• DevOps
  • Защита информации
  • ИТ-поддержка
    • ИТ-поддержка

    Установка терминального сервера Windows Server 2019

    В данной инструкции у нас уже установлена операционная система Windows Server 2019 на виртуальной машине.

    Минимальные требования:

    • 64-разрядный процессор с тактовой частотой 1,4 ГГц;
    • ОЗУ 512 МБ (2 ГБ для варианта установки "Сервер с рабочим столом");
    • диск 32 ГБ;
    • доступ к интернету.

    Для того чтобы подключить сертификат с помощью Let’s Encrypt требуется прямые пробросы портов TCP 443, 80 до машины, а также доменное имя, на которое будет вешаться сертификат. Активация Windows Server 2019 проходит тоже на этом этапе.

    Установка ролей на Windows Server 2019

    После подготовки Windows Server 2019, мы приступаем к установке ролей для настройки терминального сервера и шлюза удаленных рабочих столов.

    Заходим в Диспетчер серверов - Управление - Добавить роли и компоненты.

    Открывается “Мастер добавления ролей и компонентов”:

    Мастер добавления ролей и компонентов

    Рисунок 1 - Мастер добавления ролей и компонентов

    Добавление ролей на сервере:

    • Тип установки - Установка ролей или компонентов.
    • Выбор сервера - Выбираем наш текущий сервер.
    • Роли сервера - Службы удаленных рабочих столов.
    • Службы ролей - Лицензирование удаленных рабочих столов, шлюз удаленных.

    Подтверждаем установку компонентов и проводим установку. После установки всех нужных нам ролей - перезагружаем сервер.

    У нас вы можете взять готовый терминальный сервер 1С в аренду.

    Настройка сервера лицензирования

    Заходим в Диспетчер серверов - Средства - Remote Desktop Services - Диспетчер лицензирования удаленных рабочих столов.

    В диспетчере нажимаем ПКМ на наш сервер и выбираем “Активировать сервер”.

    Попадаем в “Мастер активации сервера”, вводим свои данные и нажимаем “Далее”.

    Мастер активации сервера

    Рисунок 2 - Мастер активации сервера

    В следующем пункте вводим “Сведения об организации” и нажимаем “Далее”.

    Завершение работы мастера активации сервера выполняется с поставленной галочкой “Запустить мастер установки лицензий” чтобы попасть в оснастку установки лицензий.

    Завершение работы мастера активации сервера

    Рисунок 3 - Завершение работы мастера активации сервера

    В мастере установки лицензий мы видим параметры сервера лицензирования и нажимаем “Далее”.

    В следующем окне мы выбираем лицензию в зависимости от приобретенной вами лицензии.

    Имеется несколько типов лицензии:

    • Пакет лицензий (в розницу).
    • Соглашение “Open License”.
    • Соглашение “Select License”.
    • Соглашение “Enterprise Agreement”.
    • Соглашение “Campus Agreement”.
    • Соглашение “School Agreement”.
    • Лицензионное соглашение постановщика услуг.
    • Другое соглашение.
    • Лицензия Select Plus.

    В нашем случае мы выбираем “Соглашение “Enterprise Agreement”” и нажимаем “Далее”.

    • Версию продукта ставим “Windows Server 2019”.
    • Тип лицензии “Клиентская лицензия служб удаленных рабочих столов “на устройство”.
    • Количество в зависимости от приобретенной вами. В нашем случае мы активируем на 10 устройств.

    Завершаем работу мастера установки лицензий.

    Для завершение установки лицензий осталось выполнить пункт по добавление групповых политик, для этого нажимаем ПКМ по меню “Пуск” и выбираем “Выполнить”.

    В окне “Выполнить” вводим gpedit.msc и нажимаем “ОК”.

    Попадаем в “Редактор локальной групповой политики” В данной настройке требуется править две записи. Для того чтобы указать сервер лицензирования мы переходим в пункт:

    Конфигурация компьютера - Административные шаблоны - Компоненты Windows - Служба удаленных рабочих столов - Узел сеансов удаленных рабочих столов - Лицензирование - Использовать указанные серверы лицензирования удаленных рабочих столов.

    Включаем данную политику и вводим требуемый сервер лицензирования. В нашем случае мы будем ссылаться на свой локальный сервер “localhost” и применяем настройку.

    Использование серверов лицензирования

    Рисунок 4 - Использование серверов лицензирования

    Для второго пункта мы переходи по следующему пути:

    Конфигурация компьютера - Административные шаблоны - Компоненты Windows - Служба удаленных рабочих столов - Узел сеансов удаленных рабочих столов - Лицензирование - Задать режим лицензирования удаленных рабочих столов.

    Включаем политику и указываем режим лицензирования, в нашем случае мы активируем “на устройство” и применяем настройку.

    Задаем режим лицензирования

    Рисунок 5 - Задаем режим лицензирования

    Настройка по установки лицензий прошла успешно, далее мы настраиваем шлюз удаленных рабочих столов.

    Настройка шлюза удаленных рабочих столов

    Шлюз удаленных рабочих столов является сервисом посредником между клиентами из внешней сети и сеансов внутренней сети, обеспечивает безопасный обмен данными между ними.

    Заходим в Диспетчер серверов - Средства - Remote Desktop Services - Диспетчер шлюза удаленных рабочих столов.

    Нажимаем ПКМ по папке “Политики” и выбираем “Создание новых политик авторизации”.

    Мы попадаем в “Мастер создания новых политик авторизации”.

    Создание политик авторизации для шлюза удаленных рабочих столов

    Рисунок 6 - Создание политик авторизации для шлюза удаленных рабочих столов

    По пунктам выбираем следующее:

    • Политики авторизации - Создать политику авторизации подключений к удаленным рабочим столам и авторизации ресурсов удаленных рабочих столов.
    • Политика авторизации подключений - пишем наименование политики (в нашем случае Users).
    • Требования - выбираем членство в группе для пользователей или компьютеров, которые смогут подключаться к серверу (в нашем случае, мы добавили группу пользователей “Пользователи удаленного рабочего стола” и “Администраторы”).
    • Перенаправление устройств - выбираем, что требуется перенаправить (мы выбрали “Включить перенаправление устройств для всех клиентских устройств”).
    • Время ожидания сеанса - по умолчанию.
    • Сводка по политике авторизации подключений к RD - параметры которые будут созданы в данной политике.
    • Политика авторизации ресурсов - пишем наименование политики (в нашем случае TS).
    • Группы пользователей - выбираем членство в группе для пользователей или компьютеров, которые смогут подключаться к серверу (в нашем случае, мы добавили группу пользователей “Пользователи удаленного рабочего стола” и “Администраторы”).
    • Сетевой ресурс - можем настроить группу терминальных серверов, куда можно подключиться, выберем “Разрешить подключение пользователей к любому ресурсу (компьютеру)”.
    • Разрешенные порты - если настроен нестандартный порт, то в этом пункте можно это указать, выбираем “Разрешить подключение только к порту 3389”.
    • Сводка по политике авторизации ресурсов RD - параметры которые будут созданы в данной политике.

    На данном этапе мы завершили настройку шлюза удаленных рабочих столов, за исключением установки сертификата.

    Оснастка диспетчера шлюза удаленных рабочих столов без сертификата

    Рисунок 7 - Оснастка диспетчера шлюза удаленных рабочих столов без сертификата

    Для того, чтобы установить сертификат на шлюз удаленных рабочих столов, мы воспользуемся утилитой win-acme.

    Установка сертификата на шлюз удаленных рабочих столов через Let’s Encrypt

    Скачиваем программу по ссылке:

    https://github.com/win-acme/win-acme/releases/download/v2.1.14.1/win-acme.v2.1.14.996.x64.trimmed.zip

    Копируем в папку C:\Scripts\win-acme

    Создаем 3 bat-файла:

    1. Файл "C:\Scripts\win-acme\Register.bat"

    Файл "C:\Scripts\win-acme\Register.bat"

    @echo off

rem powershell.exe

:: Ввод данных:
set /p commonname_Data="Enter Domain name(exampe : v0162.esit.info) : "
powershell -ExecutionPolicy Bypass -NoLogo -NoProfile -Command "Get-WebBinding |  Remove-WebBinding"
powershell -ExecutionPolicy Bypass -NoLogo -NoProfile -Command "New-WebBinding -Name 'Default Web Site' -Port 443 -Protocol https   -SslFlags 0 -IPAddress "*" -HostHeader "*" "
powershell -ExecutionPolicy Bypass -NoLogo -NoProfile -Command "New-WebBinding -Name 'Default Web Site' -Port 80 -Protocol http   -IPAddress "*" -HostHeader "*" "
powershell -ExecutionPolicy Bypass -NoLogo -NoProfile -Command "Set-WebBinding -Name 'Default Web Site' -BindingInformation "*:443:*" -PropertyName  HostHeader  -Value '%commonname_Data%'"
powershell -ExecutionPolicy Bypass -NoLogo -NoProfile -Command "Set-WebBinding -Name 'Default Web Site' -BindingInformation "*:80:*" -PropertyName  HostHeader  -Value '%commonname_Data%'"
@echo on
"C:\Scripts\win-acme\wacs.exe" --installation script --target iissite --siteid 1 --commonname %commonname_Data% --emailaddress [email protected] --accepttos --script "./scripts/PSScript.bat" --scriptparameters "./scripts/ImportRDGateway.ps1 {5}"
    1. Файл "C:\Scripts\win-acme\Scripts\PSScript.bat" Листинг: 
    powershell.exe -ExecutionPolicy RemoteSigned -File %*
    • После этого запускаем "C:\Scripts\win-acme\Register.bat".
    • Вводим домен на котором находится наш шлюз удаленных рабочих столов.
    • Если всё получилось, то в оснастке шлюза удаленных рабочих столов должен появится созданный сертификат, а в консоли - готовый результат.
    • Элемент маркированного списка
    Сертификат успешно установлен

    Рисунок 8 - Сертификат успешно установлен

    Подключение пользователей

    Следующем этапом мы создаем пользователей для подключение к удаленному рабочему столу через шлюз удаленных рабочих столов.

    • В окне “Выполнить” вводим команду “control userpasswords2”.
    • Нажимаем “Дополнительно”.
    • Выбираем папку “Пользователи” переходим в “Дополнительные действия” и нажимаем “Новый пользователь”.
    • Вводим требуемые поля.
    Добавление нового пользователя

    Рисунок 9 - Добавление нового пользователя

    Создаем нового пользователя и добавляем его в группу “Пользователи удаленного рабочего стола”, для этого заходим в Панель управления - Система - Настройка удаленного рабочего стола - Выбрать пользователей - Добавить.

    Добавляем созданных пользователей, после чего подключаемся к серверу.

    Подключение к серверу терминалов

    На машине, с которой будем подключаться к серверу, ищем утилиту “Подключение к удаленному рабочему столу” на Windows 10 она находится по следующему расположению: Пуск - Стандартные - Windows - Подключение к удаленному рабочему столу.

    В открытом окне вводим имя нашего сервера или локальный ip-адрес. В нашему случае имя сервера “EFSOL-TS” Пользователя указываем, которого создали (EFSOL-TS\efsol_it).

    Далее, чтобы указать адрес шлюза удаленных рабочих столов, переходим во вкладку “Дополнительно” нажимаем “Параметры” вводим в окне Имя сервера наше доменное - “gorbach.esit.info”.

    Подключение к шлюзу удаленных рабочих столов

    Рисунок 10 - Подключение к шлюзу удаленных рабочих столов

    Нажимаем “ОК” и “Подключить”.

    При подключении к удаленному рабочему столу - может появится сообщение о сертификате, мы на него соглашаемся.

    Установка терминального сервера произведена и шлюз удаленных рабочих столов успешно настроен.

    Также мы готовы предложить готовый терминальный сервер в аренду. Конфигурации подобраны для комфортной работы в 1С, офисных приложениях и другом ПО.

    Не нашли ответа на свой вопрос?
    • отличная статья! только понадобится 1. подправить файл register.bat: вместо [email protected] надо указать свой адрес, например, [email protected] 2. запускать его с правами администратора.
    • EFSOL
      Спасибо за ваш комментарий!
    • Виталий Физдуй
      Сервер обязательно должен быть в домене? Let’s Encrypt не выдаст сертификат, если не увидит сервер?
    • EFSOL
      в инструкции сервер находится не в домене
    • Подскажите, что надо сделать - выходит вот такая ошибка с генерацией сертификата C:\Scripts\win-acme>"C:\Scripts\win-acme\wacs.exe" --installation script --target iissite --siteid 1 --commonname test.mysite.ru --emailaddress [email protected] --accepttos --script "./scripts/PSScript.bat" --scriptparameters "./scripts/ImportRDGateway.ps1 {5}" [INFO] A simple Windows ACMEv2 client (WACS) [INFO] Software version 2.0.4.227 (RELEASE) [INFO] IIS version 10.0 [INFO] Please report issues at https://github.com/PKISharp/win-acme [INFO] Running in mode: Unattended [INFO] Target generated using plugin IISSite: test.mysite.ru [INFO] Authorize identifier: test.mysite.ru [INFO] Authorizing test.mysite.ru using http-01 validation (SelfHosting) [EROR] { "type": "urn:ietf:params:acme:error:dns", "detail": "DNS problem: NXDOMAIN looking up A for test.mysite.ru - check that a DNS record exists for this domain; DNS problem: NXDOMAIN looking up AAAA for test.mysite.ru - check that a DNS record exists for this domain", "status": 400 } [EROR] Authorization result: invalid [EROR] Create certificate failed: Authorization failed
    • EFSOL
      В самой ошибке есть описание проблемы.
    Содержание

    Есть вопросы?

    Закажите звонок специалиста!

    Есть вопросы?

    Закажите звонок специалиста!
    *нажимая на кнопку, Вы даете согласие на обработку персональных данных