Jean-Sébastien DUCHENE Blog's

Actualité, Tips, Articles sur l'ensemble des Technologies Microsoft (Microsoft Intune, ConfigMgr, Microsoft Defender, Microsoft Purview, Microsoft Azure, Windows...)

3. VDI : Configuration des rôles

 

L’installation de tous les rôles étant terminée, nous allons pouvoir passer à la configuration de ceux-ci. Notez que certains rôles (RD Virtualization Host, RD Session Host) ne nécessitent pas de configuration particulière.

 3.1 Configuration du rôle Hyper-V

Commençons par la configuration de l’hyperviseur hébergeant les machines virtuelles.
Ouvrez la console Hyper-V Manager et sélectionnez dans la barre d’action « Hyper-V Settings ».
Configurez les répertoires de stockage des disques virtuels et des machines virtuelles (fichiers de configurations)

Vous pouvez aussi configurer les autres paramètres comme le raccourci de libération de la souris, ou les comportements vis-à-vis des informations d’authentification.

Toujours sur la console Hyper-V Manager, sélectionnez dans la barre d’action « Virtual Network Manager ». A l’aide de ce gestionnaire, créez les différents réseaux dont vous avez besoin pour l’infrastructure (externe, interne ou privé). Vous allez notamment devoir créer un réseau Externe pour que les machines virtuelles puissent communiquer avec le reste du réseau.

 

 3.2 Ajout des permissions au serveur Web Access sur le serveur Connexion Broker

Avant de continuer et ce afin que le serveur RD Web Access puisse interagir et configurer le serveur RD Connexion Broker, nous allons devoir ajouter le compte ordinateur du serveur RD Web Access au groupe de sécurité local TS Web Access Computers du serveur RD Connexion Broker.

Pour cela, connectez-vous au serveur RD Connexion Broker.
Ouvrez le panneau de configuration, choisissez « Administrative Tools » puis sélectionnez « Computer Management ».
La console « Computer Management », cliquez sur « Local Users and Groups » puis « Groups ».
Cliquez sur le groupe « TS Web Access Computers », ajoutez le compte ordinateur du serveur RD Connexion Broker :

 

 3.3 Configuration du rôle Remote Desktop Web Access

L’objectif de cette partie est de configurer le rôle Remote Desktop Web Access pour un fonctionnement dans le cadre de l’infrastructure VDI.

Avant de se lancer dans la configuration de RD Web Access, nous allons exporter le certificat de la machine afin que celui-ci puisse être ajouté sur les différents clients. Ceci permettra aux différents de clients d’approuver le portail RD Web Access. Néanmoins, ceci n’est pas à appliquer si vous avez choisi le scénario d’utilisation d’un certificat issue d’une autorité de certification publique ou si vous avez utilisé votre autorité de certification interne et approuvée par les clients.

Connectez-vous au serveur Remote Desktop Web  Access, ouvrez la console d’administration Microsoft (MMC). Ajoutez le composant enfichable « Certificates ». Choisissez d’administrer les certificats du compte ordinateur :

Le composant chargé, développez l’arborescence « Certificates => Personal => Certificates ».
Cliquez droit sur le certificat de la machine (portant son FQDN) et sélectionnez « All Tasks => Export … ».

L’assistant d’export du certificat s’ouvre, passez l’écran de bienvenue.
Passez l’écran « Export Private Key » en vous assurant que l’option « No, do not export the private key » est sélectionnée.

Sur la page « Export File Format », sélectionnez « DER encodaged binary X.509 (.CER) » et passez à l’étape suivante :

Sur l’écran « File to Export », sélectionnez le chemin et nom du certificat exporté. Puis terminez l’export en sélectionnant « Finish ».

Une fois le certificat exporté, gardez-le de côté pour la suite de l’implémentation.

Nous allons maintenant configurer une source pour le serveur Remote Desktop Web Access.

Cliquez sur Démarrer puis Administrative Tools, choisissez Remote Desktop Services et ouvrez Remote Desktop Web Access Configuration.
Internet Explorer s’ouvre avec l’accès au portail RD Web Access, cliquez sur Continue to this website (not recommended).

Entrez les identifiants de connexion de l’administrateur du domaine. Sur la page principale, sélectionnez l’onglet Configuration.
Sélectionnez ensuite « An RD Connection Broker server » et entrez dans le cadre « Source name » le nom NetBIOS ou de domaine pleinement qualifié de la machine hébergeant le rôle RD Connexion Broker
.

Cliquez sur OK pour confirmer. Cette opération aura pour effet de configurer le portail d’accès mais aussi le serveur Remote Desktop Connexion Broker pour lui spécifier la machine servant de portail d’accès.

 

 3.4 Configuration du rôle Remote Desktop Connexion Broker

L’étape qui suit va nous permettre de configurer le rôle Remote Desktop Connexion Broker afin qu’il puisse opérer dans le cadre de bureaux virtuels offerts par Microsoft VDI.
Pour cela, connectez-vous au serveur hébergeant ce rôle et ouvrez la console d’administration « Remote Desktop Connexion Manager » (Start => All Programs => Administration Tools => Remote Desktop Services => Remote Desktop Connexion Manager).

La console ouverte, cliquez droit le nœud « Remote Desktop Connexion Manager » et sélectionnez « Configure Virtual Desktops… ».
L’assistant de configuration des bureaux virtuels s’ouvre, lisez attentivement l’écran « Before You Begin ».

A l’étape « Secify an RD Virtualization Host Server », entrez le nom d’hôte du serveur Hyper-V hébergeant le rôle Remote Desktop Virtualization Host et cliquez sur « Add » :

 

Ajoutez autant de serveurs Hyper-V qu’il faut pour votre infrastructure. Ceci dépend du nombre de bureaux virtuels que vous souhaitez mettre à disposition.

Sur l’écran « Configure Redirection Settings », nous devons entrer les informations sur le serveur servant à spécifier le serveur RD Session Host.
Avant de compléter cet écran, si vous souhaitez rendre disponible la fonctionnalité pour les clients utilisant Remote Desktop Connection (RDC) 6.1, nous allons devoir configurer un nom alternatif à ce serveur.

Pour cela, accédez à la console de votre serveur DNS (DNS Manager).
Ajoutez un enregistrement de type Alias (CNAME) pour le serveur Remote Desktop Session Host (dans mon cas WT-RDSSH) en spécifiant un nom alternatif. Personnellement, j’ai choisi WT-TSSH pour TerminalServerSessionHost.

Une fois cette configuration faite, revenez à l’assistant de configuration sur le serveur RD Connexion Broker. Dans le champ « Server Name », entrez le nom de domaine pleinement qualifié (FQDN) de votre serveur Remote Desktop Session Host.
Si vous disposez de clients utilisant Remote Desktop Connection (RDC) 6.1, cochez « Enable redirection for earlier RDC versions » et spécifiez le nom alternatif précédemment configuré.

Enfin dans le cadre « Automatic Configuration », assurez-vous que la case « Do not automatically configure » pour que l’assistant configure automatiquement le serveur Remote Desktop Session Host en mode redirection. Si vous souhaitez faire cette manipulation manuellement, je vous renvoie vers la documentation Technet.

Rappel : Notez qu’un serveur Remote Desktop Session Host servant dans le cadre de VDI en mode redirection ne peut pas servir des sessions d’accès aux applications hébergées sur ce même serveur.

L’étape « Specify an RD Web Access Server » ne nécessite aucune opération puisque la spécification du portail Web Access sur le serveur RD Connexion Broker a été opéré dans la sous partie précédente. Néanmoins, si vous n’avez pas suivi mes indications précédentes, vous pouvez spécifier le nom du serveur RD Web Access. Je vous invite aussi à vous reporter à la sous partie précédente pour configurer les permissions d’accès au serveur RD Web Access.

Enfin sur l’écran « Confirm Changes », confirmez la configuration en cliquant sur « Apply » 

Sur la page de résumé, assurez-vous que tous les paramétrages sont au vert et cliquez sur « Finish »

 

 3.5 Organisation de l’annuaire Active Directory

Faisons un point côté Active Directory, cette partie est purement écrite à titre informatif.
J’ai organisé la chose de la façon suivante :

Je dispose d’une unité d’organisation par site.
Chaque site contient un dossier Groups, Servers, Users, Workstations. Le dossier Servers contient un dossier RDS contenant tous les serveurs disposant d’un rôle RDS. Le conteneur Workstations contient une unité d’organisation « VDI VMs ». Ce même conteneur dispose de deux unités d’organisation pour chaque type de système d’exploitation. Le but est bien entendu de séparer les machines virtuelles VDI du reste des postes de travail en les différenciant par le système d’exploitation qu’elles proposent.

J’ai créé une GPO pour distribuer le certificat de la machine RD Web Access aux postes de travail de mon organisation afin qu’ils n’aient pas de problème avec le certificat lors de l’utilisation du portail.
J’ai aussi créé une GPO pour les machines virtuelles VDI afin d’autoriser les connexions Remote Desktop à travers le Firewall et ce pour le Firewall avancé de Windows 7 et le Firewall « classic » de Windows XP.

 

 3.6 Personnalisation de RD Web Access

Connectez-vous au serveur Remote Desktop Connexion Broker. Ouvrez la console d’administration « Remote Desktop Connexion Manager » (Start => All Programs => Administration Tools => Remote Desktop Services => Remote Desktop Connexion Manager).

La console ouverte, ouvrez l’arborescence « Remote Desktop Connexion Manager » et sélectionnez « Change » dans la partie « Properties » en face de « Display Name ». La fenêtre des propriétés de RemoteApp and Desktop Connection s’ouvre, changez le nom d’affichage en spécifiant le nom de votre entreprise :

Vérifiez que le nom de domaine pleinement qualifié (FQDN) est entré dans le champ « Connection ID ».

Dans l’onglet « RD Web Access », vérifiez que les serveurs Remote Desktop Web Access sont bien présents dans la liste. Vous pouvez ajouter des serveurs RD Web Access selon vos besoins pour pouvoir leur donner les informations nécessaires (pool de bureaux virtuels, bureaux virtuels personnels…) à l’accès des ressources.

 

 3.7 Configurations des bureaux virtuels

Nous allons voir comment configurer les différentes options concernant les bureaux virtuels.
Pour cela, connectez-vous au serveur Remote Desktop Connexion Broker. Ouvrez la console d’administration « Remote Desktop Connexion Manager » (Start => All Programs => Administration Tools => Remote Desktop Services => Remote Desktop Connexion Manager).

La console ouverte, ouvrez l’arborescence « Remote Desktop Connexion Manager => RD Virtualization Host Servers». Cliquez droit sur «RD Virtualization Host Servers » et sélectionnez « Create Virtual Desktop Pool ». La fenêtre de propriétés des bureaux virtuels s’ouvre.
Sur l’onglet « Redirection Settings », vérifiez que le nom de serveur correspond au nom de domaine pleinement qualifié du serveur RD Session Host. Vous pouvez aussi spécifier un nom alternatif pour permettre le support des clients RDC 6.1 ou moins.

L’onglet « RD Gateway Settings » permet de spécifier les paramètres liés à la passerelle Remote Desktop (RD Gateway). Vous pouvez détecter automatiquement les paramètres du serveur RD Gateway ou spécifier les paramètres manuellement :

Enfin, l’onglet « Digital Signature » permet de signer le fichier RDP communiqué aux clients (par le biais du portail Web Access ou de l’agrégateur de flux RemoteApp and Remote Desktop Connections). Ceci ajoute une sécurité supplémentaire à votre infrastructure. Vous devez ensuite ajouter l’empreinte digitale du certificat afin qu’elle soit approuvée par les clients du domaine.

Note : Pour ajouter l’empreinte digitale du certificat, vous pouvez utiliser le paramètre de stratégie de groupe « Specify SHA1 thumbprints of certificates representing trusted .rdp publishers » accessible par l’arborescence « Computer Configuration\Policies\Administrative Templates\Windows Components\Remote Desktop Services\Remote Desktop Connection Client » de la console d’administration des stratégies de groupe (GPMC)

Revenir au plan : http://microsofttouch.fr/blogs/js/pages/microsoft-virtual-desktop-infrastructure-vdi-sous-tous-ses-angles.aspx

Facebook Like