none
Plusieurs collections RDS sur un seul broker RRS feed

  • Discussion générale

  • Bonjour à tous et merci par avance de votre aide sur ce sujet !

    Nous avons actuellement une infrastructure RDS composé d'un broker et deux serveurs RDS (connexion uniquement via RDP ou non par web)

    Une collection est présente "Collec1" sur le broker regroupant les deux RDS. Avec le principe du DNS round robin (enregistrement DNS pointant vers un nom "RDSInfra"), le broker dispatche bien les users vers ces deux serveurs sans soucis.

    Cependant nous voulons rajouter deux autres serveurs pour une population de users différente

    J'ai donc créé une autre collection sur le même broker "Farm2" comprenant les deux nouveaux serveurs et autorisé un nouveau groupe de users sur la collection. De plus j'ai créé deux enregistrements DNS des deux nouveaux serveurs RDS dans la ferme "RDSINFRA"

    Cependant quand des utilisateurs se connectent à la ferme "RDSINFRA", certains ont parfois des messages disant qu'il ne peuvent pas se connecter car il ne sont pas autorisé à utiliser cette collection. En effet , avec le round robin, la demande des utilisateurs est dirigé parfois vers la collections ou il ne sont pas autorisé.

    Est-il possible de gérer deux collections sur un même broker et que tous les users puissent utiliser un seul nom de connexion"RDSINFRA" et que le broker puisse diriger les connexions users en fonction des droits posés sur les collections? Ou est-on obligé d'utiliser deux fermes DNS différentes" ?

    Merci de votre aide

    Cordialement

    Kévin.B

    vendredi 25 octobre 2019 08:00

Toutes les réponses

  • Bonjour,

    Je ne suis pas sûr de comprendre...

    En effet, le principe du DNS Round Robin est de diriger de manière circulaire les clients vers plusieurs IP avec le même nom FQDN.

    Cette technique est utilisée lors d'un Broker en load balancing (càd, lorsque l'on a plusieurs brokers).

    Du coup, si vous avez un seul broker, votre "RDSInfra" devrait être dirigé uniquement vers le serveur ayant le rôle de Broker.

    Je pense que c'est là que votre problème est...


    Cordialement,

    Sylvain (MCP, MCTS Windows Server 2008 R2 Server Virtualization, MCTS Exchange 2010)

    WWW : http://snsv.consulting | Blog : http://sylvaincoudeville.fr

    "Aléatoire" et "Mystérieux" sont des qualificatifs inventés par l'Homme pour éviter de dire qu'il n'a pas trouvé la root cause du problème...

    vendredi 25 octobre 2019 08:40
  • Bonjour et merci de votre réponse!

    Nous avons mis en place le round robin avec 4 enregistrements DNS ("RDSINFRA") des 4 serveurs RDS Hote pour dispatcher les users entre les quatres serveurs. (2 serveurs dans une collection et 2 autres dans une autre collection)

    J'ai fauté sur ce point ?

    La nouvelle collection créé est utilisé par des users différents donc nous avons mis l'autorisation sur cette collection à des users différents de la première collection.

    Sauf que quand un utilisateurs se connecte , il est parfois non autorisé à se connecter car le round robin l'envoie sur un serveur ou il n'a pas les droits de s'y connecter (par exemple un utilisateur autorisé sur la collection 1 se fait jeter car le round robin l'envoie sur un serveur de la collection 2)

    Le broker ne devrait pas checker les droits sur les collections et envoyer l'utilisateur sur la collection ou il est autorisé à se connecter ?

    Cordialement




    • Modifié Kelow44 vendredi 25 octobre 2019 08:54
    vendredi 25 octobre 2019 08:52
  • En effet, vous avez mal compris je pense.

    Le Broker est le rôle qui permet de rediriger l'utilisateur vers le bon RDSH selon la collection demandée et selon la charge des multiples RDSH correspondants.

    Si vous avez un seul Broker (ce qui est votre cas), les utilisateurs doivent tous se connecter à ce Broker et uniquement à lui.
    Donc, votre "RDSInfra" doit pointer vers ce serveur uniquement.

    Dans votre cas, les utilisateurs arrivent aléatoirement sur un des 4 serveurs RDSH :

    • S'il tombe sur le RDSH qui est aussi Broker : tout va bien
    • S'il tombe sur un RDSH avec la bonne collection : tout va bien aussi
    • S'il tombe sur un RDSH non-broker avec la mauvaise collection : il ne fait éjecter !

    Plusieurs solutions :

    • Séparer le rôle broker des rôles RDSH (recommandé) : installez le rôle sur un serveur dédié (et profitez-en pour un créer un secours) : faites pointer RDSInfra vers ces IP's
    • Ajouter le rôle broker sur un RDSH supplémentaire : faites pointers RDSInfra vers les 2 IP's des 2 Brokers
    • Laissez les rôles tels quels : faites pointer RDSInfra uniquement sur l'IP du Broker

    Cordialement,

    Sylvain (MCP, MCTS Windows Server 2008 R2 Server Virtualization, MCTS Exchange 2010)

    WWW : http://snsv.consulting | Blog : http://sylvaincoudeville.fr

    "Aléatoire" et "Mystérieux" sont des qualificatifs inventés par l'Homme pour éviter de dire qu'il n'a pas trouvé la root cause du problème...


    vendredi 25 octobre 2019 09:08
  • Ha j'y vois plus clair, donc un enregistrement "RDSinfra" pour que les utilisateurs puissent se connecter sur le broker qui redirige ensuite les utilisateurs sur la bonne collection --> OK

    Le rôle broker est séparé sur un serveur dédié pour lui

    Par contre je viens de faire un test, et quand un utilisateur se connecte sur l'IP RDSINFRA correspondant au broker , il est stipulé que l'utilisateur n'est pas autorisé pour le bureau à distance et que le serveur n'a pas activer le bureau à distance.

    C'est comme si il tentait de se connecter au broker en rdp directement vu que l'on a renseigné L'ip du broker dans le DNS pour "RDSInfra" et forcément , sur le broker, le rdp n'est pas activé.

    En vous remerciant

    Kévin.B


    • Modifié Kelow44 vendredi 25 octobre 2019 09:16
    vendredi 25 octobre 2019 09:15
  • Voici un article qui explique en détail le fonctionnement du Broker et comment créer les fichiers de configuration RDP :

    https://rdr-it.com/ferme-rds-configuration-service-broker-haute-disponibilite/

    Ou plus, général, celui-ci qui couvre tous les sujets (RDSH, RDSW...) :https://rdr-it.com/deployer-ferme-rds-2012r2-2016-2019/

    Je vous conseille de bien vous documenter et de revoir votre déploiement en fonction.


    Cordialement,

    Sylvain (MCP, MCTS Windows Server 2008 R2 Server Virtualization, MCTS Exchange 2010)

    WWW : http://snsv.consulting | Blog : http://sylvaincoudeville.fr

    "Aléatoire" et "Mystérieux" sont des qualificatifs inventés par l'Homme pour éviter de dire qu'il n'a pas trouvé la root cause du problème...

    vendredi 25 octobre 2019 09:24
  • Bonjour,

    Il vous faut utiliser un RDP généré par le rdweb (c'est à dire qu'en mstsc, vous ne pouvez pas vous connecter à un des RDSH en attaquant le broker)

    vendredi 25 octobre 2019 09:25
  • D'accord, je croyais que l'on pouvait attaquer directement le broker depuis un mstsc classique et celui ci redirige vers la collections sur laquelle les utilisateurs ont les droits .

    Donc là obliger coute que coute de générer le mstsc avec le paramètre qui définit la collection que l'on veux attaquer ?

    Merci a vous pour votre aide

    Cordialement

    Kévin.B

    vendredi 25 octobre 2019 14:45
  • Tout à fait. 

    (que l'on me contredise le cas échéant !)

    vendredi 25 octobre 2019 15:53
  • Bonjour,

    En effet depuis RDS 2012 il n'y a que 2 méthodes supportées pour se connecter à une infra RDS :

    -Abonnement remoteApp que l'on paramètre dans le panneau de configuration (ou via gpo)

    -Portail rdweb car le fichier rdp est personalisé et contient toutes les informations nécessaire par le client pour se connecter à l'infra.

    Vous pouvez trouver pas mal de ressources rds intéressantes sur ces 2 sites :

    https://hichamkadiri.wordpress.com/category/tse-rds/

    https://ryanmangansitblog.com/2015/03/02/rds-2012-deployment-and-configuration-guides/


    Merci de marquer comme reponses les interventions qui vous ont ete utile.


    samedi 26 octobre 2019 11:30
  • Bonjour,

    Aie, ca ne m'arrange pas du tout :s

    Merci à tous pour vos réponses

    Cordialement

    Kévin.B

    lundi 28 octobre 2019 09:00
  • Bonjour,

    il te faut 2 FQDN pour te connecter aux différentes fermes.

    Tu crées un certificat générique pour ton broker et tu lui rajoutes 2 alias (un par collection)

    CN = *.mondomaine.fr

    DNS=collec1.mondomaine.fr

    DNS=collec2.mondaomine.fr

    dans ton DNS tu crées les deux noms.

    au niveau de tes serveurs RDSH tu n'oublies pas de modifier l'empreinte numérique de ton serveur pour ton nouveau certificat.

    tu auras 2 raccourcis pour tes utilisateurs suivant leur collection.

    Cordialement

    Thierry

    mercredi 30 octobre 2019 14:23