none
RD Gateway - kam nainstalovat RRS feed

  • Dotaz

  • Zdravím, mám na firmě 2 fyzické servery a na nich 6 virtuálů.

    HYPERV01
     -- DC1
     -- Aplikacni server 1
     -- TS
     -- File Server

    HYPERV02
     -- DC2
     -- Aplikacni server 2 (pro testy pred nasazenim na AS1)

    Přes RDP se hlásím odkudkoliv na AS1, AS2, HYPERV01, HYPERV02. Samozřejmě vše přes nestandardní porty.

    Přemýšlím, že bych nasadil RD Gateway a nejspíše i WebApps. Na který server bych měl tyto role nainstalovat. Někde jsem zahlédl, že by Broker a Gateway nemělo být na stejnom serveru kde je Licensing, ale nemohu to teď najít. Role Licensing a Session Host mám na TS serveru.

    Můžu tedy Brokera a GW nainstalovat k nim a nebo se to opravdu nedoporučuje a proč? 

    Děkuji

    pátek 22. května 2020 11:02

Všechny reakce

  • Neexistuje jednoznacna odpoved :) Vetsinou zalezi na stavu infrastruktury, penezich a velikosti terminalove farmy.

    Nekolik pravidel:
    - RDGW idealne v DMZ
    - pokud stavime HA reseni, pak WEB servery taky samostatne a nekajy typ  balancingu
    - broker vetsinou byva jeden, nicmene i ten lze nasadit v HA.
    - RDHost jen host, protoze se snazis o updednostneni interakce s uzivatelem na ukor procesu v pozadi
    - Pokud vice RD Hostu, pak nejlepe profilove disky, at se zrychli proces logon/logoff a nepouzivas hnusne roaming profily.
    - licensing muze byt teoreticky uplne kdekoliv. treba Na aplikacnim serveru.

    Existuje i all-in-one moznost, kdy to nainstalujes na jeden stroj. V male firme pro 5 lidui asi OK, ale uzivatele mohou mit pristup k vecem, do kterych jim nic neni - treba je tam IISko.

    Proc to nema byt spolecne je protichudnost nastaveni - GW, broker, WEB by mely preferovat praci procesu na pozadi, narozdil od RDHosta, ktery preferuje desktop proces,  aby mel uzivatel "dobry pocit".

    Takze za mne samostatny RDhost, a potom zbyle funkce nejak rozdat. Pokud mas DMZ, dej gateway a WEB rozhrani tam.

    Taky se muzes podivat na original plakatek https://docs.microsoft.com/en-us/windows-server/remote/remote-desktop-services/media/rds-poster-download.png

    Asi jsem te moc nepotesil :)


    pondělí 25. května 2020 8:30
  • Uff, děkuji za odpověď. Pravda, nepotěšil :) .
    DMZ nemám, HA nestavím. Víceméně mi šlo jen o to, že jsem chtěl lehce povýšit bezpečnost z RDS, které je vystaveno do internetu (i když na nestandard portech), na RD GW. Pokud tedy chápu dobře, tak GW a Brokera dám na jiný server než je Licensing a RDHost a nemělo by to být úplně špatně.

    Děkuji


    pondělí 25. května 2020 9:52
  • Ano, muzes postavit samostatny "infrastrukturni" server s GW, WEB a broker funkci. Tim zbude samostatny RDHOST. Az na licence.

    Stehovani lic.serveru je mozne, pokud mas pristup k aktivacnim udajum a nedelal si licencni server pred chvili.

    Ale ty uz broker mas a to na RDHOSTU. Stehovani bude prace :)

    Takze to dopane tak, ze doinstalujes k existujici farme GW a WEB na jeden jiny stroj a vypublikujes 443 ven :)

    pondělí 25. května 2020 10:07
  • Broker zatím nemám. Mám jen licenční a RDhost na jednom serveru, nic vic.
    pondělí 25. května 2020 10:21
  • tak to si RDHosta nainstaloval ponekud nestandardne :)
    pondělí 25. května 2020 11:00
  • Ano, to asi ano, proto jsem se zde ptal, jak by to mělo být správně/standardně. Chápu tedy správně, že RDHost by neměl být na stejném jako licenční?

    A mohlo by to tedy být tak, že licenční zůstane na TS a RDHost, Broker a GW dát společně na jiný? Nebo ani ty by neměli být spolu na jednom.

    Děkuji

    čtvrtek 28. května 2020 4:59
  • Si asi nekde nerozumime :)

    TS je co? Terminal server? Pak TS = RDHost = tam se odehrava prace uzivatelu.

    A rikam, ze pri standardni instalaci role Remote Desktop Services se instaluje broker. Instalace bez brokeru sice mozna je, ale je nestandardni a muse kolem toho delat spoustu veci. Viz https://support.microsoft.com/en-us/help/2833839/guidelines-for-installing-the-remote-desktop-session-host-role-service

    EDIT: vetsina malych firem, instaluje svuj jediny terminal server takto https://www.slashadmin.co.uk/how-to-setup-a-single-server-rds-deployment-using-server-2016/


    čtvrtek 28. května 2020 7:58
  • tj mam roli RDHost a broker na jednom stroji.

    Licencni server je neco rekneme "vyjimecneho" a nemelo by byt soucasti standardniho protredi, na kterem pracuji bezni uzivatele.
    Pokud u vetsi farmy bude RDHostu vice, pak bude jejich chod zavisly na jinem RDhostu, RDHosty nebudou stejne, jeden bude "jiny" - prace navic pro nasledny support.


    čtvrtek 28. května 2020 13:02
  • Předem chci poděkovat za vaší trpělivost se mnou.

    Když jsem to instaloval, tak jsem postupoval podle nějakého českého návodu (a dalších zdrojů co jsem našel), kde právě instalace také probíhala pouze na jeden server a autor to tam přímo i psal, že pro potřeby článku to dává na jeden server takzvaně "na hulváta". Z toho jsem usoudil, že služby by měly být rozdělené.

    Jak jsem došel k tomu, že jsem tam nenainstaloval brokera už opravdu netuším, možná to bylo někde v těch dalších zdrojích že ho tam také neměli, ale to už je teď jedno.

    Pokud tedy kouknete na první příspěvek a měl by jste nasadit RDS od začátku s tím, že:

    1. uživatelé se na vzdálenou plochu, případně aplikace mají hlásit pouze na Aplikační server 1
    2. admin by se mel navíc dostat na vzdálenou plochu na oba hypervisory
    3. TS = terminal server

    tak kam by jste kterou službu nasadil?

    Ještě jednou děkuji

    pátek 29. května 2020 6:38
  • Tak jinak - pohled pres penize :)

    Chci GW a WEB = musim otevrit SSL port do intrenetu = abych usetril, asi bude jednodussi mit tyto role spolecne.

    Licencni server kamkoliv - viz vyse, pokud je to mozne, pak ne na RDHost, kde pracuji uzivatele.

    Bude vice RDHostu? Pokud bude jen jeden a nemam datacentrovou licenci, tak asi musim premyslet nad celkovym poctem VM. Tak abych to nekomplikoval, tak RDhost a broker dohromady.

    A je to :)

    A nebo metoda mala kolenovrtska firma - vsechna nacpu na jeden stroj a mam klid.

    A nebo metoda Lazy admin :) Ted mi vsechno funguje. Potrebuju jen GW at nemusim mapovat RDP porty ven. Zamyslim se... GW roli nainstaluji na nejmene zatizene VM, neni to DC, a neni na tom nic, co pouziva standardni HTTPS port. A jsem hotovy.

    Bohuzel puvodni dotaz nerika, kolik dnesni VM TS pouziva najednou uzivatelu, jake aplikace/operace tam delaji, kolik spotrebovava prostredku Hyper-V. Jestli ma smysl zavadet publikovanou aplikaci  a WEB rozhrani. A ze samotne vody toho moc uvarit nejde :)

    Bohuzel nelze moc reagovat, pokud byl TS nainstalovan podle nejakeho obskurniho navodu, ktery my nemame k dispozici.

    Takze za me metoda lazy admin :)

    EDIT:

    A jeste tu nezaznelo, ze GW pouziva certifikaty. Rozhodne nedoporucuju certifikat z interni CA, pokud to maji pouzivat uzivatele doma. Radeji bych koupil nejaky wildcard pro domenu za cca 3000,- coz mi na dva roky usetri spoustu supportni prace, takze to rozhodne nejsou vyhozene penize.


    pátek 29. května 2020 7:28
  • Super, děkuji moc. Takže Licenční nechám na TS, GW by mohl jít na File server a RDHost a Broker na Aplikacni 1. RDHost bude jen jeden.

    Na remote desktop jsou max 3 uživatelé, kterí si spustí Abru a to je vše, takže jak říkáte možná je Web zbytečný. A když by v budoucnu byl potřeba tak se jen přihodí na File Server ke GW.

    Koupit certifikát nebude problém.

    Děkuji


    pátek 29. května 2020 7:51
  • Porad si nekde nerozumime

    RDhost je VLASTNI terminal server. TJ to cemu se pred lety rikalo TERMINAL server. Od w2008 se roel rozdelili na nekolik funkci a tak bylo potreba to nejak nazvat.

    Takze znovu a snad naposled: VM TS = RDHOST a mozna neco navic.

    TJ RDHOST je to, kam instaluju aplikce, ktere pak pouzivaji uzivatele.

    Uff....

    pátek 29. května 2020 8:02
  • Jo takhle, tak v tom případě používám špatně terminologii. Já nazýval terminal serverem ten na kterém sedí licenční server pro terminálové licence a jinou úlohu nemá.

    V tom případě terminal server je ten co já původně nazýval Aplikačním.

    Pak už by to moje rozložení v pořádku?

    Aplikační server 1 = terminal server: RDHost a Broker
    File Server: GW
    TS: License server

    Děkuji

    pátek 29. května 2020 14:19
  • Aha.

    Takze je treba dovzdelat: https://docs.microsoft.com/en-us/windows-server/remote/remote-desktop-services/rds-roles

    A co dalsiho dela TS?

    neděle 31. května 2020 18:43
  • Jak jsem již psal TS nemá žádnou jinou roli.

    Díky

    pondělí 1. června 2020 4:08
  • Tak proc chces dat GW na file server? Mas TS. Dej na nej vse, co nemas - GW a WEB
    pondělí 1. června 2020 6:25
  • Ok, tak snad jsme ve finále. Broker a RDHost na Aplikacni/terminal, GW a Licence, pripadne Web pokud bude treba na TS.

    Ještě jednou moc děkuji za vaší trpělivost.

    pondělí 1. června 2020 6:34