Guida completa installazione servizi desktop remoto su Windows 2008 R2 |
  
|
Guida completa installazione servizi desktop remoto su Windows 2008 R2 |
|
Introduzione
I servizi terminal sono stati rinominati in Remote Desktop Services in Windows 2008 R2
Nota su Connessione Desktop Remoto: in Windows Server 2008 è possibile utilizzare contemporaneamente due sessioni amministrative senza bisogno di nessuna licenza aggiuntiva (CAL) di Terminal Server. Come vedremo in seguito la sessione amministrativa si differenzia dalla sessione virtuale in quanto permette ad un amministratore di gestire comodamente dalla sua postazione client, il server, avendo anche sott’occhio tutti i messaggi e i processi di sistema normalmente visibili solamente dalla console.
Nota 2: per eseguire il comando mstsc in modalità “Desktop remoto per amministrazione” è sufficiente che contenga, nella sua sintassi, una delle seguenti opzioni:
1.mstsc /console : serve per tutti i client con versioni precedenti alla 6.1 del client RDP e nella versione originale distribuita con Windows Vista
2.mstsc /admin : serve a tutti i client RDP aggiornati automaticamente tramite Windows Update o nativamente da Windows server 2008 in poi
IMPORTANTE : per poter accedere tramite Desktop remoto ad un server (o ad un client) è indispensabile che tutti gli account usati abbiano una password
e che la porta TCP 3389 sia aperta in ingresso dai vari Firewall sia personal che perimetrali
Nuove funzionalità introdotte con Windows 2008 R2
Come detto precedentemente, nonostante che il client sia lo stesso occorre distinguere bene i Servizi Terminali in:
•Modalità Servizi Terminal (quella di maggior interesse)
•Desktop remoto per amministrazione (solo per attività di gestione)
La modalità Servizi Terminal introduce funzioni nuove come ad esempio le RemoteApp, il Gateway di servizi terminal, Accesso Web di servizi terminali e il VDI.
Le RemoteApp sono applicazioni che seppur sfruttando nel server la tecnologia dei servizi terminal si integrano perfettamente tra i programmi installati localmente nel pc dell’utente. In pratica quando l’utente lancia l’applicazione “RemoteApp” non gli viene presentato il desktop del server ma direttamente l’applicazione. L’utente difficilmente noterà la differenza ma l’applicazione lanciata dal suo desktop in realtà sta “girando” su di un server terminal.
Gateway di servizi terminal invece consente ad utenti precedentemente autorizzati di collegarsi ai server aziendali attraverso internet da qualsiasi posto in cui si trovino utilizzando il protocollo RDP incapsulato su HTTPS sulla porta TCP 443.
Accesso Web di servizi terminali fornisce la possibilità di eseguire, attraverso ad una pagina web, le applicazioni e i servizi offerti dal Server Terminal
Remote Services Desktop ha l’integrazione con il VDI (Virtual Desktop Infrastructure); Windows Server 2008 R2 si integra con la Virtual Desktop Infrastructure (VDI), che permette di centralizzare lo storage, l’esecuzione e la gestione di un desktop Windows direttamente sul server.
Installazione
La parte Server dei Servizi Terminal è un vero e proprio ruolo che si deve installare da “Server Manager”.
Il ruolo è composto principalmente da questi elementi fondamentali: Host Sessione Desktop remoto, Accesso Web Desktop remoto, Servizio licenze Desktop remoto, Gateway Desktop remoto, Gestore connessione Desktop remoto, Host di virtualizzazione Desktop remoto.
Per installare il ruolo :
1.Dal Server Manager fare click su Aggiungi ruoli nella sezione Riepilogo ruoli
2.
3.Partirà un wizard nel quale si potrà selezionare il ruolo “Servizi di desktop remoto”, premere avanti
4.Selezionare i sottocomponenti desiderati
5.
Selezione Servizi Ruolo
•Terminal Server o Host sessione Desktop remoto : consente a un server di ospitare programmi basati su Windows o il desktop completo di Windows. Gli utenti possono connettersi a un Terminal Server per eseguire programmi, salvare file e utilizzare le risorse di rete disponibili in tale server.
•Host di virtualizzazione Desktop remoto : è un servizio ruolo di Servizi Desktop remoto incluso in Windows Server 2008 R2. Host di virtualizzazione Desktop remoto si integra con Hyper-V per fornire macchine virtuali tramite Connessione RemoteApp e desktop. È possibile configurare Host di virtualizzazione Desktop remoto in modo che a ogni utente dell'organizzazione venga assegnata una macchina virtuale univoca o in modo che gli utenti vengano reindirizzati a un pool condiviso di macchine virtuali in cui viene assegnata dinamicamente una macchina virtuale.
•Host di virtualizzazione Desktop remoto utilizza Gestore connessione Desktop remoto per determinare dove viene reindirizzato l'utente. Se a un utente viene assegnato e richiede un desktop virtuale personale, verrà reindirizzato da Gestore connessione Desktop remoto a questa macchina virtuale. Se la macchina virtuale non è attiva, Host di virtualizzazione Desktop remoto la attiverà e quindi connetterà l'utente. Se l'utente si connette a un pool condiviso di macchine virtuali, Gestore connessione Desktop remoto innanzitutto verificherà se dispone di una sessione disconnessa nel pool. In caso affermativo, l'utente verrà riconnesso a quella macchina virtuale. In caso negativo, all'utente verrà assegnata dinamicamente una macchina virtuale del pool, se disponibile.
•Servizio licenze Servizi terminal o Servizio licenze Desktop Remoto : è un servizio ruolo che gestisce le licenze CAL di Servizi terminal necessarie ad ogni dispositivo o utente per connettersi ad un Terminal Server. Si utilizza Gestione licenze Servizi terminal per installare e rilasciare le licenze CAL di Servizi terminal, nonché per monitorarne la disponibilità, in un server licenze di Servizi terminal.
•Gateway di Servizi terminal o Gateway Desktop remoto : Un servizio ruolo che consente agli utenti remoti autorizzati di connettersi alle risorse di una rete aziendale interna da qualunque dispositivo connesso a Internet in grado di eseguire il software client di Connessione desktop remoto.
•Gestore sessioni Servizi terminal o Gestore connessione Desktop remoto : Un servizio ruolo che supporta il bilanciamento del carico di sessione tra Terminal Server in una farm del Terminal Server e la riconnessione a una sessione esistente in una farm di Terminal Server con carico bilanciato.
•Accesso Web di Servizi terminal o Accesso Web Desktop remoto : Un servizio ruolo che consente agli utenti di accedere ai programmi RemoteApp e a una connessione desktop remoto di accedere al Terminal Server tramite un sito Web. Accesso Web di Servizi terminal include inoltre Connessione Web desktop remoto che consente agli utenti di connettersi in remoto a qualsiasi computer su cui abbiano Accesso desktop remoto.
Nota: Aggiungendo il gateway Desktop remoto il wizard installerà anche il Server Web (IIS).
Proseguendo con l’installazione impostare il metodo di autenticazione
e la modalità di gestione delle licenze
Nel passaggio successivo si possono selezionare gli utenti che potranno accedere in Desktop remoto. La procedura aggiungerà automaticamente gli utenti selezionati nel gruppo “utenti Desktop remoto”
Windows Server 2008 R2 introduce per i servizi terminal l’interfaccia Aero, il supporto multi-monitor e per Windows Media Player redirection, l’audio bidirezionale, il supporto per le applicazioni 3D e per i contenuti multimediali sviluppati in Silverlight e Flash.
Nota sull'hardware necessario:orientativamente si calcola che con un processore Intel Xeon da 3,2 GHz e 4 GB di memoria un server possa ospitare almeno un 100 di utenti che eseguono un immissione di dati e una 40 di utenti che usano il pc con programmi più complessi. Aumentando i processori e portandoli a 4 si riesce a soddisfare circa 400 utenti che eseguono un immissione di dati e quasi 200 utenti con programmi più massicci.
Licenze di Servizi Deskop Remoto
Per poter usufruire dei Servizi Terminal di Microsoft è necessario installare un server di “Licenze servizi terminal” che ha il compito di convalidare e rilasciare licenze ai client RDP che vogliono accedere ad un Server Terminal e ai suoi servizi. Un server di licenze richiede l’uso di licenze ufficiali Microsoft attivate tramite Microsoft Clearinghouse. La connessione utilizza le porte 80 e 443; assicurarsi che un eventuale firewall lasci passare le connessioni su tali porte, in caso contrario si può eseguire l’attivazione tramite telefono.
Il metodo di gestione licenze di Terminal Server in Windows Server 2008 è diverso da quello utilizzato da Microsoft Windows Server 2003. Le licenze regolarmente acquistate vengono conservate in un server di licenze, quando un client chiede di connettersi per la prima volta il server terminal verifica che sia presente una licenza. Se il client presenta una licenza valida il server la convalida e gli permette di accedere. Se al contrario il client non ha una licenza, il server terminal contatta un server di licenze per verificare la disponibilità di una licenza valida, se è disponibile gliela richiede e la passa al client. Infine dopo averla convalidata il server terminal dà il permesso al client di connettersi. Se il server non ha una licenza valida o non riesce a contattare un server di licenze rifiuta l’accesso al client.
A titolo di test per i primi 120 giorni viene rilasciata una licenza temporanea ad un numero illimitato di client anche se il server non c’è un server di licenze attivato, trascorso tale periodo il client non potrà più connettersi.
Le CAL vengono rilasciate unicamente :
•per dispositivo -> valida solo per un determinato computer a prescindere dall’utente che lo usa, viene convalidata dal GUID del PC
•per utente -> valida per un utente specifico a prescindere dal dispositivo utilizzato, viene convalidata dal GUID dell’account utente
Una licenza rilasciata da un server di licenze (attraverso un server terminal) ad un client è valida per un periodo casuale che va da 52 a 89 giorni. Infatti quando un client si disconnette la licenza non viene rilasciata ma viene tenuta fino alla scadenza, dopodiché verrà restituita come inutilizzata al pool di licenze. Come abbiamo detto il server ogni volta che un client si collega verifica se la validità della licenza è valida, se il numero dei giorni di validità è uguale o inferiore a 6 la rinnova per altri 52/89 giorni. Quando ad un client gli scade la licenza o se non si è più collegato da tempo il server, alla scadenza della licenza, la rilascia al pool di licenze e da quel momento quella determinata licenza potrà essere assegnata ad altri.
E’ possibile configurare un server di licenze per l’uso dei Servizi Terminal in tutta l’azienda oppure in uno specifico dominio o gruppo di lavoro.
Nel caso si scelga l’utilizzo “in tutta l’azienda” basterà un server di licenze per tutta l’infrastruttura. Se si sceglie l’uso specifico per dominio o gruppo di lavoro sarà obbligatorio avere un server di licenze per ogni dominio o gruppo di lavoro.
Listini e Licencing : http://www.microsoft.com/italy/info/annunci/server/generale/remotedesk.mspx
Desktop remoto per amministrazione
Il desktop remoto per amministrazione permette agli amministratori di rete di collegarsi per fare manutenzione da remoto ad un server. Per impostazione predefinita tutti gli utenti che fanno parte del gruppo administrators possono già collegarsi.
Per attivare la funzionalità :
Start -> Esegui -> Control System
Cliccare su Impostazioni di connessione remota
Nella sezione Desktop Remoto abilitare la funzione
La prima opzione consente il collegamento ai client di versione 6.0 o successiva, Windows XP Sp2 o Sp3, Windows Server 2003 Sp1, Vista e Windows Server 2008
La seconda opzione consente il collegamento solamente da computer che eseguono Vista o Windows Server 2008 o computer con autenticazione protetta.
Autenticazione a livello di rete è un metodo di autenticazione che consente di completare l'autenticazione dell'utente prima che venga stabilita una connessione Desktop remoto completa e che venga visualizzata la schermata di accesso.
Per controllare la versione e se supporta l’autenticazione protetta una volta lanciato il client (mstsc) fare clic sull'icona nell'angolo superiore sinistro della finestra di dialogo Connessione desktop remoto e quindi fare clic su Informazioni su.
Per aggiungere utenti fare click su Seleziona utenti e poi sul tasto Aggiungi
Nota : se non si vuole dare il diritto di amministratore ad un utente ma si vuol delegare il medesimo ad effettuare delle manutenzioni tramite desktop remoto per amministrazione si deve fare così :
1. inserire l’utente nel gruppo utenti desktop remoto (precedente procedura)
2. nelle policy locali dare il diritto Consenti accesso tramite Servizi Desktop remoto al gruppo utenti desktop remoto
Per collegarsi in Desktop remoto l’account deve obbligatoriamente avere una password, inoltre la porta TCP 3389 deve essere aperta. Se si usa Windows firewall l’eccezione viene creata automaticamente.
Ovviamente essendo per per la sola amministrazione dei server, Microsoft dichiara che non si può assolutamente usare la suddetta modalità per il collegamento in un’ambiente di produzione e per funzioni quali ad esempio Microsoft Outlook, Word o Excel. Se si vuole disporre di queste applicazioni si deve necessariamente installare il ruolo di Terminal Server e acquistare delle CAL di Servizi Terminali.
Al contrario per usare la modalità Desktop remoto per amministrazione non è richiesta nessuna CAL, inoltre Windows server 2008 consente di utilizzare 2 sessioni amministrative attive contemporaneamente; una locale e una remota o tutte e due remote. Se una terza connessione vuole accedere, il sistema chiederà quale delle sessioni attive si vuole disconnettere.
NOTA : A differenza dei suoi predecessori Windows Server 2008 in modalità “desktop remoto per amministrazione” non può far avviare un programma alla connessione, neanche se è impostato a livello di server (come ambiente nel Tab dell’utente o nell’impostazione di “Configurazione host sessione Desktop remoto”)
N.B.: per qualsiasi ragione (sicurezza, firewall,router) è possibile modificare la porta 3389.
Desktop remoto e criteri di gruppo
I criteri di gruppo consentono di configurare l’utilizzo, sia a livello locale che di dominio (Group Policy), del desktop remoto. I “settings” si possono fare nell’ “Editor Criteri di gruppo locali” (GPEDIT.MSC) sia nella sezione di “Configurazione Utente” che in “Configurazione Computer” :
Configurazione Computer -> Modelli Ammnistrativi -> Componenti di Windows -> Servizi Desktop Remoto
Configurazione Utente -> Modelli Ammnistrativi -> Componenti di Windows -> Servizi Desktop Remoto
