Upload
others
View
11
Download
0
Embed Size (px)
Citation preview
http://aide.informatique1.fr/
Page 0 sur 47
Windows Server 2016 RDS et VDI
OLIVIER DEHECQ
http://aide.informatique1.fr/
Page 1 sur 47
Table des matières 1 Type d’infrastructure standard RDS/VDI .................................................................................. 3
1.1 Les rôles RDS ................................................................................................................. 3
2 Gestion Hyper-V ..................................................................................................................... 4
2.1 Console de management Hyper-V .................................................................................... 4
2.2 Gestionnaire commutateur virtuel .................................................................................... 4
2.3 Paramètres de la VM ....................................................................................................... 4
3 Installation du contrôleur ADDS .............................................................................................. 5
4 Public Key Infrastructure – ADCS ............................................................................................ 6
4.1 Présentation ................................................................................................................... 6
4.2 Installation – marche à suivre .......................................................................................... 6
4.2.1 Créer les templates de certificats pour l’infrastructure ................................................ 7
4.2.2 Configurer les GPO pour le déploiement automatisé des certificats ............................. 8
5 RDS – Session ....................................................................................................................... 9
5.1 Infrastructure ................................................................................................................. 9
5.2 Installation de base RDS – marche à suivre ...................................................................... 9
5.3 Configuration des collections ........................................................................................... 9
5.4 Nota bene : installation d’applications pour RemoteApp ...................................................10
5.5 A propos des disques de profil utilisateur ........................................................................10
5.6 Best practices RDS (sessions) .........................................................................................10
5.7 Astuce – activer les adresses IP virtualisées ....................................................................11
5.8 Configuration du certificat du site web RDWEB (WebAccess) ............................................12
5.8.1 Méthode 1 .............................................................................................................12
5.8.2 Méthode 2 .............................................................................................................12
5.8.3 Ajouter la liaison HTTPS avec le certificat généré .....................................................12
5.8.4 Configuration du certificat en utilisant la méthode manuelle ......................................13
5.9 Configuration des certificats liés à RDS ...........................................................................16
5.9.1 Etape 1: créer le certificat et l'export en tant que fichier ...........................................16
5.9.2 Etape 2: importer le certificat et l'utiliser pour authentifier les roles liés à RDS ...........17
5.10 Configuration de la Gateway ...........................................................................................18
6 RDS – bureau virtuel (VDI) ....................................................................................................19
6.1 Infrastructure ................................................................................................................19
6.2 Installation du rôle VDI ..................................................................................................20
6.3 Création de la collection de bureau VDI ...........................................................................24
6.4 Accès au bureau virtuel ..................................................................................................30
6.5 Aparté WAIK .................................................................................................................30
6.6 Informations utiles .........................................................................................................30
7 Configuration d’un cluster à basculement ...............................................................................31
7.1 Infrastructure ................................................................................................................31
7.2 Configuration du pool de stockage pour CSV ...................................................................32
7.2.1 Coté serveur de stockage type WS2016 ...................................................................32
7.2.2 Coté client iSCSI .....................................................................................................42
7.3 Installation ....................................................................................................................44
http://aide.informatique1.fr/
Page 3 sur 47
1 Type d’infrastructure standard RDS/VDI
1.1 Les rôles RDS
RDS :
• Applications virtualisées
• Bureau distant
• VDI
Session broker : répartit la charge entre les serveurs RDS
Web Access : permet un accès web aux applications ou bureaux distants (cf. citrix) – les connexions
restent sur le port 3389
RD Gateway : serveur de présentation, à placer en DMZ - passe les connexions RDP en 443 au lieu
de 3389
http://aide.informatique1.fr/
Page 4 sur 47
2 Gestion Hyper-V
2.1 Console de management Hyper-V
Paramètres Hyper-V :
• Fractionnement : activer Numa (permet de meilleurs performances CPU)
• Migration dynamique ( = migration à chaud) • Stat mode session étendu : copier/coller dans session RDP
• Configuration de la réplication
2.2 Gestionnaire commutateur virtuel
• Externe ( = brigde) : fait un pont qui communique avec ETH0
• Interne : les VM et l’hôte se voient mais pas d’accès à ETH0. Crée une carte réseau virtuelle
sur l’hyperviseur
• Privé : les VM ne voient pas l’hôte
Nota 1 : dans le cas « Externe », la configuration de la carte physique ne doit pas être
modifiée (laisser DHCP). La configuration de l’hyperviseur se fait par le biais de l’interface « Virtual ETH » liée à l’interface externe.
Nota 2 : en privé et en interne, les hyperviseurs ne communiquent pas
2.3 Paramètres de la VM
• Mémoire dynamique : la mémoire libérée passe en swap (consomme de la ressource)
• Mémoire non dynamique : la mémoire est libérée immédiatement (best practice)
• Génération 1 : compatibilité accrue, demande + de ressources (XP, vieux Linux)
• Génération 2 : dégage les vieux drivers, performances accrues de 20%
http://aide.informatique1.fr/
Page 5 sur 47
3 Installation du contrôleur ADDS
Architecture de base
Il faut ensuite ajouter le rôle DHCP et plus tard les GPO
http://aide.informatique1.fr/
Page 6 sur 47
4 Public Key Infrastructure – ADCS
4.1 Présentation
• Le certificat racine (CA_root) est créé, ensuite on crée l’autorité de certification
subordonnée sur un autre serveur puis on éteint le serveur contenant l’autorité de certification
racine. Cela permet de régénérer les certificats serveurs si l’autorité de certification subordonnée est révoquée (suite à corruption par exemple).
• L’autorité de certification subordonnée (facultative) sert dans le cas précédent. Elle a
une durée moindre.
• Le certificat webserver permet de créer un certificat pour les serveurs (RDS, web, etc.)
• Le certificat ordinateur permet d’authentifier l’ordinateur
• Le certificat utilisateur permet d’authentifier l’utilisateur AD
Tout le monde se fait confiance.
4.2 Installation – marche à suivre
Prérequis : pour une autorité de certification dans un ADDS, le serveur ADDS doit exister
Best practice : à installer sur un serveur à part
Rôle : Active Directory Certificate Services
• Certification autority (rôle de base)
• Certification autority web enrolment (permet d’utiliser http://adcs/certsrv)
Télécharger les certificats racine et les sauvegarder en lieu sûr (permet de refaire le serveur ADCS)
1) http://localhost/certsrv/
2) Download a CA certificate, certificate chain, or CRL 3) Enregistrer le certificate CA_root_DER (encodé en DER) et CA_root_BASE64 (encodé en
base64)
http://aide.informatique1.fr/
Page 7 sur 47
4.2.1 Créer les templates de certificats pour l’infrastructure
1) Outils d’administration > Certificate Autority management tools
2) Clic droit sur les certificate templates > Manage templates
3) Sélectionner le certificate template « Computer » puis Duplicate :
• Security : authenticated user (mieux : utiliser le gg_ordis contenant les ordinateurs qui vont avoir besoin de ce certificat) = enroll à autoriser / autoenroll à autoriser
• General > name : Computer_DOMAINE
• General > publish certificate in Active Directory : cocher
• General > do not automatically reenroll if a duplicate certificate exists in AD : cocher
• General > sélectionner la durée de validité (5 ans c’est pas mal pour un certificat
serveur)
4) Faire la même chose pour le certificat utilisateurs : utiliser le groupe DomainUsers
5) Dans le cas exemple, faire la même chose pour le certificat WebServeur : utiliser le groupe gg_servers. En général, on le fait à la main.
6) Penser ensuite à ajouter le modèle aux modèles publiés en faisant certificats >
Clic droit > manage templates
http://aide.informatique1.fr/
Page 8 sur 47
4.2.2 Configurer les GPO pour le déploiement automatisé des certificats
GPO « faire confiance à CA_root » :
Computer > policies > windows settings > security settings > Public Key Infrastructure
• Trusted Publishers Certificates : ajouter le certificat CA_root
GPO “Auto-Enrollment Certificat Ordinateur”
Computer > policies > windows settings > security settings > Public Key Infrastructure
• Certificate services client – autoenrollment settings : enabled + renew expired certificates
• Automatic certificate request settings > ajouter le certificate “ordinateur”
GPO “Auto-Enrollment Certificat Utilisateur”
User > policies > windows settings > security settings > Public Key Infrastructure
• Certificate services client – autoenrollment settings : enabled + renew expired certificates
• Automatic certificate request settings > ajouter le certificate “utilisateur”
Pour les Certificats WebServer, il faut normalement le faire à la main … sinon on fait comme ça :
Computer > policies > windows settings > security settings > Public Key Infrastructure
• certificate services client – autoenrollment settings : enabled + renew expired certificates
• automatic certificate request settings > ajouter le certificate “webserver” (attention, il y a un
KB à passer avant sous ws2016)
http://aide.informatique1.fr/
Page 9 sur 47
5 RDS – Session
5.1 Infrastructure
La console indique notamment les étapes à réaliser
5.2 Installation de base RDS – marche à suivre
Il faut commencer par aller dans la console Gestion de serveur du serveur ADDS et ajouter tous les
serveurs ayant un rôle lié à RDS. Cela permet de tous les manager à partir du serveur ADDS.
Rôle : Rôle basé sur RDS > Remote Destion Services Installation
Deployment type :
• Standard Deployment : installation normale
• Quick start : permet de configurer 1 serveur qui fait tout. Installe le rôle Session de bureau à distance (permet aussi RemoteApp)
• MultiPoint services : clients particuliers (une UC, plusieurs écrans/claviers/souris)
Deployment scenario :
• Session based : utilisation de sessions bureau distants / sessions RemoteApp
• Virtual machine based : utilisation de virtual bureau distants / virtual RemoteApp
5.3 Configuration des collections
Pour configurer une collection, il faut supprimer la collection existante (QuickSessionCollection) puis
en créer une nouvelle (server manager > RDS > tasks > create session collection).
La collection permet de :
• Définir les RemoteApp
• Définir quels groupes accèdent à la collection
• Les paramètres de session : inactivité/déconnexion
• Définir le partage utilisé pour stocker les profils itinérants (répertoire partagé / les droits NTFS sont gérés par windows) : \\ADDS1\profiles$
• Etc.
http://aide.informatique1.fr/
Page 10 sur 47
Pour se connecter à un bureau distant, l’utilisateur doit être membre du groupe Remote Destop Users
5.4 Nota bene : installation d’applications pour RemoteApp
Cela permet d’installer un programme en ne mettant rien dans la partie utilisateurs (roaming, etc.).
1) Dans la session, dans un CMD à part : change user /install
2) Installer le programme, même en interface graphique 3) Après installation, dans un CMD : change user /execute (permet de repasser en mode
normal)
5.5 A propos des disques de profil utilisateur
5.6 Best practices RDS (sessions)
Configurations prises en charge pour les Services Bureau à distance dans Windows Server 2016:
https://docs.microsoft.com/fr-fr/windows-server/remote/remote-desktop-services/rds-supported-
config
http://aide.informatique1.fr/
Page 11 sur 47
5.7 Astuce – activer les adresses IP virtualisées
Il faut créer une GPO ordinateur qui devra s’appliquer sur le serveur RDS1
http://aide.informatique1.fr/
Page 12 sur 47
5.8 Configuration du certificat du site web RDWEB (WebAccess)
Objectif : pouvoir accéder à https://rds1/rdweb avec un certificat valide et accepté
5.8.1 Méthode 1
Créer un certificat https propre au serveur
Console IIS > server > server certificates - Partie droite > create domain certificate
• Common name = fqdn
• Cela permet d’enregistrer le certificat en même temps que la demande est faite
5.8.2 Méthode 2
Créer un certificat générique à plusieurs machines ou à un nom non-fqdn
Cela permet d’accepter le certificat utilisé avec https://rds1.domaine.local/site ou https://rds1/site ou
https://*.domaine.local/site
mmc.exe > certificats > ordinateur, puis Personnel > clic-droit > demander un nouveau certificat
• utiliser le template WebServer_DOMAINE puis cliquer sur « properties »
• onglet subject > Common Name = FQDN : rds1.domaine.local
• onglet subject > DNS = Alias : *.domaine.local + rds1
On peut ensuite voir dans le certificat, onglet Details > Subject Alternative Name
5.8.3 Ajouter la liaison HTTPS avec le certificat généré
A faire après la méthode 1 ou la méthode 2
Console IIS > sites > default website > clic droit : site binding > add site binding
http://aide.informatique1.fr/
Page 13 sur 47
5.8.4 Configuration du certificat en utilisant la méthode manuelle
Cette méthode est similaire aux deux précédentes
Etape 1 :
Console IIS > server certificates > create certificate request
Cliquer sur « create certificate request »
http://aide.informatique1.fr/
Page 14 sur 47
Common name = fqdn du serveur web
Choix de la demande du certificat (doit correspondre aux prérequis du modèle de certificat webserver à récupérer)
Chemin du CSR généré (fichier texte contenant la demande)
Etape 2 :
• https://adds1.formation.local/certsrv
• Request a certificate
http://aide.informatique1.fr/
Page 15 sur 47
• advanced certificate request.
• Submit a certificate request by using a base-64-encoded CMC or PKCS #10 file, or submit a
renewal request by using a base-64-encoded PKCS #7 file.
• donner le contenu du fichier certificate_request
Renseigner le contenu du CSR et le template à récupérer
Nota : le template doit avoir l’option clé privée exportable
Propriétés du template (sur l’ADCS)
• Download certificate
• Clic droit > open file > copy to file
• Définir un mot de passe
Etape 3 :
• console IIS > server certificates > complete certificate request
• Renseigner le fichier et le mot de passe indiqué dans l’étape 2
http://aide.informatique1.fr/
Page 16 sur 47
5.9 Configuration des certificats liés à RDS
Les étapes sont à faire depuis les serveurs RDS
5.9.1 Etape 1: créer le certificat et l'export en tant que fichier
• https://adds1.formation.local/certsrv
• Request a certificate
• advanced certificate request
• Create and submit a request to this CA.
Attention aux informations renseignées
• Install this certificate (You have already installed this certificate)
mmc.exe > Certificats Utilisateur > Personnel > Certificates > sélectionner le certificat nouvellement
installé
Clic-droit > open > onglet detail > copy to file > créer un fichier .pfx (avec mdp)
http://aide.informatique1.fr/
Page 17 sur 47
Attention à créer un fichier pfx avec mot de passe
5.9.2 Etape 2: importer le certificat et l'utiliser pour authentifier les roles liés à
RDS
Server Manager\Remote Desktop Services\Overview
Deployment overview > tasks > edit deployment properties
Certificates
Cliquer sur Deployment Overview > Tasks > Deployment Properties
Pour ajouter les certificats, sélectionner le fichier .pfx et renseigner le mot de passe
http://aide.informatique1.fr/
Page 18 sur 47
5.10 Configuration de la Gateway
Dans ce certificat de la passerelle, il faut renseigner le nom public (FQDN) de la passerelle.
Il faut créer un alias CNAME faisant pointer le nom public vers l’enregistrement du serveur de
passerelle.
Création du CNAME de la passerelle – console d’administration DNS
http://aide.informatique1.fr/
Page 19 sur 47
6 RDS – bureau virtuel (VDI)
6.1 Infrastructure
* : facultatif
Aperçu de la vue d’ensemble
Nota : une machine virtualisée sous Hyper-V supporte mal d’avoir le rôle Hyper-V installé.
Dans l’exemple, la machine physique WINDOWS-6IT8SVI (qui a le rôle Hyper-V), a donc aussi eu le rôle Virtualization Host
http://aide.informatique1.fr/
Page 20 sur 47
6.2 Installation du rôle VDI
Le Remote Desktop Session host doit être une machine dédiée à ce rôle qui est consommateur de ressources
Installation RDS
Standalone deployment
http://aide.informatique1.fr/
Page 21 sur 47
VDI
Les 3 rôles nécessaires
http://aide.informatique1.fr/
Page 22 sur 47
Sélectionner le serveur RD Broker
Sélectionner le serveur RD Web Access
http://aide.informatique1.fr/
Page 23 sur 47
Sélectionner le serveur RD virtual host (installe aussi HyperV)
Attention : il faut cocher la création du virtual switch (crée un switch externe pour communiquer avec les clients)
Déployer
http://aide.informatique1.fr/
Page 24 sur 47
6.3 Création de la collection de bureau VDI
Aller dans Gestion Bureau à distance > Collection > Tasks > Create
Attentions aux prérequis et best practices
http://aide.informatique1.fr/
Page 25 sur 47
Nommer la collection
Sélectionner le type
• Bureaux virtuels mis en pool : à chaque nouvelle connexion, l’environnement est
conforme au master ; l’utilisateur n’est pas administrateur : les seuls paramètres stockés sont ceux du profil disque
• Bureaux virtuels personnels : équivalent à un poste de travail décentralisé ; l’utilisateur
est administrateur
http://aide.informatique1.fr/
Page 26 sur 47
Sélectionner le master
Le master doit exécuter un sysprep avant :
Il faut sortir la machine du domaine et être connecté en admin local pour pouvoir sysprep
http://aide.informatique1.fr/
Page 27 sur 47
Choisir le profil à appliquer au premier démarrage
Pour la création de fichiers de réponses (personnalisation du menu démarrer, bureau, applications à
installer … il est possible d’utiliser WAIK)
Télécharger windows AIK:
https://docs.microsoft.com/en-us/windows-hardware/get-started/adk-install
Sélectionner l’OU des bureaux virtuels
Trouver le FQDN d’une OU :
• Utilisateurs et ordinateurs AD > View > Advanced features
http://aide.informatique1.fr/
Page 28 sur 47
• Sélectionner l’OU puis clic-droit > propriétés > onglet « attributes editor » >
DistinguishedName
Sélectionner le groupe utilisateurs, le nombre de bureaux maxi de cette collection et le modèle de nommage des bureaux virtuels
Spécifier l’allocation mémoire et ram des bureaux par hôte (cf. cluster de virtualization hosts)
http://aide.informatique1.fr/
Page 29 sur 47
Sélectionner l’emplacement des disques de différenciation sur le réseau1
• Sur chaque serveur : crash de l’hote de virtualisation = données perdues
• Magasin de partage réseau (même DFS) : crash de l’hote de virtualisation = données
bloquées en écriture (DFS = mode fichier = duplication à chaque fichier modifié2)
• CSV : à privilégier (RAID = mode bloc = duplication à chaque bloc modifié)
1 Les droits NTFS et partages sont créés automatiquement. En cas d’erreur d’accès, refaire [suivant]. Le disque de différenciation contient la différence entre le master et le virtual host (lié à l’utilisateur). 2 En cas de gros fichier (exemple : datafile), il y a beaucoup de données à synchroniser. Le mode bloc
n’a pas ce genre de problème.
http://aide.informatique1.fr/
Page 30 sur 47
Sélectionner l’emplacement des disques de profils et la taille maximale3
Créer la collection
6.4 Accès au bureau virtuel
Il est ensuite possible de se connecter :
• Soit en utilisant l’accès RD web : https://rdwebaccessserver/rdweb/
• Soit en faisant une connexion bureau à distance sur le broker
6.5 Aparté WAIK
C’est une aide à la recopie des machines. Le composant System Image Manager permet de créer
un fichier de réponses qui s’applique après sysprep. Il peut s’appliquer lors du 1er démarrage dans une collection VDI. Il y a besoin du fichier .wim qui se trouve sur l’ISO d’install de l’OS
dans .\sources\*.wim (boot.wim est une copie de winpe)
System Image Manager > Concepteur de configuration Windows > créer un projet.
6.6 Informations utiles
Paramètres recommandés pour les bureaux VDI:
https://docs.microsoft.com/fr-fr/windows-server/remote/remote-desktop-services/rds-vdi-
recommendations
Exemples d’optimisation applicables par GPO :
• Ordinateur > Policies > Admin Templates > Windows Components > RDS
o RemoteFX : diminue la bande passante utilisée
o vGPU : la partie calcul graphique est exécutée par le GPU de l’hyperviseur et non pas
son CPU (par défaut c’est le CPU de l’hyperviseur qui exécute cette partie)
3 Les droits NTFS et partages sont créés automatiquement.
http://aide.informatique1.fr/
Page 31 sur 47
7 Configuration d’un cluster à basculement
7.1 Infrastructure
Type standard de cluster à basculement
• Eléments du nœud : serveurs avec le rôle Hyper-V + la fonctionnalité Cluster de
basculement
• Stockage : CSV (Cluster Storage Volume) - disques rattachés en iSCSI, SMBv3, Fibre
Channel, etc.
Exemple de serveurs de stockage possible :
• Baies de disques
• WS2016 + rôle serveur de fichiers + stockage (besoin d’une licence datacenter)
http://aide.informatique1.fr/
Page 32 sur 47
7.2 Configuration du pool de stockage pour CSV
7.2.1 Coté serveur de stockage type WS2016
Installer le role
Sur le serveur de stockage, il faut au moins 3 disques pour faire du RAID6
http://aide.informatique1.fr/
Page 33 sur 47
Les 3 disques sont présents et non alloués
Console d’admin – créer le pool de stockage > tasks > new storage pool
http://aide.informatique1.fr/
Page 34 sur 47
Renseigner le nom
Indiquer les disques durs physiques et le type d’allocation (spare, automatique …)
Le pool est créé
http://aide.informatique1.fr/
Page 35 sur 47
Configurer un nouveau Virtual Disk
Le nommer
http://aide.informatique1.fr/
Page 36 sur 47
Choisir le mode de RAID (parity = raid 6)
Choisir le mode de provisionnement
http://aide.informatique1.fr/
Page 37 sur 47
Renseigner la taille du virtual disk
un virtual pool peut servir à plusieurs virtual disks mais les perfs sont moins bonnes
Et pouf !
http://aide.informatique1.fr/
Page 38 sur 47
Il est apparu
Il faut maintenant le formater (en NTFS)
Prêt pour des aventures
On peut maintenant créer le iSCSI pour le rendre accessible …
http://aide.informatique1.fr/
Page 39 sur 47
… Ne pas oublier d’installer le rôle iSCSI avant (ça va sans dire)
Sélectionner le futur volume iSCSI
http://aide.informatique1.fr/
Page 40 sur 47
On lui donne un nom
On indique la taille du volume qu’on « partage » en iSCSI
http://aide.informatique1.fr/
Page 41 sur 47
On crée une nouvelle cible (le client iSCSI) – les hyperviseurs du cluster qui s’en serviront comme CSV
On nomme sa cible
http://aide.informatique1.fr/
Page 42 sur 47
On attribue les IPAddress de la cible
7.2.2 Coté client iSCSI
Les clients iSCSI (car il y en a plusieurs dans le cas présent) sont les hypervieurs du cluster.
Le volume iSCSI sera dédié pour servir de Cluster Storage Volume.
Pour rattacher un disque en iSCSI, il faut ouvrir l’initiateur iSCSI
http://aide.informatique1.fr/
Page 43 sur 47
Ouvrir les propriétés et sélectionner la cible
La connexion à la cible est réussie
http://aide.informatique1.fr/
Page 44 sur 47
C’était facile
Diskmgmt.msc : le volume est visible. On le connecte et on peut s’y connecter
7.3 Installation
Après installation du rôle Cluster de basculement, dans le gestionnaire de cluster à basculement
1) Configurer un nouveau cluster
2) Ajouter les Nœuds (hyperviseurs)
http://aide.informatique1.fr/
Page 45 sur 47
3) Ajouter les disques (stockage > disques)
Nota : les disques de cluster n’ont plus de lettre de lecteur, mais ils sont accessible en lecture/écriture
dans C:\ClusterStorage\[nom du volume sur le cluster]\
4) Ajouter les rôles (tout ce qui sera en haute disponibilité : machines virtuelles, partages, etc.) a. Pour ajouter une machine virtuelle existante, il faut qu’elle soit sur un des disques
SCV, il faut donc la déplacer dessus)
Pour déplacer la future VM haute dispo, il faut donc la déplacer sur le CSV, dans un endroit propre
b. Création d’un partage haute disponibilité (pour les profils disques utilisateurs de VDI
par exemple)
http://aide.informatique1.fr/
Page 46 sur 47
Cliquer dans la partie droite sur Configurer un Rôle
Sélectionner Serveur de fichiers
Choisir le nom et l’adresse IP du partage à créer
http://aide.informatique1.fr/
Page 47 sur 47
On valide de tout. Le partage haute dispo aura le même comportement qu’un partage DFS … en mieux