Как установить сервер терминалов в Windows Server 2012

Для того, чтобы разобраться чем отличаются эти режимы, рассмотрим простой пример. Предположим, у Вас есть 5 лицензий. При режиме «На устройство» вы можете создать неограниченное число пользователей на сервере, которые смогут подключаться через удаленный рабочий стол только с 5 компьютеров, на которых установлены эти лицензии. Если выбрать режим «На пользователя», то зайти на сервер смогут только 5 выбранных пользователей, независимо с какого устройства они подключаются.

Инсталляция Terminal Server

Вероятно, вам не стоит рассказывать про начало работы с Виндовс Сервер 2012 R2, когда поставлена столь серьёзная цель. Если вы грамотно провели первичную настройку, проблем на начальных этапах возникнуть не должно.

Инсталляция Terminal Server
  1. Убедитесь, что имеете действующую клиентскую лицензию — Enterprise Agreement. Конечно же, без доступа в интернет не обойтись, это нужно для запуска системы активации и подтверждения лицензий.
  2. Зайдите в «Диспетчер серверов» Server 2012 R2. Он доступен через Панель задач. Или через «Выполнить» (Windows + R), где нужно ввести инструкцию:
Инсталляция Terminal Server
  1. Попав на «Панель мониторинга», найдите сверху в правом секторе окна «Управление» — «…роли и компоненты». 
  2. В «Выбор типа установки» не трогайте отметку напротив «…ролей и компонентов». Нажмите «Далее».
  3. В следующем диалоге оставьте отметку сверху. Ниже должен быть указан нужный сервер. Проверьте установки, такие как «Имя», «IP-адрес».
  4. Подтвердите хотя бы одну роль — «Служба удалённых рабочих столов». Желательно отметить также «Файловые службы и службы хранилища». 
  5. В «Выбор служб ролей» добавьте «Лицензирование…» и «Узел сеансов удалённых рабочих столов». Отметьте все необходимые составляющие и щёлкните «Добавить компоненты». 
  6. Подтвердите перезагрузку Server 2012 R2.
  7. После перезагрузки начнётся конфигурирование на базе новых установок. Дождитесь его завершения.
Читайте также:  Как создать пустой файл в системе Windows для новичков

Теперь вы можете смело переходить к активации разрешений.

Инсталляция Terminal Server

Установка роли Network Controller

Развернуть Network Controller можно как в доменной, так и в бездоменной сети. В первом случае аутентификация пользователей и сетевых устройств производится при помощи Kerberos, во втором потребуются сертификаты. Для знакомства и тестирования можно использовать единственный физический или виртуальный сервер. В промышленной среде для обеспечения высокой доступности следует развернуть кластер из нескольких серверов. Network Controller легко масштабируется, поэтому новые серверы добавляются в кластер очень просто. Клиенты для управления Network Controller могут использовать не только серверную ОС, но и Win 8/8.1/10.

Если узлы с ролью Network Controller развернуты в разных подсетях, следует в диспетчере DNS разрешить динамические обновления DNS для зоны, установив в свойствах зоны параметр Dynamic updates в Secure only. Тип зоны должен быть установлен в Primary или Active Directory-integrated. И установить разрешения для узлов в Security -> Advanced (Безопасность -> Дополнительно). Для тестовой среды с одним сервером это не нужно.

Каждый сервер и клиент, участвующий в соединении, потребует сертификат, содержащий в поле Subject имя компьютера. Это позволяет разрешить его через DNS. Сертификаты следует импортировать/экспортировать на остальные узлы и сделать доверенными для остальных участников. Будем считать, что все это уже сделано, и на управлении сертификатами останавливаться не будем. Для тестирования можно сгенерировать самоподписанный сертификат с помощью диспетчера IIS.

Установка роли Network Controller

Установить роль Network Controller (Сетевой контроллер) можно при помощи диспетчера сервера, выбрав его в ролях сервера и подтвердив установку инструментов управления или PowerShell. Команда здесь проста:

PS> Install-WindowsFeature -Name NetworkController –IncludeManagementToolsУстановка роли «Сетевой контроллер»Другие статьи в выпуске: Xakep #205. Взлом Single Sign-On

  • Содержание выпуска
  • Подписка на «Хакер»
Читайте также:  Программы для получения информации о системе под Linux

По окончании установки в диспетчере сервера появится новая вкладка Network Controller, позволяющая просмотреть события. Управлять же основными функциями, как уже говорилось, можно при помощи командлетов PowerShell, решений SCVMM 2016 и SCOM 2016, предлагающих графический интерфейс. Последние трогать не будем, разберем PowerShell.

Установка роли Network Controller

Модуль NetworkController содержит 45 командлетов. Получить их полный список можно при помощи

PS> Get-Command -module NetworkController

Все командлеты разбирать точно нет смысла, тем более примеры будут большие, рассмотрим основные моменты, позволяющие понять суть настроек. К сожалению, документация MS в части использования Network Controller с PowerShell пока весьма скудна, некоторые моменты приходится уточнять экспериментально, но разобраться путем проб и ошибок можно. Будем надеяться, что к окончательному релизу эта проблема будет решена.

Командлеты модуля NetworkController

Основой всего является приложение (объект) Network Controller, уже на котором строится кластер, обеспечивающий высокую доступность и масштабируемость. Причем кластер устанавливается всегда, даже в случае единственного экземпляра NetworkController.

Установка роли Network Controller

Как разрешить обычном пользователям использовать теневое подключение

В рассмотренных выше примерах для использования теневого подключения к терминальным сессиям необходимы права локального администратора на RDS сервере. Однако можно разрешить использовать теневое (shadow) подключение для подключения к сессиям пользователей и простым пользователям (не давая им прав локального администратора на сервере).

К примеру, вы хотите разрешить членам группы AllowRDSShadow использовать теневое подключение к сессиям пользователей, выполните команду:

wmic /namespace:\\root\CIMV2\TerminalServices PATH Win32_TSPermissionsSetting WHERE (TerminalName=’RDP-Tcp’) CALL AddAccount ‘corp\AllowRDSShadow’,2

В январе 2018 года после установки обновления KB4056898 (патч Windows против Meltdown и Spectre) пользователи столкнулись, что в Windows Server 2012 R2 перестал работать теневой доступ. При попытке выполнить теневое подключение к чужой сессии появляется сообщение «Неопознанная ошибка» (в логах присутствует ошибка STATUS_BAD_IMPERSONATION_LEVEL). Аналогичная проблема возникала и на RDS ферме на базе Windows Server 2016.

Читайте также:  6+ способов резервного копирования данных компьютера

Для решения проблемы нужно установить отдельные обновления:

  • для Windows Server 2016 — KB4057142 (от 17 января 2018)
  • для Windows Server 2012 R2 — KB4057401 (от 17 января 2018)

Установка Server Core

Установка Server Core 2016 мало чем отличается от стандартной, графической версии, единственное, при установке выбираем режим без графики.

Установка Server Core

После установки системы вас встретит аскетичный интерфейс командной строки.

Первым делом установим пароль Администратора:

Установка Server Core

После ввода и подтверждения пароля

нам напишут об успешной смене пароля

Установка Server Core

Здесь я сделаю «лирическое отступление» и установлю Vmtools, поскольку устанавливаю Server Core на виртуальную машину VMware, и включу буфер обмена для виртуалки.

Установка Vmtools:

Установка Server Core

Подключить к виртуалке диск с Vmtools и выполнить команду \

Дальше всё, как в графическом интерфейсе, стандартная установка Vmtools.

Установка Server Core

После того, как сервер перезагрузится, можно приступать к настройке.