none
Привязка пользователя к конкретному RDP серверу через авторизацию RRS feed

  • Вопрос

  • Здравствуйте, прошу совета.

    Есть 4 rdp сервера (далее S1, S2, S3, S4) в подсети 192.168.111.0

    Есть много юзвререй в подсети 192.168.100.0

    Требуется:

    Чтобы все пользователи долбились на 1 ip адрес некого RDP шлюза в их же подсети (192.168.100.0), а тот (шлюз) в свою очередь в зависимости от того кто авторизуется перенаправлял данного юзверя на пердназначенный  ему сервер ( в серверной подсети 192.168.111.0) . То есть вася - s1, коля -s2 и т.д.... Так же необходимо чтобы была возможность, в любой момент данное сопоставление изменить.

    Вопрос:

    И как же всё это можно реализовать?

    Заранее спасибо за информацию.

    18 октября 2012 г. 9:14

Все ответы

  • не совсем понятно зачем это нужно, но вот похожая тема http://social.technet.microsoft.com/Forums/en-US/winserverTS/thread/db0d8287-e5b0-4f58-9ea7-5a52fba12f94

    18 октября 2012 г. 14:10
    Модератор
  • А можно если не затруднит какую нибудь информацию на русском?:)

    19 октября 2012 г. 1:16
  • У нас это реализовано через TMG.

    На TMG опубликовано несколько серверов, но каждое правило работает только для определенной AD группы. Соотв. пользователи в соотв. группах.

    19 октября 2012 г. 7:41
  • Можно использовать Remote Desktop Gateway, посредством политик доступа задать группы и ресурсы подключения.
    19 октября 2012 г. 8:09
    Модератор
  • а ежели это сотворить не через forefront? а стандартными средствами Windows?
    19 октября 2012 г. 8:26
  • Тогда Вам правильно посоветовали - группы  Remote Desktop Gateway.

    19 октября 2012 г. 8:30
  • А не у кого случайно нет ссылки на доступное (русское) описание по настройке шлюза rdp ?
    19 октября 2012 г. 8:33
  • А не у кого случайно нет ссылки на доступное (русское) описание по настройке шлюза rdp ?

    http://winintro.ru/ts_gateway.ru/
    19 октября 2012 г. 8:40
    Модератор
  • Ну и в картинках с подсказками: http://www.techdays.ru/videos/1430.html :)

    Мнения, высказанные здесь, являются отражением моих личных взглядов, а не позиции корпорации Microsoft. Вся информация предоставляется "как есть" без каких-либо гарантий
    Follow us on TwitterFollow MSTechnetForum on Twitter

    Посетите Блог Инженеров
    Доклады на Techdays: http://www.techdays.ru/speaker/Vinokurov_YUrij.html

    19 октября 2012 г. 14:18
  • Быть может я что-то не понял, но при использовании шлюза удаленных рабочих столов, все равно требуется на клиентской машине указывать на какой именно сервер подключаться + доп настройка в графе шлюз. А как это все настроить так что бы все пользователи обращались на 1 ip адрес некого хоста, который бы их уже перенаправлял куда надо. Чтобы в случае выхода из строя одного из rdp серверов, была возможность перенаправить людей на другие  сервера ничего не изменяя при этом на клиентских устройствах


    • Изменено Ozares.kn 20 октября 2012 г. 5:17
    20 октября 2012 г. 5:16
  • Изначально Вы сказали, что Вам нужно: "Перенаправлять пользователей на разные терминалы, в зависимости от того, какой это пользователь"

    Теперь Вы говорите, что Вам просто нужно обеспечить отказоустойчивость, чтобы в случае отказа одного из терминалов осуществлялось перенаправление на другой.

    Что из этого правда?

    20 октября 2012 г. 8:28
  • "Перенаправлять пользователей на разные терминалы, в зависимости от того, какой это пользователь" это как раз для создания отказоустойчивости и для распределения мощности оборудования.  Быть может не с той стороны начал копать...
    • Изменено Ozares.kn 20 октября 2012 г. 14:55
    20 октября 2012 г. 14:52
  • Ясно. Коль скоро вам нужно обеспечить отказоустойчивость, вам надо сделать ферму терминальных серверов и настроить RD Connection Broker - в качестве примера можно использовать вот эту статью: https://amaksimov.wordpress.com/2011/12/09/remote-desktop-services-rds-rd-session-host-farm-rd-connection-broker-in-failover-cluster/ , или, если не хотите возиться с кластером, то http://winitpro.ru/index.php/2011/08/26/nastrojka-terminalnoj-fermy-rds-s-rd-connection-broker/

    Мнения, высказанные здесь, являются отражением моих личных взглядов, а не позиции корпорации Microsoft. Вся информация предоставляется "как есть" без каких-либо гарантий
    Follow us on TwitterFollow MSTechnetForum on Twitter

    Посетите Блог Инженеров
    Доклады на Techdays: http://www.techdays.ru/speaker/Vinokurov_YUrij.html

    21 октября 2012 г. 7:17
  • Ясно. Коль скоро вам нужно обеспечить отказоустойчивость, вам надо сделать ферму терминальных серверов и настроить RD Connection Broker - в качестве примера можно использовать вот эту............


    За сие огромное спасибо, но часть вопроса так и не понятна. Как привязать пользователя к конкретному RDP серверу, так как конфигурация у серверов разная, кому больше требуется графическая подсистема, кому-то что-то ещё. То есть заходит вася на ip кластера, авторизуется и перекидывается на указанный ему сервер.
    22 октября 2012 г. 8:13
  • Если у Вас разные сервера (по внутренностям) и требуется обеспечить разность + отказоустойчивось, то каждого сервера нужна будет пара (для отказоустойчивости).

    Если ресурсов/денег недостточно для  масштабирования, то рекомендую серьезно посмотреть в сторону виртуализации и DSR

    22 октября 2012 г. 8:15
  • Если у Вас разные сервера (по внутренностям) и требуется обеспечить разность + отказоустойчивось, то каждого сервера нужна будет пара (для отказоустойчивости).

    Если ресурсов/денег недостточно для  масштабирования, то рекомендую серьезно посмотреть в сторону виртуализации и DSR

    Это то понятно, и всё же как привязать пользователя к конкретному серверу?:)
    22 октября 2012 г. 8:37
  • Группы Remote Desktop Gateway. Настраиваете RDG, в нем настраиваете Policy, что такие пользователи ходят на такой, другие на другой. Пользователи коннектятся на IP RDG по 443 порту, а тот их форвардит.

    22 октября 2012 г. 9:03
  • "Перенаправлять пользователей на разные терминалы, в зависимости от того, какой это пользователь" это как раз для создания отказоустойчивости и для распределения мощности оборудования.  Быть может не с той стороны начал копать...

    именно поэтому я вначале и высказал сомнение по поводу такого решения )) если надо только балансировка и отказоустойчивость то ферма с брокером, как правильно выше написали. а подобное жесткое деление применяют например в случаях когда из соображений безопасности юзеров делят.
    22 октября 2012 г. 9:28
    Модератор
  • все сделал (вроде бы) но после подключения на ip сервера:443 пишет "настройка удаленного сеанса" и ничего не делает.......
    22 октября 2012 г. 9:36
  • а что хоть сделал то? rdg, ферму с брокером, кластер или просто скворечник сколотил? )

    23 октября 2012 г. 8:01
    Модератор
  • скворечник ( три доски один гвоздь) :)) 

    А если серьёзно, то сейчас уже работает

    DFS - для того что бы профили юзверей были на всех серверах одинаковы

    кластер, на котором работает брокер ( все сервера уже в ферме)

    поднят шлюз..... настроены по 1 политике как авторизации так и доступности ресурсов  (быть может тут копать??)

    при подключении на ip кластера меня перенаправляет на первый свободный сервер

    при подключении на ip rdg по порту 443 пишет "настройка удаленного сеанса" и потом завершает ошибкой

    А нужна конкретная привязка к конкретному серверу.....

    :'(

    23 октября 2012 г. 8:31
  • Подключаться нужно через RDG, используя то имя, которое указано в сертификате, импортированного в оснастку RDG.

    И к самому RDG подключаться не нужно, нужно указать его адрес в настройках RDP-клиента.

    23 октября 2012 г. 8:35
    Модератор
  • ок, в свойствах rdp клиента, указываем ip rdg, а на какой адрес тогда коннектиться?
    23 октября 2012 г. 8:37
  • На адрес терминального сервера (или брокера фермы), вероятно? -)

    23 октября 2012 г. 8:38
    Модератор
  • ок, и наверное там и должно произойти перенаправление? И тут же вопрос, а в какой оснастке это перенаправление настраивается делается сама привязка)?
    • Изменено Ozares.kn 23 октября 2012 г. 8:53
    23 октября 2012 г. 8:40
  • выше вроде выяснили что привязка не нужна - брокер с балансировкой сам разберется.

    23 октября 2012 г. 9:08
    Модератор
  • так без привязки у меня оно и так работает перенаправляется на первый свободный и незагруженный сервер, а мне нужна именно привязка.

    Ибо у меня 4 сервера с немного разной конфигурацией ( 2 - с хорошими процессорами, а у остальных 2 ух упор на графику)

    Вот мне и требуется сотрудников, которые работают в графических приложениях привязать к одним, а те которые работают с базами  данных ко вторым и так далее серверам), но в случае форс мажора, все будут работать в немного медленнее, но всё  же работать. 

    23 октября 2012 г. 10:00
  • это уже не привязка, а скорее приоритет. не уверен что брокер на такое способен, во всяком случае не встречал решений. если отказаться от брокера, то реализовывать уже придется на клиенте, то есть юзер выбирает на что коннектиться

    23 октября 2012 г. 11:01
    Модератор
  • вот последнего бы не хотелось:(
    23 октября 2012 г. 11:09
  • на клиенте то все равно надо чтото прописывать, установить на сервер какую нибудь программку для перенаправления портов, пусть пользователи подключаются к одному и тому же серверу, но под разными портами.  Программа будет мониторить это дело и перекидывать куда надо. Бред немного, мягко говоря
    23 октября 2012 г. 11:47
  • полюбому должен быть вариант средствами Windows... Кто что знает, пАмАгИте:(
    23 октября 2012 г. 12:01
  • я не знаю как это сделать средствами Windows, но есть куча маленьких бесплатных программ для этого, и в любой момент можно изменить "данное сопоставление", правда не на уровне пользователя, а на уровне порта по которому пользователь подключается к серверу.

    23 октября 2012 г. 12:22
  • Ну вообщето есть роль RRAS, где настраивается NAT и т.д. Но это не автоматическое переключание, менять порты ручками все равно придется...

    23 октября 2012 г. 12:24
  •  Так же необходимо чтобы была возможность, в любой момент данное сопоставление изменить.

    Про "автомат" никто не говорил :)
    23 октября 2012 г. 12:44
  • Ну ок, тогда можно поднимать RRAS, настраивать на нем NAT-правила. Получиться маршртизатор посреди сети.

    Какие отвратительные костыли...

    23 октября 2012 г. 12:56
  • ну это получаетццо авторизация по ip ( ну или на MAC) а что делать если юзвери могут перебегать от одной клиентской станции на другую ( например уехать в другой филиал)?
    24 октября 2012 г. 1:16
  • а через forefront такое реализовать можно?
    24 октября 2012 г. 3:18
  • поднят шлюз..... настроены по 1 политике как авторизации так и доступности ресурсов  (быть может тут копать??)

    В общем-то, тут и копать. Создайте дополнительные политики и настройте их так, чтобы группа, скажем, Managers имела доступ только к Server1, а группа Logistics - к Server2. В этом случае шлюз будет пускать пользователей только на нужный сервер. Чтобы дополнительно ограничить доступ "неугодных" пользователей, на целевых серверах настройте политики  разрешения подключения по сети.

    Мнения, высказанные здесь, являются отражением моих личных взглядов, а не позиции корпорации Microsoft. Вся информация предоставляется "как есть" без каких-либо гарантий
    Follow us on TwitterFollow MSTechnetForum on Twitter

    Посетите Блог Инженеров
    Доклады на Techdays: http://www.techdays.ru/speaker/Vinokurov_YUrij.html


    • Изменено Vinokurov Yuriy 24 октября 2012 г. 8:32 Некорректно сформулировал, исправлено
    24 октября 2012 г. 6:15
  • шлюз насколько я знаю автоматом не отсылает потому как на клиенте указывается целевой сервер. а на брокер, который распределять умеет, эти политики вроде не действуют, хотя про брокер могу ошибаться

    24 октября 2012 г. 7:58
    Модератор
  • На брокер не действуют - его роль чисто балансировочная. А вот я выразился некорректно: если клиент укажет у себя сервер, доступ к которому закрыт политикой шлюза, шлюз его туда не пустит (поправил в предыдущем посте). Ну а чтобы у клиента не болела голова на предмет указания нужного сервера, можно ему на рабочий стол выложить ярлык на преднастроенный RDP-файл. 


    Мнения, высказанные здесь, являются отражением моих личных взглядов, а не позиции корпорации Microsoft. Вся информация предоставляется "как есть" без каких-либо гарантий
    Follow us on TwitterFollow MSTechnetForum on Twitter

    Посетите Блог Инженеров
    Доклады на Techdays: http://www.techdays.ru/speaker/Vinokurov_YUrij.html


    24 октября 2012 г. 8:30
  • ну про это автору уже с самого начала пытаются втолковать (буквально с самого первого ответа с сылки про rap и cap), но хочет он чтобы все само работало )) да еще и с отказоустойчивостью, чтобы если разрешенный сервер не работает то так и быть, юзера отправляют на неразрешенный. типа как в dfs с приоритезацией.


    24 октября 2012 г. 8:38
    Модератор
  • ну про это автору уже с самого начала пытаются втолковать (буквально с самого первого ответа с сылки про rap и cap), но хочет он чтобы все само работало )) да еще и с отказоустойчивостью, чтобы если разрешенный сервер не работает то так и быть, юзера отправляют на неразрешенный. типа как в dfs с приоритезацией.


    О, да! Именно так оно и надо:)
    24 октября 2012 г. 23:27
  • ну про это автору уже с самого начала пытаются втолковать (буквально с самого первого ответа с сылки про rap и cap), но хочет он чтобы все само работало )) да еще и с отказоустойчивостью, чтобы если разрешенный сервер не работает то так и быть, юзера отправляют на неразрешенный. типа как в dfs с приоритезацией.


    О, да! Именно так оно и надо:)

    ну собственно мы с коллегами уже неделю пытаемся объяснить что именно так и не получится, только на костылях
    25 октября 2012 г. 8:42
    Модератор
  • Через TMG можно.

    25 октября 2012 г. 9:18
  • причем тут tmg?

    25 октября 2012 г. 9:53
    Модератор
  • Дмитрий, почитайте мои посты выше, там описано причем.

    25 октября 2012 г. 10:07
  • но это же, извиняюсь, откровенный бред, который совершенно не решает задачу автора - конечному пользователю придется в свойствах подключения менять порт ручками, а автор хочет полный фарш на автомате да еще и с резервированием. для ручного режима гораздо проще менять имя сервера без извращений с портмаппингом.
    25 октября 2012 г. 10:31
    Модератор
  • Нет, не бред. Мы можем опубликовать на TMG 2 RDG - один для CPU-приложений, второй для GPU-приложений. gpu.ts.dome.local:443 и cpu.ts.domen.local:443

    Пользователь, будет идти на ts.domen.local:443.

    Также на TMG будут правила перенаправления (которое будет привязываться к пользователям). В зависимости от пользователя запрос будет перенаправляться на gpu или ts.

    Конечно это потребует Forefront TMG клиента на ПК


    25 октября 2012 г. 11:27
  • это опять же не обеспечит ему резервирования, зато обеспечит проблемами и надолго )
    25 октября 2012 г. 12:02
    Модератор
  • Согласен.

    Как я сказал ранее: чтобы обеспечить резервирование и распределение - нужно 4 сервера (по 2 каждого типа), а не 2.

    Все остальное - жалкие костыли от которых 100% будут проблемы.

    25 октября 2012 г. 12:04
  • Согласен.

    Как я сказал ранее: чтобы обеспечить резервирование и распределение - нужно 4 сервера (по 2 каждого типа), а не 2.

    Все остальное - жалкие костыли от которых 100% будут проблемы.

    Ок, если исходим из 4 серверов по 2 каждого типа, то в этом случае как сделать привязку юзверя к серверу?
    26 октября 2012 г. 8:15
  • А зачем тогда какие-то привязки?

    2 брокера, 2 NLB.

    Юзерам, которым нужен GPU - ярлычок на NLB для терминалов с GPU. То же самое для тех, кому нужен CPU.

    26 октября 2012 г. 9:02
  • А зачем тогда какие-то привязки?

    2 брокера, 2 NLB.

    Юзерам, которым нужен GPU - ярлычок на NLB для терминалов с GPU. То же самое для тех, кому нужен CPU.

    Ну да логично... буду еще думать как сделать себе жизнь сложнее:))
    27 октября 2012 г. 10:27
  • Ozares.kn, Ваш вопрос актуален?

    Мнения, высказанные здесь, являются отражением моих личных взглядов, а не позиции корпорации Microsoft. Вся информация предоставляется "как есть" без каких-либо гарантий

    2 ноября 2012 г. 8:49
  • Ozares.kn, Ваш вопрос актуален?

    Мнения, высказанные здесь, являются отражением моих личных взглядов, а не позиции корпорации Microsoft. Вся информация предоставляется "как есть" без каких-либо гарантий

    Да. А есть предложения? :)
    6 ноября 2012 г. 6:24