Bonnes pratiques pour la configuration des licences RDS dans les domaines/forêts Active Directory ou les groupes de travail

  • Article
  • 4 minutes de lecture

Cet article fournit des informations sur les questions relatives à la prise en charge (ou à l’approche recommandée) de la configuration des licences Bureau à distance (RD) sur un domaine, une forêt ou des groupes de travail.

S’applique à : Windows Server 2008 R2 Service Pack 1
Numéro de base de connaissances d’origine : 2473823

Remarque

Dans Windows Server 2008 R2, Terminal Services est renommé Services Bureau à distance (RDS).

Question

Le serveur de licences bureau à distance peut-il émettre une licence d’accès client (CAL) aux utilisateurs ou appareils qui se connectent à des serveurs d’hôte de session Bureau à distance (Terminal Server) dans l’une des conditions suivantes ?

  • Les serveurs hôtes de session Bureau à distance se trouvent dans un domaine Active Directory et le serveur de licences bureau à distance se trouve dans un environnement de groupe de travail.
  • Les serveurs hôtes de session Bureau à distance se trouvent dans un groupe de travail et le serveur de licences bureau à distance dans un domaine Active Directory.
  • Les serveurs hôtes de session Bureau à distance et les serveurs de licences bureau à distance se trouvent dans des forêts différentes. Il n’existe aucune approbation (approbation unidirectionnelle ou bidirectionnelle) entre ces forêts.
  • Les serveurs hôtes de session Bureau à distance et les serveurs de licences bureau à distance se trouvent dans le même groupe de travail.

Réponse

Pour que l’émission de licences par appareil et par utilisateur fonctionne, l’hôte de session Bureau à distance et le serveur de licences bureau à distance dans l’une des trois configurations suivantes :

  • Les deux dans le même groupe de travail
  • Les deux dans le même domaine
  • Dans les domaines Active Directory approuvés (approbation bidirectionnelle) ou dans la forêt

Voici plus d’informations sur ces scénarios :

  • L’hôte RDS et les serveurs de licences RDS se trouvent dans le même groupe de travail

    Tenez compte des points suivants lors de la configuration des serveurs de licences RDS et RDS dans un environnement de groupe de travail :

    • Nous pouvons utiliser uniquement des listes de contrôle d’accès par appareil dans un environnement de groupe de travail. Par conséquent, vous devez installer uniquement les listes de contrôle d’accès par appareil sur le serveur de licences RDS.
    • Le suivi et la création de rapports cal par utilisateur ne sont pas pris en charge en mode groupe de travail.
    • Les rôles serveur hôte et serveur de licence RDS peuvent être installés sur le même serveur.
    • Si vous installez le serveur de licences RDS sur un autre serveur du groupe de travail, assurez-vous que le serveur RDS est en mesure d’accéder au serveur de licences RDS.

    Dans Windows 2008 R2, la découverte automatique du serveur de licences n’est plus prise en charge pour les serveurs hôtes de session Bureau à distance. Vous devez spécifier le nom d’un serveur de licences que le serveur hôte de session Bureau à distance doit utiliser à l’aide du composant logiciel enfichable Configuration de l’hôte de session Bureau à distance. Pour plus d’informations, consultez Spécifier un serveur de licences pour un serveur hôte de session Bureau à distance à utiliser.

  • L’hôte RDS et les serveurs de licences RDS se trouvent dans le même domaine

    Dans un scénario domaine Active Directory, nous pouvons avoir des serveurs de licences d’hôte et de services Bureau à distance sur le même serveur ou sur des serveurs différents. Tenez compte des points suivants lors de la configuration de l’environnement RDS dans un scénario de domaine :

    • Vous pouvez installer les deux listes de contrôle d’accès (par appareil et par utilisateur) sur le serveur de licences RDS.

    • Le compte d’ordinateur du serveur de licences doit être membre du groupe Serveurs de licences Terminal Server dans AD DS. Si le serveur de licences est installé sur un contrôleur de domaine, le compte de service réseau doit également être membre du groupe Serveurs de licences Terminal Server.

    • Pour restreindre l’émission de licences d’accès aux services Bureau à distance, vous pouvez ajouter des serveurs hôtes RDS au groupe Ordinateurs serveur terminal sur le serveur de licences RDS, puis activer le paramètre de stratégie de groupe de sécurité du serveur de licences sur le serveur de licences RDS.

    • Le paramètre de stratégie de groupe de sécurité du serveur de licences se trouve dans Configuration de l’ordinateur\Stratégies\Modèles d’administration\Composants Windows\Licences Distant \RD et peut être configuré à l’aide de l’éditeur de stratégie de groupe local ou de la console de groupe (GPMC).

  • Les serveurs hôtes RDS se trouvent dans un domaine/forêt et le serveur de licences RDS se trouve dans un autre domaine/forêt

    Dans ce type de scénario, vous devez prendre en compte les points suivants :

    • Il doit y avoir une approbation bidirectionnelle entre ces domaines/forêts. Il peut s’agir de l’approbation de forêt ou de l’approbation externe.

    • Tous les ports requis doivent être ouverts sur le pare-feu. Si vous avez des questions sur les ports qui doivent être ouverts, consultez la vue d’ensemble du service et les exigences en matière de ports réseau pour Windows.

    • Pour émettre des listes de contrôle d’accès bureau à distance par utilisateur aux utilisateurs d’autres domaines, il doit y avoir une approbation bidirectionnelle entre les domaines, et le serveur de licences doit être membre du groupe Serveurs de licences Terminal Server dans ces domaines.

    • Pour restreindre l’émission de licences d’accès aux services Bureau à distance, vous pouvez ajouter des serveurs hôtes RDS au groupe Ordinateurs de serveur terminal sur les serveurs de licences RDS.

    • Configurez le serveur de licences RDS sur tous les serveurs hôtes RDS dans chaque domaine/forêt. Vous pouvez le faire par le biais d’un composant logiciel enfichable de configuration de l’hôte RDS ou d’une stratégie de groupe.

    • Ajoutez un groupe d’administrateurs de chaque domaine/forêt dans les administrateurs locaux du serveur de licences RDS. De cette façon, vous ne recevrez pas d’invite à entrer vos informations d’identification lorsque vous ouvrirez des composants logiciels enfichables de configuration d’hôte RDS dans des domaines/forêts approuvés.