none
Перенаправление подключений RDS RRS feed

  • Вопрос

  • Добрый день.

    Возникла необходимость сделать ферму удаленных рабочих столов. Подключение должно происходить через rdp.

    Сейчас в кластере 3 сервера - 1 redirector.contoso.com с ролями rd web access, rd connection broker и 2 ts сервера (ts01-02.contoso.com) с ролью rd session host. Проблема в том, что при подключении по rdp на имя редиректора (без /admin) подключение происходит на него, а не на ts. При этом если запускать подключение к коллекции через https://redirector.contoso.com/rdweb, то перенаправление происходит нормально и пользователь попадает на ts.

    В windows 2008 r2 можно было создать ферму из нескольких серверов, задать им посредника подключений и запретить на него вход без /admin. При подключении к серверу посредника пользователя перекидывало на один из серверов фермы.

    После открытия rdp файла обнаружил там строчку tsv://MS Terminal Services Plugin.1.Cluster_01 и попробовал добавить в реестр на redirector.contoso.com следующую строчку

    HKLM\SYSTEM\CurrentControlSet\Control\TerminalServer\ClusterSettings
    DefaultTsvUrl  tsv://MS Terminal Services Plugin.1.Cluster_01

    После этого стало появляться сообщение что подключаться к ферме нельзя, нужно использовать имя redirector.contoso.com.

    Можно как-нибудь настроить такое же подключение через как было в 2008 r2 - rdp на имя фермы, например ts.contoso.com, без использования rdweb? 

    4 апреля 2017 г. 15:31

Ответы

  • День добрый

    Если вы хотите задавать узел подключения руками в mstsc, Вы можете создать в днс А-записи с именем фермы и IP -адресами RD SH серверов 

    farm01.domain.local -> ip1 (RDSH01)

    farm01.domain.local -> ip2 (RDSH02)

    Получите какую-никакую (DNS Round-Robin) балансировку / оказоустойчивость при первичном подключении.

    При подключении RD SH будет указывать клиенту RD SH-сервер с существующей сессией или более свободный сервер RD SH.

    Лучше, конечно использовать RdWeb для подключения, более гибко можно вносить изменения, показывать доступные пользователю коллекции/приложения.


    Грамотная постановка вопроса - уже 50% решения.
    SCCM User Group Russia на FaceBook и в Telegram



    • Изменено Sergey Korotkov 5 апреля 2017 г. 7:10
    • Предложено в качестве ответа Avksentyev Sergey 6 апреля 2017 г. 19:19
    • Помечено в качестве ответа Валера2 22 октября 2018 г. 11:58
    5 апреля 2017 г. 7:09

Все ответы

  • День добрый

    Если вы хотите задавать узел подключения руками в mstsc, Вы можете создать в днс А-записи с именем фермы и IP -адресами RD SH серверов 

    farm01.domain.local -> ip1 (RDSH01)

    farm01.domain.local -> ip2 (RDSH02)

    Получите какую-никакую (DNS Round-Robin) балансировку / оказоустойчивость при первичном подключении.

    При подключении RD SH будет указывать клиенту RD SH-сервер с существующей сессией или более свободный сервер RD SH.

    Лучше, конечно использовать RdWeb для подключения, более гибко можно вносить изменения, показывать доступные пользователю коллекции/приложения.


    Грамотная постановка вопроса - уже 50% решения.
    SCCM User Group Russia на FaceBook и в Telegram



    • Изменено Sergey Korotkov 5 апреля 2017 г. 7:10
    • Предложено в качестве ответа Avksentyev Sergey 6 апреля 2017 г. 19:19
    • Помечено в качестве ответа Валера2 22 октября 2018 г. 11:58
    5 апреля 2017 г. 7:09
  • Спасибо за совет. Проблема в том, что большинство подключений будет проходить через тонкие клиенты, а в их конфиге нельзя настроить вход на rdweb или через rdp файл, можно только указать fqdn брокера и хоста.
    5 апреля 2017 г. 11:08
  • Ну вообще говоря, у меня именно по такому пути и работает...  А у Вы точно подключаетесь к нужному имени?? Потому как судя по тому, что у Вас за ошибка при подключении, Вы пытаетесь цепляться по RDP напрямую к серверам SH. По этому и говорит что нельзя так(можно только через /admin), цепляйтесь к брокеру.. После настройки в реестре, ребута, ваши тонкие клиенты должны будут подключиться. Сергей кстати, выше ошибся по-моему. Указывать в DNS надо не SH сервер, а RDCB, а те уже распределяют и перенаправляют.  В реестр Вы должны вписать после точки имя коллекции по умолчанию.


    6 апреля 2017 г. 9:47
  • Redirector - брокер, ts01 - rdsh, ts02 - rds. Имя коллекции - Cluster_01

    Если открыть через блокнот rdp файл, который был скачан с rdweb, то в нем написано loadbalanceinfo:s:tsv://MS Terminal Services Plugin.1.Cluster_01. Далее по пути HKLM\SYSTEM\CurrentControlSet\Control\Terminal Server\ClusterSettings я создаю string value (REG_SZ), называю его DefaultTsvUrl и копирую туда tsv://MS Terminal Services Plugin.1.Cluster_01. 

    В dns дополнительных записей нет. При подключении к redirector.contoso.com получаю ошибку подключения к ферме, а не к редиректору.

    Кстати, покопавшись в проблеме решил добавить A-запись ts.contoso.com с IP редиректора и, о чудо, при подключении к ts.contoso.com я попадаю на TS.

    Все хорошо, но чтобы было совсем красиво хотелось бы добавить еще одну фичу. Чтобы в зависимости от группы, в которой состоит пользователь, он попадал на определенную ферму.
    Например: Есть две коллекции - Cluser01 с серверами TS01, TS02 и Cluser02 с TS03, TS04. На первую коллекцию права есть только у группы GCluster01, на вторую у GCluster02. User1 при подключении будет попадать только на ts1-2, User2 только на 2-3.

    Это реально сделать с одним брокером и с текущей схемой можно настроить только 1 брокер на одну коллекцию?

    6 апреля 2017 г. 10:32
  • Это не чудо.. Вы не до конца ман по настройке почитали ))) Не забудьте еще и сертификат выпустить для всего этого дела.. Там должны быть все сервера и все названия.  распределение по коллекциям можно сделать, НО только специальным RDP файлом. Напрямую всегда будет редиректить на "Кластер_01" Количество брокеров никак не связано с количеством коллекций. 

    6 апреля 2017 г. 11:27
  • А можно как-нибудь настроить перенаправление пользователей на определенные серверы фермы в зависимости от групп безопасности? Например чтобы user1 и user2, состоящие в группе 1 попадали только на серверы 1-2, а user3,4 в группе 2 попадали на серверы 3-4?

    Сейчас настроил права удаленного входа на разные группы, но получается что если пользователя из группы 1 редиректит на сервер 4, то появляется ошибка что у пользователя нет прав для входа.

    11 апреля 2017 г. 6:11
  • Так делайте коллекциями.  Создавайте коллекцию для 1 и 2 группы. Добавляете права по группам. В коллекциях добавляете севера, для 1 1-2, для второй коллекции 3-4 . Только учтите, при таком раскладе подключаться придется ТОЛЬКО с помощью спецфайла RDP.
    11 апреля 2017 г. 6:42
  • Как я писал выше, проблема в том, что пользователи будут подключаться через тонкие клиенты wyse 3030 LT. Логин нужно сделать максимально простым. В идеале пользователь должен просто один раз вводить свои учетные данные и попадать в нужный пул серверов.

    Сейчас если сделать 2 коллекции, то нужно будет делать 2 сервера RDCB, отдельно на каждом прописывать tsv://MS Terminal Services Plugin.1.Cluster_01 или Cluster_02 и создавать на каждого пользователя .ini файл с указанием сервера RDCB. Это неудобно так как пользователей более 3000, такое количество конфигов точно замедлит вход в систему и скорее всего вызовет много проблем в дальнейшем.

    Пытался найти информацию по подключению тонкого клиента к веб-интерфейсу с выбором приложений, в этом случае у пользователя будет видно только один rdp файл с нужной коллекцией. Но пока не разобрался реально ли это вообще и вторая проблема что пользователям нужно будет нажимать на rdp файл, а от меня сейчас требуют сделать вход без лишних телодвижений.

    11 апреля 2017 г. 6:56