- Настройка терминального сервера Windows Server 2016
- Первоначальные настройки Windows Server 2016:
- Настройка терминального сервера
- Установка роли и компонентов
- Установка служб удаленных рабочих столов
- Настройка лицензирования удаленных рабочих столов
- Добавление лицензий
- Шаг 2. Настройка сервера удаленного доступа Step 2 Configure the Remote Access Server
- Установка роли удаленного доступа Install the Remote Access role
- Установка роли удаленного доступа To install the Remote Access role
- Установка роли удаленного доступа на серверах DirectAccess To install the Remote Access role on DirectAccess servers
- Настройка типа развертывания Configure the deployment type
- Настройка типа развертывания To configure the deployment type
- Настройка клиентов DirectAccess Configure DirectAccess clients
- Настройка клиентов DirectAccess To configure DirectAccess clients
- Настройка сервера удаленного доступа Configure the Remote Access server
- Настройка сервера удаленного доступа To configure the Remote Access server
- Настройка серверов инфраструктуры Configure the infrastructure servers
- Настройка серверов инфраструктуры To configure the infrastructure servers
- Настройка серверов приложений Configure application servers
- Сводка конфигурации и альтернативные объекты групповой политики Configuration summary and alternate GPOs
Настройка терминального сервера Windows Server 2016
Для настройки терминального сервера к нему распространяются ниже представленные требования исходя из ПО, которое будет запускаться пользователями и количества пользователей:
- Процессор: от 4 ядер
- Оперативная память : 1 ГБ на каждого пользователя + 4 ГБ для работы ОС + 4 ГБ запас
- Дисковая система: для большей отказоустойчивости нужно настроить RAID-массив
Для установки выделить два диска: первый логический диск от 50 ГБ. До 100 ГБ выделить для установки ОС, второй логический диск выделить под пользовательские профили с расчетом минимум 1 ГБ на пользователя - Ширина канала для терминального сервера: 250 Кбит/с на пользователя
У нас вы можете взять терминальный сервер 1С в аренду с бесплатными индивидуальными настройками.
Первоначальные настройки Windows Server 2016:
- Настроить статический IP-адрес сервера
- Проверить правильность настройки времени и часового пояса
- Установить все обновления системы
- Задать понятное имя для сервера и, при необходимости, ввести его в домен
- Включить доступ до сервера по удаленному рабочему столу для удаленного администрирования
- Настроить запись данных профилей пользователей на второй логический диск
- Активировать лицензию Windows Server 2016
Настройка терминального сервера
Начиная с Windows 2012 терминальный сервер должен работать в среде Active Directory.
Если в вашей локальной сети есть контроллер домена, просто присоединяйте к нему сервер терминалов, иначе установите на сервер роль контроллера домена.
Установка роли и компонентов
В панели быстрого запуска открываем Диспетчер серверов:
Нажимаем Управление — Добавить роли и компоненты:
Нажимаем Далее до «Выбор типа установки». Оставляем Установка ролей и компонентов и нажимаем Далее дважды:
В окне «Выбор ролей сервера» выбираем Службы удаленных рабочих столов:
Кликаем Далее, пока не появится окно «Выбор служб ролей» и выбираем следующие:
- Лицензирование удаленных рабочих столов
- Узел сеансов удаленных рабочих столов
Нажимаем Далее, при появлении запроса на установку дополнительных компонентов соглашаемся.
При необходимости, также выставляем остальные галочки:
- Веб-доступ к удаленным рабочим столам — возможность выбора терминальных приложений в браузере.
- Посредник подключений к удаленному рабочему столу — для кластера терминальных серверов посредник контролирует нагрузку каждой ноды и распределяет ее.
- Узел виртуализации удаленных рабочих столов — для виртуализации приложений и запуска их через терминал.
- Шлюз удаленных рабочих столов — центральный сервер для проверки подлинности подключения и шифрования трафика. Позволяет настроить RDP внутри HTTPS.
Нажимаем Далее и в следующем окне Установить. Дожидаемся окончания процесса установки и перезагружаем сервер.
Установка служб удаленных рабочих столов
После перезагрузки открываем Диспетчер серверов и нажимаем Управление — Добавить роли и компоненты:
В окне «Выбор типа установки» выбираем Установка служб удаленных рабочих столов и нажимаем Далее:
В окне «Выбор типа развертывания» выбираем Быстрый запуск и нажимаем Далее:
В «Выбор сценария развертывания» — Развертывание рабочих столов на основе сеансов — Далее:
Еще раз Далее — при необходимости, ставим галочку «Автоматически перезапускать конечный сервер, если это потребуется» и кликаем по Развернуть.
Настройка лицензирования удаленных рабочих столов
Для корректной работы сервера, необходимо настроить службу лицензирования. Для этого открываем диспетчер серверов и кликаем по Средства — Remote Desktop Services — Диспетчер лицензирования удаленных рабочих столов:
В открывшемся окне кликаем правой кнопкой мыши по нашему серверу и выбираем Активировать сервер:
В открывшемся окне дважды кликаем Далее — заполняем форму — Далее — Далее — Снимаем галочку «Запустить мастер установки лицензий» — Готово.
Снова открываем диспетчер серверов и переходим в «Службы удаленных рабочих столов»:
В «Обзоре развертывания» кликаем по Задачи — Изменить свойства развертывания:
В открывшемся окне переходим в Лицензирование — Выбираем тип лицензий — прописываем имя сервера лицензирования (в данном случае локальный сервер) и нажимаем Добавить:
Применяем настройки, нажав OK.
Добавление лицензий
Открываем диспетчер серверов и кликаем по Средства — Remote Desktop Services — Диспетчер лицензирования удаленных рабочих столов:
В открывшемся окне кликаем правой кнопкой мыши по нашему серверу и выбираем Установить лицензии:
В открывшемся окне нажимаем Далее:
Выбираем программу, по которой куплены лицензии, например, Enterprise Agreement:
Нажимаем Далее — вводим номер соглашения и данные лицензии — выбираем версию продукта, тип лицензии и их количество:
Нажимаем Далее — Готово.
Проверить статус лицензирования можно в диспетчере серверов: Средства — Remote Desktop Services — Средство диагностики лицензирования удаленных рабочих столов.
Мы также готовы оказать помощь в установке и настройке терминального сервера.
Нашим клиентам мы предлагаем реализацию данного проекта и его последующее обслуживание в рамках ИТ-аутсорсинга.
Шаг 2. Настройка сервера удаленного доступа Step 2 Configure the Remote Access Server
Область применения. Windows Server (Semi-Annual Channel), Windows Server 2016 Applies To: Windows Server (Semi-Annual Channel), Windows Server 2016
В этом разделе описывается настройка параметров клиента и сервера, необходимых для удаленного управления клиентами DirectAccess. This topic describes how to configure the client and server settings that are required for remote management of DirectAccess clients. Прежде чем приступать к развертыванию, убедитесь, что выполнены шаги по планированию, описанные в разделе Шаг 2. Планирование развертывания удаленного доступа. Before you begin the deployment steps, ensure that you have completed the planning steps that are described in Step 2 Plan the Remote Access Deployment.
| Задача Task | Описание Description |
|---|---|
| Установка роли удаленного доступа Install the Remote Access role | Установите роль удаленного доступа. Install the Remote Access role. |
| Настройка типа развертывания Configure the deployment type | Настройте тип развертывания как DirectAccess и VPN, только DirectAccess или только VPN. Configure the deployment type as DirectAccess and VPN, DirectAccess only, or VPN only. |
| Настройка клиентов DirectAccess Configure DirectAccess clients | Настройте сервер удаленного доступа с использованием групп безопасности, содержащими клиенты DirectAccess. Configure the Remote Access server with the security groups that contain DirectAccess clients. |
| Настройка сервера удаленного доступа Configure the Remote Access server | Настройте параметры сервера удаленного доступа. Configure the Remote Access server settings. |
| Настройка серверов инфраструктуры Configure the infrastructure servers | Настройте серверы инфраструктуры, используемые в организации. Configure the infrastructure servers that are used in the organization. |
| Настройка серверов приложений Configure application servers | Настройте серверы приложений для обязательного использования проверки подлинности и шифрования. Configure the application servers to require authentication and encryption. |
| Сводка конфигурации и альтернативные объекты групповой политики Configuration summary and alternate GPOs | Просмотрите сводку конфигурации удаленного доступа и при необходимости измените объекты GPO. View the Remote Access configuration summary, and modify the GPOs if desired. |
В этом разделе приводятся примеры командлетов Windows PowerShell, которые можно использовать для автоматизации некоторых описанных процедур. This topic includes sample Windows PowerShell cmdlets that you can use to automate some of the procedures described. Дополнительные сведения см. в разделе Использование командлетов. For more information, see Using Cmdlets.
Установка роли удаленного доступа Install the Remote Access role
Необходимо установить роль удаленного доступа на сервере в Организации, который будет использоваться в качестве сервера удаленного доступа. You must install the Remote Access role on a server in your organization that will act as the Remote Access server.
Установка роли удаленного доступа To install the Remote Access role
Установка роли удаленного доступа на серверах DirectAccess To install the Remote Access role on DirectAccess servers
На сервере DirectAccess в консоли диспетчер сервера на панели мониторинга щелкните Добавить роли и компоненты. On the DirectAccess server, in the Server Manager console, in the Dashboard, click Add roles and features.
Нажмите кнопку Далее трижды, чтобы перейти на страницу выбора роли сервера. Click Next three times to get to the server role selection screen.
В диалоговом окне Выбор ролей сервера выберите Удаленный доступ, а затем нажмите кнопку Далее. On the Select Server Roles dialog, select Remote Access, and then click Next.
Нажмите кнопку Далее три раза. Click Next three times.
В диалоговом окне Выбор служб ролей выберите DirectAccess и VPN (RAS) , а затем щелкните Добавить компоненты. On the Select role services dialog, select DirectAccess and VPN (RAS) and then click Add Features.
Выберите Маршрутизация, выберите прокси-служба веб приложения, щелкните Добавить компоненты, а затем нажмите кнопку Далее. Select Routing, select Web Application Proxy, click Add Features, and then click Next.
Нажмите кнопку Далее, а затем щелкните Установить. Click Next, and then click Install.
В диалоговом окне Ход установки убедитесь в успешном завершении установки, а затем нажмите кнопку Закрыть. On the Installation progress dialog, verify that the installation was successful, and then click Close.
Эквивалентные команды в Windows PowerShell Windows PowerShell Windows PowerShell equivalent commands
Следующие командлеты Windows PowerShell выполняют ту же функцию, что и предыдущая процедура. The following Windows PowerShell cmdlet or cmdlets perform the same function as the preceding procedure. Вводите каждый командлет в одной строке, несмотря на то, что здесь они могут отображаться разбитыми на несколько строк из-за ограничений форматирования. Enter each cmdlet on a single line, even though they may appear word-wrapped across several lines here because of formatting constraints.
Настройка типа развертывания Configure the deployment type
Существует три параметра, которые можно использовать для развертывания удаленного доступа из консоли управления удаленным доступом. There are three options that you can use to deploy Remote Access from the Remote Access Management console:
DirectAccess и VPN; DirectAccess and VPN
только DirectAccess; DirectAccess only
только VPN. VPN only
В этом руководством в примерах процедур используется метод развертывания только DirectAccess. This guide uses the DirectAccess only method of deployment in the example procedures.
Настройка типа развертывания To configure the deployment type
На сервере удаленного доступа откройте консоль управления удаленным доступом: на начальном экране введите, введите консоль управления удаленным доступом и нажмите клавишу ВВОД. On the Remote Access server, open the Remote Access Management console: On the Start screen, type, type Remote Access Management Console, and then press ENTER. Если появится диалоговое окно контроля учетных записей, подтвердите, что отображаемое в нем действие именно то, которое требуется, и нажмите кнопку Да. If the User Account Control dialog box appears, confirm that the action it displays is what you want, and then click Yes.
В средней области консоли управления удаленным доступом щелкните Запустить мастер настройки удаленного доступа. In the Remote Access Management Console, in the middle pane, click Run the Remote Access Setup Wizard.
В диалоговом окне Настройка удаленного доступа выберите DIRECTACCESS и VPN, только DirectAccess или только VPN. In the Configure Remote Access dialog box, select DirectAccess and VPN, DirectAccess only, or VPN only.
Настройка клиентов DirectAccess Configure DirectAccess clients
Чтобы настроить клиентский компьютер для использования DirectAccess, он должен принадлежать выбранной группе безопасности. For a client computer to be provisioned to use DirectAccess, it must belong to the selected security group. После настройки DirectAccess подготавливается клиентские компьютеры в группе безопасности для получения объектов групповая политика DirectAccess (GPO) для удаленного управления. After DirectAccess is configured, client computers in the security group are provisioned to receive the DirectAccess Group Policy Objects (GPOs) for remote management.
Настройка клиентов DirectAccess To configure DirectAccess clients
В средней области консоли управления удаленным доступом в разделе Этап 1. Удаленные клиенты щелкните Настроить. In the middle pane of the Remote Access Management console, in the Step 1 Remote Clients area, click Configure.
В мастере установки клиента DirectAccess на странице сценарий развертывания щелкните развернуть DirectAccess только для удаленного управления, а затем нажмите кнопку Далее. In the DirectAccess Client Setup Wizard, on the Deployment Scenario page, click Deploy DirectAccess for remote management only, and then click Next.
На странице Выбор групп щелкните Добавить. On the Select Groups page, click Add.
В диалоговом окне Выбор групп выберите группы безопасности, содержащие клиентские компьютеры DirectAccess, а затем нажмите кнопку Далее. In the Select Groups dialog box, select the security groups that contain the DirectAccess client computers, and then click Next.
На странице Помощник по подключению к сети: On the Network Connectivity Assistant page:
В таблице добавьте ресурсы, которые будут использоваться для определения подключения к внутренней сети. In the table, add the resources that will be used to determine connectivity to the internal network. Если другие ресурсы не настроены, веб-проба по умолчанию создается автоматически. A default web probe is created automatically if no other resources are configured. При настройке расположения веб-проб для определения подключения к корпоративной сети убедитесь, что настроена хотя бы одна проверка на основе HTTP. When configuring the web probe locations for determining connectivity to the enterprise network, ensure that you have at least one HTTP based probe configured. Настройка только проверки связи не является достаточной и может привести к неправильному определению состояния подключения. Configuring only a ping probe is not sufficient, and it could lead to an inaccurate determination of connectivity status. Это вызвано тем, что проверка связи исключена из IPsec. This is because ping is exempted from IPsec. В результате проверка связи не гарантирует правильность установки туннелей IPsec. As a result, ping does not ensure that the IPsec tunnels are properly established.
Добавьте адрес электронной почты службы поддержки, чтобы позволить пользователям отправлять информацию при возникновении проблем с подключением. Add a Help Desk email address to allow users to send information if they experience connectivity issues.
Введите понятное имя для подключения DirectAccess. Provide a friendly name for the DirectAccess connection.
При необходимости установите флажок Разрешить клиентам DirectAccess использовать локальное разрешение имен. Select the Allow DirectAccess clients to use local name resolution check box, if required.
Если разрешение локального имени включено, пользователи, выполняющие NCA, могут разрешать имена с помощью DNS-серверов, настроенных на клиентском компьютере DirectAccess. When local name resolution is enabled, users who are running the NCA can resolve names by using DNS servers that are configured on the DirectAccess client computer.
Нажмите кнопку Готово. Click Finish.
Настройка сервера удаленного доступа Configure the Remote Access server
Чтобы развернуть удаленный доступ, необходимо настроить сервер, который будет использоваться в качестве сервера удаленного доступа, следующим образом: To deploy Remote Access, you need to configure the server that will act as the Remote Access server with the following:
Исправление сетевых адаптеров Correct network adapters
Общедоступный URL-адрес сервера удаленного доступа, к которому могут подключаться клиентские компьютеры (адрес ssASnoversion) A public URL for the Remote Access server to which client computers can connect (the ConnectTo address)
Сертификат IP-HTTPS с субъектом, совпадающим с адресом ssASnoversion. An IP-HTTPS certificate with a subject that matches the ConnectTo address
Параметры IPv6 IPv6 settings
Проверка подлинности клиентского компьютера Client computer authentication
Настройка сервера удаленного доступа To configure the Remote Access server
В средней области консоли управления удаленным доступом в разделе Этап 2. Сервер удаленного доступа щелкните Настроить. In the middle pane of the Remote Access Management console, in the Step 2 Remote Access Server area, click Configure.
На странице Топология сети мастера настройки сервера удаленного доступа выберите топологию, которая будет использоваться в вашей организации. In the Remote Access Server Setup Wizard, on the Network Topology page, click the deployment topology that will be used in your organization. В поле Введите общедоступное имя или IPv4-адрес, используемые клиентами для подключения к серверу удаленного доступа введите общедоступное имя развертывания (оно совпадает с именем субъекта сертификата IP-HTTPS, например edge1.contoso.com), а затем нажмите кнопку Далее. In Type the public name or IPv4 address used by clients to connect to the Remote Access server, enter the public name for the deployment (this name matches the subject name of the IP-HTTPS certificate, for example, edge1.contoso.com), and then click Next.
На странице Сетевые адаптеры мастер автоматически обнаруживает: On the Network Adapters page, the wizard automatically detects:
Сетевые адаптеры для сетей в развертывании. Network adapters for the networks in your deployment. Если мастер не определяет правильные сетевые адаптеры, вручную выберите нужные адаптеры. If the wizard does not detect the correct network adapters, manually select the correct adapters.
Сертификат IP-HTTPS. IP-HTTPS certificate. Это основано на общедоступном имени развертывания, которое задается на предыдущем шаге мастера. This is based on the public name for the deployment that you set during the previous step of the wizard. Если мастер не обнаруживает правильный сертификат IP-HTTPS, нажмите кнопку Обзор , чтобы вручную выбрать правильный сертификат. If the wizard does not detect the correct IP-HTTPS certificate, click Browse to manually select the correct certificate.
Щелкните Далее. Click Next.
На странице Конфигурация префикса (Эта страница отображается только при обнаружении IPv6 во внутренней сети) мастер автоматически обнаруживает параметры IPv6, используемые во внутренней сети. On the Prefix Configuration page (this page is only visible if IPv6 is detected in the internal network), the wizard automatically detects the IPv6 settings that are used on the internal network. Если для развертывания требуются дополнительные префиксы, настройте префиксы IPv6 для внутренней сети, префикс IPv6, который будет назначен клиентским компьютерам DirectAccess, и префикс IPv6, который будет назначен клиентским компьютерам VPN. If your deployment requires additional prefixes, configure the IPv6 prefixes for the internal network, an IPv6 prefix to assign to DirectAccess client computers, and an IPv6 prefix to assign to VPN client computers.
На странице Проверка подлинности выполните следующие действия. On the Authentication page:
Для развертываний с несколькими сайтами и двухфакторной проверкой подлинности необходимо использовать проверку подлинности с сертификатом компьютера. For multisite and two-factor authentication deployments, you must use computer certificate authentication. Установите флажок использовать сертификаты компьютеров , чтобы использовать проверку подлинности сертификата компьютера, и выберите корневой сертификат IPSec. Select the Use computer certificates check box to use computer certificate authentication and select the IPsec root certificate.
Чтобы включить клиентские компьютеры под управлением Windows 7 для подключения через DirectAccess, установите флажок разрешить клиентским компьютерам Windows 7 подключаться с помощью DirectAccess . To enable client computers running Windows 7 to connect via DirectAccess, select the Enable Windows 7 client computers to connect via DirectAccess check box. В этом типе развертывания также следует использовать проверку подлинности с сертификатом компьютера. You must also use computer certificate authentication in this type of deployment.
Нажмите кнопку Готово. Click Finish.
Настройка серверов инфраструктуры Configure the infrastructure servers
Чтобы настроить серверы инфраструктуры в развертывании с удаленным доступом, необходимо настроить следующие параметры. To configure the infrastructure servers in a Remote Access deployment, you must configure the following:
Сервер сетевого размещения Network location server
Параметры DNS, включая список поиска DNS-суффиксов DNS settings, including the DNS suffix search list
Любые серверы управления, которые не обнаруживаются службой удаленного доступа автоматически Any management servers that are not automatically detected by Remote Access
Настройка серверов инфраструктуры To configure the infrastructure servers
В средней области консоли управления удаленным доступом в разделе Этап 3. Серверы инфраструктуры щелкните Настроить. In the middle pane of the Remote Access Management console, in the Step 3 Infrastructure Servers area, click Configure.
На странице Сервер сетевых расположений мастера настройки серверов инфраструктуры щелкните параметр, соответствующий расположению сервера сетевых расположений в вашем развертывании. In the Infrastructure Server Setup Wizard, on the Network Location Server page, click the option that corresponds to the location of the network location server in your deployment.
Если сервер сетевого расположения находится на удаленном веб-сервере, введите URL-адрес и нажмите кнопку проверить , прежде чем продолжить. If the network location server is on a remote web server, enter the URL, and then click Validate before you continue.
Если сервер сетевых расположений размещен на сервере удаленного доступа, нажмите кнопку Обзор, чтобы найти соответствующий сертификат, а затем нажмите Далее. If the network location server is on the Remote Access server, click Browse to locate the relevant certificate, and then click Next.
На странице DNS в таблице введите дополнительные суффиксы имен, которые будут применяться как исключения таблица политики разрешения имен (NRPT). On the DNS page, in the table, enter additional name suffixes that will be applied as Name Resolution Policy Table (NRPT) exemptions. Выберите параметр локального разрешения имен и нажмите кнопку Далее. Select a local name resolution option, and then click Next.
На странице списка поиска DNS-суффиксов сервер удаленного доступа автоматически обнаруживает суффиксы домена в развертывании. On the DNS Suffix Search List page, the Remote Access server automatically detects domain suffixes in the deployment. Используйте кнопки Добавить и Удалить , чтобы создать список суффиксов домена, которые необходимо использовать. Use the Add and Remove buttons to create the list of domain suffixes that you want to use. Чтобы добавить новый суффикс домена, в поле Новый суффикс введите суффикс и нажмите кнопку Добавить. To add a new domain suffix, in New Suffix, enter the suffix, and then click Add. Щелкните Далее. Click Next.
На странице Управление добавьте серверы управления, которые не обнаруживаются автоматически, а затем нажмите кнопку Далее. On the Management page, add management servers that are not detected automatically, and then click Next. Удаленный доступ автоматически добавляет контроллеры домена и Configuration Manager серверы. Remote Access automatically adds domain controllers and Configuration Manager servers.
Нажмите кнопку Готово. Click Finish.
Настройка серверов приложений Configure application servers
При полном развертывании удаленного доступа Настройка серверов приложений является необязательной задачей. In a full Remote Access deployment, configuring application servers is an optional task. В этом сценарии для удаленного управления клиентами DirectAccess серверы приложений не используются, и этот шаг неактивен, чтобы указать, что он не активен. In this scenario for remote management of DirectAccess clients, application servers are not utilized and this step is greyed out to indicate that it is not active. Нажмите кнопку Готово , чтобы применить конфигурацию. Click Finish to apply the configuration.
Сводка конфигурации и альтернативные объекты групповой политики Configuration summary and alternate GPOs
После завершения настройки удаленного доступа отображается окно Сведения об удаленном доступе. When the Remote Access configuration is complete, the Remote Access Review is displayed. Вы можете просмотреть все параметры, выбранные ранее, в том числе следующие. You can review all of the settings that you previously selected, including:
Параметры объекта групповой политики GPO Settings
Отобразится имя объекта групповой политики сервера DirectAccess и имя объекта групповой политики клиента. The DirectAccess server GPO name and Client GPO name are listed. Чтобы изменить параметры объекта групповой политики, щелкните ссылку изменить рядом с заголовком Параметры объекта групповой политики . You can click the Change link next to the GPO Settings heading to modify the GPO settings.
Удаленные клиенты Remote Clients
Отобразится Конфигурация клиента DirectAccess, включая группу безопасности, средства подключения и имя подключения DirectAccess. The DirectAccess client configuration is displayed, including the security group, connectivity verifiers, and DirectAccess connection name.
Сервер удаленного доступа Remote Access Server
Отобразится конфигурация DirectAccess, в том числе общедоступное имя и адрес, конфигурация сетевого адаптера и сведения о сертификате. The DirectAccess configuration is displayed, including the public name and address, network adapter configuration, and certificate information.
Серверы инфраструктуры Infrastructure Servers
этот список содержит URL-адрес сервера сетевых расположений, DNS-суффиксы, используемые клиентами DirectAccess, и сведения о серверах управления. This list includes the network location server URL, DNS suffixes that are used by DirectAccess clients, and management server information.
