Vue d’ensemble
RDS Architecture : https://docs.microsoft.com/en-us/windows-server/remote/remote-desktop-services/desktop-hosting-logical-architecture
L’autorisation d’accès distant via les paramètres système avancés n’autorise que 2 sessions en parallèle.
Si on n’a pas de domaine, seul les Devices-CAL peuvent être utilisés.
Pour les user CAL, il faut un domaine.
À choisir entre les 2, il est considéré comme bonne pratique de déployer le serveur de licences RDP plutôt sur le DC que sur le serveur RDP.
https://community.spiceworks.com/topic/2193241-small-office-ts-server-rds-cals-no-domain
https://social.technet.microsoft.com/Forums/en-US/ad8572b7-323c-42fe-b8fb-e2207245c042/how-do-user-cals-work-without-domain-terminalserver?forum=winservergen
Install
Install : Choisir “Services Bureau à distance” qui permet d’avoir les choix suivants :
Pour le serveur de licences :
Services Bureau à distance
Gestionnaire de licences des services Bureau à distance
Outils d'amin de serveur distant
Outils d'admin de rôles
Outils des services bureau à distance
Outils du gestionnaire de licences des services Bureau à distance
Sur le serveur RDP :
Outils d'amin de serveur distant
Outils d'admin de rôles
Outils des services bureau à distance
Outils de diagnostic des licences des services Bureau à distance
Services Bureau à distance
Remote Desktop Session Host
Service Broker pour les connexions Bureau à distance
Passerelle des services Bureau à distance
Le broker est le service qui récupère les connections entrantes, et les redirige sur le serveur hôte. Le serveur hôte est le serveur qui va effectivement héberger le bureau à distance.
Ajouter le serveur de licences RDS et “SERVICE RESEAU” au groupe “Serveur de licences des services Terminal Server” (peut être fait automatiquement par l’assistant dans la gestion des licences RDS)
Inscrire le serveur en tant que point de connexion de service (SCP)
On peut se passer du broker, mais il faut faire quelques modifs à la main :
https://docs.microsoft.com/en-us/troubleshoot/windows-server/remote/install-rds-host-role-service-without-connection-broker
Gestionnaire de serveur -> Installation des services bureau à distance permet de configurer le déploiement (en + de tout ce qui est mentionné ci-dessus). Utiliser déploiement standard -> basé sur une session
Pas de serveur de licence disponible :
https://docs.microsoft.com/en-us/troubleshoot/windows-server/remote/cannot-connect-rds-no-license-server
Gestionnaire de serveur -> Services Bureau à distance -> Vue d’ensemble -> Tâches -> Modifier -> Gestionnaire de licences
Il est possible/fréquent que les messages restent. Pour corriger le message relatif au mode non configuré :
regedit
HKLM\SYSTEM\CurrentControlSet\Control\Terminal Server\RCM\Licensing Core
et passer LicensingMode de 5 (non configuré) à 4 (per-user) ou 2 (per-device)
Pour corriger le message relatif à la période de grâce, en powershell (admin) :
$object = gwmi -namespace "Root/CIMV2/TerminalServices" Win32_TerminalServiceSetting
$object.GetSpecifiedLicenseServerList()
qui renverra probalement “SpecifiedLSList” vide. On ajoute le serveur de license :
$object.SetSpecifiedLicenseServerList("my.server.com")
Redémarrer le serveur pour appliquer les modifs.
https://techgenix.com/remote-desktop-licensing-mode-is-not-configured-error/
Utilisateurs
Lorsqu’un utilisateur est ajouté au groupe de domaine “Utilisateurs du bureau à distance”, ceci lui donne un droit de connexion aux DCs, mais pas aux autres postes/serveurs.
Si on souhaite leur accorder l’accès, on peut le faire sur 1 poste/serveur précis, par la boîte de dialogue Système -> Avancé -> Utilisation à distance -> Utilisateurs.
On peut aussi le faire par GPO, via “Config ordi -> Préférences -> Paramètres du panneau de configuration -> Utilisateurs et groupes locaux” et ajouter un groupe “Utilisateurs du Bureau à distance (intégré)” qui contiendra les utilisateurs en question (ça peut aussi être un groupe qui contient les utilisateurs).
Licences, CAL
Pour que l’administrateur n’utilise pas de licence, il faut passer le paramètre /admin à la commande xfreerdp.
On ne peut pas révoquer les per-user CALs. Ils se suppriment tout seuls au bout de 60 jours sans connexion de l’utilisateur. Si on veut forcer la suppression, on peut réinitialiser la base de licences. POur ceci, dans le gestionnaire de licences RDS, sélectionner le serveur de licences -> clic-droit -> Gérer les licences -> Reconstruire la base de données, puis choisir un motif.
Il faudra ensuite entrer à nouveau la clé de licence des CALs. Possible que MS arrête de valider si trop de changements rapprochés ?
Licence case-sensitive
https://social.technet.microsoft.com/Forums/en-US/bb5d15b8-11f8-4ffc-99c8-afe491ce504a/2019-cal-user-license-duplicates-based-upon-case-sensitivity?forum=winserverTS
Dans les Utilisateurs et ordinateurs AD, clic-droit -> Propriétés sur un utilisateur qui a un accès RDP. Dnas l’Éditeur d’attributs, rechercher des attributs msTS[…]. S’ils sont vides, c’est probablement le problème de permissions. Pour corriger ceci :
clic-droit sur l’OU qui contient les users -> Délégation de controle
Utilisateurs et groupes sélectionnés : SELF
Tâche personnalisée
Seulement les objets suivants -> Objects Utilisateur
Autorisation : Générales -> Lire et écrire Serveur de licences Terminal Server
Gestionnaire de licences
en cas d’activations rapprochées, la clé peut être bloquée par MS en ce cas on peut faire une activation par téléphone
Gestionnaire de licences des services bureau à distance -> Tous les serveurs -> clic-droit sur le serveur de licences et Propriétés Passer le mode de connexion en Téléphone Ils donnent les numéros américains ; chercher “téléphone Clearinghouse france” pourt rouver les numéros
https://www.microsoft.com/fr-fr/licensing/existing-customer/activation-centers 08.05.11.02.35 (gratuit) 01.72.26.60.80 (payant ?) 01.55.17.40.75 (payant ?)
https://activate.microsoft.com/Help.aspx?locale=fr-fr
https://learn.microsoft.com/en-us/windows-server/remote/remote-desktop-services/rds-client-access-license https://learn.microsoft.com/fr-fr/windows-server/remote/remote-desktop-services/rds-client-access-license#per-user-cals
Observateur d’evenements (sur la machine qui héberge le gestionnaire de licences) : Journaux des applications et services -> Microsoft -> Windows -> TerminalServices-Licensing