Um Active Directory, vários serviços de área de trabalho remota (solução Server 2012)

Navegue suas respostas
7

O que eu estou tentando fazer é bastante complexo, então eu imaginei que eu iria jogá-lo para um público mais amplo para ver se alguém pode encontrar uma falha. O que eu estou tentando fazer (como um MSP / VAR) é projetar uma solução que dará a várias empresas uma área de trabalho remota baseada em sessão (empresas que precisam ser mantidas completamente separadas), usando apenas um punhado de servidores. É assim que imagino no momento:

  • CORE SERVER - Servidor de dados do servidor 2012 (Todos abaixo são servidores HyperV)
        Server1: Cloud-DC01 (Serviços de Domínio Active Directory para mycloud.local)
        Server2: Cloud-EX01 (Exchange Server 2010 executando o modo de vários locatários)
        Servidor 3: Cloud-SG01 (Gateway de Área de Trabalho Remota)
  • CORE SERVER 2 - Datacenter Server 2012 (Todos abaixo são servidores HyperV)
        Server1: Cloud-DC02 (Serviços de Domínio Active Directory para mycloud.local)
        Server2: Cloud-TS01 (host de sessão de área de trabalho remota para empresa A)
        Server3: Cloud-TS02 (host de sessão de área de trabalho remota para empresa B)
        Server4: Cloud-TS03 (Host de Sessão da Área de Trabalho Remota para Empresa C)

O que eu pensei em fazer era configurar cada Organização em sua própria UO (talvez criando sua estrutura de UO com base na estrutura da UQ do locatário do Excahnge 2010 para que as contas sejam vinculadas). Cada empresa teria um servidor Host de Sessão de Área de Trabalho Remota que também serviria como servidor de arquivos. Esse servidor seria separado do restante em seu próprio intervalo. O servidor Cloud-SG01 teria acesso a todas essas redes e direcionaria o tráfego para a rede apropriada quando um cliente se conectasse e autenticasse para que elas sejam enviadas ao servidor correto (com base nas coleções de sessões em 2012).

Eu não vou mentir isso é algo que eu inventei rapidamente, então pode muito bem ser algo óbvio que estou perdendo. Qualquer feedback seria apreciado.

    
por Trinitrotoluene 07.07.2012 / 23:38

1 resposta

5

Isso é muito parecido com o que fazemos. Temos um único Gateway TS que todos nossos clientes acessam. Isso tem políticas de conexão e recursos que controlam quais grupos de usuários podem fazer logon em quais servidores.

Cada empresa tem seu próprio servidor de terminal independente. A maioria das empresas só pode fazer logon no TS, mas para um cliente particularmente grande, elas têm dois. Nós não fazemos nenhum cluster deles, apenas metade dos usuários se conectam ao TS1 e a outra metade se conecta ao TS2.

Todos os servidores estão no mesmo segmento de rede e temos ACLs muito restritas para definir quem pode ir onde na rede (ou seja, ninguém pode realmente ir a qualquer lugar). Nosso GPO para os servidores RDS também restringe muito onde eles podem ir no próprio servidor.

O maior problema que temos com essa configuração é a implantação automatizada de servidores para novos clientes. A maior parte do processo pode ser automatizada (usamos ESXi e vSphere, que tem integração powershell. Igual ao Hyper-V), mas ainda não descobri como automatizar a modificação das políticas do TS Gateway.

Também temos um cliente muito grande que usa nossos servidores de terminal hospedados. Como eu não queria me preocupar em gerenciar todas as suas redefinições de senha e novas contas, concedíamos a eles direitos de delegação sobre sua própria UO no domínio. Quando eles começaram a crescer, por razões políticas, nós lhes demos seu próprio domínio sob nossa floresta. Isso tudo funcionou muito bem até agora, exceto que você não pode usar o User must change their password on next logon , pois isso é incompatível com o TS Gateway. Mesma oferta quando a senha expira, eles não podem fazer logon e alguém precisa redefinir sua senha manualmente.

    
por 07.07.2012 / 23:48

Tags

Como faço para passar argumentos da linha de comando PXE para um script% post,% post do kickstart? Server 08 RDP: é possível avisar se o mesmo usuário já estiver conectado?