDS

Migration des CALs RDS vers un autre serveur de Licence RDS

• Installation des CALs RDS et migration des CALs existantes vers un autre
serveur de Licence RDS.

Reconstruction de la base de
Hicham KADIRI
Reconstruction de la base de
données du serveur de Licence RDS

Plan
• Reconstruction de la base de données du serveur de Licence RDS

Reconstruction de la base de données du serveur de Licence RDS

• Reconstruction de la base de données du serveur de Licence RDS

Sauvegarde de la BDD du
Hicham KADIRI
Sauvegarde de la BDD du
serveur de Licence RD

• Sauvegarde de la BDD du serveur de Licence RD

Gestion et rapports d'utilisation des
Hicham KADIRI
Gestion et rapports d'utilisation des
Licences RDS

Plan
• Gestion et rapports d'utilisation des Licences RDS

Gestion et rapports d'utilisation des Licences RDS

• Gestion et rapports d'utilisation des Licences RDS

Utilisation de l'Outil "Diagnostic de
Hicham KADIRI
Utilisation de l'Outil "Diagnostic de
Licences RDS"

Plan
• Utilisation de l'Outil "Diagnostic de Licences RDS"

Utilisation de l'Outil "Diagnostic de Licences RDS"

• Utilisation de l'Outil "Diagnostic de Licences RDS"

Mise en place de la haute disponibilité
Hicham KADIRI
Mise en place de la haute disponibilité
du serveur de Licence RDS

Plan
• Prérequis d’une infrastructure de Licence RDS HA
• Mise en place d’une infrastructure de Licence RDS HA
• DEMO : Configuration de la redondance du serveur de Licence RDS

Prérequis d’une infrastructure de Licence RDS HA
• Avoir « au moins » 2 serveurs de Licence RDS 2012 R2
• Tous les serveurs de Licence RDS doivent être configurés d’une manière
identique : même nombre de CALs, même mode de Licence, même
version d’OS server, même SP …

Mise en place d’une infrastructure de Licence RDS HA
• Déployer au moins un deuxième serveur de Licence RDS 2012 R2
• Activer le deuxième serveur RDS
• Installer le même nombre de CALs présentes sur le premier serveur de
licence RDS
• Spécifiez (via GPO de préférence) le deuxième serveur de Licence RDS
• Spécifiez (via GPO de préférence) le deuxième serveur de Licence RDS
sur tous les serveurs Hôte de Session.

DEMO
• Configuration de la redondance du serveur de Licence RDS

• Redondance du serveur de Licence RDS 2012 R2

Déployer et configurer une Passerelle
des Services Bureau à distance
Fonctionnement de la
Hicham KADIRI
Fonctionnement de la
Passerelle RDS

Plan
• Qu’est ce qu’une Passerelle RDS ?
• Fonctionnement de la Passerelle RDS
• Architecture d’une infrastructure RDS avec une Passerelle RDS
• Pré requis de la Passerelle RDS

Qu’est ce qu’une Passerelle RDS ?
• Aussi appelé RDG (pour Remote Desktop Gateway)
• Composant intermédiaire entre les utilisateurs externes et les ressources internes
(Serveurs RD SH, Serveurs RemoteApp) auxquelles ils ont accès.
• Permet de gérer « Qui est » autorisé à se connecter via la Passerelle RDS (CAP) et
« Qui doit accéder à quoi » (ressources internes : Serveurs RD SH – RemoteApp (RAP)
• La passerelle RDS se base 2 stratégies définit par l’administrateur :
Stratégies d’Autorisation des Connexions (CAPs: Connection Access Policies)
Stratégies d’Autorisation des Connexions (CAPs: Connection Access Policies)
Stratégies d’Autorisation d’Accès aux Ressources (RAPs: Ressource Access Policies)

Fonctionnement de la Passerelle RDS
• Le client distant (Externe) tente de se connecter sur un serveur RD SH (Connexion Bureau à
distance ou lancement d’un programme RemoteApp) en passant par la Passerelle RDS
(Hostname ou IP de la passerelle est configurée dans le fichier rdp ou le package .msi
installé.
• La passerelle RDS authentifie l’utilisateur distant (login /password) et vérifie s’il est autorisé
à se connecter (à passer par la passerelle) en vérifiant la stratégie d’autorisation de
connexion (CAP).
• Si l’utilisateur est authentifié & autorisé à se connecter à la Passerelle RDS, ensuite cette
dernière vérifie que l’utilisateur est maintenant autorisé à accéder aux ressources locales
(RD SH, programme RemoteApp) en vérifiant la stratégie d’autorisation d’accès aux
ressources. Si c’est le cas, l’utilisateur est redirigé vers la ressource à laquelle à accès.
• Tout le trafic passe par la Passerelle RDS, la connexion RDP entre le client distant et la
ressource locale (RD SH ou Programme RemoteApp ..) est établit également par celle-ci.
VOIR SCHEMA D’ARCHITECTURE SUIVANT

Architecture d’une infrastructure RDS avec une Passerelle RDS

Pré requis de la Passerelle RDS
• La Passerelle RDS peut être une VM (Machine Virtuelle) ou un serveur physique
• Les prérequis matériels dépendent de la charge prévue pour la passerelle RDS
• Si la RDG est placée dans une DMZ et doit gérer plusieurs centaines ou milliers de
connexions entrantes, prévoir :
Réseau
• La passerelle doit être placé sur un réseau local ayant une vitesse de 1 GB /s
• La passerelle doit être placé sur un réseau local ayant une vitesse de 1 GB /s
• Carte réseau Ethernet Gigabit (type NIC Inter Gigabit Ethernet)
RAM
• RAM : 4 GB Minimum > entre 0 et 1000 connexions (1000 utilisateurs externes)
• RAM : 8 GB Minimum > 1200 connexions et plus (plus de 1200 utilisateurs externes)

• Définition d’une Passerelle RDS
• Prérequis et fonctionnement de la Passerelle RDS
• Architecture d’une infrastructure RDS avec une Passerelle RDS

Installation et configuration de la
Hicham KADIRI
Installation et configuration de la
Passerelle RDS (RDG)

Plan
• Méthodes d’installation de la Passerelle RDS
• Installation via le Gestionnaire de Serveur
• Installation via Windows PowerShell
• DEMO : Installation et configuration de la Passerelle RDS

Méthodes d’installation du serveur de Licence RDS
• La passerelle RDS (RDG) peut être déployé via :
Le gestionnaire de Serveur (GUI)
Windows PowerShell (CLI)

Installation via le Gestionnaire de Serveur
• Mode Standard :
Gestionnaire de Serveur > Ajouter des rôles et des fonctionnalités > Installation basée sur un rôle
ou une fonctionnalité > Services Bureau à distance > Passerelle des Services Bureau à distance
• Mode Rapide :

Installation via Windows PowerShell
• Lancer Windows PowerShell en tant qu’Administrateur et saisir :
Install-WindowsFeature RDS-Gateway -IncludeAllSubFeature -
IncludeManagementTools

DEMO
• Installation et configuration de la Passerelle RDS

• Installation et configuration de la Passerelle RDS
Impossible d'afficher l'image. Votre ordinateur manque peut-être de mémoire pour ouvrir l'image ou l'image est endommagée. Redémarrez
l'ordinateur, puis ouvrez à nouveau le fichier. Si le x rouge est toujours affiché, vous devrez peut-être supprimer l'image avant de la réinsérer.

Configuration des Serveurs RDSH
Hicham KADIRI
Configuration des Serveurs RDSH
avec la Passerelle RDS

Plan
• Configuration via le Gestionnaire de Serveur
• Configuration via GPO

Configuration via le Gestionnaire de Serveur
• Editer /modifier les propriétés du Déploiement

• Configuration des Serveurs RDSH avec la Passerelle RDS

Rendre l'infrastructure RDS
Hicham KADIRI
Rendre l'infrastructure RDS
accessible depuis l'externe

• Configurer l’accès à votre infrastructure RDS depuis l'externe

Utilisation de la Passerelle RDS et
Hicham KADIRI
Utilisation de la Passerelle RDS et
l'Accès Web Bureau à distance

Plan
• Configuration de la Passerelle RDS avec serveur RDWA

Configuration de la Passerelle RDS avec serveur RDWA
• Lancer le Gestionnaire des services Internet (IIS) > inetmgr.exe
• Naviguez jusqu’au :
• Modifier les deux paramètres « DefaultTSGateway » & « GatewayCredentialsSource »

• Utilisation de la Passerelle RDS et l'Accès Web Bureau à distance

Mise en place de la haute
Hicham KADIRI
disponibilité de la passerelle RDS

Plan
• Les différentes options d’équilibrage de charge de la Passerelle RDS
• DEMO : Configurer la haute disponibilité de le Passerelle RDS

les différentes options d’équilibrage de charge de la Passerelle RDS
• Solution d’Équilibrage de charge « Matérielle »
Solution d’équilibrage de charge type F5 Networks BIG-IP : équipement réseau permettant
l’équilibrage de charge du traffic SSL vers les différents serveurs de Passerelles RDS.
Solution onéreuse !
• Solution d’ Équilibrage de charge « Logicielle »
Solution d’équilibrage de charge logicielle comme Microsoft NLB (Network Load Balancing), native
dans Windows Server 2012 R2.
dans Windows Server 2012 R2.
Solution gratuite & facile à mettre en place ☺.
• DNSRR « DNS Round Robin »
Technique qui consiste à créer une entrée DNS faisant référence à toutes les adresses IP de tous les
serveurs de Passerelles RDS
Solution gratuite & facile à mettre en place MAIS ..
Représente un inconvénient > pas de bascule automatique en cas de crash d’un des serveurs
Passerelles RDS

DEMO
• Configurer la haute disponibilité de le Passerelle RDS

• Les différentes options d’équilibrage de charge de la Passerelle RDS
• Mise en place de la haute disponibilité de la Passerelle RDS en utilisant
la fonctionnalité NLB de Windows Server 2012 R2.

Configurer une infrastructure
RDS 2012 R2 via GPO
Configurer une infrastructure RDS
Hicham KADIRI
Configurer une infrastructure RDS
2012 R2 via GPO

Plan
• Procédure : Configuration via l’éditeur de stratégie de groupe locale
• Procédure : Configuration via la Console de Gestion des Stratégies de Groupe
• DEMO : Configuration via gpedit.msc & gpmc.msc

Configuration via l’éditeur de stratégie de groupe locale
• Menu Exécuter > saisir : gpedit.msc > Naviguez jusqu’au : Configuration Ordinateur |
Modèles d’Administration | Composants Windows | Services Bureau à distance

Configuration via la Console de Gestion des Stratégies de Groupe
• Menu Exécuter > saisir : gpmc.msc > Naviguez jusqu’au l’OU contenant les comptes de
serveurs RDS > faire clic droit dessus > Créer un objet GPO dans ce domaine, et le lier ici...
Enfin, faire clic-droit sur
la GPO créée > Modifier

DEMO : Configuration via gpedit.msc & gpmc.msc
VOIR DEMONSTRATION
VOIR DEMONSTRATION

• La configuration d’une infrastructure RDS via les outils :
GPEDIT.MSC
GPMC.MSC

disponibilité d'une infrastructure
RDS 2012 R2
Les concepts d'une infrastructure
Hicham KADIRI
Les concepts d'une infrastructure
RDS Hautement Disponible

Plan
• Redondance du serveur RDSH
• Redondance du serveur RDWA
• Redondance du serveur RDCB

Redondance du serveur RDSH
• Depuis RDS 2012, le concept de la ferme RDS n’existe plus !
• Les options d’équilibrage de charge comme DNSRR & NLB ne sont plus
prises en charge pour le serveur RDSH
• Comment puis-je alors rendre mes serveurs RDSHs redondants ?
• Nouveau concept avec RDS 2012 et 2012 R2 : Les Collections ☺
• Nouveau concept avec RDS 2012 et 2012 R2 : Les Collections ☺
• Une collection nous permet de regrouper un ensemble de serveurs
RDSH (identiques) dans un même espace logique (Ferme)
• Best practice : avoir au moins deux serveurs RDSH par Collection

Redondance du serveur RDWA
• Meilleure solution pour mettre en place une infra RDWA HA est de :
Déployer la fonctionnalité Microsoft NLB de Windows Server 2012 R2 sur
l’ensemble des serveurs RDWAs
Créer un Cluster regroupant l’ensemble des serveurs RDWA :
• Au moins deux serveurs > deux Nœuds
• Au moins deux serveurs > deux Nœuds
Ajouter tous les hôtes au Cluster
Configurer les propriétés de chaque Hôte (chaque Nœud du Cluster NLB)

Redondance du serveur RDCB
• Depuis RDS 2012, la mise en place d’une infra RDCB HA est simplifiée
• Utilisation d’une Base de données SQL
Best Practice : pour un déploiement jusqu’à 1000 connexions, SQL Server
Express Edition 2012 R2 peut être utilisé.
L’ensemble des serveurs RDCB doivent avoir le droit DBCreator sur le serveur
L’ensemble des serveurs RDCB doivent avoir le droit DBCreator sur le serveur
SQL
• Utilisation du DNSRR : création d’une entrée DNS (fermeRDCB par
exemple) faisant référence à toutes les adresses IP des serveurs RDCBs
• Lancement de l’assistant de création de la haute disponibilité du Service
Broker depuis le Gestionnaire de Serveur > Onglet « Services BàD ».

• Différentes solution de haute disponibilité des serveurs RDSH – RDWA -
RDCB

disponibilité d'une infrastructure
RDS 2012 R2
Hicham KADIRI
disponibilité des Serveurs RDSH -
RDCB - RDWA

• Mise en place de la haute disponibilité des serveurs RDSH-RDWA-RDCB

Conclusion
Hicham KADIRI
Conclusion

• Ch1. Présentation de la formation
• Ch2. Introduction aux Services Bureau à distance
• Ch3. Déployer votre première infrastructure RDS 2012 R2
• Ch4. Création et gestion des Collections
• Ch5. Personnaliser l'Expérience Utilisateur
• Ch8. Gérer une infrastructure RDS 2012 R2
• Ch9. Déployer et configurer un Serveur de Licences des Services Bureau à distance
• Ch10. Déployer et configurer une Passerelle des Services Bureau à distance
• Ch11. Configurer une infrastructure RDS 2012 R2 via GPO
• Ch12. Mise en place de la haute disponibilité d'une infrastructure RDS 2012 R2
• Ch13. Conclusion

What Next ?
Dois-je déjà commencer à
déployer des calculatrices
fonctionnelles & accessibles de
partout :D ?

Avez-vous des Questions /Remarques /Commentaires ?

A bientôt ☺
Keep in touch !
Keep in touch !
E-mail : hicham.kadiri@hichamsoft.fr
Linkedin : http://www.linkedin.com/in/hichamkadiri
Viadeo : http://fr.viadeo.com/fr/profile/hicham.kadiri
Twitter : https://twitter.com/Hicham_KADIRI

Alphorm.com Formation RDS Windows Server 2012 R2

Contenu connexe

Tendances (20)

En vedette (20)

Similaire à Alphorm.com Formation RDS Windows Server 2012 R2 (20)

Plus de Alphorm (20)

Alphorm.com Formation RDS Windows Server 2012 R2