none
Проблемы и решения при установке SBS 2008 с совмеcтным разворачиванием Remote Workplace и Remote App. RRS feed

  • Вопрос

  • Здравствуйте! Хочу поднять проблемы внедрения SBS 2008 Premium с совместным разворачиванием Remote WorkPlace и RemoteApplication, доступа к ним пользователей как из локальной сети, так и из Интернета, вынести на обсуждение ряд проблем, которые мне решить пока не удалось, а также поделиться практическим опытом решения некоторых возникаюших при этом вопросов. Итак:

    Приобрели SBS 2008 Premium. При установке, основного сервера, как водится, помучился с двумя сетевыми картами, вывод: если на вашем сервере есть две сетевые карты, при установке основного сервера SBS 2008, одну из карт придется отключить, аппаратно, или программно, иначе нормальной устойчивой работы добиться невозможно, SBS 2008 не рассчитан на работу с более, чем одной сетевой картой ни отдельно, ни в режиме комплексирования. Что бы кто не писал, никакие ухищрения и попытки заставить SBS 2008 работать с двумя сетевыми картами не помогают- все равно через некоторое время у вас возникнут проблемы, тормоза и потеря соединения. Соедините не менее, чем ГИГАБИТНЫМ каналом ОДНУ серверную сетевую карту со свичом, вторую - отключите, и забудьте о ней, и о всех сетевых проблемах. Практика показывает, что для малого бизнеса этого будет ВПОЛНЕ достаточно. Сказанное не касается вспомогательного сервера 2008 STD из комплекта SBS 2008 Premium, на него эти ограничения не распространяются, сетевых карт скомплексировать можно несколько, нужно лишь строго следить за их типом по списку совместимости, особенно, если у вас старенький физический сервер- Windows 2008 STD server поддерживает далеко не все типы сетевых карт. Например, я напоролся со старой встроенной сетевой картой INTEL PRO/1000 XT, которая упорно чудила при объединении в Teaming. Проверил: в списке совместимого оборудования она отсутствовала, отключил ее, и все пришло в норму.

    Далее: Имеем основной серверХ64 SBS 2008 - контроллер AD SBS и Exchange2007 + второй серверХ32 со штатным комплектом 2008 STD, на нем развернут  SQL 2008, поднят Terminal server + License Server. На втором сервере сначала попытался поднять второй контроллер домена (хотел иметь резервный DC), - на удивление он поднялся и заработал, как я понял, для этого надо брать не просто стороннюю редакцию сервера 2008 STD, а именно его редакцию, идущую в комплекте SBS 2008 Premium- они отличаются. (Правда, в AD, оснастка  Пользователи и компьютеры, при этом возникла некая совмещенная мешанина из домена SBS 2008 и стандартного домена 2008 STD, так что никому более так делать не советую!). После этого прочитал в документации, что терминальный сервер можно поднимать только на вспомогательном сервере SBS Premium, на основном он работать не будет.   Поднял на 2008 STD сервер TS+сервер лицензированимя. Успешно запустил Remote Application, опубликовал приложения. Задача стояла - обеспечить к ним доступ как локальных, так и удаленных пользователей через Интернет. На основном сервере SBS 2008 развернул компоненты WEB-доступа к службам терминалов+Шлюз TS. Как и положено, попутно на нем развернулся IIS-7 c Компонентом RPC через HTTP-прокси,   и запустились все необходимые дополнительные компоненты IIS-7. На IIS-7 возник узел Default Web Site запуска удаленных приложений, который немедленно вошел в конфликт с установленным по умолчанию узлом SBS 2008, (включающим в себя OWA, SharePoint). Они работают на одном пространстве адресов\портов, и оба устанавливаются в IIS-7 по умолчанию, так что работать одновременно может только один из них. Этот вопрос оказался разработчиками совершенно непродуман, и  для его решения они предлагают неуклюжий механизм, включающий правку реестра, известный, как Изменение местоположения установки компонентов TS Web Access, (причем, как выяснилось, сделать это надо было ЕЩЕ ДО установки компонента WEB-доступа к удаленным приложения), и описанный в Пошаговом руководстве, например, здесь:

    http://www.oszone.net/5542/#nav12

    Честно говоря, я ничего из этого не понял: изменения IP-адреса в условиях одной сетевой карты и постоянного IP-адреса сервера что, предполагает установку этого компонента на другой физический сервер? Использовать второй 2008 STD, или же лучше разворачиватьl дополнительный Windows 2008 WEB-server, бесплатный лицензионный диск которого содержит комплект SBS 2008 Premium? Или одной сетевой карте основного сервера надо присваивать два IP-адреса? Что тогда прописывать в DNS? А если физический сервер- другой, тогда на нем тоже должен быть развернут IIS-7?  А изменение порта влечет за собой перенастройку всех компьютеров сети, а также- удаленных клиентов, существующих и будущих, а также их маршрутизаторов? Кто может внятно объяснить механизм реализации этого решения, как все это реализовать в рамках малого предприятия, имея всего лишь два сервера с установленной на них системой SBS-2008, локальную сеть и один маршрутизотор? Короче, тут все очень мутно, прошу помощи у сообщества. Пока один из устанавливаемых по умолчанию узлов IIS-7 (тот который обслуживает RemoteApp) я в диспетчере IIS-7 отключил, а его функциональность попытался встроить публикацией приложений на штатном WEB-узле SBS-2008 по методу Michael's Lair, который изложил Михаил Гоч тут:

    http://gotch.techfaq.ru/archives/282

    Скажу сразу: получилось, но с полной функциональностью не заработало: при входе под учетной записью администратора WEB части на странице RWW Удаленные приложения не появляется вкладка Конфигурация. Далее, действуя по инструкции пошаговой установки, в целях заполнения группы компьютеров веб-доступа к службам терминалов  в диспетчере удаленных приложений RemoteApp служб терминалов, дошел до регистрации сервера с Шлюзом TS Gate на вспомогательном сервере 2008 STD, в локальной группе "компьютеры WEB-доступа к серверу терминалов".  Но тут обнаружил свою ошибку: так как я поднял на вспомогательном 2008 STD второй контроллер домена, то никаких локальных пользователей и групп на нем, по определению, не было! Их функции в таких случаях берет на себя AD. Но AD (Оснастка Пользователи и компьютеры) - никаких групп "компьютеры веб-доступа к службам терминалов" тоже не появилось. Группа компьютеров веб-доступа в диспетчере шлюза не могла быть заполнена. А тут еще я прочитал, что DC в системе SBS 2008 может быть только один. И я решил вопрос понижением роли 2-го сервера 2008 STD  до обычного сервера, почистил его записи в DNS, а потом, согласно инструкции, перенес его учетную запись в оснастке Пользователи и компьютеры AD в в организационное подразделение SBSServers в сети Windows Small Business Server 2008. Все пришло в норму- в консоли управления SBS он исправно отразился в составе серверов SBS, причем на нем появились локальные пользователи и группы, среди которых появилась группа "компьютеры веб доступа к службам терминалов", в которую я включил учетную запись основного сервера 2008 SBS на котором я переустановил роли веб-доступа и Шлюза TS. Затем помучился с самоизданным сертификатом, который не давал работать через Интернет: Сертификат SSL ведь устанавливается на IIS-7 ТОЛЬКО один и выпускается он для определенного адреса. А WEB-адресов начальной WEB-страницы в IIS-7 в нашем случае получается два: для локальных пользователей   один, внутренний, выдаваемый внутренним DNS-server в составе SBS 2008 по имени remote.mydomen.ru, а для удаленных пользователей из интернета, другой- чаще всего по внешнему IP-адресу, выданному провайдером, ведь в интернете наш внутренний адрес remote.mydonen.ru никому неизвестен. Получается что доступ к WEB-узлу по умолчанию в SBS-2008 возможен, в зависимости от имени, указанном в установленном SSL-сертификате, либо внутренним, либо только внешним пользователям,  а остальным- выдается ошибка: несоответствие SSL-сертификата имени узла, и соединение не происходит.  Списался по этому поводу с Михаилом Гочем (Michael Gotch), он предложил пойти по сложному пути использования использование атрибута SAN (Subject Alternative Name) в сертификате с указанием альтернативных имен вашего узла. http://support.microsoft.com/kb/931351

    Но я нашел практичное решение много проще, правда, оно выходит за рамки использования SBS-2008, поэтому нигде в его документации не описано, но возможно, кому пригодится: У своего хостера RBC http://hc.ru/ru/support/  я приобрел подходящий SSL-сертификат для домена remote.mydomen.ru, который  установил на оба сервера SBS, на IIS-7,  на удаленные компьютеры и Exchange, и арендовал управление виртуальным DNS-сервером, на котором создал запись типа А:  "remote.mydomen.ru A XXXX.XXXX.XXXX.XXXX" - она адресует домен remote.mydomen.ru на IP-адрес нашего маршрутизатора, выданного нам провайдером.

    Прописал для WEB-доступа к службам терминалов адрес сервера: remote.mydomen.ru, а для локальных пользователей в оснастке Диспетчера шлюза удаленных приложений прописал: Не использовать Шлюз Терминалов для локальных пользователей. В результате с SSL-сертификатами все получилось замечательно: локальные пользователи обращаются к серверу терминалов напрямую, что положительно сказывается на быстродействии, а удаленные пользователи XP SP3 с установленным платным SSL-сертификатом и разблокированными надстройками ActiveX от Microsoft (для чего в реестре рабочих станций XP SP3 проще всего удалить два ключа!)- коннектятся к Серверу Терминалов во внутренней сети через Шлюз (TS Gate) по https через проброшенный в маршрутизаторе порт 443 на RemoteWorkplace и могут читать свою почту через OWA и заходить на корпоративный сайт SharePoint SBS-2008. Но вот насчет вызова опубликованных на сайте удаленных приложений и подключения к рабочим столам разрешенных им компьютеров в локальной сети  не тут-то было: в диспетчере шлюза серевере терминалов висит собщение, что  Группа компьютеров веб-доступа к серверу терминалов пуста, и никакие пляски с бубном, никакие переустановки служб терминалов, сервера терминалов, сервера лицензирования, службы веб-доступа к серверу терминалов, шлюза сервера терминалов ни на вспомогательном, ни на основном сервере не помогают- все запускается в локальной сети, а из интернета (на маршрутизаторе все нужные порты проброшены) -ничего не работает, : Удаленное рабочее место вызывается, OWA запускается, сайт SharePoint работает, но  при попытке зайти на рабочий стол компьютеров локальной сети, или вызвать удаленное приложение, опубликованное на сайте Удаленного рабочего места по методу Михаило Гоча идет ответ, что шлюз сервера терминалов не найден,  или недоступен. Не помогает ничего, даже переустановка IIS-7, после которой полетела WSUS (До сих пор не могу восстановить!) и пришлось долго восстанавливать Backup работу Exchange-2007.  

    Итак, вопросы:

    - Как, все-таки, в среде из двух серверов SBS 2008 Premium нужно правильно устанавливать Службы терминалов- все на вспомогательный сервер, или TS и License server -на вспомогательном, а Web-доступ к TS и Шлюз TS- на основном?(В руководстве написано, что WEB-доступ нужно устанавливать на любом сервере, кроме Основного, под управлением SBS 2008, а Шлюз?)

    - В Диспетчере удаленных приложений Remote App служб терминалов никак не могу заполнить группу "Распределение через Веб доступ к службам терминалов"- Группа компьютеров веб-доступа к службам терминалов пуста. Удаленные приложения Remote App могут быть недоступны для пользователей. Добавить в эту группу учетную запись основного сервера  SBS-2008 c установленной ролью сервера ВЕБ-доступа к службами терминалов не получается, хотя действую по инструкции: успешно включаю на втором сервере с установленной ролью "Терминальный сервер" в локальную группу безопасности "Компьютеры Веб-доступа серверы терминалов"  учетную запись основного сервера SBS-2008 c установленной ролью "Шлюз веб-доступа к службам терминалов", и несмотря на это, в диспетчере шлюза удаленных приложений ничего не меняется- группа веб- доступа к службам терминалов по прежнему пуста! И удаленные приложения- у пользователей из интернета, которые соединяются через https через Шлюз веб-доступа, -не вызываются. Они получают сообщение- не найден, или недоступен Шлюз Терминалов. При этом у локальных пользователей, обращающихся к Серверу терминалов напрямую, а не через Шлюз, все нормально работает. Куда здесь копать?

    - Отдельная тема: совмещение на IIS-7 узлов по умочанию RWP и Remote Application. Как правильно совместить два узла IIS-7 по умолчанию, на одном серевере, в рамках одного IIS-7, или на разных? Что и как именно надо поменять по IP-адресам и портам? Штатная инструкция по изменению местоположения установки компонентов TS WEB Access вызывает больше вопросов, чем дает объяснений.

Все ответы

  • Столкнулся с подобной проблемой по использованию служб терминалов, но пока вопрос остался нерешенным и на данный момент службы терминалов не установлены.

    У меня следующая конфигурация:

    1-й сервер SBS 2008 Standard - контроллер домена, Exchange, WSUS, Sharepoint Services 3.0 настроен по рекомендуемой схеме, дополнительно установил SQL Server 2008 Standard и Microsoft CRM 4.0

    2-й сервер 2008 R2 Standard - маршрутизация Internet (NAT), файловый сервер, AdminKit Антивируса Касперского.

    При такой конфигурации при подключении через удаленное рабочее место в Интернете я могу удаленно подключится к любому  клиентскому компьютеру и серверу SBS 2008, но подключиться удаленно из Интернет к серверу 2008 R2 Standard не удается, выдается ошибка. Из внутренней сети подключение к серверу 2008 R2 Standard без проблем. Хотелось бы понять - это особенность конфигурации (сервер 2 является маршрутизатором доступа в Интернет) или все-таки что-то я не донастроил.

    По Вашей проблеме думаю правильным будет сделать настройку сервера терминалов через другой порт, чтобы он не пересекался с удаленным рабочим местом (т.е. если удаленное рабочее место по-умолчанию работает через 443 порт, попробуйте запустить шлюз сервера терминалов через другой порт.)

    По вопросу совмещения на IIS-7 узлов сейчас пытаюсь разобраться с совмещением CRM и Sharepoint. Пока удалось добиться того, что Sharepoint работает без проблем из внутренней сети и не подключается через рабочее место в Интернете (где используется https через 987 порт, в чем проблема понять не могу до сих пор, иногда подключиться удавалось, но в последнее время не подключается вообще), CRM работает через порт 5555 без проблем, но только с сервера, с клиентских машин доступа нет. Проблема в чем то аналогична Вашей.

     

  • Я так понял, что у Вас редакция SBS 2008- Standart? Если это так, то в руководстве четко написано: работа Служб Терминалов возможна только в случае использования реадакции SBS 2008 Premium, на входящем в его состав втором вспомогательном сервере 2008 STD(Х64, либо Х32). А в редакции SBS 2008 Standart использование Служб терминалов не предусмотрено и невозможно по соображениям безопасности. Если вы развернули второй сервер 2008 R2 St, (а уже на нем - TS и License server, на это нужна отдельная лицензия),  то он с точки зрения стандартного сервера SBS не может входить в домен SBS 2008, использовать терминальный сервер для пользователей домена SBS 2008? и к нему не применяются групповые политики SBS 2008. Они работают отдельно друг от друга, а не в связке, как это бывает в домене SBS 2008 Premium. Проще говоря, хочешь использовать в домене SBS 2008 Сервер Терминального Доступа, - приобретай редакцию Premium. Возможно отсюда- и глюки с доступом.

    Пожалуйста, если можете, поподробнее про настройку портов: сервер терминалов работает по порту 3389, а не по 443. По порту 443 работает Шлюз сервера терминалов, который транслирует запросы из Инета по HTTPS (443 порт) на сервер терминалов уже по порту 3389 - так что настраивать-то?  И как это сделать? В настоящее время у меня запускается удаленное рабочее место пользователям из инета, на нем доступен сайт SharePoint и OWA (правда приходится дополнительно водить логин и пароль, но не доступно подключение к компьтерам пользователей и не запускаются опубликованные на удаленном рабочем месте удаленные приложения- говорит, что не запущен шлюз сервера терминалов, хотя он успешно запущен и работает, насколько я понял- из-за незаполненности группы WEB-доступа к службам терминалов, я никак не могу включить в нее основной сервер с установленной ролью Шлюза доступа к серверу терминалов, хотя действую по инструкции, и на вспомогательном сервере с установленной ролью TS в локальную группу безопасности Компьютеры Вебдоступа к службам терминалов его включил!)- т.е. ситуация, прямо противоположная вашей. 

      

  • Пара комментариев к первому посту.

    1. Две сетевые карты по отдельности на SBS 2008 работают нормально. Проверено на нескольких развертываниях SBS08. Да, в процессе установки одну лучше отключить или удалить. Для выполнения мастеров настройки лучше иметь отдельный маршрутизатор (значительно упрощает процесс). После установки и выполнения мастеров первоначальной настройки все нормально настраивается ручками как на обычном Win Svr 2008. В итоге, две работающие сетевые карты: одна смотрит внутрь сети, вторая - в интернет. Все работает более года, проблем не было.

    2. Для установки второго контроллера домена подойдет любая редакция Win Svr 2008 (кроме Web Edition). Сам пробовал на Win Svr 2008 R2 Datacenter. Важно, чтобы SBS 2008 оставался носителем главных ролей. "Каши" в АД не заметил.

    3. Доступ к RWW с SSL-сертификатами, которые создает сам SBS 2008, тоже все фунционирует нормально. Настроили доступ к внутреннему терминальному серверу через RWW (подробно сейчас не буду писать, нужно убегать). Терминальный сервер Win 2003 R2.

  • Очень содержательные ответы. (Типа, а у меня- все работает нормально!). Особенно- если потрудиться прочитать, о чем были  вопросы. Спасибо.


    Prilepsky Igor
    22 июня 2010 г. 12:02
  • Я так понял, что у Вас редакция SBS 2008- Standart? Если это так, то в руководстве четко написано: работа Служб Терминалов возможна только в случае использования реадакции SBS 2008 Premium, на входящем в его состав втором вспомогательном сервере 2008 STD(Х64, либо Х32). А в редакции SBS 2008 Standart использование Служб терминалов не предусмотрено и невозможно по соображениям безопасности. Если вы развернули второй сервер 2008 R2 St, (а уже на нем - TS и License server, на это нужна отдельная лицензия),  то он с точки зрения стандартного сервера SBS не может входить в домен SBS 2008, использовать терминальный сервер для пользователей домена SBS 2008? и к нему не применяются групповые политики SBS 2008. Они работают отдельно друг от друга, а не в связке, как это бывает в домене SBS 2008 Premium. Проще говоря, хочешь использовать в домене SBS 2008 Сервер Терминального Доступа, - приобретай редакцию Premium. Возможно отсюда- и глюки с доступом.

    Не могу согласиться, в документации про работу Служб Терминалов сказано в контексте возможности их использования при покупке SBS Standard / SBS Premium. Но никто ведь не запрещает Вам купить лицензию на ещё один (или даже несколько серверов Standard или что-то подобное), включить их в домен SBS и развернуть на них службы терминалов (опять таки купив дополнительно клиентские лицензии на Службы Терминалов). А второй сервер SBS от отдельно приобретенного сервера Standard 2008 ничем не отличается (кроме опять таки, необходимости купить клиентские лицензии на сервер и службы терминалов за отдельные деньги).

    А уж про то, что сервер 2008 R2 Standard не может входить в домен SBS - извините, вообще полная чушь. Читайте документацию по SBS, там все есть, в том числе и о том, как добавить сервер в домен SBS (Если кратко - после добавления сервера в группу "Компьютеры" его нужно вручную перетащить в группу "Серверы").

    В реальности у меня сейчас работает подобная конфигурация: сервер SBS 2008 является контроллером домена, на нем Exchange + Forefront for Exchange, Sharepoint Services 3.0, SQL Server 2008 Standard, Microsoft CRM for Workgroup, 1С:Предприятие 8.1, второй сервер 2008 R2 Standard включен в домен SBS, выполняет роль маршрутизатора Интернет, файлового сервера, на нем установлен также Kaspersky Adminkit.

    Естественно, все групповые политики и настройки домена применяются ко второму серверу (что видно наглядно при входе пользователя на сервер - появляются сообщения о применении групповых политик и пр.). Терминалы пока не поднимал, так как не было в них необходимости, да и второй сервер слабоват для этой цели.

    7 июля 2010 г. 10:15
  • Да, уточнение: второй сервер 2008 Stand (не только R2, но обычный standart) может входить в домен SBS, его можно вручную перетащить в группу servers на контроллере домена SBS, и к нему применятся серверные групповые политики. Более того, таких серверов в домене SBS может быть несколько. У меня сейчас работает конфигурация в одном домене SBS  Server 2008 SBS PremiumX64 + второй Server 2008 StX32 + третий(докупленный) сервер 2008 StandartX32. Но он не может корректно стать вторым контроллером домена- вот с чем я столкнулся! Возникает некое подобие гибрида домена SBS и обычного домена Sever 2008 Standart.

    Хотя все как-то и работает, но криво- групповые политики применяются разные, все-таки Server SBS пасчитан на работу с одним контроллером домена. В итоге я так и сделал. Второй и третий сервера, хоть и в домене SBS, но являются рядовыми серверами.  Но вопросы были не об этом, а о правильной установке службы терминалов и службы лицензирования. Прошу не отвлекаться.


    Prilepsky Igor
    16 июля 2010 г. 12:46