Добрый день Уважаемые господа админы.
Раз не получается публикация двух терминалов на условии групп, либо пользователей домена через известные нам брандмауэры ISA Server 2006 и Kerio Winroute Firewall, значит пойдем другим путем!
Кратко об инфраструктуре:
Заранее хочу сказать смысл всей этой затеи-это то, что пользвателей вне организации много и не все находятся в пределах Site-To-Site, есть даже вася пупкин в магадане, либо вообще за кордоном, либо по всей россии-они знать не знают как у нас все организовано+ RDP клиенты у этих пользователей могут быть даже версии 5.x. Им надо лишь одно- у них есть айпи адрес в их RDP клиентах 10.101.2.150 (на данный момент это наш сервер терминалов на основе WS2K3) и все. Почему так? Да потому, что необходима максимальная прозрачность.Конечно же можно было распространить готовый RDP файл всем клиентам-но завтра вася пупкин из VIP персон превратится в обычного пользователя, которому необходим доступ на терминальный сервер с ограниченным набором и перенаправлением устройств.Вы спросите почему необходимо для этого два терминала. да потому, что GPO перенаправления дисков и принтеров находятся именно в свойствах Computer Configuration и состветственно действует политика на сам объект компутера.
Клиенты тупо жмут на connect и должны получить доступ на один из двух терминальных серверов на платформе Windows Server 2008 R2 на основе членства в группах!!!
Как то работая в одной организации я внедрял TS Web Access + RemoteAPP через TS Gateway-отличное решение.
Помотрел не так давно перезентацию Константина Леонтьева о VDI и подумал, может эту проблему можно решить при помощи такого решения. Меня заинтересовало две основные вещи-это RD Redirector и использования RDWebAccess.
Что имею:
Домен локальный с корневыми доменами леса на основе Windows 2000 Server SP4,на одном все роли FSMO кроме одной, она вынесена на резервный DC 2000, эта роль Infrastructure Master).И соответственно дочерние домены на DC Windows 2000 Server и 2003 R2.
Три сайта-три подсети (между двумя поднят Site-To-Site при помощи ISA)-пользователи используют RDC клиент для подключения к терминалу.
Есть внешние VPN-пользователи-получают доступ в сеть используя сначала vpn подключение, затем клиент RDC для подключения к терминалу
Есть сервер сертификации уровня предприятия стоящий на контроллере домена Windows 2000 Server SP4 с шаблонами сертификатов V1. (сертификаты используются только для клиентов MS Outlook 2003 для общения внутри сети через почтовый сервер MS Exchange 2000).
Есть инфраструктура виртуализации на основе VmWare Infrastructure 3.Сервера на виртуалках.
На данный момент есть терминальный сервер на 2003 r2 на который и получают доступ локальные и удаленные пользователи.
Задача:
1.Обновить терминальный сервер до Windows Server 2008 R2
2.Поднять второй терминальный сервер на той же платформе W08R2
3.Разработать транспорт пользователей по привилегиям в зависимости от членства в группах для подключения к определенному терминальному серверу из двух, да так что бы максимально прозрачно, без раздачи RDP файлов-так как в Магадане, Красноярске либо в Норвегии пользователям особо не надо все эти заморочки, а нужен доступ все к тому же адресу терминального сервера! Но теперь диктоваться все будет привилегиями.
Что делаю (пока в тесте):
Cтавлю 4 виртуалки (Два терминальных сервера, один сервер RDSH+RemoteAPP, один сервер RDBroker+RDWebAccess).
Далее пробую добавить компутер источник в группу WEBAccess на сервере RDBroker (ввожу FQDN имя сервера)-а мне высыпает ошибку типа "невозможно добавить компьютер по причине того что данная рабочая станция не имеет отношения доверия с основным доменом!".
Да я еще заметил что когда добавляешь пользователей, либо группы, либо компьютеры на сервере W08r2 вместо привычных объектов домена высвечивается только SID-типа 1-2-25....... В чем может быть трабл?
К тому же центр сертификации предприятия стоит на DC корневом на Windows 2000 Server и при попытке создать на сервере WS08R2 IIS сертификат домена, для подключения через SSL c клиента вида https://servername/rdweb мне выдается ошибка об отмене запроса.
Из вышеописанной морали возникают такие вопросы:
1.Возможно ли при подключении любого юзера через RDC клиент-хоть из "занзибара", что бы ему при подключении к серверу сразу открывалось окно Explorer WebAccess со своими настройками и опубликованным RDP клиентов-уже сконфигурированным для подключения к нужному терминальному серверу??
2.Либо после подключения через VPN клиент сразу открывать IE и от туда входить в WEB-ACCESS и далее на терминальные сервера через опубликованный RDC
3.Либо как то ешчо, но желательно, что бы меньше переходов было, лучьше конечно автоматом по технике SSO.
Понятно что пользователю придется сначала ломиться к окну WebAccess, а затем еще и нажимать опубликованный RDC файл-хотя в будущем уже наверное на виртуальные рабочие столы придется перейти.
А сейчас вот такой подход хотя бы организовать, за не имением предыдущего,либо есть еще мысли?
Подскажите плиз как еще можно?
Раз не получается публикация двух терминалов на условии групп, либо пользователей домена через известные нам брандмауэры ISA Server 2006 и Kerio Winroute Firewall, значит пойдем другим путем!
Кратко об инфраструктуре:
Заранее хочу сказать смысл всей этой затеи-это то, что пользвателей вне организации много и не все находятся в пределах Site-To-Site, есть даже вася пупкин в магадане, либо вообще за кордоном, либо по всей россии-они знать не знают как у нас все организовано+ RDP клиенты у этих пользователей могут быть даже версии 5.x. Им надо лишь одно- у них есть айпи адрес в их RDP клиентах 10.101.2.150 (на данный момент это наш сервер терминалов на основе WS2K3) и все. Почему так? Да потому, что необходима максимальная прозрачность.Конечно же можно было распространить готовый RDP файл всем клиентам-но завтра вася пупкин из VIP персон превратится в обычного пользователя, которому необходим доступ на терминальный сервер с ограниченным набором и перенаправлением устройств.Вы спросите почему необходимо для этого два терминала. да потому, что GPO перенаправления дисков и принтеров находятся именно в свойствах Computer Configuration и состветственно действует политика на сам объект компутера.
Клиенты тупо жмут на connect и должны получить доступ на один из двух терминальных серверов на платформе Windows Server 2008 R2 на основе членства в группах!!!
Как то работая в одной организации я внедрял TS Web Access + RemoteAPP через TS Gateway-отличное решение.
Помотрел не так давно перезентацию Константина Леонтьева о VDI и подумал, может эту проблему можно решить при помощи такого решения. Меня заинтересовало две основные вещи-это RD Redirector и использования RDWebAccess.
Что имею:
Домен локальный с корневыми доменами леса на основе Windows 2000 Server SP4,на одном все роли FSMO кроме одной, она вынесена на резервный DC 2000, эта роль Infrastructure Master).И соответственно дочерние домены на DC Windows 2000 Server и 2003 R2.
Три сайта-три подсети (между двумя поднят Site-To-Site при помощи ISA)-пользователи используют RDC клиент для подключения к терминалу.
Есть внешние VPN-пользователи-получают доступ в сеть используя сначала vpn подключение, затем клиент RDC для подключения к терминалу
Есть сервер сертификации уровня предприятия стоящий на контроллере домена Windows 2000 Server SP4 с шаблонами сертификатов V1. (сертификаты используются только для клиентов MS Outlook 2003 для общения внутри сети через почтовый сервер MS Exchange 2000).
Есть инфраструктура виртуализации на основе VmWare Infrastructure 3.Сервера на виртуалках.
На данный момент есть терминальный сервер на 2003 r2 на который и получают доступ локальные и удаленные пользователи.
Задача:
1.Обновить терминальный сервер до Windows Server 2008 R2
2.Поднять второй терминальный сервер на той же платформе W08R2
3.Разработать транспорт пользователей по привилегиям в зависимости от членства в группах для подключения к определенному терминальному серверу из двух, да так что бы максимально прозрачно, без раздачи RDP файлов-так как в Магадане, Красноярске либо в Норвегии пользователям особо не надо все эти заморочки, а нужен доступ все к тому же адресу терминального сервера! Но теперь диктоваться все будет привилегиями.
Что делаю (пока в тесте):
Cтавлю 4 виртуалки (Два терминальных сервера, один сервер RDSH+RemoteAPP, один сервер RDBroker+RDWebAccess).
Далее пробую добавить компутер источник в группу WEBAccess на сервере RDBroker (ввожу FQDN имя сервера)-а мне высыпает ошибку типа "невозможно добавить компьютер по причине того что данная рабочая станция не имеет отношения доверия с основным доменом!".
Да я еще заметил что когда добавляешь пользователей, либо группы, либо компьютеры на сервере W08r2 вместо привычных объектов домена высвечивается только SID-типа 1-2-25....... В чем может быть трабл?
К тому же центр сертификации предприятия стоит на DC корневом на Windows 2000 Server и при попытке создать на сервере WS08R2 IIS сертификат домена, для подключения через SSL c клиента вида https://servername/rdweb мне выдается ошибка об отмене запроса.
Из вышеописанной морали возникают такие вопросы:
1.Возможно ли при подключении любого юзера через RDC клиент-хоть из "занзибара", что бы ему при подключении к серверу сразу открывалось окно Explorer WebAccess со своими настройками и опубликованным RDP клиентов-уже сконфигурированным для подключения к нужному терминальному серверу??
2.Либо после подключения через VPN клиент сразу открывать IE и от туда входить в WEB-ACCESS и далее на терминальные сервера через опубликованный RDC
3.Либо как то ешчо, но желательно, что бы меньше переходов было, лучьше конечно автоматом по технике SSO.
Понятно что пользователю придется сначала ломиться к окну WebAccess, а затем еще и нажимать опубликованный RDC файл-хотя в будущем уже наверное на виртуальные рабочие столы придется перейти.
А сейчас вот такой подход хотя бы организовать, за не имением предыдущего,либо есть еще мысли?
Подскажите плиз как еще можно?