一個 Active Directory,多個遠端桌面服務(Server 2012 解決方案)
我想做的事情非常複雜,所以我想我會把它扔給更廣泛的觀眾,看看是否有人能找到缺陷。我正在嘗試做的(作為 MSP/VAR)設計一個解決方案,該解決方案將為多家公司提供基於會話的遠端桌面(需要保持完全獨立的公司),只使用少數伺服器。這就是我現在的想像:
- CORE SERVER - Server 2012 Datacenter(以下都是 HyperV 伺服器)
Server1:Cloud-DC01(mycloud.local 的 Active Directory 域服務)
Server2:Cloud-EX01(執行多租戶模式的 Exchange Server 2010)
Server3:Cloud-SG01(遠端桌面網關)
- 核心伺服器 2 - Server 2012 數據中心(以下均為 HyperV 伺服器)
Server1:Cloud-DC02(mycloud.local 的 Active Directory 域服務)
Server2:Cloud-TS01(A 公司的遠端桌面會話主機)
Server3:Cloud-TS02(遠端公司 B 的桌面會話主機)
Server4:Cloud-TS03(公司 C 的遠端桌面會話主機)
我想做的是在他們自己的 OU 中設置每個組織(也許基於 Excahnge 2010 租戶 OU 結構創建他們的 OU 結構,以便將帳戶連結起來)。每家公司都將獲得一個遠端桌面會話主機伺服器,該伺服器也將用作文件伺服器。該伺服器將在其自己的範圍內與其他伺服器分開。伺服器 Cloud-SG01 將有權訪問所有這些網路,並在客戶端連接和驗證時將流量路由到適當的網路,以便將它們推送到正確的伺服器(基於 2012 年的會話收集)。
我不會說謊,這是我很快就想出的東西,所以很可能有一些非常明顯的東西我錯過了。對於任何回饋,我們都表示感謝。
這與我們所做的非常相似。我們有一個單一的 TS 網關,我們的所有客戶都可以通過該網關進入。這具有控制哪些使用者組可以登錄到哪些伺服器的連接和資源策略。
每個公司都有自己的獨立終端伺服器。大多數公司只能登錄一個TS,但對於一個特別大的客戶,他們有兩個。我們不對它們進行任何分群,只有一半的使用者連接到 TS1,另一半連接到 TS2。
所有伺服器都位於同一個網段,我們有非常嚴格的 ACL 來定義誰可以在網路上去哪裡(即沒有人可以真正去任何地方)。我們用於 RDS 伺服器的 GPO 也極大地限制了它們在伺服器本身上的位置。
我們在此設置中遇到的*最大問題是為新客戶端自動部署伺服器。*大部分過程都可以自動化(我們使用 ESXi 和 vSphere,它們具有 powershell 集成。與 Hyper-V 相同),但我還沒有找到如何自動修改 TS 網關策略。
我們還有一個非常大的客戶使用我們託管的終端伺服器。因為我不想自己管理他們所有的密碼重置和新帳戶,所以我們授予他們對域上自己的 OU 的委派權限。當他們開始長大時,出於政治原因,我們在我們的森林下給了他們自己的領地。到目前為止,這一切都很好,除了你不能使用它,
User must change their password on next logon因為它與 TS Gateway 不兼容。當他們的密碼過期,他們無法登錄並且有人需要手動重置他們的密碼時,同樣的交易。