我试图做的事情相当复杂,所以我想我应该把它抛给更广泛的受众,看看是否有人能找到缺陷。我试图做的(作为 MSP/VAR)是设计一个解决方案,让多家公司拥有基于会话的远程桌面(需要完全独立的公司),只需使用少量服务器。这是我目前的想法:
- 核心服务器 - Server 2012 数据中心(以下均为 HyperV 服务器)
服务器 1:Cloud-DC01(mycloud.local 的 Active Directory 域服务)
服务器 2:Cloud-EX01(运行多租户模式的 Exchange Server 2010)
服务器 3:Cloud-SG01(远程桌面网关) - 核心服务器 2 - Server 2012 数据中心(以下均为 HyperV 服务器)
服务器 1:Cloud-DC02(mycloud.local 的 Active Directory 域服务)
服务器 2:Cloud-TS01(公司 A 的远程桌面会话主机)
服务器 3:Cloud-TS02(公司 B 的远程桌面会话主机)
服务器 4:Cloud-TS03(公司 C 的远程桌面会话主机)
我想到的是将每个组织设置到他们自己的 OU 中(也许根据 Excahnge 2010 租户 OU 结构创建他们的 OU 结构,以便将帐户链接起来)。每家公司都会获得一个远程桌面会话主机服务器,该服务器也将用作文件服务器。该服务器将与其他服务器分开,位于其自己的范围内。服务器 Cloud-SG01 将可以访问所有这些网络,并在客户端连接和验证后将流量路由到适当的网络,以便将它们推送到正确的服务器上(基于 2012 年的会话集合)。
说实话,这是我很快就想到的,所以可能有一些显而易见的东西我遗漏了。任何反馈都会很感激。
答案1
这与我们的做法非常相似。我们有一个 TS 网关,全部我们的客户端通过它进入。它具有连接和资源策略,可以控制哪些用户组可以登录到哪些服务器。
每家公司都有自己的独立终端服务器。大多数公司只能登录一个 TS,但对于一个特别大的客户,他们有两个 TS。我们不对它们进行任何集群,只有一半的用户连接到 TS1,另一半连接到 TS2。
所有服务器都位于同一网段,我们有非常严格的 ACL 来定义谁可以在网络上访问哪里(即没有人可以真正访问任何地方)。我们针对 RDS 服务器的 GPO 还极大地限制了它们在服务器本身上可以访问的地点。
这最大此设置存在的问题是如何为新客户自动部署服务器。大多数流程都可以自动化(我们使用 ESXi 和 vSphere,它们具有 powershell 集成。与 Hyper-V 一样),但我还没有找到如何自动修改 TS 网关策略的方法。
我们还有一个非常大的客户,他使用我们的托管终端服务器。因为我不想亲自管理他们所有的密码重置和新帐户,所以我们授予他们在域上自己的 OU 的委派权限。当他们开始超出这个范围时,出于政治原因,我们给了他们我们森林下自己的域。到目前为止,这一切都运行得很好,只是你不能使用它,User must change their password on next logon因为它与 TS 网关不兼容。当他们的密码过期时,情况也是如此,他们无法登录,需要有人手动重置他们的密码。