none
Serveur RDS et DC séparés comment les paramétrer ? RRS feed

  • Question

  • Bonjour,

    voilà j'essaye de démêler une installation réseau déjà crée et comprendre son fonctionnement de l'aide serait la bienvenue :

         j'ai un serveur DC 2016 et serveur de fichiers qui permet l'identification des personnes autorisées à se connecter au domaine et un serveur RDS aussi W.2016 à côté qui permet la connexion en bureau à distance. 

         Les utilisateurs distants attaque l'ip du serveur RDS (par ce que vpn...)  avec le "bureau à distance" et s'identifient avec leurs identifiants du DC.

        Donc j'ai vu qu'il était préférable effectivement de séparer les 2 serveurs DC et RDS mais mes questions sont les suivantes :

        1) Pourquoi séparer les serveurs DC et RDS ?

        2) Comment se passe la relation entre les serveurs DC et RDS pour que quand ils attaquent le RDS il s'identifient avec les identifiants du DC ? 

        3) Dans une configuration comme celle ci comment est ce configuré pour utiliser les programmes et fichiers installés sur le DC alors qu'ils attaquent le RDS. Je comprend pas comment configurer pour que par exemple le programme qu'ils utilisent en Lan sur le DC soit proposé sur leur bureau de connexion à distance alors qu'il attaque le RDS. Où est ce que cela se configure ?

    Merci d'avance pour votre aide.

        

        

        


    dimanche 17 septembre 2017 11:26

Réponses

  • il faut donc ajouter le RDS au domaine du DC

    Soit il doit être membre du domaine, soit membre d'un domaine approuvé par le DC pour qu'il puisse demander la validation des identités. 

    C'est que les utilisateurs attaque l'ip du serveur RDS avec un bureau à distance et se retrouvent à utiliser des applications d'un autre serveur 

    L'exécutable peut dans certain cas se trouver hébergé sur un partage sur un autre serveur, mais le raccourci et sur le bureau du RDS et l'execution du programme se fait sur le serveur RDS. 

    Donc si effectivement comme vous dîtes le serveur RDS doit également être séparé du serveur applicatif 

    J'ai dit qu'il ne fallait pas mettre d'application sur le DC, le serveur RDS peut contenir des applications compatible avec le bureau à distance (certain applicatif n'admettent pas d'être exécuté sur des sessions différentes sur la même machine).

    Pour moi quand on se connecte en "bureau à distance" on arrive sur le bureau de la machine que l'on vise non ? peut on gérer les bureaux selon les utilisateurs ?

    Oui l'utilisateur accède au bureau sur le serveur. Néanmoins il peut avoir des éléments propre à sa session et/ou des éléments communs à l'ensemble des utilisateurs du serveur RDS.

    Le serveur RDS sert à quoi en fait ? 

    Le serveur RDS mutualise des sessions sur un serveur. Certaine entreprise se connecte sur le serveur TS en utilisant des clients léger et n'ont donc pas d'ordinateurs pour les utilisateurs. Certain l'utilise pour faciliter les accès distants pour les nomades. Le serveur RDS peut contenir des applicatifs spécifique ou généraliste.

    Par ce que par défaut sans RDS on peut tout de même faire une connexion à distance sur un serveur ou machine ? non ? 

    Si vous n'avez pas le rôle et les licences RDS, vous avez droit à deux sessions pour ADMINISTRATION, ce n'est pas des sessions de travail pour les utilisateurs.


    dimanche 17 septembre 2017 21:36

Toutes les réponses

  • 1) Pourquoi séparer les serveurs DC et RDS ?

    Le DC joue le rôle d'authentification, de gestion centralisé des identités (annuaire LDAP) et gestion centralisé des paramètres des postes clients. Tous les postes et serveurs membres du domaine ou d'un domaine approuvés peuvent utiliser ces services. Le DC pour des raisons de sécurités ne devrait pas cumuler plusieurs rôles et pour certains rôles il y a des problèmes réél de compatibilité à gérer.

        2) Comment se passe la relation entre les serveurs DC et RDS pour que quand ils attaquent le RDS il s'identifient avec les             identifiants du DC ? (

    Dans un domaine les postes membres comme le serveur RDS utilisent les services DNS pour localiser les services y compris de l'anuaire Active  Directory. Ils peuvent soumettre au DC de valider l'identité d'un utilisateur par différent protocole : NTLM, Kerberos, Authentification LDAP , etc ...

     

        3) Dans une configuration comme celle ci comment est ce configuré pour utiliser les programmes et fichiers installés sur le           DC alors qu'ils attaquent le RDS. Je comprend pas comment configurer pour que par exemple le programme qu'ils                   utilisent en Lan sur le DC soit proposé sur leur bureau de connexion à distance alors qu'il attaque le RDS. Où est ce que           cela se configure ?

    Les programmes ne sont pas à mettre sur le DC, mais sur le poste de travail ou sur des serveurs applicatifs.

    Depuis la session RDS il est possible d'accéder au fichier sur un serveur hébergeant le rôle de serveur de fichier à l'aide de partage réseau. Il est déconseillé de faire un serveur de fichier sur un contrôleur de domaine même si le scénario ce rencontre souvent dans de petites structures. Par contre ne pas cumuler RDS, Exchange avec le rôle de DC est plus qu'une simple recommandation, il peut y avoir des incompatibilité ou des complications dans la gestion.

    dimanche 17 septembre 2017 12:16
  • Bonsoir et merci pour votre réponse qui m'a déjà éclairé sur une partie du problème.

    pour faire suite à la question 2 il faut donc ajouter le RDS au domaine du DC pour que l’identification se fasse sur le RDS. (Ah ok merci j'ai compris)

    Maintenant ce que je ne comprends pas c'est que les utilisateurs attaque l'ip du serveur RDS avec un bureau à distance et se retrouvent à utiliser des applications d'un autre serveur applicatif. Les icônes sont déjà sur le bureau quand ils arrivent dessus. Pour moi quand on se connecte en "bureau à distance" on arrive sur le bureau de la machine que l'on vise non ? peut on gérer les bureaux selon les utilisateurs ?

    Donc si effectivement comme vous dîtes le serveur RDS doit également être séparé du serveur applicatif comment c'est configuré pour viser le RDS en bureau à distance et se retrouver sur une session du serveur applicatif ? Le serveur RDS sert à quoi en fait ? uniquement à optimiser les multiples connexions "bureau à distance" ?

    Par ce que par défaut sans RDS on peut tout de même faire une connexion à distance sur un serveur ou machine ? non ? 

    Merci d'avance.

    dimanche 17 septembre 2017 19:18
  • il faut donc ajouter le RDS au domaine du DC

    Soit il doit être membre du domaine, soit membre d'un domaine approuvé par le DC pour qu'il puisse demander la validation des identités. 

    C'est que les utilisateurs attaque l'ip du serveur RDS avec un bureau à distance et se retrouvent à utiliser des applications d'un autre serveur 

    L'exécutable peut dans certain cas se trouver hébergé sur un partage sur un autre serveur, mais le raccourci et sur le bureau du RDS et l'execution du programme se fait sur le serveur RDS. 

    Donc si effectivement comme vous dîtes le serveur RDS doit également être séparé du serveur applicatif 

    J'ai dit qu'il ne fallait pas mettre d'application sur le DC, le serveur RDS peut contenir des applications compatible avec le bureau à distance (certain applicatif n'admettent pas d'être exécuté sur des sessions différentes sur la même machine).

    Pour moi quand on se connecte en "bureau à distance" on arrive sur le bureau de la machine que l'on vise non ? peut on gérer les bureaux selon les utilisateurs ?

    Oui l'utilisateur accède au bureau sur le serveur. Néanmoins il peut avoir des éléments propre à sa session et/ou des éléments communs à l'ensemble des utilisateurs du serveur RDS.

    Le serveur RDS sert à quoi en fait ? 

    Le serveur RDS mutualise des sessions sur un serveur. Certaine entreprise se connecte sur le serveur TS en utilisant des clients léger et n'ont donc pas d'ordinateurs pour les utilisateurs. Certain l'utilise pour faciliter les accès distants pour les nomades. Le serveur RDS peut contenir des applicatifs spécifique ou généraliste.

    Par ce que par défaut sans RDS on peut tout de même faire une connexion à distance sur un serveur ou machine ? non ? 

    Si vous n'avez pas le rôle et les licences RDS, vous avez droit à deux sessions pour ADMINISTRATION, ce n'est pas des sessions de travail pour les utilisateurs.


    dimanche 17 septembre 2017 21:36

  • Merci vous avez répondu à mes questions.

     Il est possible que je revienne sur ce forum d'ici peu, au fur et à mesure de mes découvertes.

    Merci encore

    lundi 18 septembre 2017 17:18