Blog of Khlebalin Dmitriy

(Дорогу осилит идущий…)

Создание виртуальной фермы терминалов на основе Windows server 2012 R2 (intro).

Время идет, технологии не стоят на месте….

И на нашей улице постепенно настал праздник (грузовик с пряниками перевернулся)-пришли наши лицензии Datacenter. Пришло время подумать над кластеризацией. Нашим конечным решение должно оказаться вот это:

В существующей конфигурации имеем виртуальный терминальный сервер 1С на платформе Windows 2008R2 (никакой соответственно фермы и реплик SQL, все в единственном лице, да все это конечно бэкапица и средствами SQL и средствами «вари»), но порой «сервак» требует перезагрузки или какого-то обслуживания, на что крайне болезненно реагирует бухгалтерия :(. Можно все это делать админам ночью или вне рабочее время, а можно просто сделать кластер и делать все это в рабочее время. Да и вообще, по всем рекомендациям Microsoft, не плохо бы хранить все это дело в кластере, хотя бы из двух нод.

Первым делом в тестовой среде решили «затюнить» ферму терминалов на базе Windows server 2012 R2. Но все оказалось не так просто…

далее решаем идти самым простым путем, как гласит реклама компании «Skoda»-«Simply clever» (типа «Продумано все») и в плане кластера,остановились вот на этом решении: http://agorbunov.blogspot.ru/2011/01/dns-round-robin.html

Далее поднимаем 2 ноды для нашей терминальной фермы и начинаем настройку. Но об этом уже позже….

Терминальная ферма windows server 2012 r2

Как управлять RDS фермой Windows Server 2012-16

Как управлять RDS фермой Windows Server 2012-16

Доброго времени суток, многоуважаемые инженеры, системные администраторы и просто начинающие пользователи. Рад вас вновь приветствовать на страницах IT блога Pyatilistnik.org. Если вы мой постоянный читатель, то вы заметили, что я очень часто и много пишу про терминальные сервера и RDS фермы. Сегодня я хочу вам показать, как производится управление RDS фермой Windows Server 2012 и Windows Server 16. Я на сто процентов уверен, что данная информация будет вам полезна, так как я часто видел опытных администраторов, кто не знал как это делается, в виду старых знаний и стереотипов, о данной технологии.

Описание ситуации

Пришел один администратор к нам на работу, пришла заявка, что нужно было для обслуживания вывести из RDS фермы один из узлов подключения, посидев некоторое время и потыкав диспетчер серверов, он не смог выполнить данную задачу, потому что у него было понимание работы терминального сервера, но не фермы.

В чем отличие фермы от терминала

Если посмотреть организацию удаленного доступа в Windows Server 2008 R2, то там схема была простой, где-то в сети устанавливался сервер лицензирования удаленных рабочих столов, а уже на нужно из серверов, куда планировалось подключение, ставилась роль “Службы удаленных рабочих столов”. Ему назначались лицензии и пользователь подключался.

Если посмотреть концепцию Windows Server 2012 R2 и старше, то выглядит это уже вот так, есть некое виртуальное имя к которому все подключаются, есть серверная роль “Посредник подключения (RD Connection Broker)“, он берет на себя роль распределения нагрузки и количество сеансов пользователей, на сервера удаленного подключения “RD Session Host“, где уже работаю пользователи. Вся эта конструкция объединяется в некий пул. называемый RDS фермой, где легко создать отказоустойчивость на уровне посредников подключения и легко обслуживать хосты конечного подключения.

Схема управления RDS фермой

Тот сотрудник не совсем понимая схему и видя ее впервые, наивно подумал, что все управление Remote Desktop Services фермой осуществляется через посредника подключения (Connection Broker). Он попытался к нему подключиться, но его послали с формулировкой “Удаленный компьютер “имя”, попытка подключения к которому выполняется, перенаправляет вас на удаленный компьютер “имя”, он то и не знал, что для подключения к нужному хосту фермы нужно использовать специальные ключи.

Далее показав ему, как происходит подключение к посреднику, он попытался отыскать оснастку управления, так как в Windows Server 2008 R2, была именно такая реализация работы, но он там ничего не нашел. Он подглядел у меня, что я управляю RDS, через “Диспетчер серверов”. Он его открывает и у него там то же ничего не оказалось, в итоге он побился часок и попросил ему показать. Чтобы знающих людей стало больше и грамотность системных инженеров была больше я вам написал небольшую инструкцию. Не подумайте, что я надменно отнесся к своему коллеге, я просто так же был однажды в на его месте и понимал, что это просто отсутствие опыта, что не смертельно.

Собираем консоль управления RDS фермой

Для управления настройками Remote Desktop Services вам потребуется клиентская операционная система Windows 8.1 или Windows 10, либо это могут быть Windows Server 2012 R2 и выше. Там нам потребуется оснастка “Диспетчер серверов”.

Если вы знаете всех участников RDS фермы, то это хорошо, вы немного себе выиграете времени, если нет, то придется слегка пописать команды и помучить DNS-сервер.

Откройте командную строку или запустите PowerShell оболочку. Предположим у вас виртуальное имя для подключения к удаленному рабочему столу TERM. Тут у вас два варианта:

• Воспользоваться утилитой nslookup
• Воспользоваться утилитой Resolve-DnsName

И та и другая выдали вам ip-адреса, в которое разрешается ваше виртуальное имя RDS фермы. В моем примере их два. Эти адреса принадлежат посредникам по подключению (Connection Broker), делаем так же запрос:

Стрелками я выделил полученные DNS имена, самое главное мы получили.

Теперь открывает оснастку “Диспетчер серверов” от имени той учетной записи у которой есть права на администрирование RDS фермы. В открывшейся оснастке выберите пункт “Добавить другие серверы для управления”

У вас откроется окно “Добавление серверов”, перейдите на вкладку DNS и в поисковой строке укажите нужное имя брокера и нажмите кнопку с изображением лупы. У вас будет осуществлен поиск по базе Active Directory, если такой сервер есть, то он будет отображен в списке. Переносим его в поле выбрано.

Точно так же поступаем и с остальными посредниками подключений к Remote Desktop Services ферме.

У вас начнется процесс добавление в вашу оснастку дополнительных серверов. Когда закончится добавление, то вы увидите, что у вас появились серверные роли, в нашем случае “Службы удаленных рабочих столов” и обратите внимание на иконку “Все серверы”, тут стало их уже два.

Переходим в роль “Службы удаленных рабочих столов”, в итоге у вас отобразится список всех участников RDS фермы, и для ее управления вам нужно их всех добавить в данных пул серверов.

В итоге у меня добавились все мои хосты подключения и сервера лицензирования. Как видите стало 20 серверов.

Переходим в “Службы удаленных рабочих столов”, в этот раз у вас уже откроется полноценное управление коллекциями RDS. Вы увидите схему работы, вам будет представлен список всех ваших серверов и кто за какую роль отвечает. Переходим в саму коллекцию.

Попав в коллекцию удаленных рабочих столов, у вас будет несколько областей:

• Свойства – тут вы зададите права доступа, лимиты и многое другое
• Подключения – тут будут отображены все ваши сеансы пользователей, в моем примере, это всего 338 человек, так как уже не рабочий день, а вечер пятницы, в пиковое время, эта цифра в районе 950 подключений.
• Удаленные приложения RemoteApp
• Серверы узлов – тут вы сможете запрещать или разрешать новые подключения

Так же для удобства администрирования серверов, я вам советую создавать отдельные группы по нужным вам признакам и управлять ими, но об этом уже в другой раз. Либо же вы можете создать группу серверов в Remote Desktop Connection Manager.

Что такое терминальная ферма RDS

Что такое терминальная ферма RDS

Добрый день! Уважаемые читатели и гости крупного IT блога Pyatilistnik.org. В прошлый раз я вам как увидеть скрытые папки в Windows 10. Сегодня мы поговорим, про одну очень важную вещь в IT инфраструктуре почти любой организации, речь пойдет про общие понятия терминальной фермы RDS (Remote Desktop Services). Мы узнаем из каких компонентов она состоит, какие сценарии развертывания есть у данной технологии, как она помогает улучшить работу сотрудников и уменьшить административную нагрузку на системного администратора или инженера. Это будет вводная статья, перед развертывание высокодоступной RDS фермы на Windows Server 2019.

Желания бизнеса и системного администратора

Если вернуться во времени лет на 10 назад, то работу компании или офиса можно представить вот в таком виде:

• Есть помещение в котором работают сотрудники, у каждого свой стационарный компьютер и пользователи зачастую жестко привязаны к своему рабочему месту
• За счет не очень производительной сети и небольших дисковых объемов на серверах, пользователи вынуждены хранить все свои рабочие и персональные данные локально на компьютере
• С выходом из строя рабочей станции сотрудника, он начинает бездельничать и системному администратору нужно вытащить его рабочие данные, если они есть и перенести их на другой компьютер, все это отнимает много времени, а если инженер один, то может и еще дольше, все зависит от приоритетов
• В результате простоя работы пользователя бизнес начинает терять деньги

Исходя из этих тезисов, многие компании по разработке оборудования, программ и операционных систем, продолжали разработку модели при которой бизнес бы смог минимизировать время простоя при аварии и тем самым сделать сервисы лучше, надежнее и минимизировать нагрузку на системного инженера. Одним из таких шагов сделала компания Microsoft, выпустив службу “Удаленных рабочих столов (Служба терминалов, Терминальный стол или Remote Desktop Services)”. Данная разработка решала ряд важных вещей:

• Все рабочие процессы. такие как 1С, директум, смета, контур, СРМ системы и многое другое, запускались уже не локально на компьютере сотрудника, а выполнялись на удаленном, мощном сервере, раньше это были исключительно железные сервера, но со временем и развитием гипервизоров, например VMware ESXI 6.5, удаленные столы стали выступать в роли виртуальных машин, которые уже не привязывались к конкретным физических хостам, тем самым еще увеличивая надежность сервиса и уменьшения времени простоя.
• За счет централизованного хранения рабочих профилей на одном или нескольких серверов терминальной фермы, системному администратору стало проще создавать резервные копии данных, особенно если это виртуальные машины, их стало легко восстанавливать, например с помощью Veeam Backup
• Если у пользователя ломался компьютер, то он мог легко пересесть на любое другое рабочее место, подключиться к своей терминальной ферме Windos и продолжить свою работу с того же места. Тоже самое можно отметить, что когда сотрудник уходит домой, он легко может подключиться к терминальному серверу по защищенному VPN и так же продолжить свою работу.
• Появилась возможность профили пользователей делать перемещаемые и хранить их на отдельных выделенных дисках. Или можно подключать ISCSI диски и там хранить профили
• Многие сотрудники могут переходить на удаленку, тем самым экономя свое время на дороге на работу, работать из любой точки мира. За счет этого бизнес может экономить деньги на аренде помещения, арендуя меньшее пространство. Экономится расход электроэнергии. Экономия по канцелярским вещам, на оборудовании и многое другое.
• Удобно, что все эти сервера вы можете заказать в облаке, например все в том же vCloud Director
• Системному администратору проще обслуживать ряд серверов, чем сотни компьютеров. Даже с точки зрения безопасности, проще централизовано на серверах установить все обновления, программ, обновлений безопасности Windows, чем делать это на сотне компьютеров. Там конечно то же нужно делать, но это не первоочередная задача
• Удобно на терминальные фермы подключать любые USB ключи, для этого есть специализированное оборудование по типу SEH или DIGI, а так же программные решения, уже не нужно держать у бухгалтера ключик в ее компьютере и бояться, что если компьютер сломается, то всем несдобровать

Компоненты терминальной RDS фермы

Перед тем, как я вам приведу примеры внедрения технологии Remote Desktop Services в реальной жизни, я бы хотел вас познакомить с компонентами, которые входят в состав. Если вы откроете у себя Windows Server 2019 или другую версию по ниже, то в списке ролей вы сможете найти:

• Веб-доступ к удаленным рабочим столам (RD Web Access (RDWA)) – предоставляет пользователям настраиваемый веб-портал для доступа к рабочим столам на основе сеансов, виртуальным рабочим столам и программам RemoteApp. Для начала пользователь получит доступ к веб-странице RDS, указав URL-адрес, по которому публикуются ресурсы RDS. Благодаря этой технологии пользователи могут работать и запускать программы на удаленном рабочем столе из своего телефона или планшета прямо из браузера.
• Лицензирование удаленных рабочих столов (RD Licensing) – управление клиентскими лицензиями на доступ к службам удаленных рабочих столов, которые требуются для подключения каждого устройства или пользователя к рабочим столам на основе сеансов.
• Посредник подключений к удаленным рабочим столам (RD Connection Broker (RDCB)) – предоставляет пользователям единое, персонализированное и агрегированное представление программ RemoteApp, рабочих столов на основе сеансов и виртуальных рабочих столов. RD Connection Broker поддерживает балансировку нагрузки и повторное подключение к существующим сеансам на виртуальных рабочих столах, рабочих столах на основе сеансов и программах RemoteApp. Без посредника подключений RDCB вы не сможете подключиться к своим коллекциям серверов
• Узел виртуализации удаленных рабочих столов (RD Virtualization Host (RDVH)) – RD Virtualization Host интегрируется с Hyper-V для предоставления виртуальных машин, которые можно использовать в качестве личных виртуальных рабочих столов или пулов виртуальных рабочих столов.
• Узел сеансов удаленных рабочих столов (RD Session Host (RDSH)) – размещает программы на базе Windows или полный рабочий стол Windows для клиентов служб удаленных рабочих столов. Пользователи могут подключаться к серверу узла сеансов удаленных рабочих столов для запуска программ, сохранения файлов и использования сетевых ресурсов на этом сервере. Именно хосты с данной ролью являются конечными целевыми серверами, где работают пользователи, именно на них создается то единое рабочее окружение, которое видит сотрудник.
• Шлюз удаленных рабочих столов (RD Gateway (RDG)) – позволяет совместимым устройствам безопасно подключаться через Интернет к серверам RD Session Host или серверам RD Virtualization Host за корпоративным брандмауэром. RDG должен быть размещен на границе корпоративной сети, чтобы отфильтровать входящие запросы RDS, ссылаясь на критерии, определенные на назначенном сервере политики сети (NPS). Имея сертификат сервера, RDG предлагает безопасный удаленный доступ к инфраструктуре RDS. По сути это альтернативная технология, если у вас в организации не используется VPN сервер для подключения к корпоративной сети.

Типы развертывания RDS фермы в Windows Server

Существует несколько типов установки терминальной фермы на серверах Windows:

• Стандартное развертывание (STANDARD) – Это лучший способ развертывания, и вы должны выбрать этот тип развертывания в производственной среде. 3 основные роли Connection Broker, RDWeb и RDSH будут развернуты на 3 разных серверах или в любой другой комбинации. При выборе Коллекции в стандартном развертывании удаленные приложения и конфигурацию необходимо будет настроить вручную. Вся установка, настройка и управление развертыванием сеанса RDS должны выполняться через посредник подключений.
• Быстрый запуск (QUICK START) – это второй вариант развертывания RDS, аналогичный стандартному, но при выборе быстрого запуска все компоненты будут развернуты на 1 сервере. Быстрый старт – это быстрый путь для запуска RDS за считанные минуты. Коллекция и удаленное приложение будут автоматически настроены. Этот тип развертывания не рекомендуется для использования в производственной среде, но если вы настраиваете RDS для лаборатории или небольшой среды, тогда установка «все в одном» сэкономит ваши аппаратные ресурсы.

• Служба Multipoint (MULTIPOINT SERVICES) – это новый вариант развертывания в RDS 2016 в Windows Server 2019 уже данного вида развертывания нет. MPS изначально был создан для использования в ​​учебных заведениях. Пользовательские станции могут состоять только из монитора, клавиатуры, мыши (тонкие клиенты) и могут быть подключены к MPS через USB-концентраторы, видеокабели или через локальную сеть. Ттонкие клиенты MPS использует некоторые службы RDS (по умолчанию): узел сеансов удаленных рабочих столов и сервер лицензирования удаленных рабочих столов.

В Windows Server 2019 вы найдете только компонент “Соединитель Multipiont”

Служба Multipoint как вы поняли по лицензии доступна только для учебных и государственных учреждений, ее основная задача с помощью тонких клиентов, это такие компьютеры без оперативной памяти, жесткого диска, чаще всего без вентиляторов, подключить человека к удаленному серверу, ресурсы которого будут использоваться. На рисунке к серверу подключаются напрямую четыре клиента по USB и, к примеру, VGA-порты. Очевидно, что подобный тип подключения подразумевает соответствующие требования к аппаратной конфигурации головной станции и в некоторых сценариях не применим (масштабы, расстояние, мобильность)

А вот еще пример подключения тонких клиентов через USB хаб и через COM-порт.

Сценарии развертывания RDS фермы

Так же есть несколько сценариев развертывания:

• Развертывание рабочих столов на основе виртуальных машин – Это разворачивание Hyper-V и VDI. VDI расшифровывается как инфраструктура виртуальных рабочих столов и построен на основе клиентской ОС Windows, а RDS – на ОС Windows Server. Когда вы настраиваете VDI, вы создаете пул виртуальных машин, и каждый пользователь получает свою собственную виртуальную машину. Эта гибкость обеспечивает изолированную среду для пользователя. Поскольку у каждого пользователя есть выделенная виртуальная машина с операционной системой, он может устанавливать или удалять приложения с полными или частичными правами администрирования внутри виртуальной машины. При настройке RDS Session Host все пользователи будут использовать этот сервер совместно, и ни один из них не сможет вносить изменения, устанавливать приложения, делать его личным. Все это возможно с VDI, особенно если у вас есть пользователи, которым нужно запускать тяжелые приложения.
• Развертывание рабочих столов на основе сеансов – Это чаще используемый сценарий, так сказать классический, когда при разворачивании Remote Desktop Services вы создаете из серверов коллекции, к которым подключаются пользователи, по сути, это просто удаленная сессия на сервер.
• Персональные рабочие столы сеансов (Personal Session Desktops) – Этот параметр позволяет назначать персональные рабочие столы конечным пользователям на основе Windows Server 2016 в гостевой виртуальной машине вместо клиентской ОС Windows. Мы можем создать новый тип коллекции сеансов, где каждому пользователю назначается собственный персональный узел сеанса с правами администратора. Данный тип сценария подходит хостинг провайдерам или сервис провайдерам, напомню, что в классическом VDI по SPLA недоступно использование Windows 7, 8.1, 10. Чтобы это обойти и срубить деньжат компания Microsoft придумала PSD (Personal Session Desktops). В Windows Server 2016 решили это дело упростить и добавить метод привязки пользователей к конкретным терминальным узлам (в рамках RDS это узлы Remote Desktop Session Host, RDSH). В итоге получаем новый вид RDS-коллекции — Personal Session Desktops (PSD), или частные рабочие столы на базе терминальных сессий. Очевидно, что можно провести аналогию с Personal Virtual Desktops в VDI, предназначенными так же для выделения «изолированной» среды пользователям.

1. Сотруднику нужно, чтобы RDCH хост имел интерфейс клиентской Windows 10, раньше ставился компонент Desktop Experience, но он распространялся на всех, а вот PSD, это персонально.
2. Если пользователь имеет административные полномочия на своем привычном ПК и вы хотите перевести его на PSD, то это возможно сделать путем добавления пользователя в группу локальных администраторов (определяется на этапе развертывания PSD, «ручной труд» не требуется)
3. Если пользователь не видит свою дальнейшую жизнь без графических приложений, требующих дополнительных аппаратных ресурсов, то можно предоставить PSD с обновленными возможностями RemoteFX (об этом уже упоминалось выше).

Практические примеры внедрения терминальной фермы

Теперь я хочу вам показать, как можно внедрять RDS фермы в ваше рабочее окружение:

• Самый правильный вариант, это создание Remote Desktop Services Connection Broker HA (Служб удаленных рабочих столов в режиме высокой доступности), тут у вас два посредника подключений в режиме High Availability, один или более серверов RDSH и RD Web, а так же сервер с базой данных в режиме AlwaysOn

По приведенной ниже схеме прекрасно видно, что у нас есть два посредника подключений, у которых общая база данных, клиент подключается по DNS имени, которое разрешается в один из адресов RDCB, после чего попадает в нужную коллекцию.

• Классический вариант, когда RDCH, RD Web, RDCB установлены на одном сервере.
• RD WED HA в рамках Remote Desktop Services Connection Broker HA (Служб удаленных рабочих столов в режиме высокой доступности)
• Remote Desktop Gateway в рамках Remote Desktop Services Connection Broker HA (Служб удаленных рабочих столов в режиме высокой доступности)