Installation d'un TSE (Terminal Serveur Edition)

Installation d'un TSE (Terminal Serveur Edition) Par LoiselJP Le 01/05/2013 (R2)

1 Objectifs Le TSE, comprenez Terminal Server Edition est une application de type 'main-frame' de Microsoft qui réside dans la mise en place d'un serveur applicatif pour terminaux. Les terminaux peuvent être des PC (Windows, Unix/Linux, Macintosh..), comme de simples navigateurs Internet. S il s agit de postes terminaux, ils sont aussi appelés clients légers. Les applications et les données sont stockées et exécutées directement sur le serveur TSE. TSE est donc une bonne solution pour recycler des vieux PC sur lesquels il est difficile d installer un système d exploitation récent. Ce document décrit le plus succinctement possible une manière, parmi d'autres, d installer un serveur TSE sur un produit Microsoft serveur. Le but de ce serveur est de proposer un système installé et opérationnel (proposant des applications entre-autre) sans que ce système soit installé sur le poste client. Administration serveur Installation d'un serveur TSE page 2/22

2 Sommaire 1 Objectifs... 2 2 Sommaire... 3 3 Pour débuter... 4 4 Prérequis... 4 4.1- Installation de l Autorité de Certification... 5 5 Installation du service TSE... 8 6 Personnalisation des services Terminal Serveur... 13 7 Configuration de l Active Directory... 14 8 Création stratégie de groupe... 16 9 Accès au serveur... 17 10 Pour aller plus loin... 19 11 Boot sur client léger... 21 Propriété... 22 Licence... 22 Administration serveur Installation d'un serveur TSE page 3/22

3 Pour débuter TSE s installe sur un serveur Windows, ici, pour ce tutoriel, voici les conditions utilisées : - Installation de base Windows 2008 server (testé ici sur "2008R2 Datacenter") - 2048Mo de ram / DD100go Dans un cas de production, le serveur sera configuré avec au minimum les paramètres de base on définition de paramètres des sécurité, l administrateur sera renommé pour limiter les intrusions possibles. La sécurité Internet sera, quant à elle, diminuée (les utilisateurs doivent pouvoir se rendre sur l internet sans être freiné). 4 Prérequis Voici les prérequis pour installer le système : - Active Directory (il est nécessaire que le serveur soit contrôleur de domaine pour autoriser les utilisateurs multiples) - Service de certificats Active Directory - La fonctionnalité Framework 3.5 (avec l option Visionneuse XPS) doit être installée pour la gestion des impressions locales - Par facilité, on installera directement avant toute action complémentaire les logiciels destinés pour une installation Finale (Pack-office, Logiciels de programmation, Bloc-notes et autre utilitaires). Il sera plus pratique de renommer le serveur avant l installation d Active Directory! - Bien y seront installés les habituels : o Antivirus, o Pare-feu o Antispyware o Bien qu il cela demande tout autant de compétences que l installation du TSE, les prérequis ne seront pas ici détaillé, le lecteur comprendra qu il est question dans ce tutoriel de créer un serveur de frame et non voir l installation et l administration de serveur en général. Pour les différentes étapes de la création du serveur et de ses prérequis on pourra se rapprocher de site fiables dans ce domaines dont voici quelques liens: Pour AD et l installation en général : http://technet.microsoft.com/fr-fr/windowsserver/bb310558.aspx Administration serveur Installation d'un serveur TSE page 4/22

4.1- Installation de l Autorité de Certification Le service de certificat ne peut être installé qu après l installation d active Directory, on veillera donc que les prérequis soient remplis avant de commencer l installation Dans le gestionnaire de serveur, installer le rôle «Service de certificats Active Directory» Puis sélectionner «Autorité de certification» Administration serveur Installation d'un serveur TSE page 5/22

Sélectionner «Entreprise» (c est un contrôleur de domaine) Puis Autorité de certification racine Sélectionner «Créer une nouvelle clé privé» Administration serveur Installation d'un serveur TSE page 6/22

Configurer les paramètres du certificat (longueur de la clé, algorithme, nom du certificat, durée de validité, emplacement de la base de données des certificats). Il est possible de laisser les paramètres par défaut qui suffiront pour cet emploi. Enfin cliquer sur «Installer» On notera l avertissement sachant qu il ne sera plus possible de modifier le domaine Administration serveur Installation d'un serveur TSE page 7/22

Félicitation! (pas trop quand même) 5 Installation du service TSE Dans le gestionnaire de serveur, sélectionner le rôle «Service Bureau à distance» Puis cocher les fonctionnalités suivantes : - Hôte de session bureau à distance (appelé par le Service Terminal Server) Administration serveur Installation d'un serveur TSE page 8/22

(C est ce qu on veut donc on installe la fonction!) - Gestionnaire de licences des services Bureau à distance (gère les licences d accès client TS) - Service Broker pour les connexions Bureau à distance (gère l équilibrage de charge de la session ainsi que l accès aux utilisateurs aux programmes RemoteApp) - Passerelle des services Bureau à distance (permet aux utilisateurs autorisés de se connecter au serveur via Internet) - Accès Bureau à distance par le Web (permet aux utilisateurs d accéder aux programmes RemoteApp et aux services Bureau à distance par le navigateur web) Il est rappelé que l installation du service Hôte de session Bureau à distance n est pas recommandée (pour des raisons de sécurité) sur le serveur contrôleur de domaine. Ici nous validerons «Installer quand même» on comprendra qu il est préférable de séparer le serveur TSE du serveur Active Directory. Puis cliquer pour installer le rôle. Il sera sélectionné «Ne nécessite pas l authentification au niveau du réseau» (afin de permettre aux anciennes versions du bureau à distance de se connecter au serveur) Administration serveur Installation d'un serveur TSE page 9/22

Configurer l étendue de découverte pour le serveur de licences par utilisateur (ou suivant le choix de stratégie). Ayant sélectionné par utilisateur, sélectionner le ou les groupes d utilisateurs autorisés Administration serveur Installation d'un serveur TSE page 10/22

Configurer les redirections suivant la bande passante, les choix d administration Configurer la stratégie d autorisation d accès au domaine on pourra également sélectionner les utilisateurs. La stratégie d autorisation par mot de passe reste la plus courante. Administration serveur Installation d'un serveur TSE page 11/22

Suivant le type de serveur, uniquement TSE ou dans un domaine opérationnel, on pourra déterminer les postes pouvant être sélectionnés. Laisser les options suivantes par défaut, puis installer. Administration serveur Installation d'un serveur TSE page 12/22

Redémarrer pour terminer l installation. 6 Personnalisation des services Terminal Serveur Dans les Outils d Administration, cliquer sur «Configuration d hôte de session Bureau à distance» Puis Propriétés de RDP-tcp Administration serveur Installation d'un serveur TSE page 13/22

Pour éviter l utilisation inutile des licences, il est possible de modifier les paramètres pour les sessions déconnectées, inactives Suivant la stratégie d utilisation des licences (et le nombre disponible), il est possible de modifier les paramètres pour les sessions déconnectées, inactives Pour utiliser la fonctionnalité d impression sur les imprimantes locales (Easy Print ) il est nécessaire que le client Utilise le client Bureau distant (RDC). Le droit en écriture pour les utilisateurs TSE doit être mis sur le répertoire «C:\Windows\System32\spool» 7 Configuration de l Active Directory Ce paragraphe traite de la création d Unité d Organisation (OU) spécifique à TSE (dans le cas d une utilisation en production) Administration serveur Installation d'un serveur TSE page 14/22

Dans l AD créer une nouvelle OU nommée TSE (TSE ou ) Puis créer un nouveau groupe «TSE grp» lui-même membre du groupe «Utilisateurs du bureau à distance» Administration serveur Installation d'un serveur TSE page 15/22

Dans la stratégie de sécurité locale : Dans «Attribution des droits utilisateur» (onglet «Stratégies locales») ajouter le groupe «TSE grp» à la stratégie «Autoriser l ouverture de session par les services Bureau à distance» Note : Dans une configuration AD, il peut être nécessaire de modifier le stratégie de domaine pour autoriser l ouverture de session locale. Dans ce cas aller dans Outils d administration / Gestionnaire de Stratégie du Domaine pour modifier le «Default Domain Policy». Puis dans Configuration Ordinateur / Stratégie / Paramètres Windows / Paramètres de sécurité / Stratégies Locales / Attribution des droits utilisateurs. Modifier alors «Autoriser l ouverture de session Terminal serveur» et «Permettre l ouverture d une session locale» pour ajouter «TSE grp» Dans l AD ou dans la gestion des utilisateurs locaux (si serveur TSE dissocié du serveur AD), ajouter le groupe TSE au groupe «Ordinateur Accès Web TS» (pour permettre une connexion via le Web et le serveur IIS) 8 Création stratégie de groupe Dans «Gestion de stratégie de groupe» (Exécuter «gpmc.msc») Administration serveur Installation d'un serveur TSE page 16/22

Créer un objet GPO dans ce domaine et lier l Unité d Organisation TSE Dès lors le module d administration permettra de configurer les différents critères accordé à cette unité d organisation. 9 Accès au serveur Bureau à distance : Dans les programmes rechercher «Connexion Bureau à distance», entrer le nom du serveur (ou son adresse IP) Se connecter avec un compte autorisé à se connecter au TSE (suivant la stratégie mise en place, Via les RemoteApp : Dans les Outils d Administration, cliquer «Gestionnaire RemoteApp» Sélectionner l application, puis Créer le fichier.rdp Puis partager le dossier C:\Program Files\Packaged Programs et diffuser les fichiers.rdp qui ici exécute la calculatrice vie les services TS Administration serveur Installation d'un serveur TSE page 17/22

Via le web : Sur l adresse https://nom_du_serveur/rdweb On y retrouve l accès à nos RemoteApp mais via un simple navigateur web Administration serveur Installation d'un serveur TSE page 18/22

10 Pour aller plus loin Dans le cas du serveur TS différencié du serveur Active directory Pour une utilisation du TSE avec un même compte que sur un poste utilisateur avec une application ciblée de la stratégie de groupe selon le poste utilisé Ajouter le serveur TS dans l OU TSE avec l option «Déplacer» Puis dans le gestionnaire de stratégie de groupe Éditer la stratégie «Default Domain Policy» Puis dans Configuration ordinateur / Stratégies / Modèle d administration / Système / Stratégie de groupe Configurer sur «Remplacer» la clé «Mode de traitement par boucle de rappel de la stratégie de groupe utilisateur» Ce qui permet d appliquer notre stratégie TSE uniquement lors de la connexion sur le serveur TS et non sur un poste client standard Administration serveur Installation d'un serveur TSE page 19/22

Par contre, dans la stratégie TSE, il faut exclure le compte Administrateur de l exécution (sinon ce dernier se retrouvera avec les même droits que définit pour les utilisateurs ) Dans l onglet «Délégation» cliquer sur Avancée Puis ajouter le compte Administrateur et enfin cocher «Refuser» sur le paramètre «Appliquer la stratégie de groupe» Ainsi le compte Administrateur sera exclu de la stratégie Administration serveur Installation d'un serveur TSE page 20/22

11 Boot sur client léger Le boot sur client sans OS n existe pas malheureusement sans l acquisition d un logiciel sous licence et payant(!). Il est donc difficilement réalisable de créer un serveur comme on trouve sous Linux du type LTSP, ou le PC démarre par PXE et charge son image de démarrage par le même moyen. On peut alors envisager différentes versions légères (telles que Danm Linux qui tient sur un espace disque de moins de 100mo et qui pourra proposer un de se connecter sur le TSE par RDesktop. L installation d un Rdesktop est une autre aventure. Administration serveur Installation d'un serveur TSE page 21/22

Propriété Installation d'un serveur TSE. Jean Paul Loisel 56 Rue Philippe de Girard 59160 Lomme loiseljp@club-internet.fr 07 70 32 35 67 Licence Ce document est distribué en "Public Documentation License". The contents of this Documentation are subject to the Public Documentation License. You may only use this Documentation if you comply with the terms of this License. A copy of the License is available at this mail loiseljp@club-internet.fr. The Original Documentation is " Installation d'un serveur TSE". The Initial Writer of the Original Documentation is Jean Paul LOISEL 2013. All Rights Reserved. Contributor(s):. Portions created by are Copyright [Insert year(s)]. All Rights Reserved. (Contributor contact(s): [Insert hyperlink/alias]). The text of this chapter may differ slightly from the text of the notices in the files of the Original Documentation. You should use the text of this chapter rather than the text found in the Original Documentation for Your Modifications. Administration serveur Installation d'un serveur TSE page 22/22