Remote Desktop Services на Windows 2012

MS RDS
Задача: Установить и настроить на одиноком (standalone) удаленном сервере (не входящим ни в какие домены и рабочие группы и не имеющем ни одного компьютера в сетевом окружении):

  1. Microsoft Windows 2012
  2. Microsoft Exchange 2013
  3. Microsoft Remote Desktop Services и настроить на работу с определенным количеством пользователей.

Симптом и трудность: Установка Exchange 2013 требует наличия установленного Active Directory, в то же время RDS как полный набор служб и компонентов не ставится на контроллер домена.

Решение:

Установить Windows Server 2012 в стандартном объеме

Установить Active Directory и сопутствующие службы (DNS), завести пользователей.

Установить и настроить MS Exchange 2013 в стандартном объеме, протестировать его работоспособность

Установить несколько компонентов RDS:

  • Remote Desktop Licensing (Лицензирование удаленных рабочих столов)
  • Remote Desktop Session Host (Узел сеансов удаленных рабочих столов)
  • Remote Desktop Web Access (Веб-доступ к удаленным рабочим столам) (https://<ip-адрес сервера или имя>/rdweb)

Настроим лицензирование:

  • консоль RD Licensing Manager (Диспетчер лицензирования Удаленных рабочих столов) – Активация сервера (следуем указаниям мастера).
  • Расскажем серверу, где ему найти сервер лицензий с помощью групповой политики

Start->Run->gpedit.msc (ЛИБО Default Domain Policy)
Computer Configuration\Administrative Templates\Windows Components\Remote Desktop Services\Remote Desktop Session Host\Licensing - Use the specified Remote Desktop license servers (добавляем имя нашего сервера)
Computer Configuration\Administrative Templates\Windows Components\Remote Desktop Services\Remote Desktop Session Host\Licensing - Set the Remote licensing mode (выбираем тип лицензий)

Пуск->Выполнить->gpedit.msc
Конфигурация компьютера\Административные шаблоны\Компоненты Windows\Службы удаленных рабочих столов\Узел сеансов удаленных рабочих столов\Лицензирование - Использовать указанные серверы лицензирования удаленных рабочих столов (добавляем имя нашего сервера)
Конфигурация компьютера\Административные шаблоны\Компоненты Windows\Службы удаленных рабочих столов\Узел сеансов удаленных рабочих столов\Лицензирование - Задать режим лицензирования удаленных рабочих столов(выбираем тип лицензий)

Можно также воспользоваться методом: http://social.technet.microsoft.com/wiki/ru-ru/contents/articles/16879.windows-server-2012.aspx

 

Создаем группу в AD (используем стандартную группу “Пользователи удаленного рабочего стола”), куда поместим всех пользователей, которые будут иметь доступ к удаленному рабочему столу.

В локальной политике:
Пуск->Выполнить->gpedit.msc
Конфигурация компьютера\Параметры Безопасности\Локальные политики\Назначение прав пользователя\Разрешить вход в систему через службу удаленных рабочих столов - добавить ту самую созданную на предыдущем шаге группу. (по умолчанию группа "Пользователи удаленного рабочего стола" уже присутствует в списке, но когда сервер провозглашается контроллером домена, она удаляется из этого списка)

И последний нюанс, настройка профиля пользователя: “Требовать смены пароля при следующем входе в систему” по умолчанию при попытке входа пользователя на сервер удаленных рабочих столов порождает ошибку  “Произошла ошибка проверки подлинности. Не удается установить связь с локальным администратором безопасности.”
Решаем через отключение NLA в групповой политике:

Пуск->Выполнить->gpedit.msc
Конфигурация компьютера\Административные шаблоны\Компоненты Windows\Службы удаленных рабочих столов\Узел сеансов удаленных рабочих столов\Безопасность\Требовать проверку подлинности пользователя для удаленных подключений путем проверки подлинности на уровне сети - Отключить.

 

Для сервера, который не входит в состав домена, данный способ развертывания RDS тоже подойдет. Причем, в этом случае у нас остается возможность в случае надобности установить на нем AD и сделать его контроллером домена.