• DevOps
  • Защита информации
  • ИТ-поддержка
  • Настройка терминального сервера на базе Windows Server 2022

    В первую очередь требуется установить ОС Windows Server 2022. В данной инструкции у нас она уже установлена на виртуальной машине.

    Минимальные требования:

    • 64-разрядный процессор с тактовой частотой 1,4 ГГц.
    • ОЗУ 512 МБ (2 ГБ для варианта установки Сервер с рабочим столом).
    • Диск 32 ГБ.
    • Доступ к интернету..

    После запуска Windows Server 2022, мы устанавливаем роли для настройки терминального сервера и шлюза удаленных рабочих столов.

    Заходим в Диспетчер серверов → добавить роли и компоненты.

    В оснастке Мастер добавления ролей и компонентов:

    • Тип установки — установка ролей и компонентов.
    • Роли сервера — службы удаленных рабочих столов.

    Добавляем роли на сервере:

    • Тип установки — Установка ролей или компонентов.
    • Выбор сервера — Выбираем наш текущий сервер.
    • Роли сервера — Службы удаленных рабочих столов.
    • Службы ролей — Лицензирование удаленных рабочих столов, шлюз удаленных рабочих столов.

    Подтверждаем установку компонентов и нажимаем Установить. Перезагружаем сервер.

    Настройка сервера лицензирования

    Заходим в Диспетчер серверов → Средства → Remote Desktop Services → Диспетчер лицензирования удаленных рабочих столов.

    В диспетчере нажимаем ПКМ на наш сервер и выбираем Активировать сервер.

    Попадаем в Мастер активации сервера, выбираем метод подключения Авто, вводим свои данные и нажимаем Далее.

    В следующем пункте вводим Сведения об организации и нажимаем Далее.

    Завершение работы мастера активации сервера выполняется с поставленной галочкой Запустить мастер установки лицензий чтобы попасть в оснастку установки лицензий.

    В мастере установки лицензий появятся параметры сервера лицензирования, жмём Далее.

    Лицензию выбираем в зависимости от того, какая у вас имеется.

    Есть следующие типы лицензии:

    • Пакет лицензий (в розницу).
    • Соглашение Open License.
    • Соглашение Select License.
    • Соглашение Enterprise Agreement.
    • Соглашение Campus Agreement.
    • Соглашение School Agreement.
    • Лицензионное соглашение постановщика услуг.
    • Другое соглашение.
    • Лицензия Select Plus.

    В нашем случае мы выбираем Соглашение Enterprise Agreement.

    • Выбираем версию продукта Windows Server 2022.
    • Тип лицензии — Клиентская лицензия служб удаленных рабочих столов на устройство.
    • Количество ставим в зависимости от приобретенной вами лицензией. В нашем случае мы активируем на 10 устройств.

    В завершение установки осталось выполнить добавление групповых политик, для этого нажимаем Win+R (или ПКМ по меню Пуск и выбираем Выполнить).

    В окне Выполнить вводим gpedit.msc и нажимаем ОК.

    Попадаем в Редактор локальной групповой политики. Здесь требуется править две записи. Для того, чтобы указать сервер лицензирования, мы переходим в пункт: Конфигурация компьютера → Административные шаблоны → Компоненты Windows → Служба удаленных рабочих столов → Узел сеансов удаленных рабочих столов → Лицензирование → Использовать указанные серверы лицензирования удаленных рабочих столов>.

    Включаем данную политику и вводим требуемый сервер лицензирования. В нашем случае мы будем ссылаться на свой локальный сервер 127.0.0.1 и применяем настройку.

    Вызов панели для создания виртуальной машины

    Рисунок 1 — Настройка сервера лицензирования

    Для второго пункта мы переходи по следующему пути: Конфигурация компьютера → Административные шаблоны → Компоненты Windows → Служба удаленных рабочих столов → Узел сеансов удаленных рабочих столов → Лицензирование → Задать режим лицензирования удаленных рабочих столов.

    Включаем политику и указываем режим лицензирования, в нашем случае мы активируем на устройство и применяем настройку.

    Далее обновляем групповую политику. Для этого открываем строку Выполнить посредством нажатия комбинации Win+R, вводим команду gpupdate /force, жмём Enter.

    Настройка по установке лицензий прошла успешно, далее мы настраиваем шлюз удаленных рабочих столов.

    Настройка шлюза удаленных рабочих столов

    Шлюз удаленных рабочих столов — это сервис-посредник между клиентами из внешней сети и сеансов внутренней сети, обеспечивает безопасный обмен данными между ними и прослушивает порт 443. Заходим в Диспетчер серверов → Средства → Remote Desktop Services → Диспетчер шлюза удаленных рабочих столов. Нажимаем ПКМ по папке Политики и выбираем Создание новых политик авторизации. Откроется Мастер создания новых политик авторизации.

    Далее выбираем следующие пункты:

    • Политики авторизации — Создать политику авторизации подключений к удаленным рабочим столам и авторизации ресурсов удаленных рабочих столов.
    • Политика авторизации подключений — пишем наименование политики (в нашем случае Users).
    • Требования — выбираем членство в группе для пользователей или компьютеров, которые смогут подключаться к серверу (в нашем случае, мы добавили группу пользователей Пользователи удаленного рабочего стола и Администраторы).
    • Перенаправление устройств — выбираем, что требуется перенаправить (мы выбрали Включить перенаправление устройств для всех клиентских устройств).
    • Время ожидания сеанса — по умолчанию.
    • Сводка по политике авторизации подключений к RD — параметры которые будут созданы в данной политике.
    • Политика авторизации ресурсов — пишем наименование политики (в нашем случае TS).
    • Группы пользователей — выбираем членство в группе для пользователей или компьютеров, которые смогут подключаться к серверу (в нашем случае, мы добавили группу пользователей Пользователи удаленного рабочего стола и Администраторы).
    • Сетевой ресурс — можем настроить группу терминальных серверов, куда можно подключиться, выберем Разрешить подключение пользователей к любому ресурсу (компьютеру).
    • Разрешенные порты — если настроен нестандартный порт, то в этом пункте можно это указать, выбираем Разрешить подключение только к порту 3389.
    • Сводка по политике авторизации ресурсов RD — параметры которые будут созданы в данной политике.

    На данном этапе мы завершили настройку шлюза удаленных рабочих столов, за исключением установки сертификата.

    Для того, чтобы установить сертификат на шлюз удаленных рабочих столов, мы воспользуемся утилитой win-acme.

    Установка сертификата на шлюз удаленных рабочих столов через Let's Encrypt

    Скачиваем программу win-acme.

    Копируем в папку C:\Scripts\win-acme.

    Создаем 2 bat-файла:

    Файл C:\Scripts\win-acme\Register.bat:

    @echo off
    
    rem powershell.exe
    
    :: Ввод данных:
    set /p commonname_Data="Enter Domain name(exampe : v0162.esit.info) : "
    powershell -ExecutionPolicy Bypass -NoLogo -NoProfile -Command "Get-WebBinding |  Remove-WebBinding"
    powershell -ExecutionPolicy Bypass -NoLogo -NoProfile -Command "New-WebBinding -Name 'Default Web Site' -Port 443 -Protocol https   -SslFlags 0 -IPAddress "*" -HostHeader "*" "
    powershell -ExecutionPolicy Bypass -NoLogo -NoProfile -Command "New-WebBinding -Name 'Default Web Site' -Port 80 -Protocol http   -IPAddress "*" -HostHeader "*" "
    powershell -ExecutionPolicy Bypass -NoLogo -NoProfile -Command "Set-WebBinding -Name 'Default Web Site' -BindingInformation "*:443:*" -PropertyName  HostHeader  -Value '%commonname_Data%'"
    powershell -ExecutionPolicy Bypass -NoLogo -NoProfile -Command "Set-WebBinding -Name 'Default Web Site' -BindingInformation "*:80:*" -PropertyName  HostHeader  -Value '%commonname_Data%'"
    @echo on
    "C:\Scripts\win-acme\wacs.exe" --installation script --target iissite --siteid 1 --commonname %commonname_Data% --emailaddress [email protected] --accepttos --script "./scripts/PSScript.bat" --scriptparameters "./scripts/ImportRDGateway.ps1 {5}"
    

    Файл C:\Scripts\win-acme\Scripts\PSScript.bat:

    powershell.exe -ExecutionPolicy RemoteSigned -File %*
    • После этого запускаем C:\Scripts\win-acme\Register.bat.
    • Вводим домен на котором находится наш шлюз удаленных рабочих столов.
    • Если всё получилось, то в оснастке шлюза удаленных рабочих столов должен появится созданный сертификат, а в консоли — готовый результат.

    Подключение пользователей

    Следующем этапом мы создаем пользователей для подключение к удаленному рабочему столу через шлюз удаленных рабочих столов.

    Вводим требуемые поля: пользователь и пароль.

    • В меню пуск находим оснастку Управление компьютером.
    • Нажимаем папку Локальные пользователи.
    • Выбираем папку Пользователи, нажимаем ПКМ → Новый пользователь.

    Создаем нового пользователя, убираем срок действия пароля (если нужно) и добавляем его в группу Пользователи удаленного рабочего стола, для этого заходим в Панель управления → Система → Настройка удаленного рабочего стола → Выбрать пользователей → Добавить.

    Добавляем созданных пользователей, после чего подключаемся к серверу.

    На машине, с которой будем подключаться к серверу, ищем утилиту Подключение к удаленному рабочему столу на Windows 10 она находится по следующему расположению: Пуск → Стандартные → Windows → Подключение к удаленному рабочему столу.

    В открытом окне вводим имя нашего сервера или локальный ip-адрес. В нашему случае имя сервера EFSOL-IT. Пользователя указываем, которого создали (EFSOL-IT\user001).

    Далее, чтобы указать адрес шлюза удаленных рабочих столов, переходим во вкладку Дополнительно нажимаем Параметры вводим в окне Имя сервера.

    Нажимаем ОК → Подключить.

    При подключении к удаленному рабочему столу может появиться сообщение о сертификате, мы на него соглашаемся.

    Установка терминального сервера произведена и шлюз удаленных рабочих столов успешно настроен.

    Нужна помощь? Настройки Windows Server и обслуживание серверов мы осуществляем в рамках услуги ИТ-аутсорсинг. Также возможны разовые проектные работы.

    Не нашли ответа на свой вопрос?
    • Спасибо за интерес к нашим статьям!
    • Самая короткая и простая инструкция, что я нашел!
    • Спасибо!
    Содержание

    Есть вопросы?

    Закажите звонок специалиста!

    Есть вопросы?

    Закажите звонок специалиста!
    *нажимая на кнопку, Вы даете согласие на обработку персональных данных