Salut,
 
J'ai en test une machine hôte avec 4 machine virtuelle sous Hyper-V
 
- 2 Serveurs Hote de session des services de bureaux à distance
- 1 Serveur Broker TS
- 1 Serveur de données (pour stocker les profils)
 
Tous sont sous windows serveur 2012.
 
Je souhaiterais faire de la tolérance de panne / répartition de charge entre les deux serveurs de bureaux à distance. J'étais persuadé que cela se configurait sur le Broker mais je ne vois pas où.
 
Pouvez vous m'éclairer ?
 
Merci

Qd tu crées ta session collection tu spécifies les RDSH à utiliser (de tête c'est ça)

OK, pour le cas où je créé une collection d'application.
 
Mais si j'utilise simplement le bureau à distance.
 
J'ai vue dans les stratégies de groupe, des options à activer sur l'UO où se trouve les serveur RDSH. Pour spécifier d'utiliser le broker etc..  
 
Je pensais faire cette gpo qui semble faites pour rediriger les "connexions" + la mise en place de NLB entre les deux serveurs.  
 
Est une bonne solution ?
 
Merci

non pas d'application, le bureau je parle

Ok, je vais regarder..mais il ne me semble à avoir réussi à le faire..
 
Sinon ma solution peut être correcte ?

Salut,
 
Je pense avoir compris où cela était. C'est simplement quand on ajoute les serveurs.  
 
Par contre, une fois que ma collection de bureau virtuel est publié. Si j'essai de me connecter dessus, j'ai un message comme quoi "Aucun ordinateur n'est disponible dans le pool"
 
Pourtant tout semble ok, vous avez une idée?
 
Merci

Tu passes par la console de gestion RDS pour faire toutes tes manips ?

Je fais cela à partir de "Gestionnaire Serveur" onglet "Service Bureau à distance"
 
Est ce bien là ?
 
Par rapport à Windows 2008, je vois pas où configurer certaine choses, comme les paramètre de connexion RDP, durée de session.
Où encore voir quels utilisateurs sont connectés en temps réel (Sur 2008, il y avait le gestionnaire des services Terminal Server)
 
Merci

Quand tu dis Gestionnaire de serveur tu parles bien de la version 2012 ?
Il faut gérer ta ferme uniquement depuis cet emplacement. Les anciens outils ont été fusionnés en un seul sur 2012.
Sinon regarde côté Powershell pour les cmdlets spécifiques à RDS.

Oui, je parle bien sur 2012. Donc c'est bien au bon endroit que je suis.
 
ok, pour la fusion en une seule et même console. Mais je retrouve pas tout ce que veux.  
 
Je vais continuer à regarder

Je pense avoir trouver à peu près ce que je veux.

Par contre une question concernant les certificats, et le Sso qui fonctionne bien sur mes autres serveurs et sauf sur ma ferme.

J'ai ma ferme qui s'appelle fermerds.domaine.local elle est composé de deux serveurs rds1.domaine.local et rds2.mairie.local + le broker qui fait aussi web access .

J'ai monté une autorité de certification. J'ai dupliqué le modèle de certificat ordinateur modifié les paramètres dont j'avais besoin.

Sur un des serveurs Rds, j'ai fait une demande de certificat, en prenant le modèle que j'ai créé. Je précise le nom commun fermerds.domaine.local et en paramètre dns le nom de mes serveurs Rds et broker.

Après j'exporte le certificat, et l'intègre dans mon déploiement de bureau à distance.
 Tous les serveurs récupère bien le certificat, j'installe ce certificat Sur mon poste client.

Je configure ma Gpo pour le Sso avec l'empreinte sha1 du certificat.

Et lorsque je lance une connexion bureau à distance sur ma ferme, cela me dit que mon identification est incorrecte.

Je suis pas super à l'aise avec les certificats. J'ai peut être mal fait quelque chose.

Si vous avez une idée ?

Merci

Tu as déployé le certificat racine de ton autorité de certification sur les clients ?

Euh... Je ne sais pas.

Il faut ? Comment faire ?

J'ai suivi une doc pour me délivrer un certificat. Ou il fallait modifier une Gpo pour accepter tous les certificats issus de mon autorité de certification.

Sinon je n'ai rien fait d'autre que ce que j'ai marqué

Cela devrait fonctionner.

Attention de ne pas confondre l'avertissement de certificat et le SSO.

Pour que le SSO fonctionne il faut activer la "délégation des informations d’identification par défaut"

Oui, c'est fait pour la délégation d'information. Cela fonctionne d'ailleurs sur d'autres serveur..
 
Je vais continuer à creuser..si vous avez des idées.
 

Re,
 
Bon je trouve pas d'où vient le soucis, si je lancer une connexion bureau à distance sur ma ferme j'ai ce message d'erreur :
 

 
Si je lance une connexion bureau à distance directement avec le nom d'un serveur faisant parti de la ferme, la connexion se fait bien sans demander les identifiants..
 
   

Dans la délégation des informations d'identifications tu as spécifié TERMSRV/nomdelaferme ?
Essaye éventuellement avec TERMSRV/*

oui, j'ai noté TERMSRV/fermerds.domaine.local et aussi TERMSRV/*.domaine.local.
 
Je vais essayé avec l'étoile seulement
 
Edit : Même résultat avec l'étoile seulement..

Je pense avoir compris pour cela bloque, mais je n'arrive pas à le résoudre.
 
Après avoir eu le message d'avertissement si dessus. Si je rentre mes identifiants, j'ai un autre avertissement, concernant cette fois ci le certificat.
 
Cela me dit que le certificat n'est pas fiable, le certificat présenté, n'est pas celui de ma ferme, mais un certificat auto signé par mon serveur rds...
 
Pourtant dans la console, j'ai bien spécifié d’utilisé le certificat que j'ai générer. Y a t'il un autre endroit, directement sur le serveur rds peut être, pour spécifier le certificat à présenter lors d'une connexion rdp ?
 
Merci

Tu dois je pense ajouter les SPN sur chaque serveur pour ta ferme (à première vue, j'ai pas cherché)

Merci de ta réponse. Je ne connaissais pas du tout cela.
 
Après quelques recherches, il faut apparemment passé la commande "setspn" sur chaque serveurs. Mais connais tu la syntaxe dans le cas d'une ferme ?
 

setspn -A TERMSRV/fermerds.mairie.local rds1
setspn -A TERMSRV/fermerds.mairie.local rds2
setspn -A TERMSRV/fermerds rds1
setspn -A TERMSRV/fermerds rds2

Merci
 
Les commandes :  
setspn -A TERMSRV/fermerds.mairie.local rds1  
setspn -A TERMSRV/fermerds rds1  
Sont bien passés, par contre quand je passe les autres, il me dit "Détection d'un SPN en double, opération abandonée"
 
Par contre, j'arrive maintenant bien à me connecter sur fermerds.mairie.local mais seulement lorsque c'est rds1 qui répond. Si je désactive rds1. J'essaie de me connecter, et j'ai ce message :
 
"La connexion ne peut pas être établie car l'ordinateur distant qui a été joint n'est pas celui que vous avez spécifié."
 
Je pense que cela est du au fait que la seconde commande n'est pas passé pour rds2 ?
 

Je crois que c'est pour cela qu'il vaut mieux utiliser setspn -S plutôt que setspn -A, car le second peut engendrer des doublons.

ok. J'ai supprimer le spn crée précedemment.
 
J'ai repassé la même commande avec l'option -s, cela les a bien pris en compte.
 
Sauf que maintenant, cela me mets un message d’avertissement, comme quoi le certificat n'est pas bon. Lorsque je me connecte sur fermerds.mairie.local, le certificat présenter est émis, et avec le nom de RDS1. Si je désactive RDS1, le certifcat est présenté, et émis par RDS2
 

 
Edit :  
 
J'ai cela au niveau des SPN, ca vous parait correct ?
 

le message est clair, tu trust pas la CA qui a émis ton certificat.

Oui, mais quand je lis le détail du certificat. C'est v-rds1 qui l'a émis. Mon autorité n'est pas v-rds1... Je ne comprends pas d'où sort se certificat

certificat autosigné, change le dans les propriétés de ton rds

Oui, c'est déjà fait. À partir de la console sur windows server 2012. J'ai modifié les trois certificats possible en intégrant le certificat de mon autorité de certification. Mais il me présente quand même celui auto signé.

Il y'a un autre endroit sur 2012 server où spécifier le certificat à utiliser ? Peut être directement sur le serveur Rds, mais à quel endroit ?

Merci de ton aide  

gestionnaire rds ouais

Merci - il y a une console de gestio
 Rds autre que celle dans gestionnaire de serveur ?

 
Tout a été simplifier sur Windows 2012 , tout est au même endroit dans les propriétés de déploiement .
De toute évidence ton problème se situe au niveau de la mise en place des certificats.
Pour t'aider voici un lien qui résume le SSO avec RDP .
http://blogs.technet.com/b/windows [...] 08-r2.aspx

Oui, j'avais déjà vu ce tuto.

Par contre en lisant un autre article sur la mise en place de Rds sur 2012. J'ai vu que la personne faisait ces tâches d'installation de rôle et configuration à partir de la console du serveur broker.

Pour ma part j'ai réalisé ces tâches à partir du serveur hôte de virtualisation (celui qui héberge mes machines virtuelles) cela peut poser problèmes ? )

Tant que ta la console ça va

ok merci.
 
Toujours pareil en tout cas... je comprends pas pourquoi cela me présente un certificat auto-signé et non celui de ma ferme

Bon, j'ai bien avance, et ça fonctionne à peu près...
 
- J'ai supprimé tous les certificats fermerds.mairie.local sur tous mes serveurs rds et broker.
- Dans le dns, avant j'avais une entrée fermerds 192.168.100.25 qui était l'IP du NLB entre les trois serveurs rds.
J'ai supprimé cela, et fait trois entrée fermerds avant chaque ip des serveurs RDS.
 
J'ai regénéré un nouveau certificat, que j'ai installé à la main sur tous mes serveurs et première connexion ca fonctionne impeccable, je suis tombé sur le serveur RDS2.
Pour voir si la redondance fonctionne bien, je coupe RDS2. Et cette fois RDS1 répond, en me présentant un certificat autosigné...Si je coupe RDS1, RDS3 répond, et me présente aussi un certificat autosigné. Bref cela ne fonctionne qu'avec RDS2..
 
Si je copie le disque (vhdx) de rds2, et que je l'importe pour ensuite l'utiliser pour rds1 et rds3, pensez vous que ce sera ok ?
 
Merci

Bon, tout fonctionne.  
 
Me reste plus qu'à poffiner les stratégie utilisateurs, et mettre en place remoteFx