Blog ENI : Toute la veille numérique !
🐠 -25€ dès 75€ 
+ 7 jours d'accès à la Bibliothèque Numérique ENI. Cliquez ici
Accès illimité 24h/24 à tous nos livres & vidéos ! 
Découvrez la Bibliothèque Numérique ENI. Cliquez ici
  1. Livres et vidéos
  2. Windows Server 2016
  3. Services Bureau à distance
Extrait - Windows Server 2016 Administration avancée
Extraits du livre
Windows Server 2016 Administration avancée Revenir à la page d'achat du livre

Services Bureau à distance

Introduction

Ce chapitre sera consacré au rôle Services Bureau à distance (Remote Desktop Services) dans Windows Server 2016. Vous pratiquez certainement un usage intensif de ce service pour administrer votre parc de serveurs au quotidien. Après avoir couvert cet usage simple mais néanmoins critique, la puissance du rôle RDS sera mise au jour. Cela couvre notamment la publication d’applications, de bureau en mode session ou virtuel, ainsi que l’accès à ces applications à travers une passerelle web.

Mais avant de commencer, un éclairage s’impose sur la nomenclature. Le nom des services a changé depuis Windows Server 2008 R2, nous retrouvons donc ces nouveaux noms dans Windows Server 2016 :

Avant Windows Server 2008

Windows Server 2016

Aussi appelé

Terminal Services

Services Bureau à distance (Remote Desktop Services)

RDS

Terminal Server

Hôte de session Bureau à distance

RDSH

n’existait pas

Hôte de virtualisation Bureau à distance

RDVH ou VDI

Gestionnaire de licences TS

Gestionnaire de licences Bureau à distance

Service Broker TS

Service Broker pour les connexions Bureau à distance

RDCB (Connection Broker) RDSB (Service Broker) ou Broker

Accès Web TS

Accès Web pour les services Bureau à distance

RDWA ou RDWEB

Passerelle TS

Passerelle des services Bureau à distance

RDGW

Comme vous le constatez, le changement principal est « Terminal Services », remplacé par « services Bureau à distance ».

À cela s’ajoute, à tort, l’acronyme TSE pour Terminal Server Edition. Pourquoi à tort ? Simplement car c’était le nom d’une édition de Windows NT4 Server : Windows NT4 Terminal Server Edition. À l’époque, la technologie s’appelait déjà Terminal Server, mais l’acronyme TSE est resté avec le temps au lieu de TS. Et il n’est pas rare que, encore de nos jours, certains l’appellent encore TSE au lieu de TS, ou plutôt RDS aujourd’hui.

Cet ouvrage étant tourné vers Windows Server 2016 en priorité, nous allons utiliser les nouveaux noms dans le reste du chapitre. Les fonctionnalités qui n’existent que dans une version seront cependant mises en évidence. La dénomination «...

Mise en œuvre des services Bureau à distance

D’un point de vue technique, les services Bureau à distance sont déjà installés par défaut, mais arrêtés, avec Windows Server 2016. Contrairement aux versions précédentes de Windows, antérieures à Windows Server 2008 R2, ils sont désormais exécutés avec le compte « Service Réseau » au lieu du compte « Système local ». La sécurité du système est améliorée, car une faille dans le service a moins d’impact qu’auparavant. Comme expliqué dans la base de connaissance Microsoft (KB946399), le compte « Service Réseau » a besoin de trois privilèges pour lancer les services Bureau à distance :

  • Ajuster les quotas de mémoire pour un processus (SeIncreaseQuotaPrivilege).

  • Générer des audits de sécurité (SeAuditPrivilege).

  • Remplacer un jeton de niveau processus (SeAssignPrimaryTokenPrivilege).

Ces trois privilèges ne doivent pas être retirés au compte (par GPO...), sous peine de ne plus pouvoir exécuter les services. Depuis Windows Server 2008, il est cependant possible d’arrêter le service RDS, ce qui n’était pas le cas avant. Vous pouvez vérifier l’état actuel du service ainsi que les états acceptés par le service en utilisant la ligne de commande suivante (le nom court du service n’a pas été modifié) :


sc query TermService
images/07EI2016N01.png

Le service RDS utilise par défaut le port TCP 3389. Tant que l’accès à distance n’est pas autorisé explicitement, le service n’écoute pas le port TCP afin de ne pas exposer le service sur le réseau. La ligne de commande suivante permet de vérifier que le port TCP 3389 n’est pas à l’écoute sur le serveur pour l’instant :


netstat -an | findstr 3389
images/07EI2016N02.png

Pour bénéficier de l’ensemble des fonctionnalités offertes par Windows Server 2016, le client RDP version 10 (réellement version 10.0.14393, mais cela correspond plus au système d’exploitation) est nécessaire. Il est déjà inclus dans Windows 10 version 1607 et Windows Server...

Configuration

1. Propriétés du déploiement

Pour accéder aux propriétés du déploiement, ouvrez le Gestionnaire de serveur, naviguez dans les rubriques Services Bureau à distance, Collections, puis sur le menu Tâches et sélectionnez Modifier les propriétés de déploiement :

  • Onglet Passerelle des services Bureau à distance : permet de spécifier le nom de la passerelle des services Bureau à distance à utiliser ainsi que la méthode d’authentification.

  • Onglet Gestionnaire de licences des services Bureau à distance : permet de définir le mode de licence (par utilisateur ou par périphérique) et le serveur de licence à utiliser.

  • Onglet Access Web des services Bureau à distance : affiche simplement la liste des serveurs d’Accès Web.

  • Onglet Certificats : vous permet d’importer des certificats ou de générer des certificats auto-signés pour les services Bureau à distance.

images/07EI2016N16.png

  • Onglet Active Directory (nécessite au moins un déploiement virtuel) : permet d’indiquer l’unité d’organisation où seront créés les comptes d’ordinateurs correspondant aux bureaux virtuels des services Bureau à distance.

images/07EI2016N17.png

  • Onglet Emplacement d’exportation du bureau virtuel (nécessite au moins un déploiement virtuel) : permet de spécifier l’emplacement réseau où seront stockés les modèles de bureau virtuel.

Les paramètres de déploiement affectent toutes les collections et tous les serveurs rattachés à ce déploiement. Tous ces paramètres affectent donc le déploiement des services Bureau à distance dans son ensemble.

2. Configuration d’une collection de sessions

Dans un environnement RDS sous Windows Server 2016, tous les serveurs hôtes de session d’une même collection partagent les mêmes paramètres de sessions, de sécurité, de gestion de périphériques…

Notez qu’un serveur hôte de session ne peut être que dans une seule collection.

Voici la procédure à suivre si vous avez effectué une installation en Déploiement standard ou si vous avez supprimé la collection par défaut...

Configuration avancée

1. Configuration de l’accès web des services Bureau à distance

L’usage de RDS s’est étendu bien au-delà d’un simple bureau à distance. Windows Server 2016 offre donc un moyen pour centraliser les ressources publiées sur un portail Web. Du point de vue client, deux critères restent nécessaires :

  • Pouvoir accéder au site Web fourni par l’accès Web depuis un navigateur, avec ou sans proxy.

  • Avoir le client RDC 7.0 au minimum.

Ce service de rôle peut être installé sur un serveur possédant ou non d’autres services de rôles Bureau à distance. Il nécessite toutefois au moins IIS 10 pour fonctionner et une relation de confiance avec les serveurs hôte de session pour pouvoir lister les applications RemoteApp. Il est normalement déjà installé si vous avez effectué une installation Démarrage rapide ou Déploiement standard.

L’ajout du service de rôle Accès Web pour les services Bureau à distance peut se faire par l’interface graphique ou via PowerShell.


# Ajout d'un serveur d'Accès Web  
Add-RDServer -Server MonServeurWebRDS  -Role rds-web-access  
-ConnectionBroker  rdsh1.MaSociete.Priv

Pour accéder au service, ouvrez un navigateur Web à cette adresse, en remplaçant MonServeurWebRDS par le nom du serveur ayant le service de rôle : https://MonServeurWebRDS/RDWeb/

Le nouveau portail d’Accès Web gère maintenant les navigateurs comme Mozilla Firefox ou Google Chrome aussi bien que Microsoft Internet Explorer ou Microsoft Edge (bien que ces deux derniers gardent quelques petits avantages comme une meilleure gestion de l’authentification par exemple).

Par défaut, l’authentification se fait via un portail (formulaire) :

images/07EI2016N30.png

Une fois authentifié, la page suivante s’affiche :

images/07EI2016N31.png

Deux onglets sont présents. L’onglet RemoteApp et Bureaux est peuplé dynamiquement par les applications et bureaux auxquels vous avez droit si la fonctionnalité RemoteApp a été configurée.

L’onglet Se connecter à un ordinateur distant permet d’ouvrir une session RDP complète sur le serveur spécifié via le site Web.

Pour une configuration...

Conclusion

Vous savez maintenant mettre en œuvre le rôle Bureau à distance avec l’ensemble de ses composants. Vous pouvez mettre en place différentes méthodes d’accès, adaptées à chaque contexte (depuis le réseau local, Internet, vers un serveur ou du VDI) sans réduire la sécurité du système d’information. Il serait dommage de priver ses utilisateurs, donc clients, d’une technologie aussi efficace et rapide.