Guide pas à pas – Mise en place d’une Infrastructure RDS 2012 R2 Hautement Disponible [Part 1]

Publié: 22/04/2015 dans TSE & RDS, Windows Server 2012 (R2), Windows Sever
Tags:, , , , , , , , , ,
Information

Le scénario de déploiement traité dans ce guide pas à pas est représentatif à un projet déjà réalisé par mes soins chez un client grand compte (+ de 1000 connexions).

C’est un scénario que j’ai étudié pendant plusieurs semaines et que je voulais partager avec vous parce qu’actuellement (et malheureusement) on en trouve pas beaucoup de documentations techniques sur Internet (e-Books /Blogs /Librairies IT …) sur la Haute Disponibilité des Services de rôles de la solution RDS sous Windows Server 2012 R2.

Vos remarques, suggestions et commentaires sont bien évidemment les bienvenus :).

Bonne Lecture o__O.

HK.

Application

Ce guide s’applique à : Windows Server 2012 R2 – Windows Server 2012

Introduction

Les Services Bureau à distance ou RDS pour Remote Desktop Services, anciennement appelé TSE pour Terminal Services (jusqu’à Windows Server 2003 R2) est une solution qui vous permet d’établir des connexions Bureau à distance simultanées (Accès Bureau Windows) sur un ou plusieurs hôtes, d’accéder à des Applications publiées (RemoteApps, appelées aussi Seamless Applications) ou encore de se connecter à des postes de travail virtuels (VDI), et ce depuis n’importe où et via n’importe quel périphérique.

La nouvelle version de la solution RDS introduite avec Windows Server 2012 R2 apporte tout un lot de nouveautés, notamment :

  • Session Shadowing: grâce à ce nouveau mode, les Administrateurs et/ou Ingénieurs IT peuvent désormais assister et dépanner les utilisateurs Bureau à distance en prenant le contrôle de leurs sessions Bureau à distance.
  • RDSH Upgrade-In-Place: Le serveur Hôte de la session peut désormais être mise à niveau en lieu et place.
  • Support d’un serveur Hôte de Session sur un DC : Avec RDS 2012 R2, un serveur Hôte de Session Bureau à distance peut être déployé sur un Contrôleur de domaine. Le but étant de réduire le nombre de serveur dédiés à l’infrastructure RDS en exploitant les serveurs existants et de permettre aux entreprises de petite et moyenne taille (TPE/PME) de bénéficier des fonctionnalités de la solution RDS.
  • Délais de reconnexion : de nouvelles fonctions de reconnexions des sessions Bureau à distance sont intégrées dans la solution RDS 2012 R2. Le délai de reconnexion à une session Bureau à distance existante est de +- 10 secondes, celui-ci était de 60 voire 70 secondes sous les anciennes versions.

La liste complète des « What’s New » de RDS Windows Server 2012 R2 est disponible ici.

Le présent article est un guide pas à pas sur le déploiement d’une infrastructure RDS Windows Server 2012 R2 en mode HA.

Limites de ce guide

Ce guide pas à pas décrit les différentes étapes et instructions pour déployer une infrastructure RDS 2012 R2 hautement disponible incluant la redondance des services /composants suivants :

  • Hôte de la session Bureau à distance
  • Service Broker pour les connexions Bureau à distance
  • Accès Bureau à distance par le Web
  • Gestionnaire de Licence des Services Bureau à distance.

En revanche, les points suivants ne sont pas traités /détaillés dans ce guide :

  • Création de VM
  • Déploiement de Windows Server 2012 R2 (Guest OS)
  • Configuration du Réseau ou vRéseau
  • Configuration du Stockage
  • Déploiement et promotion du Contrôleur de domaine
  • Création de comptes Utilisateurs et Ordinateurs.
  • Jonction au domaine AD.
  • Hôte de Virtualisation des Services Bureau à distance

Important : pour une meilleure utilisation de ce guide et afin d’obtenir les mêmes résultats, il est recommandé de configurer votre environnement de test avec les informations techniques fournies dans le tableau de la partie « Bac à sable » et le schéma de la partie « Architecture cible ».

Bac à sable

Note : il s’agit d’un environnement virtuel, les machines utilisées sont donc des Machines Virtuelles hébergées sur un Hyperviseur et non pas des Machines Physiques

Le tableau suivant regroupe toutes les machines (Serveurs & Postes de travail) de notre maquette :

Nom affichage VM Nom d’Hôte VM Description
LABDC1 LABDC1 Principal DC de la maquette : AD DS + DNS
LABSQLSRV1 LABSQLSRV1 Principal Serveur SQL Server de la maquette : SQL Server Express 2012 SP1
LABRDSH1 LABRDSH1 Premier Serveur Hôte de Session
LABRDSH1 LABRDSH1 Deuxième Serveur Hôte de Session (pour le HA)
LABRDCB1 LABRDCB1 Premier Serveur Broker RDS
LABRDCB2 LABRDCB2 Deuxième Serveur Broker RDS (pour le HA)
LABRDWA1 LABRDWA1 Premier Serveur d’Accès Web RDS
LABRDWA2 LABRDWA2 Deuxième Serveur d’Accès Web RDS (pour le HA)
LABRDLS1 LABRDLS1 Premier Serveur de Licence RDS
LABRDLS2 LABRDLS2 Deuxième Serveur de Licence RDS (pour le HA)
LABW81 LABW81 Client RDS : Windows 8.1 Edition Entreprise
Prérequis

Le tableau suivant regroupe les prérequis matériels et logiciels nécessaires à la mise en place de notre infrastructure RDS 2012 R2 en mode HA :

Prérequis

Description

Prérequis logiciels

ISO Windows 2012 R2 

Les serveurs cités sur le tableau ci-haut ont été déployés à l’aide de l’image ISO de Windows Server 2012 R2 Edition Datacenter (version d’Evaluation) proposée en téléchargement gratuit ici.

ISO Windows 8.1 Entreprise

Le poste de travail (LABW81) a été déployé à l’aide de l’image ISO de Windows 8.1 Edition Entreprise (version d’Evaluation) proposée en téléchargement gratuit ici.

Domaine Active Directory

Depuis Windows Server 2008, un domaine Active Directory est requis pour la mise en place de la solution RDS.Une nouvelle forêt AD (vLAB.LAN) a été mise en place sur la maquette.

SQL Server Express 2012 SP1

Pour la configuration de la Haute disponibilité du Service Broker, une base de données SQL est requise. SQL Server Express Edition 2012 SP1 est déployé pour héberger celle-ci. De plus il est disponible en téléchargement gratuit ici.

SQL Server Management Studio Express 2012 SP1

La console de gestion “SQL Server Management Studio Express 2012 SP1” est utilisée pour gérer la base de données créée par l’assistant de configuration du mode HA pour le service Broker. L’outil est disponible en téléchargement gratuit depuis la même page que SQL Server Express Edition 2010 SP1.

Prérequis matériels

RAM

Tous les serveurs de la maquette doivent avoir au moins 2 GB de RAM | Dans un environnement de production, il est recommandé d’avoir au moins 4GB voir 8 GB de RAM.

CPU

Les serveurs suivant doivent avoir deux vCPU :Ø  LABDC1Ø  LABSQLSRV1Ø  LABRDSH1Ø  LABRDSH2Ø  LABRDCB1Ø  LABRDCB2Ø  LABRDWA1Ø  LABRDWA2Les autres serveurs peuvent avoir uniquement un seul vCPU :Ø  LABRDLS1Ø  LABRDLS2

Espace disque

 Tous les serveurs peuvent avoir un seul vDisk d’au moins 50 GB | Dans un environnement de production, il est recommandé d’avoir au moins deux (v)disques : un pour l’OS et un deuxième pour les données. En outre, il fortement recommandé de dédier un RAID5 pour les disques de données et RAID1 pour les disques systèmes.
vRéseau Tous les serveurs doivent avoir au moins une vNIC (Virtual Network Interface Card), configurée avec une IP statique. Voir le schéma de notre architecture cible pour le plan d’adressage IP.
Architecture cible 

Le schéma suivant représente notre infrastructure RDS 2012 R2 cible [Cliquez sur l’image ci-dessous pour une meilleure visibilité] :

Schéma_Archi_RDS2012R2

 Déploiement de la solution RDS

De nouveaux types et modes de déploiement sont introduits avec RDS 2012 et 2012 R2, en effet, le rôle RDS peut désormais être déployé via deux modes différents et sous deux scénarios différents :

 Modes de déploiement

  • Déploiement Standard: déploiement des Services de rôles RDS sur plusieurs serveurs
  • Démarrage Rapide: déploiement des Services de rôles RDS sur un seul et même serveur

0-1

Scénarios de déploiement

  • Déploiement basé sur une Session: Présentation de Bureau Windows & Publication d’Apps
  • Déploiement basé sur une Machine Virtuelle : VDI (Virtual Desktop Infrastructure)

0-2

De plus, quel que soit le mode de déploiement, au moins les 3 services de rôles suivants sont automatiquement (et obligatoirement) déployés :

Déploiement basé sur une Session

  • Hôte de la session Bureau à distance
  • Accès Bureau à distance par le Web
  • Service Broker pour les connexions Bureau à distance

Déploiement basé sur une Machine Virtuelle

  • Hôte de Virtualisation des Services Bureau à distance
  • Accès Bureau à distance par le Web
  • Service Broker pour les connexions Bureau à distance

Note : depuis Windows Server 2012, le « Backbone » d’une infrastructure RDS est le Service Broker. Microsoft considère que l’utilisation de celui-ci est primordial pour le bon fonctionnement des connexions Bureau à distance, c’est la raison pour laquelle un déploiement RDS (quel que soit le type et le scénario de déploiement) implique le déploiement du Service Broker accompagné de l’Accès Bureau à distance par le Web pour l’accès aux ressources publiées via un Portail Web.

Le mode « Déploiement Standard » est adopté dans notre déploiement, nous allons donc déployer dans un premier temps les 3 services de rôles sur les serveurs suivants :

Service de rôle RDS

Serveur de déploiement
Hôte de la session Bureau à distance

LABRDSH1

Accès Bureau à distance par le Web

LABRDWA1

Service Broker pour les connexions Bureau à distance

LABRDCB1

 

Sachez que le rôle RDS peut être déployé soit via :

  • Le Gestionnaire de Serveur
  • Windows PowerShell
Déploiement des Services de rôles RDS via le Gestionnaire de Serveur

Suivez les instructions suivantes pour effectuer ce premier déploiement via le Gestionnaire de Serveur :

  • Ouvrez une session Windows sur le DC « LABDC1 » et lancer le Gestionnaire de Serveur
  • Cliquez sur « Tous les serveurs», ensuite sur « Gérer » et enfin sur « Ajouter des Serveurs » :

1

  • Rechercher et ajouter les trois serveurs LABRDSH1 – LABRDCB1 – LABRDWA1 et cliquez sur OK

2

  • Une fois ajoutés, les trois serveurs apparaissent désormais dans la partie « Tous les serveurs»

3

  • Maintenant que nous avons rajouté les serveurs sur lesquels nous allons déployer RDS, rendez-vous dans le Tableau de bord et cliquez sur le bouton « Ajouter des rôles et des fonctionnalités»

4

  • L’assistant d’Ajout de rôles et de fonctionnalités s’ouvre, cliquez sur « Suivant »

5

  • Cochez « Installation des services Bureau à distance» et cliquez sur « Suivant »

6

  • Choisissez « Déploiement standard»  comme type de déploiement et cliquez sur « Suivant »

7

  • Choisissez « Déploiement de bureaux basés sur une Session» comme scénario de déploiement et cliquez sur « Suivant »

8

  • Avant de cliquer sur « Suivant» prenez note de l’information suivante :
    • Le déploiement des 3 services de rôlesRDS se fera de la manière suivante :
      • « LABRDSH1 » pour le déploiement du serveur Hôte de Session Bureau à distance
      • « LABRDWA1 » pour le déploiement du serveur d’Accès Bureau à distance par le Web
      • « LABRDCB1 » pour le déploiement du serveur Broker pour les connexions Bureau à distance

9

  • Sélectionnez et ajoutez le serveur « LABRDCB1 » et cliquez sur « Suivant» :

10

  • Sélectionnez et ajoutez le serveur « LABRDWA1» et cliquez sur « Suivant »

11

Sélectionnez et ajoutez le serveur « LABRDSH1» et cliquez sur « Suivant » :

12

  • Cochez « Redémarrer automatiquement le serveur de destination si nécessaire» et cliquez sur « Déployer » pour commencer le déploiement.
    • Note : Le seul serveur nécessitant un redémarrage est le serveur Hôte de Session (LABRDSH1)

13

  • Si le déploiement est effectué avec succès, les informations suivantes sont affichées :

14

  • Cliquez « Fermer» pour fermer l’assistant Ajout de rôles et de fonctionnalités.
  • Enfin, constatez l’apparition de la nouvelle rubrique « Services Bureau à distance» sur le volet gauche du Gestionnaire de Serveur :

15

  • Cliquez sur « Services Bureau à distance » et vérifiez les serveurs de votre déploiement :

16

Si vous lancez le Gestionnaire de Serveur depuis les serveurs LABRDSH1, LABRDCB1 et LABRDWA1, vous allez constater l’apparition de la même console « Services Bureau à distance ». En effet, il suffit de déployer un des services de rôle RDS sur un serveur pour faire apparaître la console de gestion « Services Bureau à distance ».

 

Nous arrivons à la fin de cette première partie, durant la [Part 2] de ce guide pas à pas, nous allons voir :

Comment déployer les services de rôle RDS via Windows PowerShell

Comment Créer une Collection de Session en mode GUI & CLI

Comment Publier des RemoteApps en mode GUI & CLI

Comment Déployer un Serveur de Licence

commentaires
  1. Etienne dit :

    Bonjour Hicham, je suis en train de suivre votre formation sur Alphorm sur RDS 2012 R2, c’est très intéressant, merci beaucoup, mais il manque une vidéo très importante, la dernière avant la conclusion : sur la haut disponibilité pour le service broker. Merci de faire le nécessaire pour nous la rendre disponible, et bonne continuation !

    • Hicham KADIRI dit :

      Bonjour Etienne et merci pour ce retour :). En effet, la vidéo correspondant à la configuration du HA du Service Broker a été mal uploadée sur la plateforme. C’est en cours, elle sera dispo ASAP. Merci de nous faire part de ton avis sur la formation en rédigeant quelques mots sur la rubrique « Commentaires ». A bientôt .. sur Alphorm.com J.

    • Hicham KADIRI dit :

      Bonjour Etienne, la vidéo manquante sur la mise en place du HA pour le Broker a été uploadée sur Alphorm.com. bonne formation | PS : n’hésites pas à nous faire part de ton feedback. ++ -Hicham.

  2. Djalal dit :

    super guide je vous en félicite, j’aurais aimé accéder pour voir votre livre sur RDS, malheureusement je suis en Algérie, et donc aucun moyen de procéder au paiement par carte ;(
    néanmoins je me réjouis de découvrir votre blog et je suis de près vos publications.
    Mille merci Hicham.

  3. Keshav DAWOO dit :

    Bonjour merci pour votre tutorial detaillé parcontre je n’arrive pas à trouver le part 2 de votre tuto.
    Merci keshav

    • alx dit :

      Bonne question 😉 je serai preneur de la part 2

      • Hicham KADIRI dit :

        Bonjour Alx & Keshav, il est en cours de rédaction, faut juste que je trouve un peu de temps pour le boucler. Abonnez-vous sur le Blog pour être informé de sa mise en ligne. Keep in touch :). HK

      • Julien dit :

        Dommage pour la partie 2 c’est justement celle qui m’intéressé 😉 merci à toi.

  4. alx dit :

    Bonjour, bon tuto bien clair, mais où est la part 2 ? Merci

  5. rigout dit :

    Bonjour,

    Merci pour ce guide. J’ai déployé une infra avec un broker, un serveur de licence ainsi que trois serveurs hôtes. Par contre dans quel groupe sur le broker doit-on indiquer quels sont les serveurs qui participent à l’équilibrage de charge.
    J’avais monté une ferme 2008R2 et le serveur qui assurait le rôle de broker avait un groupe qui s’intitulait « Ordinateurs du service Session Broker ». Dans ce groupe on ajoutait les serveurs hotes de bureau à distance qui participent à l’équilibrage de charge.

    Je ne vois pas ce groupe sous 2012R2 ni sur 2016.

    Pouvez-vous m’indiquer comment procéder ?

    Merci

    Jean-Yves

    • Hicham KADIRI dit :

      Bonjour Rigout, tout d’abord, il faut savoir que RDS 2008 /2008 et 2012 /2012 présentent une différence important. RDS sous Windows Server 2012 et 2012 R2 est version majeure. tout a été retravaillé (code de la solution également). Les concepts ont changé et aujourd’hui on parle de Collection de Session (ou de VM dans une infra VDI). Les options d’équilibrage de la charge se configurent désormais au niveau de la Collection et non pas via le groupe d’utilisateurs locaux comme c’était le cas sous RDS 2008 /2008 R2. Donc pour configurer les options d’équilibrage de la charge, il faudrait éditer la collection > Equilibrage de la charge et configurer les options désirées. Maintenant, pour avoir plusieurs serveurs dans le déploiement, il faut simplement des serveurs Brokers supplémentaires. Pour ce faire, lancez le Gestionnaire de serveur > Services Bureau à distance (ou Remote Desktop Services sur les OS en EN) > vue d’ensemble > VUE D ENSEMBLE DU DEPLOIEMENT > Clic droit sur le serveur Broker et sélectionnez « Ajouter des serveurs Brokers dans le déploiement » > suivre l’assistant. Notez que la haute disponibilité du serveur Broker consiste à déployer une base de données (SQL Server : seul supporté par MS) et configurer la haute disponibilité via le même volet : VUE D ENSEMBLE DU DEPLOIEMENT. tout est détaillé dans mon livre, si cela vous intéresse, il est dispo chez Amazon ou BecomeITExpert.com. Goodluck. HK

  6. rigout dit :

    Bonjour,

    J’avais configuré une ferme RDS 2008R2 avec un serveur broker et deux serveurs RDS. Ces deux serveurs hôtes de session bureau à distance avaient été ajoutés dans groupe odinateurs du service session broker, groupe présent sur le serveur broker.
    Je ne retrouve pas ce groupe sous windows 2012R2 et windows 2016. J’ai monté un serveur en 2012r2 et en 2016 avec le rôle broker installé dessus mais je ne sais pas dans quel groupe ajouter mes serveurs hôtes de session pour qu’ils puissent intervenir dans la répartition de charge.

    Pouvez-vous m’indiquer comment faire ?

    Merci pour tout

  7. Teddy dit :

    Bonjour,
    Superbe tutoriel très bien détaillé.

    Les administrateurs pouvaient déjà prendre main a distance sur les sessions des utilisateurs avec 2008 R2, je ne pense pas que le « Session Shadowing » soit une nouveauté. Peut-être que je me trompe ?

    Merci
    Teddy Martin

    • Hicham KADIRI dit :

      Bonjour Teddy, c’est bien une nouveauté 2012 R2. le Session Shadowing permet non seulement de prendre la main mais aussi superviser (faire du monitoring) de Session Remote Desktop. Cette option n’existait pas sur TSE 2003 ni RDS 2008 /2008 R2. Thanks for the comment.

  8. fbloume dit :

    bonjour

    est il normal que je ne trouve pas la partie 2 de ce guide?

    • Hicham KADIRI dit :

      Bonjour fbloume, je n’ai pas encore eu le temps de rédiger la deuxième partie, mais si cela vous intéresse, un vrai scénario d’implémentation d’une infra RDS 2012 R2 en mode HA est détaillé la dessus.

  9. nmoret dit :

    Bonsoir,

    J’ai une infra déjà existante. Un serveur RDS, qui fait également gestionnaire de licences, ainsi qu’un AD. J’aimerais équilibrer, est-ce possible sans tout refaire ?

    • Hicham KADIRI dit :

      Tout est possible :). Vous voulez dire que le role Hote de Session, Gestionnaire de licence RDS ainsi que le DC cohabitent sur la même machine ?

      • Nico dit :

        Non, j’ai :

        1 VM DC
        1 VM RDS + gestionnaire de licence
        1 VM de données

        Aujourd’hui on a trop de users sur la VM RDS.

        On voudrait équilibrer sans avoir à tout casser.

        Idéalement, il faudrait cloner puis syspreper la VM RDS de manière à avoir une VM RDS1 et une VM RDS2 puis créer un broker d’équilibrage.

        Sauriez-vous comment procéder proprement ?

        Merci encore de votre aide.

      • Hicham KADIRI dit :

        Vous pouvez bien évidemment faire évoluer votre plateforme existante, simplement en ajoutant un deuxième serveur RDS, déployer un SQL Server (express edition s’il s’agit d’une petite infra RDS). et configurer la haute disponibilité du service Broker, le Hote de Session et Web Access. quant au service de licence, si vous avez configuré le mode de licence en « User », vous pouvez continuer un seul serveur de Licence. meme si ce dernier est injoignable sur le réseau, l’infrastructure RDS continuera à tourner, aucun downtime n’aura lieu. Si cela vous intéresse, j’ai un écris un ebook très complet sur la mise en place d’une infrastructure RDS 2012R2 hautement disponible. c’est un guide pas à pas qui vous aidera à monter votre projet.

      • Nicofromlyon dit :

        Bonjour Hicham,

        Vous qui êtes un crack sur la partie RDS, j’ai un souci technique à vous soumettre.

        Vous auriez quelques minutes en MP ?

        Cdt,

        Nicolas

      • Nico dit :

        Je vais l’acheter demain 🙂

        Vous pourrez me filer un coup de main quand je l’aurai ?

      • Nico dit :

        J’aime bien encore la version papier.

        Pensez-vous que si j’achète la version papier sur Amazon par exemple, je puisse également avoir accès à la version numérique en PDF ?

      • Nico dit :

        Je n’ai pas eu votre réponse Hicham.

        Version papier inclut elle la version PDF ?

      • Hicham KADIRI dit :

        Bonjour Nico, les versions papiers et PDF sont distribuées via deux plateformes distinctes : Amazon pour le broché et ma plateforme > BecomeITExpert.com pour le PDF. Le PDF vous l’avez sous quelques secondes après validation du paiement. Le broché arrive (je pense) 4 à 7 jours après validation du paiement chez Amazon. Si vous achetez le PDF, je vous offre le guide PowerShell RemoteDesktop, histoire de vous fidéliser :). A bientôt.

      • Nicofromlyon dit :

        Bonjour Hicham,

        Peut on se parler en MP ?

        J’ai une demande spécifique à vous proposer…

        Merci

      • Hicham KADIRI dit :

        Bonjour Nicolas, check ur LinkedIn inbox

      • Nico dit :

        Ah dommage j’ai commandé il y a 10 minutes la version brochée 😦

  10. Yann dit :

    Bonjour Hicham,
    Tout d’abord, merci pour ce partage de qualité!
    Je dois créer un projet similaire à ce tutoriel dans le cadre de mes études en SysAdmin, le tout sur mon laptop en dual boot et donc avec Windows Server 2012 R2. Je me retrouve confronté à un problème étant donné que je dois virtualiser tous les serveurs sur une seule machine physique. En fait, je ne peux pas installer le « service de rôle Hôte de virtualisation des services Bureau à distance » car l’assistance matérielle n’est pas présente sur le serveur.
    Pour information, je fais un déploiement de bureaux basés sur un ordinateur virtuel.
    La question est « avez-vous une solution à me proposer? ».

    • Hicham KADIRI dit :

      C’est normal, le RD Virtualization Host nécessite le déploiement du rôle Hyper-V. Pour faire de la VDI avec RDS (2008 R2 et+), il faut des serveurs PHysiques « dédiés ». en mode « Session » > RemoteApp & Bureau Windows, l’utilisation de VMs (hébergées sur le même host) fera très bien l’affaire.

  11. Yann dit :

    Bonjour Hicham,
    Merci pour le partage d’informations grandement utile.
    J’ai lu une grande partie des articles du blog mais je ne trouve pas la PART2 du HA pour RDS.
    Une sortie prochaine est prévue ? 😉
    Yann

    • Hicham KADIRI dit :

      Salut Yann, merci pour ce feedback :); oui dès que je trouve un peu de temps, je ferai la PART 2. sinon un scénario similaire est décrit sur mon eBook RDS 2012 R2. Dispo sur BecomeITExpert.com

      N’hésites pas à t’abonner sur le Blog pour keep in touch :); A bientôt HK

  12. Alexis dit :

    Je souhaite faire de la haute disponibilité RDS. Si la VM SQL ou la VM DC est planté ou arrêté, le service RDS continuent-il de fonctionner normalement dans votre configuration hautement disponible? Si vous n’avez pas redondé ses VMs, cela signifie-t-il que cela n’a aucun impact sur le fonctionnement de RDS quand elles ne sont pas joignable par les autres VMs ?

    • Hicham KADIRI dit :

      Salut Alexis, dans un environnement de production, l’infra Active Directory est géré par deux contrôleurs de domaines minimum. dans dans le cas d’un crash d’un DC, l’autre reste toujours Up et pourra donc continuer à répondra aux demandes d’authentification des utilisateurs RDS. quant au serveur SQL, avec un seul serveur standalone (autonome), votre infra représentera un SPoF (Single Point of Failure), il faudrait donc penser à déployer un Cluster SQl ou faire du SQL AlwaysOn; le but de l’article et de montrer la redondance des services RDS, les autres services tels quel DC ou SQL sont à configurer séparemment, ils doivent également être redondés pour assurer une continuer de service de toute l’infra. A+
      HK

    • Yann Quere dit :

      Si le projet est de faire un Plan de Continuité d Activé, il vaut mieux faire un DC disponible 24/24 et un cluse SQL avant de penser mettre en place un RDS High Availibilty. Si la base SQL tombe, le Broder tombe et ne pourra plus gérer les sessions, donc RDS hs. Si l AD n est plus disponible, qui en général porte les services DNS, toute l infra tombe… donc AD, DNS, Dhcp, Certificat, Kerberos, NTP, donc Broker, RDS seront Hors Service aussi.

      • Hicham KADIRI dit :

        Je pense que vous confondez pas mal de concept ! je reprend votre phrase « il vaut mieux faire un DC disponible 24/24 » il n’y a pas de DC dispo H24, mais plutôt une infrastructure AD géré par (au moins 2 DCs) pour une continuité de service. vous parlez de AD DNS DHCP Certificat Kerberos ?!!! vous mélangez des rôles (DNS, DHCP), avec des concepts logiques (AD /Kerberos) et méchanisme de sécurité (Certificats) ! petit rappel sur l’article : guide pas à pas sur la mise en place d’une infra RDS en mode HA et non pas les services d’infra de base tels que l’annuaire AD /DNS /DHCP ou autre. pour moi, et pour la plupart des gens qui vont suivre cet article, l’infra AD est normalement déjà en place, je ne parle pas de déploiement d’ad (from scratch. Pour SQL, il s’agit ici d’un PoC pour valider la redondance des services RDS et non pas SQL, dans un déploiement en entreprise, il est tout à fait normal que les serveurs SQL soient redondés, RDS comme toute autre plateforme applicative stockant ses données dans une base SQL, dépendra de ce service, et donc setup(er) un Cluster sql ou faire du SQL AlwaysOn est quelque chose de tout à fait logique.
        Je ne vois pas ce que vous vouliez dire mais merci quand même pour votre comment !

  13. Alexis dit :

    Merci Hicham pour le retour rapide, c’est ce que je pensais qu’il fallait deux DC et deux SQL mais ce n’était pas forcément explicite dans ton article pour moi. En tout cas, je te remercie de partager ton expérience. Je comprends parfaitement que tu ne traitais pas cette partie-là pour un grand compte. Ce qui n’est pas le cas pour une PME-PMI, ce serait mieux de préciser qu’il faut préalablement un groupe de disponibilité AlwaysOn dans l’entreprise et deux DCs pour garantir la haute disponibilité logicielles de RDS. Cela peut porter à confusion pour ceux qui n’ont jamais mis en place MS SQL.

    Sans groupe de disponibilité AlwaysOn dans l’entreprise, il faut acquérir au minimum deux licences serveur SQL Server Standard (228-10817) + CALs en fonction du client pour mettre en place RDS HA sans avoir de SPOF à cause de SQL.

    • Hicham KADIRI dit :

      Avec ou sans RDS, toute entreprise utilisant un annuaire AD (AD DS role) ou une infra SQL, a déjà pensé à le rendre hautement disponible. Encore une fois, l’article parle de RDS et non pas de l’AD ni de SQL. en tout K, merci pour vos feedbacks/remarks et de suivre ce Blog. A+ HK

  14. Cédric Chaissac dit :

    Bonjour Hicham,
    Nous souhaitons mettre en place Skype sur nos serveurs RDS. Mais depuis les clients RDP les webcam ne remontent pas visiblement. Le son fonctionne sans aucun problème, mais pas d’image.
    Je n’arrive pas à trouver si le problème viens d’un paramétrage au niveau du client RDP ou d’une stratégie de groupe quelconque. Avez-vous une piste à me fournir ?

  15. Sara dit :

    Bonjour Hicham. Merci pour ce magnifique blog et cet article.
    J’ai une question stp par rapport au changement d’adressage de la plateforme RDS. quels sont les impacts à ton avis? et si tu pourrais me dire grosso-modo les bigs steps à suivre pour ce changement. Merci

    • Hicham KADIRI dit :

      Hello sara, les risques et impacts dépendront du mode et type d’infra RDS que vous avez mis en place. est-ce un Quick ou standard deploy ? c à d un seul serveur Standalone héberge toute l’infra RDS ou vous avez une infra répartie sur plusieurs serveurs. le RDCB est il en mode HA (donc dépendance avec l’infra SQL Server). si vous avez un seul serveur autonome sans HA du RDCB, aucun impact, vous pouvez simplement forcer l’enregistrement de sa new IP@ au niveau de la zone DNS du domaine, via IPCONFIG /RegisterDNS. maintenant côté client, s’ils utilisent des fichiers (shortcuts) RDS pour accéder aux ressources RDS, il faudrait les régénérer, sinon s’ils utilisent le Portail RD Web Access, il faudrait leur indiquer la nouvelle@IP du portail.

  16. Jérôme dit :

    Bonjour Hicham,
    J’ai une question bête, mais je ne trouve pas la partie 2 et suivantes.
    Faut-il acheter votre ebook pour se faire?

    Bonne soirée

    • Hicham KADIRI dit :

      Bonjour Jérôme, je n’ai pas eu le temps de finaliser la version « Online : Blog ». Sinon, oui tout est dans l’eBook. MAIS pas que. l’eBook contient toutes les informations pour concevoir et déployer une infra RDS 2012 R2. toutes les techniques de gestion, d’administration (via GUI /CLI et scripts) y sont détaillés.
      La seconde Edition (RDS 2016) vient de sortir, voir https://Becomeitexpert.com > nos eBooks
      A+
      HK.

  17. zesteph dit :

    Bonjour Jérome et merci pour ce blog
    petite question je ne trouve pas la part 2 de l’article 😦 car c’est celle qui m »aidera dans mon projet
    Merci d’avance

  18. Bonjour Hicham,

    Le lien https://becomeitexpert.com/produit/rds-sous-windows-server-2012-r2/ ne permet pas d’avoir votre ebook.
    Avez vous une alternative ?

    Salutation

  19. CHALVARDJIAN Julien dit :

    Bonjour,

    Il semble y avoir un soucis sur la page et le lien suivant : https://becomeitexpert.com/produit/rds-sous-windows-server-2012-r2/

    Un message d’erreur s’affiche « Fatal error: Class ‘downloadable_file’ not found in /homepages/43/d605241885/htdocs/clickandbuilds/BecomeanITExpert/wp-content/plugins/email-before-download/email-before-download.php on line 161 »

    Merci

  20. CHALVARDJIAN Julien dit :

    Bonjour,

    Un message d’erreur s’affiche sur la page suivante https://becomeitexpert.com/produit/rds-sous-windows-server-2012-r2/

    « Fatal error: Class ‘downloadable_file’ not found in /homepages/43/d605241885/htdocs/clickandbuilds/BecomeanITExpert/wp-content/plugins/email-before-download/email-before-download.php on line 161 »

    Merci.

    • Hicham KADIRI dit :

      Bonjour Julien et désolé du retard concernant mon retour. Une opération de maintenance a eu lieu sur le site BecomeITExpert.com. L’opération a impactée uniquement la page de produit « RDS Windows Server 2012 R2 » car cette page disposait d’un plug-in spécifique. Tout est de nouveau opérationnel. je vous laisse re consulter la page et revenir vers moi si nécessaire. Pour info, pour tout premier achat (nouveau client), un deuxième eBook de votre choix est offert :). Profitez-en :).

      • CHALVARDJIAN Julien dit :

        Bonsoir Hicham,

        Pas de problème, je vous remercie pour votre réponse et votre intervention.
        Effectivement cela fonctionne maintenant, je vais pouvoir acheter l’ebook et profitez de l’offre pour en acquérir un deuxième 🙂

      • CHALVARDJIAN Julien dit :

        Re-bonsoir,

        Je viens de procéder à la commande, tout se passe bien jusqu’au moment où je souhaites télécharger l’Ebook, j’obtiens un message d’erreur :

        « Fatal error: Allowed memory size of 134217728 bytes exhausted (tried to allocate 10486337 bytes) in /homepages/43/d605241885/htdocs/clickandbuilds/BecomeanITExpert/wp-content/plugins/waterwoo-pdf-premium/inc/woo-fpdf/woo-fpdf.php on line 1572 »

        Pouvez-vous faire quelque chose ?

        Et comment puis-je obtenir le deuxième livre offert ?

        Je vous remercie par avance.

      • CHALVARDJIAN Julien dit :

        Bonsoir Hicham,

        De rien, c’est moi qui vous remercie pour votre tutoriel très intéressant.
        Merci également pour votre nouvelle intervention, cela fonctionne maintenant, j’ai pu récupérer l’eBook.

        Pour le deuxième eBook offert, je souhaiterais si cela est possible, « Sécurisation et Hardening 2012R2 ».

        Je vous remercie par avance.

      • Hicham KADIRI dit :

        Bonjour Julien, c’est noté :). Vous recevrez votre ebook offert ce soir ou demain au plus tard. Merci encore pour l’intérêt que vous portez à mes eBooks.

  21. ngoug dit :

    Bonjour,
    Je viens de consulter ton blog, cet article précisément est très intéressent mais je ne vois pas le lien du part 2.

  22. Sofiane dit :

    Bonjour, j’ai acheté votre ebook sur « le guide du consultant RDS windows serveur 2012 R2 ». Cependant je rencontre un problème que je n’arrive pas à résoudre.
    je n’arrive pas à donner accès à une application via le portail web à un utilisateur du domaine.

    • Hicham KADIRI dit :

      Bonjour Sofiane, pouvez-vous m’en dire plus ? avez-vous bien configuré les accès depuis les propriétés de la Collection ?

      • Sofiane dit :

        Bonjour, j’ai résolu mon problème.
        Cela venait du fait que j’avais installé le DC1 et le RDSH sur la même machine.

      • Hicham KADIRI dit :

        Mais aussi des droits attribués à votre collection, car un DC (dans un LAB /PoC /Env de test) peut bien héberger une ferme RDS. même si c’est fortement déconseillé. essayez de suivre les étapes décrites dans l’ebook pour la création et configuration des Collections ainsi que la publication des RemoteApps, vous allez sûrement y arriver 🙂

  23. Bertrand dit :

    Bonsoir Hicham,

    déjà merci pour le blog et les livres. J’ai acheté RDS 2016 et j’en suis très content. Je vois un peu plus haut que pour tout premier achat on peut bénéficier d’un second PDF offert … est-ce toujours le cas ? 🙂 Dans votre biblio très fournie un second ouvrage m’intéresse déjà !

    Merci bien.

    • Hicham KADIRI dit :

      Bonjour Bertrand,
      Tout d’abord, merci pour l’intérêt que vous portez à mes eBooks :).
      Merci de m’indiquer l’eBook qui vous intéresse par mail.
      Bien à vous,
      H.

      • Bertrand dit :

        Message envoyé, merci 😉

        J’en profite pour une question technique : une architecture avec 2 hosts, sur chaque host 1VM AD-0x et 1 VM RD-0x avec rôle broker, session, passerelle (et licence mais que sur la première VM RD-01). Création de la ferme RDS avec RR dans les DNS, mais pas la HA car pour l’instant il me manque un serveur pour héberger la base SQL Server nécessaire au mode HA.
        Une session créée avec les 2 serveurs RDS dedans. Profils utilisateurs en mode UDP. Office 365 proplus installé et activé pour chaque utilisateur.

        Cela fonctionne globalement bien mais j’ai quand même quelques soucis :

        – déjà pas de chance UDP + Recherche Windows (pour Outlook) n’est pas compatible (problème de Windows Search qui ne sait pas gérer des profils itinérants, en gros à chaque ouverture de session l’indexation commence, et à chaque fermeture il « croit » que l’utilisateur a été supprimé donc suppression de l’index. Donc à nouvelle ouverture de session on recommence l’indexation…
        -> une idée pour une solution alternative pour faire de la recherche dans Outlook ? actuellement les boites mails sont en IMAP. Je tente de mettre du Exchange (online ou on premise) mais ça bloque niveau coût, et surtout je ne suis pas sûr que cela fonctionne bien avec Exchange en cache (même problème d’indexation je pense)

        – problème de fermeture de session : régulièrement certains utilisateurs se retrouvent avec des profils temporaires chargés à la connexion. Il s’avère qu’en fait ce sont les sessions précédentes qui se sont mal fermées et le disque UPD est resté monté sur le serveur de session RD-0x auquel l’utilisateur était dernièrement logué. C’est vraiment très aléatoire, ça arrive en journée (et donc pas que la nuit lors d’une sauvegarde ou autre traitement système).
        -> une idée pour chercher la cause et trouver une solution ?

        merci beaucoup et bonne journée.
        Bertrand

  24. Rémy dit :

    Bonjour,
    pouvez-vous préciser d’où provient cette information? je ne parvien pas à trouver ca chez microsoft:
    « Support d’un serveur Hôte de Session sur un DC : Avec RDS 2012 R2, un serveur Hôte de Session Bureau à distance peut être déployé sur un Contrôleur de domaine. Le but étant de réduire le nombre de serveur dédiés à l’infrastructure RDS en exploitant les serveurs existants et de permettre aux entreprises de petite et moyenne taille (TPE/PME) de bénéficier des fonctionnalités de la solution RDS »
    Merci

    • Hicham KADIRI dit :

      RDS étant un simple rôle faisant parti de Windows Server (2008 et +), il peut être déployé sur un Serveur existant (Physical ou Virtual). Ce n’est pas recommandé et ce n’est surtout pas ce que je recommande à mes clients. Mais une société (e.g TPE) disposant d’un seul serveur Physique avec deux instances de VMs peut faire cohabiter le rôle RDS avec un autre rôle /service de rôle tel que ADDS /ADFS /FS /PS …Etc.
      Encore une fois, ce n’est pas mes Best practice, car un Domain Controller n’est pas un serveur applicatif ni un serveur CTX XA, et doit être assez sécurisé pour protéger son annuaire AD. Sauf preuve du contraire, RDS peut très bien tourner sur un DC !
      D’ailleurs, les Bad-Practices pratiqués dans les sociétés chez les clients j’interviens prouvent qu’on fait encore du RDP sur un DC pour l’administrer alors qu’une invention nommé « Outils RSAT » existe et permet de manager la plupart des rôles /services de rôles d’infra remotely via une simple machine d’administration.
      H.

      • Rémy dit :

        ok c’est bien ce qu’il me semblait, la mention « Support d’un serveur Hôte de Session sur un DC » dans l’introduction de l’article devrait être revue car je trouve que ca porte vraiment à confusion!
        en tout cas merci pour l’éclaircissement (ca m’ennuyait de lire cela car je fais le chasse à ce type de pratique!)

      • Hicham KADIRI dit :

        sans parler de RDS, la plupart des grosses structures font toujours du RDP direct sur les DCs, sans même penser à Custom le default port (3389). Faire du Bureau à distance sur un DC le rend systèmatiquement un serveur Hôte de Session, sans avoir installé le rôle RDSH qui permet d’avoir plus de 2 connexions simultanées. Si cela vous intéresse, les bonnes pratiques /techniques /méthodes /outils pour bien sécuriser son infra RDS sont détaillées sur mes deux eBooks RDS 2012R2 & 2016 – sécurisation & hardening.

        ++
        H.

  25. Bertrand dit :

    Bonsoir Hicham,

    je n’ai pas eu de retour sur mon message 5 messages plus haut que celui-ci 🙂
    Des idées sur les questions posées ?

    Merci et à bientôt.
    Bertrand

    • Hicham KADIRI dit :

      Hello Bertrand, je viens de voir ton message avec les questions, donc voici les réponses :
      #Q1 : le service « Windows Search » est il bien installé et configuré pour inclure les options d’indexation pour Outlook /Office ? Si avez déployé le service après l’install de MS Office (quelque soit l’édition), Lancez un « Repair » d’Office ou désinstallez et réinstallez la suite, rebootez et le problème devrait être résolu.

      #Q2 : il y’a effectivement des problèmes connus liés à l’utilisation des profils UPDs, certaines sessions peuvent en effet s’ouvrir avec des profils temporaires à cause d’un mauvais chargement /récupération du profil de l’utilisateur Bureau à distance. Ce problème peut survenir si la session n’est pas fermée (logoff) proprement ou a été fermée mais des fichiers non pas été sauvegardés & fermés correctement. Vous que vous passés par une RDS Gateway, pensez à pousser un logon system message pour indiquer aux différents RD users d’enregistrer et fermer leurs travaux, et fermer ensuite leur session (Logoff et non pas « Disconnect ») pour que le profil UPD se « unmount » proprement et éviter d’avoir des profils temporaires.

      Aucun Hotfix n’est actuellement proposé par MS. Certains KBsd e MS décrivent une procédure qui consiste à ouvrir l’éditeur de Registre (Regedit.exe) et naviguez jusqu’au « ProfilList » et supprimer tous les profils avec une extension .bak, cela ne corrige le problème que de manière temporaire, car il peut réapparaître si le profil UPD (fichier de disque virtuel : VHDx) est de nouveau unmonted incorrectement.

  26. Djam dit :

    Bonjour Hicham, en marge de tes postes complets, as tu des retours sur la migration cross forest d une plate-forme rds via admt.?

    J ai croi qu elle n est pas possible à cause d informations dans bdd du broker lié au domaine. Et qu il faut envisager une migration vers une nouvelle plate-forme rds dans le nouveau domaine.

    Tu as des retours d expérience la dessus ?

    Merci pour ce que tu fais 😉

    • Hicham KADIRI dit :

      @Djam : très bonne question 🙂

      Voici ma réponse e mon feedback par rapport à ce sujet.

      #Feedback N°1 : migration du rôle RDS cross AD Forests non supportée car effectivement plusieurs components de la plateforme RDS source dépendent du domaine AD « source ».
      Une méthode (non officielle /non supportée) permet de réaliser une Migration dans l’état, j’ai dû la mettre en place chez deux clients car le client a souhaité à tout pris migrer l’ensemble dans l’état, mais « trop » d’effet de bord, et faudrait maîtriser la solution RDS pour pouvoir debugger les dizaines de soucis post-migration.

      #Feedback N°2 : seuls les services de rôles « RD Licensing Server » & « RD Web access » et « RD Gateway » sont migrables : la BDD RDLS peut être migrés en suivant des assistants fournis avec la solution | RDWA /RDG : service de rôle s’appuyant sur le web Server IIS, donc la méthode consiste simplement à faire (correctement) des exports de config IIS vers les nouveaux serveurs faisant parti du nouveau AD Domain | + : la config NPS de la RDG doit également être migré via la même méthode.

      #Feedback N°3 : pensez à faire appel à DBA (Senior) pour la migration de la DB RDSHA vers le nouveau domaine. SURTOUT évitez la méthode : Sauvegarde /Restore de la BDD ou Export /Import. C’est une migration de base de données cross forest.

      #Feedback N°4 : POKé bien le scénario /méthode de migration car le moindre soucis (mauvaise manip) sur l’environnement source peut rendre le déploiement (surtout RDCB HA) Down.

      #Feedback N°5 : avant toute modif sur l’env de PROD, une full back de toutes les VMs (et Physical server) composant votre déploiement RDS + Full backup de la BDD RDSHA.de préférence, réaliser quelques tests DRP sur un env de test /lab pour jouer des scénarios de restauration « Rebuild from backup » du déploiement RDS pour s’assurer que toutes les sauvegardes sont OK et QUE SURTOUT vous êtes capables de restaurer en cas de problème.

      #Feedback N°6 : bien documenter son Migration Path & Scenario (step by step) et noter /corriger les éventuels problème rencontrés lors de la migration (sur test /lab env) pour anticiper et éviter toute surprise lors de la migration e la PROD.

      Goodluck pour le reste.
      #HK.

      • Djam dit :

        @hk,merci bcp !
        J avais pas vu ta réponse.

        Oui je comprends qu une réinstallation est préférable et surtout que c est la seule solution supportée par MS.

        Du coup le tse me manque pour ça (joker).

        Est ce que tu as un lien ms qui indique que c est pas supporté? Même ici https://technet.microsoft.com/en-us/library/dn479239.aspx ils n ont pas ajouté une note pour indiquer que le cross forest n est pas supportée.

        Merci pour ton retour retour d expérience hicham !

  27. rico dit :

    Bonjour Hicham et bravo pour votre guide.
    J’attends avec impatience comme la plus part des autres commentaires, votre partie n°2.
    Votre première partie m’a déjà bien éclairé sur le sujet et j’ai pu en tenir compte dans mon futur projet..
    Je suis responsable informatique dans une petite TPE et nous avons dans l’optique de déployer un RDS.
    Je ne manquerais pas de commander votre livre en version PDF qui je suis sur me sera d’une grande aide. J’espère pouvoir également bénéficier de votre 2ème gratuitement, en plus proche de Noël, cela fera un beau cadeau 🙂
    Bravo de nouveau et bonne continuation.

  28. M Sani dit :

    Bonjour Hicham,

    Merci pour le partage, je trouve très intéressent vos documents avec des explications bien détaillées.
    J’ai acheté votre Ebook intitulé RDS Windows Server 2012 R2 – Deploiement et Administration en Entreprise le 18-12-2017.
    Pour le 2éme Ebook offert j’ai besoin si possible de Active-directory-2012-r2-conception-administration-entreprise.

    Cordialement

    • Poco77 dit :

      Bonjour HICHAM,
      merci pour ce tuto !
      J’utilise une infra RDS depuis quelques mois (4 serveurs hôtes et 1 serveur Broker) sous WS2016.
      j’ai des questions:
      –> profil utilisateur temporaire « xxxx-BACKUP-0 » (par exemple). ces dossiers correspondent à quoi ? peuvent-il être supprimés ?
      –> sur certains profil il est impossible de supprimer les éléments (élévation administrateur nécessaire). suppression ok en passant par la combinaison de touche « SHIFT+SUPP », le problème est uniquement quand on passe par la corbeille
      –> possibilité de modifier un UPD sans que le profil ne soit chargé ? (via un outil par exemple)
      –> lenteur de connexion des TSE (possibilité d’optimiser le démarrage
      Cdt,
      Jérôme.

      • Hicham KADIRI dit :

        Bonjour Jérôme,

        -> les dossiers XX-BACKUP-Y sont automatiquement générés si le Serveur Broker n’arrive pas à charger/monter le disque UPD (VHD) au logon.
        SI le processus de montage de VHD est Ok, aucun dossier Backup n’est généré.
        Avant de supprimer ces dossiers, vous devez d’abord vérifier que les données de profil sont Ok côté VHD.
        -> Pour la partie « suppression » de données depuis le profil de l’utilisateur ayant un UPD de configuré, il faudrait revoir les options UPD au niveau de la collection. une solution de secours, consiste à passer en mode manuel sur les options UPD au lieu de « Sychnroniser toutes les données ». Cela permettra la suppression des données sans elevation de privilège. Bien évidemment si les données ne sont pas dans des emplacements « System », tel que C:\ ou C:\Windows..etc
        – Il existe une technique mais non supportée par MS. une fois configuré, l’UPD ne doit pas être changé ni remplacé. Sinon le profil de l’utilisateur risque d’être endommagé
        -> des options de TUning RDS peuvent être mis en place, mais par expérience, je préfére auditer l’environnement pour identifier ce qui cause les lenteurs de connexions. Ca peut être dû à des antivirus, à des scripts (Logon scripts), GPOs (User Config), outils tiers, mauvaise config des composants RDS…Etc

        A+
        #HK

  29. Vincent dit :

    bonjour,

    serai t’il possible d’avoir la partie 2 ?

    merci

  30. mathias dit :

    salut « HTB » Hicham The Best tes formations nous mank vraiment sur la plateforme alphorm on ne vous entend plus… franchement on aimerai bien que vous refaite une formation sur l’examen 70-411 et 70-712 et meme sur SCCM ou que vous nous guidiez sur le blog ou ou sur becomeIT

  31. Yann Quéré dit :

    Salut Hicham, sais tu si Microsoft a publié un document sur le cloisement et les sécurisations/contrôle des flux entre applications sur un même serveur RDS 2012 ou 2016 ?
    On se pose la question des fuites d’informations possibles… DB => RemoteApp avec Copy/paste disable ou enable => TXT => Shell => Tunneling/Web.

    • Hicham KADIRI dit :

      Hello Yann,

      Il n’y pas de document spécifique sur le sujet, l’isolation des RempotApp se fait a deux niveaux :

      Au niveau de la Collection de Session : chaque Collection RDS est considérée comme une ferme de serveurs RDSH (ou RDVH dans le cas du VDI) séparée
      Si vous êtes (une sorte) de CloudProvider (pour vos clients ou entités/filiales de la société) et que vous avez des contraintes liées aux RemoteApps (e.x : pas d’apps mutualisées), eh bien il faut simplement multiplier le nombre de déploiement RDS (e.g : un déploiement RDS par client).

      La Multi-tenancy sera au niveau IaaS (VMs hébergées dans le même physical host mais les RemoteApps seront dispatchées sur plusieurs déploiement RDS).

      • Yann Quéré dit :

        Ok merci Hicham. Je suis consultant, non fournisseur, et je me posais la question des fuites possibles au sein des applications hébergées. Au niveau processus, c’est bien sécurisé par le service RDSH. Mais comme les applications communiques entre elles via COM+, presse papier, ou même un appel via un lancement Shell, je me pose des questions sur un cas particulier que j’ai… Je ne peux malheureusement pas donner plus de détail (confidentialité contractuelle).

      • Hicham KADIRI dit :

        Mon eBook sur la sécurisation et Hardening RDS couvre la plupart des techniques, méthodes et outils pour bien sécuriser son infrastructure RDS (by design ou sur de l’existant).

        Maintenant, si vous avez des contraintes spécifiques, tout peut s’étudier et des opérations (plus complexes) de hardening peuvent être mises en place.

        Si vous avez du budget pour ce projet, je peux vous accompagner.
        Si c’est le cas, MP sur hicham.kadiri [at] hichamsoft [dot] fr

        A bientôt
        #HK

  32. DUBOIS Thierry dit :

    Bonjour Hicham,

    Dans votre ebook RDS-Windows-Server-2016-Guide du consultant que je viens d’acquérir, il est stipulé en page 20 que le serveur RDVH s’intègre avec l’hyperviseur « Microsoft Hyper-V ».
    Mes questions sont les suivantes :

    1 – Le serveur RDVH peut-il s’intégrer avec des VMs et / ou pool de Vms VmWare (sans HyperV donc) ? Le besoin est assez précis car sur certaines VMs sont déployées des clés USB de gestion de licences applicatives (cela existe encore !) et à priori, ce type de connectique n’est pas supportée par HyperV sans boitier DIGI !

    2 – Existe t-il une doc précise sur le déploiement RDVH et où puis-je la trouver ?

    Dans l’attente de votre retour.

    Cordialement.

    • Hicham KADIRI dit :

      Bonjour Thierry,
      RD Virtualization Host s’appuie sur le rôle Hyper-V Windows Server. Ce dernier servira de plateforme d’hébergement des « Pooled & Personal » VMs destinés aux RDS users.

      Un ESXi (ou XenServer d’ailleurs) n’est pas conçue pour une intégration avec la solution RSS. A ma connaissance aucun docs officiel sur le sujet n’est disponible aujourd’hui.
      Sinon, faites plutôt du VMware Horizon 🙂 (solution VDI de VMware).

      • Hicham KADIRI dit :

        @Thierry : si le point bloquant est simplement la connectivité de vos Clés USB aux VMs Hyper-V, eh bien sachez que cela est tout à fait possible sur Hyper-V aussi.

      • DUBOIS Thierry dit :

        Bonjour Hicham,

        Merci pour votre réponse.

        A savoir que je ne suis qu’un intégrateur de la solution pour un tiers et que malheureusement la solution Horizon n’a pas été retenue pour diverses raisons. Tout du moins dans l’immédiat, la mise en oeuvre de serveurs RDVH n’étant pas une priorité immédiate mais seulement une solution envisageable à moyen terme !

        Pour ce qui concerne l’utilisation de clé USB sur une infrastructure Hyper-V, je dois vous avouer que jusqu’à présent, toutes les solutions de ce type implémentées n’ont pas été couronnées de succès chez la plupart de nos clients !

        Mais peut-être y a t-il une technique particulière à mettre en oeuvre ? Nos compétences sur l’environnement Hyper-V étant, je l’avoue limitées, nos Datacenter étant essentiellement configurés sur une infrastructure VMWare.

        Si vous pouviez m’orienter sur des sites traitant particulièrement de ce sujet clé USB / Environnement Hyper-V, je suis preneur.

        Cordialement.

      • Hicham KADIRI dit :

        La procédure officielle est celle décrite dans ce post : http://www.arxone.com/actualites/disque-usb-machine-virtuelle-hyper-v/

        Il y’a aussi la notion de « Local Device Redirection » ou vous pouvez activer une mode « Enhaced Session » et rediriger vos périphériques locaux et notamment une clé USB vers une Session VM (VM Console > via le VMConnect).

        Mais la première technique reste la plus standard.

        J’espère avoir répondu à votre question.
        Goodluck.

        #HK

      • DUBOIS Thierry dit :

        Bonjour Hicham,
        Cette procédure, bien qu’intéressante, ne réponds malheureusement pas à ma problématique.
        En effet, il est bien stipulé à la fin que, je cite :

        « Par contre, nous déplorons un point : qu’il ne soit pas possible de monter des clés USB, ni autre périphériques utilisant ce bus… Cela pourrait être pratique, en particulier pour les logiciels nécessitant un dongle. Sur ce plan là, ESX est très supérieur. »

        Hors, nous sommes exactement dans ce cas précis.

        Cordialement.

      • Hicham KADIRI dit :

        Pour les Extarnal device de type USB, nous sommes effectivement face à une limite technologique, il existe certaines techniques permettant de répondre à ce type de besoin, mais celles-ci restent non supportée par l’éditeur et donc non recommandées pour une implémentation dans un environnement de Production.

      • DUBOIS Thierry dit :

        Bonjour Hicham,

        Merci à vous pour vos réponses.

        J’espère que cette limite technologique sera très bientôt levée. Croisons les doigts.

        Dernière question :

        Existe t-il une doc précise sur le déploiement RDVH et où puis-je la trouver ?

        Cordialement.

  33. Claude MONTCHO dit :

    Bonsoir Hicham, merci beaucoup pour ton tuto.
    je voudrais connaitre le nombre de licences gratuites simultanées possible pour RDS merci

    • Hicham KADIRI dit :

      Bonjour Claude, une nouvelle instance Windows Server (2003 à 2016) permet deux connexions Bureau à distance simultanées « gratuites ». Quand le besoin évolue (3 connexions et +), le rôle RDS doit être installés, et des CAL RDS doivent être installées.

  34. Jérôme Bühlmann dit :

    Bonjour Hicham,
    J’ai une petite question pour vous.

    Est-il possible de mettre en place une double authentification (Google Authentificator ou Push) pour des connexions RDS externes à l’entreprise?

    Meilleures salutations

    • Hicham KADIRI dit :

      Yes, le MFA (Multi-Factor Authentication) peut tout à fait être intégré à votre infra RDS > Seule Condition > Avoir une Gateway RDS, car ce service d’authent ne s’intègre qu’avec la Passerelle RDS. Je vais bientôt publier un article (step-by-step guide) qui décrit en détail la mise en place du service MFA sur une ferme RDS. Stay connected Jérôme

      #HK

      • Jérôme Bühlmann dit :

        Merci pour ton retour.
        Bientôt? Tu as une idée du délais? (Je te cache pas que c’est asser urgent de mon côté 😉 )

  35. Alex dit :

    Bonjour Hicham,

    Dans votre exemple, vous séparez tout les rôles. Je pensais installer le rôle Passerelle web et le broker sur le même serveur. Est-ce une mauvaise idée ?
    Je vais aussi utiliser le mode HA du broker et de la passerelle web. Est-ce que ça cohabite bien ?
    Je réfléchissais aussi a utiliser une base en Always-On. Est-ce supporté ?

    Merci d’avance.
    Cordialement.

    • Hicham KADIRI dit :

      Bonjour Alex, la Gateway est un serveur Web (plus en mode Front-End), alors que le Broker doit rester en Back-end et jamais exposé à Internet, donc oui c une bad practice, par contre vous pouvez faire cohabiter le Gateway ainsi que le RD Web Access sur la meme machine.

  36. Alex dit :

    Bonjour et merci pour votre réponse.
    Dans le cas ou la passerelle web n’est pas exposé sur le web c’est donc envisageable ?
    Je me demandais surtout en terme de ressource si ça risque pas de surcharger.

    Cordialement.

    • Hicham KADIRI dit :

      Si la passerelle n’est pas exposé sur Internet, vous pouvez effectivement hébegrer les roles RDCB et RDG sur la même machine. Idéalement, voici la répartition des roles à suivre :

      RDSH + RDCB + RDLS
      RDWA + RDG

      A+
      #HK

      • Alex dit :

        OK, merci pour votre réponse, je vais essayer de suivre ces préconisations alors.

        Cordialement.

      • Hicham KADIRI dit :

        yes, goodluck Alex 🙂

      • Alex dit :

        Bonjour Hicham,

        Une nouvelle question 🙂
        J’ai des clients légers qui ne sont pas dans le domaine.
        Je souhaiterais que les utilisateurs ne se loguent qu’une fois (sur l’interface web) et que l’ouverture de la session distante utilise ce login. Est-ce possible ?

        Aujourd’hui dans mes tests, a chaque lancement de Remote app sur un serveur différent, l’utilisateur doit se logguer avec ses identifiant du domaine.

        J’espère être clair.

        Merci d’avance.
        Cordialement,
        Alex

      • Hicham KADIRI dit :

        Si les clients légers ne sont pas dans le domaine, il faut partir sur une solution tierce pour permettre le SSO depuis le ThinkClient. Sinon par défaut, tu sera tjrs invité ave cle prompt password, lors de lancement de chaque RemoteApp.

        Penses aussi à ne pas activer le GP Setting « always prompt for password », car cela va faire apparaitre une deuxième boite de dialogue d’authentification.

  37. Alexandre dit :

    Bonjour Hitcham,
    Après avoir parcouru votre eBook RDS, j’aurais quelques questions concernant sa mise en oeuvre sur un environnement de Production.
    Notre architecture : 1 serveur de licence CAL + 2 Serveurs RDS en cluster (où sont installés RDSH; RDCB, RDWA et RDG) dans une DMZ. La passerelle n’est pas exposé sur internet.
    Les 2 serveurs sont en HA pour la répartition des charges et pour palier le fait que si l’un ou l’autre serveur tombe les clients peuvent accéder au portail web.
    Nous n’utilisons le RDS que pour du bureau à distance (à partir d’un site extérieur), il n’y a donc aucune application installé.
    Est-il utile d’installer une base de données SQL, à quoi servirait cette base ?
    Si l’installation d’une base de données est indispensable, nous devront la rendre disponible en HA sur chacun de nos 2 serveurs. Quelle serait la meilleure solution et quelle version de SQL faut il ?
    Merci de prendre le temps pour lire cette synthèse et m’aiguiller dans ma démarche de mise en production.

    • Hicham KADIRI dit :

      Bonjour Alexandre,

      Désolé pour ce retour tardive, je viens de voir votre question (je reçois beaucoup de commentaires :s)
      Depuis RDS 2012 (et donc 2012 R2/2016 et 2019), le HA du service Broker nécessite la mise en place d’un Serveur SQL. La base SQL est utilisée pour stocker toute la configuration de votre déploiement RDS ainsi que les différentes opérations réalisées par le Broker.
      Si vous avez donc redondé le service Broker (RDCB), vous devez obligatoirement mettre en place un serveur SQL, sans quoi le HA du Broker ne sera pas opérationnel.
      Maintenant, il faut effectivement considérer la haute disponibilité de cette base/serveur SQL. Généralement, sur les environnement les plus critiques, il faut déployer un Cluster SQL, ou si vous êtes client Azure, tu peux simplement partir sur une base PaaS (Platform-as-a-Service) SQL Azure. Celle-ci est dispo à 99,99% (SLA garantie par MS), et te permettra de débarasser du Setp, config et gestion d’une infra SQL Clusterisée.

      Pour ton Design, il nest pas recommandé de déployer le Gateway RDS sur un Broker et encore moins sur un Hote de session (RDSH).
      idéalement :

      2 serveurs : avec RDSH/RDCB
      2 serveurs : avec RDG/RDWA (en DMZ)
      1 serveur de Licence (RDLS) avec SQL Server installé dessus ou 2 serveurs : avec RD Licensing Server + SQL Server (en AlwaysOn/HA).

  38. Guillaume dit :

    Bonjour Hicham,

    J’ai une petite question concernant l’approche sécurité à adopter avec un exemple particulier que je viens d’essayer par curiosité.

    En fait, je souhaite publier RDP client (mstsc) comme application, mon soucis est que lors du lancement de la fenêtre RDP client si l’utilisateur demande une connexion sur « localhost » il va avoir un accès complet avec une session graphique sur une de mes machines RDSH de la collection.

    Est ce à ta connaissance un problème de sécurité que nous pouvons contrôler? Est-il possible de donner accès à l’application RDP en n’autorisant pas l’utilisateur à rebondir sur la machine au complet via une connexion localhost?

    Merci d’avance,

    Guillaume

    • Hicham KADIRI dit :

      Bonjour Guillaume,

      Autoriser l’accès/lancement d’une RemoteApp donne automatiquement accès en mode Session, donc à k’environnement complet d’un serveur RDSH. La seule chose que tu peux faire est de Sécuriser /Hardener ton serveur RDSH au maximum pour restreindre l’accès au Maximum. maintenant, les Remote Desktop Users sont généralement de simples Standards users (pas de privilege spécifique) + le Hardening des serveurs RDSH, tu risques pas grand chose

  39. Sinalco dit :

    Bonjour,
    J’aimerais savoir si dans la même infrastructure on peut faire un mode de déploiement par session et aussi en VDI ?

    Merci de votre retour

    • Hicham KADIRI dit :

      Bien sûr, il suffit de déployer une Collection de Session (Pool de serveurs RDSH) dédiées au mode Session/RemoteApp et une autre collection de vDesktop (Pool de serveurs RDVH) pour le mode VDI.

  40. Jérôme Bühlmann dit :

    Bonjour,
    Je suis actuellement devant un petit souci.

    J’ai une application qui tourne sur un serveur d’application.
    La seule façon de la faire tourner est créer un raccourci de l’exe présent sur le serveur d’application. J’aimerais publier le raccourci en remote app. Mais je ne sais pas comment faire. Avez-vous déjà eu le cas?

    Bonne journée

    • Hicham KADIRI dit :

      Bonjour Jérôme,

      Pour faire cela, il faut :

      + Déployer le rôle RDS (Session Host, Broker, Web Access Server)
      + Installer votre Application en mode RemoteApp (via l’utilitaire présent dans le Panneau de configuration ou via l’utilisation du Command Line Tool : Change user /Install)
      + Une fois l’Appli installée, il faut la publier depuis le Server Manager (console Gestionnaire de Serveur) > Services Bureau à distance ou via l’utilisation de la Cmd-let PowerShell « New-RDRemoteApp ».
      + L’appli sera ensuite publiée et visible (par défaut) sur le Portail RD Web Access). Elle peut également être distribuée via un Shortcut RDP ou intégrée directement dans le Menu Démarré.

  41. YOUSSRA dit :

    Bonjour Hicham,

    Merci pour ce tuto, j’ai une question si possible !

    J’ai 5 RDSession avec différentes RemoteAPP et je cherche a restreindre les droit d’accès a ces RemoteAPP. Autrement dit, je veux créer une liste d’utilisateurs (Liste 01) qui aura accès a la RDS 1
    Liste(02) à la page 02 …etc.
    Le seul filtre que je peux le gérer c’est IP ADDR.
    Avez vous une solution SVP !

    • Hicham KADIRI dit :

      Bonjour Youssra,

      Tu peux simplement éditer les propriétés de ta RemoteApp > Affectation des utilisateurs > Cochez « Seules les utilisateurs et les groupes spécifiés » et sélectionnez ensuite votre liste (qui doit être généralement un groupe AD contenant les comptes utilisateurs devant accéder à la RemoteApp).

      C’est la seule option possible si vous souhaitez éviter le déploiement de plusieurs serveurs RD Session Host (un par RemoteApp).

      Goodluck
      #HK

      • YOUSSRA dit :

        Je vous remercie infiniment de votre retour rapide.

        Je voulais commander le ebook mais je voulais d’abord confirmer avec vous si dans le ebook y a une partie guide de PowerShell Remote Desktop, et si je peux avoir un deuxième ebook gratuit comme indiqué dans les commentaires.

        Merci de me confirmer cela afin de commander le plutot possible.
        Bonne journée.

Votre commentaire

Entrez vos coordonnées ci-dessous ou cliquez sur une icône pour vous connecter:

Logo WordPress.com

Vous commentez à l’aide de votre compte WordPress.com. Déconnexion /  Changer )

Photo Google

Vous commentez à l’aide de votre compte Google. Déconnexion /  Changer )

Image Twitter

Vous commentez à l’aide de votre compte Twitter. Déconnexion /  Changer )

Photo Facebook

Vous commentez à l’aide de votre compte Facebook. Déconnexion /  Changer )

Connexion à %s