Comment déployer et configurer les services Bureau à distance (RDS) sur Windows Server

Commencez par préparer votre environnement Windows Server. Vous aurez besoin d'au moins trois serveurs pour un déploiement RDS approprié : un pour RD Connection Broker, un pour RD Web Access, et un pour RD Session Host. Pour les environnements de production, envisagez des serveurs séparés pour chaque rôle.

Tout d'abord, assurez-vous que tous les serveurs sont joints au domaine et ont des adresses IP statiques. Ouvrez le Gestionnaire de serveur sur votre serveur désigné comme Connection Broker (ce sera votre serveur de gestion).

# Vérifier l'appartenance au domaine sur chaque serveur
Get-ComputerInfo | Select-Object CsDomain, CsName

# Vérifier la configuration réseau
Get-NetIPAddress -AddressFamily IPv4 | Where-Object {$_.IPAddress -notlike "127.*" -and $_.IPAddress -notlike "169.*"}

Ajoutez tous les serveurs RDS au Gestionnaire de serveur pour une gestion centralisée. Naviguez vers Gérer > Ajouter des serveurs > Rechercher maintenant. Sélectionnez tous les serveurs qui participeront à votre déploiement RDS et cliquez sur OK.

Vérification : Dans le Gestionnaire de serveur, confirmez que tous les serveurs apparaissent dans la vue Tous les serveurs avec des indicateurs de statut verts.

Déployez maintenant l'infrastructure RDS principale en utilisant l'assistant de déploiement de Server Manager. Cela crée la base de votre environnement de services Bureau à distance.

Dans Server Manager, cliquez sur Gérer > Ajouter des rôles et fonctionnalités. Sélectionnez Installation des services Bureau à distance et choisissez Déploiement standard. Sélectionnez Déploiement de bureau basé sur une session pour des sessions de bureau traditionnelles.

Attribuez des serveurs à chaque rôle :

• RD Connection Broker : Votre serveur de gestion (par exemple, Contoso-CB1)
• RD Web Access : Serveur de passerelle web (par exemple, Contoso-WA1)
• RD Session Host : Serveur hébergeant les sessions utilisateur (par exemple, Contoso-SH1)

# Méthode de déploiement alternative PowerShell
New-RDSessionDeployment -ConnectionBroker "Contoso-CB1.domain.local" -WebAccessServer "Contoso-WA1.domain.local" -SessionHost "Contoso-SH1.domain.local"

Cliquez sur Déployer et laissez l'assistant terminer. Ce processus installe les rôles nécessaires et configure la connectivité de base entre les serveurs. Le déploiement peut nécessiter des redémarrages de serveur.

Vérification : Après le déploiement, accédez à Services Bureau à distance dans Server Manager. Vous devriez voir un aperçu montrant vos rôles déployés avec des indicateurs de statut verts.

RDS nécessite une licence appropriée pour fonctionner au-delà de la période de grâce de 120 jours. Ajoutez et configurez un serveur de licences RD pour gérer vos licences d'accès client (CAL).

Dans le Gestionnaire de serveur, allez à Services Bureau à distance > Aperçu > cliquez sur le + à côté de Licences RD. Sélectionnez votre serveur de courtier de connexion ou un serveur de licences dédié, puis cliquez sur Ajouter.

Activez le serveur de licences en naviguant vers Services Bureau à distance > Serveurs, en cliquant avec le bouton droit sur votre serveur de licences, et en sélectionnant Gestionnaire de licences RD. Dans le gestionnaire de licences, allez à Action > Activer le serveur.

# Ajouter un serveur de licences via PowerShell
Add-RDServer -Server "Contoso-CB1.domain.local" -Role RDS-LICENSING -ConnectionBroker "Contoso-CB1.domain.local"

# Configurer le mode de licence
Set-RDLicenseConfiguration -LicenseServer "Contoso-CB1.domain.local" -Mode PerUser -ConnectionBroker "Contoso-CB1.domain.local"

Complétez l'assistant d'activation en fournissant les informations de votre entreprise et la méthode de connexion (généralement Connexion automatique pour les serveurs connectés à Internet). Après l'activation, installez vos CAL RDS via le gestionnaire de licences.

Configurez le mode de licence dans Services Bureau à distance > Aperçu > Tâches > Modifier les propriétés du déploiement > Licences RD. Choisissez entre Par utilisateur ou Par appareil en fonction de votre type de CAL.

Vérification : Exécutez Get-RDLicenseConfiguration -ConnectionBroker "Contoso-CB1.domain.local" pour confirmer que la licence est correctement configurée.

Les collections de sessions définissent des groupes de ressources et de paramètres pour les sessions utilisateur. Créez votre première collection pour permettre l'accès des utilisateurs aux bureaux distants.

Dans le Gestionnaire de serveur, accédez à Services Bureau à distance > Collections > Tâches > Créer une collection de sessions. Fournissez un nom descriptif comme "Bureau de production" ou "Collection Finance".

Sélectionnez vos serveurs hôtes de session RD qui hébergeront les sessions utilisateur. Ajoutez des groupes d'utilisateurs qui devraient avoir accès à cette collection (généralement les utilisateurs du domaine ou des groupes de sécurité spécifiques).

# Créer une collection via PowerShell
New-RDSessionCollection -CollectionName "Bureau de production" -SessionHost @("Contoso-SH1.domain.local") -ConnectionBroker "Contoso-CB1.domain.local"

# Configurer les propriétés de la collection
Set-RDSessionCollectionConfiguration -CollectionName "Bureau de production" -MaxRedirectedMonitors 2 -ConnectionBroker "Contoso-CB1.domain.local"

Configurez les disques de profil utilisateur (UPD) pour les données utilisateur persistantes. Spécifiez un chemin UNC comme \\Contoso-CB1\UserDisks et définissez une taille maximale appropriée (généralement 20-50 Go par utilisateur). Créez ce dossier partagé avec les autorisations appropriées :

# Créer et configurer le partage UPD
New-Item -Path "C:\UserDisks" -ItemType Directory
New-SmbShare -Name "UserDisks" -Path "C:\UserDisks" -FullAccess "Domain Admins" -ChangeAccess "Domain Users"

Vérification : Vérifiez que les utilisateurs peuvent voir la collection en accédant au portail d'accès Web RD à https://Contoso-WA1.domain.local/RDWeb.

Des certificats SSL appropriés sont essentiels pour un accès RDS sécurisé, surtout lors de l'activation de la connectivité externe. Configurez des certificats pour tous les rôles RDS nécessitant des communications chiffrées.

Accédez à Services Bureau à distance > Aperçu > Tâches > Modifier les propriétés du déploiement > Certificats. Vous aurez besoin de certificats pour le courtier de connexion RD, l'accès web RD et la passerelle RD (si déployée).

Pour les déploiements internes, vous pouvez créer des certificats auto-signés, mais les environnements de production doivent utiliser des certificats d'une autorité de certification de confiance :

# Créer un certificat auto-signé pour les tests
$cert = New-SelfSignedCertificate -DnsName "contoso-wa1.domain.local" -CertStoreLocation "Cert:\LocalMachine\My"

# Exporter le certificat avec la clé privée
$pwd = ConvertTo-SecureString -String "P@ssw0rd123" -Force -AsPlainText
Export-PfxCertificate -Cert $cert -FilePath "C:\Temp\RDSCert.pfx" -Password $pwd

Appliquez les certificats à chaque rôle :

• Courtier de connexion RD : Utilisez le FQDN interne pour les certificats SSO et de publication
• Accès web RD : Utilisez le FQDN externe si accessible depuis internet
• Passerelle RD : Doit utiliser le FQDN externe correspondant au DNS public

Pour chaque certificat, cliquez sur Créer un nouveau certificat, spécifiez le FQDN approprié et enregistrez le certificat dans un emplacement sécurisé. Importez le certificat sur le serveur cible et appliquez-le via les propriétés de déploiement.

Vérification : Testez l'installation du certificat en exécutant Get-ChildItem -Path Cert:\LocalMachine\My sur chaque serveur pour confirmer que les certificats sont correctement installés.

RD Gateway permet un accès externe sécurisé à votre environnement RDS via HTTPS. Déployez ce rôle si les utilisateurs doivent se connecter depuis l'extérieur de votre réseau d'entreprise.

Dans le Gestionnaire de serveur, allez à Services Bureau à distance > Aperçu > cliquez sur le + à côté de RD Gateway. Sélectionnez votre serveur d'accès Web ou un serveur de passerelle dédié.

Fournissez le FQDN externe que les utilisateurs utiliseront pour se connecter (par exemple, rds.contoso.com) et sélectionnez ou créez un certificat SSL pour ce FQDN. Le certificat doit être approuvé par les ordinateurs clients.

# Ajouter RD Gateway via PowerShell
Add-RDServer -Server "Contoso-WA1.domain.local" -Role RDS-GATEWAY -ConnectionBroker "Contoso-CB1.domain.local" -GatewayExternalFqdn "rds.contoso.com"

Configurez les politiques de passerelle en ouvrant Gestionnaire RD Gateway depuis le Gestionnaire de serveur. Créez des Politiques d'Autorisation de Connexion (CAP) et des Politiques d'Autorisation de Ressources (RAP) :

Politique d'Autorisation de Connexion :

• Autoriser les connexions à partir de groupes d'utilisateurs spécifiés
• Configurer les méthodes d'authentification (mot de passe, carte à puce, etc.)
• Définir les valeurs de délai d'expiration de session

Politique d'Autorisation de Ressources :

• Définir quelles ressources internes les utilisateurs peuvent accéder
• Spécifier des groupes d'ordinateurs ou des serveurs individuels
• Configurer des restrictions de port si nécessaire

# Configurer le contournement de la passerelle pour le réseau local
Set-RDDeploymentGatewayConfiguration -GatewayMode Custom -LogonMethod Password -UseCachedCredentials $True -BypassLocal $True -ConnectionBroker "Contoso-CB1.domain.local"

Vérification : Testez la connectivité externe en vous connectant depuis l'extérieur de votre réseau en utilisant le FQDN de RD Gateway.

RemoteApp permet aux utilisateurs d'exécuter des applications individuelles à distance au lieu de sessions de bureau complètes. Cela offre une expérience plus fluide pour l'accès à des applications spécifiques.

Accédez à votre collection de sessions dans Services Bureau à distance > Collections > sélectionnez votre collection > Programmes RemoteApp > Tâches > Publier des programmes RemoteApp.

Sélectionnez des applications dans la liste des programmes installés sur vos hôtes de session. Les choix courants incluent les applications Microsoft Office, les applications métier ou les logiciels spécialisés.

# Publier RemoteApp via PowerShell
New-RDRemoteApp -CollectionName "Production Desktop" -DisplayName "Calculator" -FilePath "C:\Windows\System32\calc.exe" -ShowInWebAccess $True -ConnectionBroker "Contoso-CB1.domain.local"

# Lister les RemoteApps publiées
Get-RDRemoteApp -CollectionName "Production Desktop" -ConnectionBroker "Contoso-CB1.domain.local"

Configurez les propriétés RemoteApp pour chaque application publiée :

• Nom d'affichage : Nom convivial affiché dans RD Web Access
• Description : Description utile pour les utilisateurs
• Icône : Icône personnalisée pour l'application
• Paramètres de ligne de commande : Paramètres par défaut si nécessaire

Pour les applications nécessitant des autorisations utilisateur spécifiques ou des paramètres de registre, configurez-les sur les serveurs hôtes de session. Installez les applications de manière à les rendre disponibles pour tous les utilisateurs qui y accéderont à distance.

# Configurer RemoteApp pour l'affichage dans l'accès web
Set-RDRemoteApp -CollectionName "Production Desktop" -DisplayName "Calculator" -ShowInWebAccess $True -ConnectionBroker "Contoso-CB1.domain.local"

Les utilisateurs peuvent désormais accéder aux RemoteApps publiées via le portail RD Web Access ou en téléchargeant des fichiers RDP pour un lancement direct de l'application.

Vérification : Accédez au portail RD Web Access et confirmez que les applications publiées apparaissent dans la section RemoteApp et Connexions Bureau.

La dernière étape consiste à configurer RD Web Access pour la connectivité des utilisateurs et à effectuer des tests complets pour s'assurer que tout fonctionne correctement.

Accédez au portail RD Web Access en naviguant vers https://your-web-access-server/RDWeb. Les utilisateurs verront ici à la fois les RemoteApps publiées et les collections de bureaux.

Personnalisez le portail web en modifiant la configuration RDWeb. Vous pouvez changer le nom du site, ajouter l'image de marque de l'entreprise et configurer les paramètres de connexion par défaut :

Testez la connectivité des utilisateurs en vous connectant avec différents comptes d'utilisateurs qui ont reçu l'accès à vos collections. Vérifiez que :

• Les utilisateurs peuvent s'authentifier avec succès
• Les RemoteApps publiées se lancent correctement
• Les sessions de bureau se connectent et fonctionnent correctement
• Les disques de profil utilisateur sont créés et persistants
• Les connexions externes fonctionnent via RD Gateway (si configuré)

# Tester la connectivité RDS
Test-RDOUAccess -OU "CN=Users,DC=domain,DC=local" -ConnectionBroker "Contoso-CB1.domain.local"

# Vérifier les sessions actives
Get-RDUserSession -ConnectionBroker "Contoso-CB1.domain.local"

Configurez l'équilibrage de charge si vous avez plusieurs hôtes de session en ajoutant des serveurs supplémentaires à votre collection :

# Ajouter un hôte de session supplémentaire à la collection
Add-RDSessionHost -CollectionName "Production Desktop" -SessionHost "Contoso-SH2.domain.local" -ConnectionBroker "Contoso-CB1.domain.local"

Vérification : Demandez aux utilisateurs de test de se connecter depuis divers emplacements et appareils pour confirmer la fonctionnalité complète. Surveillez le déploiement via le Gestionnaire de serveur pour vous assurer que tous les services fonctionnent correctement.