Déployer une ferme RDS Windows 2012R2/2016/2019

Intro

Dans ce tutoriel, nous allons voir comment mettre en place pas à pas d’une ferme RDS sous Windows 2012R2 / 2016 / 2019 avec les fonctionnalités suivantes :

  • Hôte de session de bureau à distance (x2)
  • Service broker pour la répartition des connexions
  • Mise en place d’une collection
  • Publication de RemoteApp sur un portail web
  • Passerelle de bureau à distance
  • Disque de profil utilisateur (UPD)

Pour la mise en place d’une ferme rds complète, il faut à minimal 4 serveurs sans compter le contrôleur de domaine et serveur de fichiers et d’impression. L’ensemble des serveurs de la ferme doivent être dans le domaine.

Composition :

Nom IP Rôles
LAB-RDS1.rdr-it.intra 172.16.0.184 Hôte de session bureau à distance
LAB-RDS2.rdr-it.intra 172.16.0.185 Hôte de session bureau à distance
LAB-RDS-BRK.rdr-it.intra 172.16.0.186 Service broker / Gestionnaire de licences
LAB-RDS-GW-WEB.rdr-it.intra 172.16.0.187 Passerelle Bureau à distance / Accès web

Pour la réalisation de ce lab, j’ai également utilisé un serveur AD, LAB-AD1.rdr.it.intra avec l’adresse IP 172.16.0.100. Le DC servira également au stockage des UPD.

Définitions des rôles serveur composant une ferme RDS.

Hôte de session du bureau à distance : c’est sur ces serveurs que les sessions utilisateurs sont ouvertes et qui leur permettent de travailler.

Service broker : c’est l’agent de circulation des sessions dans un environnement avec plusieurs hôtes de session bureau à distance.

Passerelle Bureau à distance : son rôle est principal est de permettre l’accès sécurisé à l’infrastructure RDS depuis Internet. Il permet de se connecter à la ferme en utilisant le protocole HTTPS et de filtrer les connexions à l’aide de stratégie d’accès.

Accès web : publie un portail web qui permet l’accès aux applications via RemoteApp par un navigateur Internet. Ce rôle est également utilisé pour l’accès RemoteApp des clients Windows. A travers ce portail, il est également possible de mettre le changement de mot de passe des utilisateurs.

Gestionnaire de licences : ce service sert à la distribution des licences (CAL RDS).


How useful was this post?

Click on a star to rate it!

Average rating / 5. Vote count:

We are sorry that this post was not useful for you!

Let us improve this post!



Related Posts


Installation du rôle Hyper-V sur Windows Server 2012R2/2016/2019
Dans ce tutoriel, nous allons avoir comment procéder à l'installation d'Hyper-V sur Windows Server. Hyper-V est l'hyperviseur de Microsoft, intégré au serveur Windows depuis la version 2008 64Bits. Depuis Windows 8, il est également intégré dans la v

Client HTML5 pour Microsoft Remote Desktop Service
Présentation Dans ce tutoriel, je vous expliquer comment mettre en place l’interface client HTML 5 pour se connecter au ferme RDS sous Windows. Jusqu’à présent pour se connecter au bureau à distance ou aux RemoteApp, il était nécessaire d’avoir un cl

NLB : Installation et configuration sous Windows 2012R2 / 2016 – Network Load Balancing
Présentation de NLB Le Network Load Balancing (NLB) est une fonctionnalité intégrée à Windows qui permet la mise en place de la répartition de charge au niveau réseau. Elle est souvent utilisée avec IIS/FTP/RDS. NLB fonctionne avec une adresse IP vir

26 réflexions au sujet de “Déployer une ferme RDS Windows 2012R2/2016/2019”

  1. Bonjour Romain,

    Très bon tuto !

    Je l’ai suivi jusqu’à configurer la collection. Bizarrement chaque fois que je logue un utilisateur, il est toujours en temporaire.
    J’ai suivi la procédure pour supprimer les profils temporaire et j’ai même utilisé ton script (Très beau !), j’ai revu les droits sur le dossier des users (qui est un dossier partagé depuis un serveur de fichier), pourtant tout semble correct mais j’ai toujours ces sessions temporaires.

    Je suis un peu désespéré.

    Une idée ?

    Merci d’avance

    • Bonjour,

      Merci 😀

      Pour connaître les causes du problème, il me faut plus d’informations.

      Client RDP ? GPO ? Enregistrements dans l’observateur d’évènement…

      Romain

      • Alors pas de GPO.

        Les clients RDP des Win 10.

        Dans l’observateur j’ai : Remote Desktop Services could not apply a user desktop for a user account with a SID of S-1-5-21-2233259803-1494943341-1850254172-138244. A temporary profile was enforced for the user. Verify that the user profile disk settings are correct. The error code is 0x2.117

        • D’après l’erreur cela vient de l’UPD.

          Pouvez vous faire les tests sans disques de profils ?

          Au niveau des droits NTFS, ils sont correctement configurer sur le partage des UPD ?

          Romain

  2. Bonjour,
    Un des meilleurs tutoriel sinon le meilleur que j’ai vu sur le web. La partie Gatway y est très bien expliqué. Bravo.
    Je pense qu’il manque juste un petit point qui n’est effectivement pas purement lié au déploiement mais qui est cependant important quand on veut utiliser pleinement le potentiel passerelle de bureau à distance ; c’est ce qu’il faut faire pour réellement l’utiliser de l’extérieur. Donc avoir une adresse FQDN type mapasserelle-rds.societe.net (donc une ip publique pour cette adresse). En interne soit cette ip public est directement lié au serveur gatway (serveur en DMZ) soit il faut faire une redirection vers le serveur interne pour le port https de cette ip public.
    Encore bravo

    • Bonjour,
      Merci pour votre retour qui me fait plaisir.
      Il est vrai que le sujet de la publication de la gateway RDS sur internet fait défaut et que cette partie est manquante. Je suis en réflexion sur comment aborder ce point qui est compliqué à traiter de façon général.
      Il existe tellement de solutions (NAT/PAT/Reverse proxy/ARR …). Votre commentaire donne déjà une piste pour les personnes qui cherche comment faire.
      Romain.

  3. Bonjour Romain,
    l’étape 4 : configurer une collection se fait sur quel serveur au juste .
    j’ai fini la 3 sur le BROKER.
    merci d’avance.
    Sofiane

  4. Bonjour et merci pour votre article qui est plus qu’impressionnant.
    Est-que vous pouvez me dire comment vous configurer les GPO pour verrouiller le bureau RDS?
    Dans quel OU vous la placez? Quel filtrage de sécurité vous appliquez au niveau des groupes?

    Merci d’avance

    • Bonjour Antoine, merci pour le compliment.
      Que voulez-vous bloquer au niveau du serveur RDS ?
      Pour ce qui est du placement du serveur, je crée un OU particulière pour les serveurs hôtes de bureau à distance par collection.
      Pour appliquer les paramètres utilisateurs au niveau des GPO, j’utilise les boucles de rappel.
      Pour ce qui est des groupes, cela est très variables, si l’entreprise est en 100% RDS, j’autorise la connexion au groupe Utilisateur du domaine, sinon je crée un groupe par collection et j’autorise les connexions pour ce groupe.
      Romain

      • J’ai une OU User Tse avec un groupe Gp_user_TSE et une autre OU RDS avec mon groupe des server Gp_Srv_RDS, si je voulais que les utilisateurs TSE ne puissent pas aller dans le panneau de confugration du server RDS ou comme vous l’avez expliqué dans un autre document ne pas « voir » le disque C:, comment je configure ma GPO?

        Merci beaucoup

        • Bonjour,
          Il existe plusieurs solutions pour faire cela, je vais vous dire comment je ferais personnelement.
          J’utiliserai un boucle de rappel sur l’OU des serveurs RDS https://rdr-it.com/gpo-boucle-de-rappel/ et je mettrais ensuite dans l’OU des serveurs RDS les stratégies (GPO) qui touche aux paramètres utilisateurs, de cette manière les restrictions seront portés que sur les sessions ouverte sur les sessions RDS. Si vous placez les restrictions sur l’ensemble de votre domaine ou sur l’OU des utilisateurs elles s’appliqueront pour l’ensembles de leurs sessions (RDS / Ordinateurs).
          Romain

  5. Bonjour,
    et merci….
    super tuto sur un sujet pas simple (en théorie si !)
    Je fais des tests avec 2 serveur RDS. Il y a un truc que je ne comprends pas. Le serveur 1 a une collection avec UPD. Çà marche. Si je le coupe, la connexion se fait par Serveur 2 mais il ne voit pas les UPD, normal. Que faut-il mettre en place pour implémenter cette tolérance de panne qui semble évidente, mais je n’ai rien trouvé sur le web.
    Merci encore et continue à bien travailler (pour nous).

    Cordialement
    Alain

  6. Bonjour
    Super article!
    Après a mon gout il faudrait plus de détail sur la partie Broker et équilibrage de charge.
    Je souhaiterais savoir si vous avez un tuto ou article sur la haute disponibilité du broker ? Car j’aurais aimé monter un serveur broker avec une base SQL plutôt qu’une base interne.
    Par avance merci

    • Bonjour Audrey,

      Merci de ton compliment. Pour ce qui est de l’équilibrage de charge je survole le point à la 4eme page lors de la configuration de la collection.

      Je n’ai pas de tutoriel, traitant du broker en ha pour la raison suivante : la mise en haute disponibilité du broker est très lourde à mettre en place. Je vais m’expliquer, comme tu as peut être pu le voir (lire), j’aime être complet dans mes tutoriels et apporter également un retour d’expérience.

      Il est vrai que je pourrais faire un simple tuto avec deux serveurs brokers et expliquer comme se connecter à la base de données et dire : « voila comment on met un serveur broker en ha ». Ceci serait partiellement vrai…

      Ce qu’il faut savoir pour mettre un service broker en HA, c’est qu’il faut un vrai serveur SQL pas de l’express, pour bien faire ce service SQL doit aussi être en cluster sinon pas de HA. Pour information depuis Windows 2016, il est possible de mettre un base Azure SQL, ce qui évite d’avoir un cluster SQL à monter si on en a pas.

      L’intérêt de la ferme RDS est d’initié la connexion sur le serveur broker pour qu’il se charge de la répartition entre les serveurs hôtes. Dans cette configuration, les serveurs brokers fonctionnent avec un enregistrement dns commun et round robin , ce qui pour moi n’est pas de la haute disponibilité, car en cas d’arrêt d’un serveur pour X raisons, le client qui demande la résolution du nom dns est susceptible d’avoir l’adresse ip du broker HS. Pour bien faire il faut rajouter un load-balancer en amont des brokers (NBL est compatible avec ce type de configuration ?).

      Pour palier au HA du broker, je réplique soit avec HyperV ou Veeam le serveur broker sur un autre hyperviseur et je le démarre en cas de besoin. Pour ce qui est de la maintenant, j’essaie de la faire le nuit pour limiter l’impacte utilisateur.

      J’espère avoir répondu ou pas à ta question.

  7. Bonjour, bel article, je suis à la recherche de toute information sur les fermes RDS.

    Dans la partie « Client RDS ». Lorsque vous initiez la connexion au broker via le client rdp, sans préciser le nom de la ferme dans les paramètres du fichier .rdp je ne vois pas comment vous arrivez à être basculé sur l’un de vos RDS Host…

    Dans votre configuration l’utilisateur qui ouvre la session arrive directement sur le broker et n’est pas redirigé vers l’un de vos host RDS, si il est administrateur. Sinon il est refoulé.

    Pouvez-vous m’éclaircir sur ce point?

  8. Excellente documentation, vivement que celle-ci soit en format PDF.
    Petit retour d’expérience, pour la partie licensing, nous avions vu avec Microsoft (nous sommes une collectivité) et s’agissant de licence flottante, cela fonctionne bien au niveau du nombre de connexion simultanée comme autocad par exemple.

  9. Bonjour Romain, merci pour l’article,
    J’ai néanmoins une question, lorsque tu met en place ta ferme RDS, qu’un personne va être envoyée sur ton RDP1, comment fonctionne le load balancing? Est-ce que lorsqu’il se déconnecte ça force son log out? Ou alors, tant qu’il ne ferme pas sa session, il sera toujours sur le même RDP?

    • Bonjour,
      Le lb est géré par le serveur broker, qui se charge de repartir les connexions équitablement entre les serveurs rds de la ferme.
      Tant que l’utilisateur ne ferme pas se session (Se déconnecter) il sera automatiquement reconnecté sur la session déjà ouverte.
      Le serveur broker gère les sessions d’ou l’intérêt d’initier les ouvertures de session par celui-ci.
      Romain

  10. Bonjour Roamin,
    Super article 😉
    Est-ce que le PDF complet sur la mise en place d’un RDS : installation et configuration, certificat SSL, accès en LAN, accès en WAN … est disponible ?
    Merci

    • Bonjour,
      Merci, malheureusement je n’ai pas encore eu le temps de me mettre dessus.
      Avec la sortie de WS2019, je préfère attendre pour également valider le tutoriel sur cette version.
      Romain.

  11. Bonjour Romain, félicitations pour ton article, il est super bien fait et très précis comme la plupart de tes docs. j’aimerais si possible avoir une copie pdf de celui-ci: Mise en place d’une ferme RDS sous Windows 2012R2 / 2016. merci d’avance. [email protected]

    • Bonjour,
      Merci cela me fait plaisir de voir que les articles plaisent.
      Concernant la version PDF, il faut encore attendre un peu, il faut d’abord que je finisse l’ensemble des articles sur l’environnement RDS.
      J’ai prévu de les compiler par la suite au format PDF pour proposer un ebook qui sera gratuit 🙂

Laisser un commentaire