Bereitstellung einer Remote Desktop Umgebung mit Virtual Datacenter

Mit Virtual Datacenter und dem vApp-Template für Remote Desktop Services (RDS) stellen Sie bequem eine voll funktionsfähige Desktop-as-a-Service-Umgebung (DaaS) bereit, die Sie weiter nach Ihren Bedürfnissen anpassen können. Der nachfolgende Artikel ist für Endkunden mit IT-Knowhow und Partner gleichermassen geeignet und zeigt Ihnen, wie Sie das Template bereitstellen und das Customizing der Umgebung durchführen.

Das Template

Das Remote Desktop Services (RDS) Template in Virtual Datacenter besteht aus zwei VMs. Die eine kombiniert den Active Directory Domänencontroller, den Fileserver und den RDS Lizenzserver und die andere enthält den RDS Session Host (Terminalserver). Die Benutzer arbeiten mit lokalen Profilen auf dem RDS Session Host und aktivierter Folder Redirection für Dokumente, Bilder, Musik, Videos, Desktop und Downloads. Optional können Sie den VMs nachträglich noch die Rollen Print Server und RDS Gateway hinzufügen, damit ein Zugriff über HTTPS und ohne VPN möglich ist.

{height="" width=""}
Die Struktur des Remote Desktop Services (RDS) Template in Virtual Datacenter mit Active Directory, File Server, RDS Lizenzserver und RDS Session Host. Die Rollen Print Server und RDS Gateway können nachträglich installiert werden.

Ist eine grössere Umgebung geplant, können Sie problemlos manuell weitere Domänencontroller und RDS Session Hosts hinzufügen oder beispielsweise die File Server Rolle auf eine separate VM verschieben. Der RDS Gateway lässt sich auf eine separate VM in einer DMZ installieren, um die Sicherheit zu erhöhen. Die aufgeführten Rollen erfüllen folgende Zwecke:

• Active Directory: Standard Active Directory Rolle mit DNS und Group Policies für User-Lockdown und automatisches Mapping von File Shares.

• File Server: File Sharing mit separater virtueller Festplatte für File Shares und vorkonfiguriertem Share als allgemeine Teamablage.

• Print Server: Binden Sie Drucker beim Endkunden via VPN an den Print Server an und hinterlegen Sie die benötigten Treiber. Dies ermöglicht ein einfacheres Management in Umgebungen mit mehreren Session Hosts.

• RDS Lizenzserver: Vorkonfigurierter RDS Lizenzserver ohne vorinstallierte Lizenzen. Diese können Sie über uns beziehen und werden von unserem Support-Team installiert.

• RDS Session Host: Session-based Terminalserver, auf dem sich die Benutzer einloggen werden und als Multi-User Plattform arbeiten werden.

• RDS Gateway: Bereitstellung der Remote Desktop Services über HTTPS, damit ein sicherer Zugriff via Internet ohne VPN möglich ist.

Die Bereitstellung

Um das RDS Template bereitzustellen, öffnen Sie im Menü Libraries und dann vApp Templates. Wählen Sie in der Template-Liste das Template Remote Desktop Services (RDS) aus und klicken Sie auf Create vApp.

Im Assistenten definieren Sie einen Namen für die vApp und bei Bedarf eine Beschreibung. Wählen Sie im nächsten Schritt Ihr VDC und die entsprechende Storage Policy (SSD oder HDD) für die beiden VMs aus.

Unter Configure Networking wählen Sie Switch to the advanced networking workflow und wählen das gewünschte OrgVDC Network aus und beziehen entweder eine IP aus dem IP-Pool oder definieren manuell eine.

Die Ressourcen für die VMs definieren Sie im nächsten Schritt. Lassen Sie die Standardwerte bestehen und passen Sie diese erst später an.

Im letzten Schritt sehen Sie eine Zusammenfassung der Bereitstellung und können die Ausführung starten. Der Bereitstellungsvorgang dauert ca. 10-20 Minuten.

Sobald die Bereitstellung abgeschlossen ist, öffnen Sie die Details der neu erstellten vApp und klicken auf den Session Host CHRD01. Ändern Sie im Abschnitt Hardware die Ressourcen entsprechend Ihren Anforderungen. Rechnen Sie mit 1 vCPU und 2 GB RAM für das Betriebssystem und dann pro User je nach Leistungsanspruch 0.3-0.5 vCPU und 1-2 GB RAM dazu. Bei 10 anspruchslosen Büro-Usern wäre das die folgende Konfiguration für CHRD01.

Die Werte für vCPU und RAM lassen sich jederzeit ändern, mit der Option Hot Add sogar während dem Betrieb. Die Festplatten sollten Sie möglichst klein wählen, weil diese nachträglich nur vergrössert und nicht verkleinert werden können.

Kehren Sie zurück zu den Details der vApp und legen Sie die Start- und Stop-Reihenfolge für die beiden VMs so fest, dass der Domänencontroller zuerst startet und erst 60 Sekunden später der RDS Session Host. Dasselbe auch beim Beenden der vApp.

Starten Sie nun die vApp. Öffnen Sie die VM-Konsole des Domänencontrollers und melden Sie sich mit folgendem Account an:

Benutzername: HOSTING\Administrator
Passwort: Start123*

Die Domäne hosting.vdc wurde generisch gewählt, weil diese nachträglich nicht geändert werden kann. Oftmals wird leider die vorhin definierte IP-Konfiguration nicht korrekt in Windows übernommen. Prüfen Sie dies und passen Sie sie gegebenenfalls an.

Anschliessend sollte der Internet- und Netzwerkzugriff funktionieren. Wiederholen Sie den Vorgang für den RDS Session Host und starten Sie die gesamte vApp neu. Das Template ist somit bereitgestellt.

Die Grundkonfiguration

Konfigurieren Sie Ihre Umgebung mit Benutzern, Gruppen und Shares.

Kennwörter

Ändern Sie die Kennwörter des Domain-Admins und des lokalen Administrators auf dem RDS Session Hosts.

RDS Lizenzserver

Aktivieren Sie den RDS Lizenzserver und installieren Sie darin die RDS Lizenzen. Öffnen Sie dafür den Remotedesktoplizenzierungs-Manager in dem Sie im Server-Manager auf Tools > Remote Desktop Services > Remotedesktoplizenzierungs-Manager klicken. Dort können Sie den Server aktivieren und die Lizenzen installieren. Starten Sie nach der erstmaligen Installation von Lizenzen den Dienst Remotedesktoplizenzierung neu, damit der Lizenzserver korrekt initialisiert wird und allfällige Wartungen verschwinden. Danach sollte der Lizenzserver mit einem grünen Häkchen markiert sein und die installierten Lizenzen in der Lizenzliste ersichtlich sein.

Sofern Sie die Lizenzen über uns im Mietmodell beziehen, kontaktieren Sie unseren Verkauf, damit wir für Sie die Lizenzen installieren können.

Benutzer und Gruppen

Standardmässig können sich alle Mitglieder der Gruppe RDS-Benutzer via RDP am RDS Session Host anmelden. Im Active Directory existiert bereits ein Benutzer Test User der die erforderliche Gruppenzugehörigkeit besitzt und zum Login benutzt werden kann. Um neue Benutzer zu erstellen, können Sie diesen bequem kopieren. Die Benutzer erhalten ein lokales Profil auf dem RDS Session Host und mappen die Ordner Dokumente, Bilder, Musik, Videos, Desktop und Downloads per Folder Redirection vom Fileserver.

Sobald Sie alle Benutzer erstellt haben, können Sie den Benutzer Test User löschen. Gruppen können Sie entsprechend Ihren Anforderungen erstellen.

Shares

Standardmässig ist ein Share mit dem lokalen Pfad E:\Shares\Daten und dem Freigabepfad \chdc01\Shares\Daten konfiguriert. Alle Benutzer der Gruppe RDS-Benutzer sind darauf berechtigt und der Share wird mittels Group Policy als Laufwerk I: eingebunden. Wenn Sie weitere Shares benötigen, erstellen Sie eine AD-Berechtigungsgruppe und einen neuen Ordner unter E:\Shares. Er muss nicht freigegeben werden, weil der Überordner Shares bereits freigegeben ist. Berechtigen Sie die neue Gruppe wie gewünscht auf den neu erstellen Ordner. Anschliessend können Sie in der GPO RDS Laufwerkmapping unter Benutzerkonfiguration > Einstellungen > Windows-Einstellungen > Laufwerkszuordnungen einen neuen Eintrag für das Mapping des Netzlaufwerks erstellen. Damit wird der neue Share bei allen berechtigten Usern gemappt.

Der Zugriff

Für den Zugriff auf die Remote Desktop Umgebung gibt es mehrere Möglichkeiten, die sich in Sicherheit und Implementationsaufwand unterscheiden.

RDP-Portforwarding

Vorteile: Schnell einzurichten und beste Performance
Nachteile: Potenziell Unsicher

Hierbei wird direkt der RDP-Port TCP 3389 im Internet geöffnet und mittels NAT auf die interne IP des RDS Session Hosts weitergeleitet. Gehen Sie dazu auf Data Centers und unter Networking auf Edges. Wählen Sie da Ihren Edge Gateway und wählen Services.

Erstellen Sie eine Firewall-Regel, die Traffic für den RDP Port auf die WAN-IP erlaubt.

Nun ist der RDP-Zugriff über Ihre WAN-IP (z.B. 212.237.xxx.xxx) möglich und die Benutzer können sich einloggen.

Wichtig: Es ist unbedingt zu empfehlen, diese Methode nicht oder nur temporär zu Testzwecken zu nutzen. Sollten Sie sie trotzdem produktiv nutzen wollen, ändern Sie in der NAT-Regel den Original-Port von 3389 zu einer zufälligen fünfstelligen Portnummer, um für automatisierte Brute-Force-Attacken weniger sichtbar zu sein. Weiter können Sie in der Firewall-Regel die Source-IP eingrenzen, sodass der Zugriff nur von bestimmten IPs her möglich ist.

VPN

Vorteile: Relativ schnell einzurichten und hohe Sicherheit

Nachteile: Benötigt zusätzliche Konfiguration und bei SSL VPN umständlicher für User

Verbinden Sie die Standorte und User per VPN und erlauben Sie erst dann den Zugriff auf den RDP Session Host. So ist eine zusätzliche Authentifizierung notwendig und die ganze Kommunikation über das Internet wird stärker verschlüsselt. Der Edge Gateway bietet Ihnen für Standortanbindungen IPSec VPN und für einzelne User SSL VPN.

Remote Desktop Gateway

Vorteile: Hohe Sicherheit und Benutzerfreundlichkeit

Nachteile: Komplexere Konfiguration

Der Remote Desktop Gateway verkapselt die potenziell unsichere RDP-Verbindung in eine sichere HTTPS-Verbindung und ermöglicht den direkten und sicheren Zugriff via Remote Desktop Client. Die Methode ist sehr benutzerfreundlich und erfordert keine zusätzliche Konfiguration auf Benutzerseite. Der Remote Desktop Gateway ist eine zusätzliche Rolle von Windows Server und kann entweder direkt auf den RDS Session Host oder auf einem zusätzlichen Server, idealerweise in der DMZ, installiert werden. Er erfordert ein HTTPS-Zertifikat. Die Konfigurationsmöglichkeiten sind vielfältig und deren Beschreibung würde den Rahmen dieses Artikels sprengen. Sollten Sie noch nicht mit dem Remote Desktop Gateway vertraut sein, finden Sie weitere Informationen bei Microsoft und Unterstützung bei unserem Verkauf.