Partager via

Meilleures pratiques pour configurer des licences Bureau à distance dans les domaines/forêts ou groupes de travail d'Active Directory

Cet article fournit des informations sur les questions relatives à la prise en charge (ou à l’approche recommandée) de la configuration des licences Bureau à distance (RD) sur un domaine, une forêt ou des groupes de travail.

Numéro de base de connaissances d’origine : 2473823

Note

Dans Windows Server 2008 R2, les services Terminal Services sont renommés en services Bureau à distance (RDS).

Question

Le serveur de licences Bureau à distance peut-il émettre une licence d’accès client (CAL) aux utilisateurs ou aux appareils qui se connectent à des serveurs Hôte de session Bureau à distance (Terminal Server) dans l’une des conditions suivantes ?

  • Les serveurs hôtes de session Bureau à distance se trouvent dans un domaine Active Directory et le serveur de licences Bureau à distance se trouve dans un environnement de groupe de travail.
  • Les serveurs hôtes de session Remote Desktop se trouvent dans un groupe de travail et le serveur de licences Remote Desktop dans un domaine Active Directory.
  • Les serveurs hôtes de session Bureau à distance et serveur de licences Bureau à distance se trouvent dans différentes forêts. Aucune relation de confiance n'existe (relation de confiance unidirectionnelle ou bidirectionnelle) entre ces forêts.
  • Les serveurs hôtes de session Bureau à distance et les serveurs de licences Bureau à distance se trouvent dans le même groupe de travail.

Réponse

Pour que l'émission de licences d'accès client par appareil et par utilisateur fonctionne, l'hôte de session Bureau à distance et le serveur de licences Bureau à distance doivent être configurés selon l'une des trois options suivantes :

  • Les deux dans le même groupe de travail
  • Les deux dans le même domaine
  • Dans les domaines ou forêts Active Directory de confiance (approbation bidirectionnelle)

Voici plus d’informations sur ces scénarios :

  • Les serveurs Hôte de session RD et les serveurs de licences RD se trouvent dans le même groupe de travail.

    Tenez compte des points suivants lors de la configuration des serveurs de licences RDS et des serveurs RDS dans un environnement de groupe de travail :

    • Nous pouvons utiliser uniquement les licences d’accès client par appareil dans un environnement de groupe de travail. Par conséquent, vous devez installer uniquement les licences d’accès client par appareil sur le serveur de licences de Bureau à distance.
    • Le suivi et la création de rapports par CAL utilisateur ne sont pas pris en charge en mode groupe de travail.
    • Les rôles serveur hôte de session Bureau à distance (RD Session Host) et serveur de licences Bureau à distance (RD licensing server) peuvent être installés sur le même serveur.
    • Si vous installez le serveur de licences Bureau à distance sur un autre serveur dans le groupe de travail, vérifiez que le serveur RDS est en mesure d’accéder au serveur de licences Bureau à distance.

    Dans Windows 2008 R2, la découverte automatique du serveur de licences n’est plus prise en charge pour les ordinateurs hôtes de session RD. Vous devez spécifier le nom d'un serveur de licences que le serveur hôte de session Bureau à distance doit utiliser, en se servant du composant logiciel enfichable Configuration de l'hôte de session Bureau à distance. Pour plus d’informations, consultez Spécifier un serveur de licences à utiliser pour un serveur hôte de session Bureau à distance.

  • Les serveurs Hôte de session RD et de licences RD se trouvent dans le même domaine.

    Dans un scénario de domaine Active Directory, nous pouvons avoir des serveurs d'hôtes de session Bureau à distance et des serveurs de licences Bureau à distance sur le même serveur ou sur des serveurs différents. Tenez compte des points suivants lors de la configuration de l’environnement RDS dans un scénario de domaine :

    • Vous pouvez installer les licences d’accès client (par appareil et par utilisateur) sur le serveur de licences RD.

    • Le compte d’ordinateur du serveur de licences doit être membre du groupe Serveurs de licences Terminal Server dans AD DS. Si le serveur de licences est installé sur un contrôleur de domaine, le compte de service réseau doit également être membre du groupe Serveurs de licences Terminal Server.

    • Pour restreindre l’émission de licences d’accès client Bureau à distance (RDS CALs), vous pouvez ajouter des serveurs Hôtes de session Bureau à distance dans le groupe Ordinateurs du serveur Terminal sur le serveur de licences Bureau à distance, puis activer le paramètre de stratégie de groupe de sécurité du serveur de licences sur le serveur de licences Bureau à distance.

    • Le paramètre de stratégie de groupe de sécurité du serveur de licence se trouve dans Configuration ordinateur\Policies\Modèles d’administration\Composants Windows\Remote \Rd et peut être configuré à l’aide de l’Éditeur de stratégie de groupe local ou de la console de groupe (GPMC).

  • Les serveurs hôtes de session RD se trouvent dans un domaine/forêt et le serveur de licences RD se trouve dans un autre domaine/forêt

    Dans ce type de scénario, vous devez prendre en compte les points suivants :

    • Il doit y avoir une confiance réciproque entre ces domaines/forêts. Il peut s’agir d’une confiance de forêt ou d’une confiance externe.

    • Tous les ports requis doivent être ouverts sur le pare-feu. Si vous avez des questions sur les ports qui doivent être ouverts, consultez la vue d’ensemble du service et la configuration requise pour les ports réseau pour Windows.

    • Pour émettre des licences RDS CAL par utilisateur aux utilisateurs d'autres domaines, il doit y avoir une approbation bidirectionnelle entre les domaines, et le serveur de licences doit être membre du groupe Serveurs de licences de serveur terminal dans ces domaines.

    • Pour restreindre l'émission de licences d'accès client Bureau à distance (RDS CAL), vous pouvez ajouter des serveurs de sessions dans le groupe Ordinateurs Terminal Server sur les serveurs de licences RD.

    • Configurez le serveur de licences RD sur tous les serveurs RD Session Host dans chaque domaine/forêt. Vous pouvez le faire via une stratégie de groupe.

    • Ajoutez un groupe d’administrateurs de chaque domaine/forêt dans les administrateurs locaux du serveur de licences Bureau à distance. De cette façon, vous n’aurez pas d'invite pour entrer vos informations d’identification lorsque vous ouvrirez les modules de configuration de l'hôte de session RD dans des domaines/forêts approuvés.

Collecte de données

Si vous avez besoin de l’aide du support Microsoft, nous vous recommandons de collecter les informations en suivant les étapes mentionnées dans Collecter des informations à l’aide de TSS pour les problèmes liés à l’expérience utilisateur.