Dans ce chapitre, je vous propose de débuter dans l’aventure des bureaux virtuels. Vous allez pouvoir configurer Windows Server de sorte que vos utilisateurs puissent utiliser le serveur en tant que poste de travail. Ainsi, au lieu d’avoir un nombre conséquent de postes à administrer, vous n’aurez plus que votre serveur à gérer, depuis lequel vous pourrez organiser la gestion des différents postes de travail.
Activez le bureau à distance
Dans le gestionnaire de serveur, rendez-vous sur le tableau de bord de votre serveur. Sélectionnez “Bureau à distance” et cliquez sur la mention “Désactivé” (c’est un service désactivé par défaut pour des raisons de sécurité) afin d’activer le service :
Une fois que vous avez activé le service, voici les quelques opérations à effectuer :
Rendez-vous dans les propriétés système de votre serveur, sur l’onglet “Utilisation à distance”.
Cochez la case “Autoriser les connexions à distance à cet ordinateur”.
Décochez “N’autoriser que la connexion des ordinateurs avec authentification NLA”.
Dans le pare-feu, ouvrez le port 3389/tcp à destination de votre serveur.
Maintenant, vous pouvez ouvrir le client sur un poste Windows. Pour cela, exécutez la commande MSTSC :
Entrez l’adresse IP de votre serveur et cliquez sur “Connexion”. Une fenêtre vous invite à vous authentifier, entrez les identifiants de votre administrateur local et vous devriez avoir un avertissement de sécurité.
Ainsi, vous pouvez fournir ce type d’accès à vos utilisateurs. Ils disposeront d’un bureau, sur le serveur, qui leur sera propre (avec une session personnelle).
Personnalisez le bureau à distance
Avec le temps, Microsoft a verrouillé ce type d’accès afin d’empêcher les utilisateurs non administrateurs d’effectuer certaines actions. Ainsi vos utilisateurs auront une vue plus restreinte de votre serveur ; ils ne pourront pas, par exemple, arrêter le serveur. De même, le gestionnaire de serveur ne se lancera pas à l’ouverture de session et, même s’il est possible pour l’utilisateur de le lancer, aucune action ne sera disponible.
Il convient tout de même de personnaliser le bureau d’un utilisateur en réduisant la présence de certains raccourcis, notamment dans le menu Démarrer, se trouvant à l’emplacement suivant : C:\Users\nom-d-utilisateur\AppData\Roaming\Microsoft\Windows\Start Menu\Programs
Pour effectuer cela de manière générale, avant qu’un utilisateur ne se connecte, rendez-vous à l’emplacement suivant : C:\Users\Default\AppData\Roaming\Microsoft\Windows\Start Menu\Programs .
Pour personnaliser encore plus la session, hors environnement, Active Directory ou les GPO vous seront d’une grande aide ; rendez-vous dans l’éditeur de stratégie de groupe locale. Il s’agit des mêmes paramètres que les GPO, sauf que l’impact ne sera visible que sur le serveur ou le poste local.
Gérez une ferme de serveurs bureaux à distance
Depuis Windows 2008, le bureau à distance s’est vu considérablement amélioré, notamment avec des services dédiés à la gestion de bureaux à distance complètement intégrés, permettant d’augmenter l’expérience utilisateur.
À quoi cela peut-il bien servir ?
Reprenez les différentes contraintes que vous avez précédemment observées, ainsi que d’autres contraintes propres au partage de bureau :
Vous avez l’obligation de configurer des restrictions sur les serveurs.
Vos utilisateurs ne pourront pas conserver leurs sessions s’il y a plusieurs serveurs disponibles.
La gestion des ressources se fera uniquement sur la disponibilité réseau du serveur et non sur l’état de ses ressources réellement disponibles.
Vous ne pourrez pas ajouter un serveur sans impacter la fourniture du service.
Avec une infrastructure de ce type, vous allez pouvoir aller plus loin dans l’expérience utilisateur, avec notamment :
une gestion avancée des sessions (stockées à un emplacement unique, quel que soit le nombre de sessions) ;
la possibilité de déployer un bureau ou simplement des applications (sans avoir besoin de les installer sur les postes clients) ;
l’ajout simplifié de serveurs grâce à la création d’une sorte de ferme de serveurs où les machines virtuelles dédiées au partage de bureau peuvent être plus simplement ajoutées.
Trois options s’offrent alors à vous :
Plusieurs serveurs, chacun ayant un rôle spécifique dans le système VDI.
Un unique serveur regroupant tous les rôles VDI.
Des services MultiPoint qui permettent de créer des stations pour des utilisateurs, et de leur donner accès avec des concentrateurs USB.
Voici un tableau comparatif des options de partage de bureau :
Option | Plusieurs serveurs | Un unique serveur | Services MultiPoint |
Type | Infrastructure de bureaux virtuels (VDI) | Infrastructure de bureaux virtuels (VDI) | Partage de serveur |
Avantages | Simplifie la montée en charge et permet de gérer de nombreux utilisateurs | Simplifie le déploiement jusqu’à quelques utilisateurs (idéalement moins de 25) | Réduit le coût de la solution |
Inconvénients | Lourd à installer puis à administrer | Nombre d’utilisateurs réduit, rend difficile l’ajout de serveurs pour gérer d’autres utilisateurs | Nombre d’utilisateurs réduit, rend difficile l’ajout de serveurs pour gérer d’autres utilisateurs |
Les services MultiPoint
Commençons par le plus simple : grâce à ces services, vous allez pouvoir configurer un serveur qui sera utilisé par plusieurs claviers, souris et écrans. Simple, non ? Ainsi, vous configurez ce serveur, paramétrez ces services, et posez l’unité centrale au milieu d’un îlot de plusieurs bureaux. Chaque utilisateur dispose de son propre clavier, sa souris et son écran.
Par contre, vous vous retrouverez dans les mêmes contraintes que la dernière fois, à savoir :
un nombre limité de sessions possible ;
une administration, certes moindre qu’avec le nombre d’ordinateurs qu’il aurait fallu mettre en place, mais tout de même autant de serveurs MultiPoint que de groupes d’utilisateurs.
Vous allez vous focaliser sur la mise en œuvre avec un serveur unique. Bien qu’une mise en œuvre avec plusieurs serveurs nécessite plus de temps, la démarche restera la même. Vous pourrez donc appliquer ce que vous avez appris sur serveur unique, à la mise en œuvre de plusieurs serveurs.
Mettez en place un serveur unique regroupant tous les rôles VDI
La première étape dans le VDI Microsoft consiste à mettre en œuvre l’intégralité des rôles et services sur un unique serveur.
Pour cette option de déploiement, vous avez deux scénarios :
Utiliser des ordinateurs virtuels.
Utiliser des sessions sur le serveur actuel.
À l’aide de l’assistant “Ajout de rôles et fonctionnalités”, ajoutez des services de bureaux à distance :
Sélectionnez le scénario avec un unique serveur et déployez uniquement des sessions :
L’installation se lance, et vous devrez obligatoirement redémarrer le serveur pour finaliser la configuration :
Les rôles et services de rôle suivants seront installés sur votre serveur :
Service Broker pour les connexions Bureau à distance.
Accès web des services Bureau à distance.
Hôte de session Bureau à distance.
L’accès web des services Bureau à distance permet de fournir une interface web pour accéder aux services de bureau à distance et aux applications disponibles directement sans bureau. Ce servuce nécéssite l'installation de rôle Serveur Web (IIS), que nous détaillerons dans un chapitre dédié.
L’hôte de session Bureau à distance est le serveur qui héberge le bureau et les applications (via RemoteApp) disponibles aux utilisateurs.
Un redémarrage sera nécessaire après l'installation de ces nouveaux services et rôles.
Maintenant que ces services sont installés, il vous est possible de vérifier l’installation en vous rendant sur https://localhost/rdWeb. Là encore le certificat est autosigné, il vousfaudra donc ignorer les avertissements.
Vous retrouvez alors, après authentification (n'oubliez pas que le login doit s'écrire de cette façon : "nom_serveur\nom_utilisateur", si vous n'êtes pas rattaché à un domaine), une page web vous proposant par défaut la calculatrice, Paint et WordPad :
Vous pouvez accéder à ce service sur votre réseau après avoir ouvert le port 443 en plus du port 3389 sur le pare-feu Windows.
Si vous souhaitez faire apparaître le bureau dans cette liste, aucun souci, rendez-vous sur le gestionnaire de serveur dans la partie “Services Bureau à distance”, puis dans la partie “QuickSessionCollection” qui a été créée par défaut (vous pouvez renommer cette collection de service via ses propriétés).
Ensuite, accédez à la partie “Programmes RemoteApp”, ajoutez les programmes dont vous avez besoin via les tâches disponibles sur le coin supérieur droit de cet encart.
Pour le bureau, vous retrouverez le programme “Connexion bureau à distance”.
C’est un moyen idéal pour fournir un accès à des outils d’administration (tels que le gestionnaire IIS) à vos collègues.
Allez plus loin
En résumé
Les services Bureau à distance permettent, en plus de partager un bureau, de publier des applications que vos utilisateurs pourront utiliser, sans avoir à les installer.
Windows Server simplifie le déploiement d’infrastructure de bureaux partagés via les services Bureau à distance.
Un accès web permet de centraliser tous les accès aux services de bureau à distance.
Ces services permettent, via l’AD, de continuer la centralisation de l’administration et des accès, permettant ainsi de garantir la sécurité en maîtrisant les accès aux applications validées uniquement.
Dans le prochain chapitre, vous apprendrez à configurer le service de mise à jour de Windows : WSUS.
