Einrichtung eines Windows Server 2022 mit RD/RDS und anschließender Active-Directory Richtlinien Vergabe.

Von /

Beginn der Doku: 17.08.2024

Abschluss der Doku: –

Dokumentation ist: – nicht beendet –

Notwendige Programme

  • Windows Server 2022 ISO
  • Remotedesktop
  • PingCastle 

Notwendige Hardware

  • PC oder Server mit Mindestvoraussetzung für Windows Server 2022
  • PC zum Testen der RDP verbindungen
  • Internetanbindung 

1 Installation von Windows Server 2022

Downloaden Sie sich ihre ISO von ihrere Lizenz Seite oder unter

https://www.microsoft.com/en-us/windows-server/trial.

Laden Sie die ISO-Datei und führen Sie die Setup.exe aus.

Folgen Sie der Installationsanleitung Schritt für Schritt.

1.2 Aktivierung von Windows Server 2022

Damit der Windows Server 2022 Key überhaupt verwendet werden kann, muss zuerst die Version von Evaluation auf Standart geändert werden.

  1. öffnen Sie die Eingabeaufforderung
  2. geben sie ein

 Damit werden die momentan verfügbaren Versionen angezeigt

In unserem Fall upgraden wir zu ServerStandard.

Dafür wird folgender Command benutzt:

→ dism /online /set-edition:serverStandard /productkey:XXXX /accepteula

Nach der Eingabe wird ein Image heruntergeladen und im Anschluss muss der Server neu gestartet werden.

2 Installation von notwendigen Features

2.1 Notwendige Features

  • DeaktiviertRemotedesktopgateway
  • DeaktiviertRemotedesktoplizenzierung
  • DeaktiviertRemotedesktop-Sitzungshost
  • DeaktiviertRemotedesktop-Verbindungsbroker

2.3 Installation genannter Features

Für die Installation der Features öffnen Sie den Server-Manager.

Klicken sie oben rechts auf Verwalten > Rollen und Featurers hinzufügen

Es öffnet sich ein Assistent zur Installation von Features, die ersten 3 Etappen können mit “Weiter” übersprungen werden, bis man zu „Serverrollen“ gelangt.

Bestätigen Sie die Auswahl mit “Weiter” bis Sie zu dem Reiter “Bestätigung” kommen.

Hier sollte das Häkchen für den automatischen Serverneustart angekreuzt sein.
Alternativ kann der Server auch noch zu einem späteren Zeitpunkt neu gestartet werden.

2.4 Einrichtung der Lizenzen und Richtlinien

Damit der RD auch ordentlich funktioniert, müssen zuerst die RDS Lizenzen eingerichtet werden. Dafür geht man wieder auf “Tools” → “Remote Desktop Services” → “Remotedesktoplizenzierungs-Manager”.

Es öffnet sich ein Fenster mit allen Servern. Klicken Sie bei dem Server, den Sie konfigurieren wollen, auf “Überprüfen” und folgen Sie den Anweisungen.

2.5 Rechtevergabe im AD

Sollte Active Directory noch nicht installiert sein, schauen Sie sich zuerst Punkt 4 an.

Damit User sich überhaupt mit RDP verbinden können, müssen zuerst Rechte dem jeweiligen Benutzer zugewiesen werden. Am besten geht das, wenn man zuerst eine neue Gruppe erstellt und dieser Gruppe die notwendigen Rechte zuweist. 

Öffnen Sie den “Server-Manager” → “Tools” → “Active Directory-Benutzer und -Computer”.

Hier öffnet sich ein neues Fenster. Links in der Ordnerstruktur sollten Sie auf Ihren Server → “Users” klicken. Rechtsklicken Sie jetzt auf der rechten Seite in eine leere Fläche, um das Dropdown-Menü anzuzeigen.

Im Dropdown-Menü auf “Neu” → “Gruppe”.
Jetzt öffnet sich ein neues Fenster, indem sie ein neues Objekt mit der „Gruppenstruktur“ erstellen können.

Wählen Sie einen geeigneten Namen in meinem Fall “RDS-NonAdminRechte” und bestätigen Sie mit “OK”. 

Rechtsklicken Sie im Anschluss auf die soeben erstellte Gruppe. Anschließend klicken Sie auf “Eine Gruppe hinzufügen…” im neu erschienenen Dropdown-Menü. 

Jetzt können Sie die Gruppe auswählen, indem Sie den Namen eingeben, oder über “Erweitert” direkt suchen.
Notwendig sind: RDS-Endpunktserver, RDS-Remotezugriffsserver, Remotedesktopnutzer.

Hier ist es auch ratsam, eine Gruppe für administrative Rechte zu erstellen.

Notwendig sind dafür: RDS-Endpunktserver, RDS-Remotezugriffsserver, RDS-Verwaltungsserver, Remotedesktopbenutzer, Remoteverwaltungsserver.

Als letztes müssen den Nutzern ihre geeigneten Gruppen hinzugefügt werden.

Dazu wieder “Tools” → “Active Directory-Benutzer und -Computer”  → auf einen Nutzer → “Mitglied von” → “Hinzufügen”

Im Gruppenauswahl-Menü einfach den Namen der Erstellten Gruppe einfügen.

3 Installation und Konfiguration einer Sitzungsbasierten Desktopumgebung

Um eine Sitzungsbasierte Desktopumgebung einzurichten, öffnen Sie den Server-Manager. Klicken Sie auf “Verwalten“ und im Dropdown-Menü auf “Rollen und Features hinzufügen”.

Danach klicken Sie im “Assistent zum Hinzufügen von Rollen und Features” auf “Weiter” bis Sie den Reiter “Installationstyp” erreichen.

Wichtig ist hier: „Installation von Remotedesktopdiensten“ anklicken und dann erst auf „Weiter“. 

Jetzt auf “Weiter” klicken, bis Sie zum Reiter “Bereitstellungsszenario” kommen. Hier müssen Sie sich entscheiden, wie genau Sie fortfahren wollen. 
Zur Auswahl stehen VDI (im Reiter “Virtuelle Computer basierende Desktopbereitstellung” genannt) oder RDP (im Reiter “Sitzungsbasierte Desktopdarstellung“ genannt).

Vor- und Nachteile von “RDP” und “VDI” 

RDP bietet hier den klassischen Terminal-Server. Hier können viele Nutzer bereitgestellt  werden, ohne viel Leistung zu verbrauchen. Jedoch bringt es aber den Nachteil, dass die Dekstop alle stark restriktiv sind und wenig Personalisierungsmöglichkeiten bieten.

VDI hingegen bietet einen personalisierbare Desktop-Umgebung, in der jeder eine eigene VM betreibt. Nachteile hierbei sind die starke Belastung an Hardwareressourcen und die vulnerbilität des Nutzers, da er seine VM im besten Fall selbst verwaltet und es keine “Golden-Image” zum zurücksetzten gibt.

Wie man VDI einrichtet kommt zu einem späteren Zeitpunkt, ich beleuchte hier nur erstmal die RDP Variante.

Ab jetzt müssen Sie nur noch dem Assistenten folgen und unter Umständen den Server neu starten.

3.1 Lizenzaktivierung

Zunächst öffnen Sie wieder den Server-Manager und Klicken auf “Tools” → “Remote Desktop Services” → “Remotedesktoplizenzierungs-Manager”

Im “Remotedesktoplizenzierungs-Manager” müssen Sie jetzt auf den zuvor Installierten (in Punkt 2.4) Lizenzserver rechtsklicken und diesen aktivieren. Nachdem Sie Ihren Lizenzserver installiert haben, müssen Sie “CAL’s” für jeden Nutzer hinzufügen.

3.2 Zuweisung von Speicherplatz

Um den Speicherplatz zu verwalten, sollte die UVHD auf einer externen Festplatte oder im besten Falle auf einer anderen Server als auf der RDS-Farm gespeichert werden.

Um UVHD einzurichten, öffnen Sie den “Server-Manager” → “Remotedesktop- Dienste” → Übersicht. 

Hier klicken Sie auf 3. “Virtuelle Desktopsammlung erstellen”. Hier folgen Sie wieder dem Assistenten. Wichtig ist, dass beim Speicherort ein sicherer Ort gewählt wird. 

3.3 Erstellen von VDS (iSCSI)

Öffnen Sie den “Server-Manager” und navigieren Sie über Verwaltung zu “Rollen und Features” hinzufügen.

Drücken Sie auf “Weiter” bis Sie zu „Serverrollen“ kommen.

Hier wählen Sie “Datei-/Speicherdienste (X von X installiert)” an. Als Zusatz Dateiserver unter “Datei- und iSCSI-Dienste”. Zudem “iSCSi-Zielserver”- und “iSCSI-Zielspeicheranbieter”.

Drücken Sie auf “Weiter” bis zur Bestätigung und drücken Sie “Installieren”.

Anschließend starten Sie den Server neu.

4 Feature Installation Active Directory und Konfiguration

Um das Feature Active Directory zu installieren, öffnen Sie zuerst den “Server-Manager → Verwalten” → “Rollen und Features” hinzufügen. 

Im Assistenten klicken Sie auf Weiter bis Sie zum Reiter “Serverrollen” kommen.

Hier müssen sie ein Hacken bei Active Directory-Domänendienste und bei Active Directory-Rechteverwaltungsdienste.

Klicken Sie auf “Weiter” bis zur Bestätigung und starten Sie den Server anschließend neu.

4.1 Active Directory-Rechteverwaltungsdienst

Öffnen Sie “Server-Manager” → “AD RMS”

Klicken Sie jetzt unter dem Feld “Server” auf das gelbe Banner.

Klicken Sie rechts auf “Details” und dann im neu geöffneten Fenster, unter dem Reiter “Aktion” auf “Zusätzliche Einstellungen konfigurieren”.

 Klicken Sie auf “Weiter” bis zum Konfigurieren Ihres AD RMS-Stammclusters kommen.

Wählen Sie hier Ihren Server aus, den Sie als Stamm Cluster einfügen wollen.

Sollten Sie eine eigene Datenbank haben, können Sie diese im Feld “Datenbankserver und Datenbankinstanz angeben” einfügen. 

Wenn nicht, klicken Sie auf „Internet- Windows-Datenbank“ auf diesem Server verwenden.

Jetzt sollten Sie als erstes ein neues Benutzerkonto erstellen, das speziell dafür da ist. Wichtig ist, dass der Benutzer Adminrechte hat, andernfalls kann der Login nicht erfolgen.

Nach dem Erstellen des Benutzers geben sie den Benutzer in der AD RMS-Konfiguration an und klicken auf “Weiter”. Im Anschluss müssen Sie ein SSL-Zertifikat für die Webanwendung einbinden. Folgen Sie jetzt einfach dem Assistenten bis zur Installation und starten Sie ggf. den Server neu. 

5 Erstellen eine Homeslaufwerks und das Profil V6.

Erstellen Sie zuerst einen Ordner, in dem die Profile gespeichert werden sollen.

Alternativ, und das ist auch empfehlenswert, kann ein NAS oder andere Server benutzt werden, um die Profile zu speichern.

Nach der Erstellung müssen Sie Profile und Homelaufwerke für die jeweiligen Nutzer einrichten. Öffnen Sie den “Server- Manager” und navigieren Sie zu “AD-Benutzer und Computer”.

Zur späteren Verbesserung und Automatisierung erstellen wir eine neue Organisationseinheit. Rechtsklicken Sie dazu Ihren Server, wählen Sie im folgenden das Dropdown-Menü “Neu” an. Klicken Sie im Anschluss auf die Organisationseinheit.

5.1 Erstellen einer neuen Organisationseinheit + Verschieben der Nutzer

Geben Sie der neuen Organisationseinheit einen passenden Namen und drücken Sie auf “OK”. Nach der Erstellung navigieren Sie zu Ihren Benutzern (im Normalfall unter “Users”).

Markieren Sie alle und verschieben Sie die Benutzer in die zuvor erstellte OU.

5.2 Rechtezuweisung für Homelaufwerk und Profil V6

Um einem User seinen Profilpfad zuzuweisen, Rechtsklicken Sie auf einen Nutzer und drücken Sie auf Eigenschaften. Klicken Sie auf “Profil”.

Hier können Sie jetzt beim Unterpunkt “Benutzerprofil” den Pfad für das Benutzerprofil einrichten. Wichtig ist, dass hier zuerst der Basisordner festgelegt wird, da sich der Profilpfad am besten in dem Basisordner befindet.

Ein Beispiel Basis Ordnerpfad wäre: \\Maschinenname\NameOrdner$\Profilname

Ein Beispiel für den Profilpfad wäre: \\Maschinenname\NameOrdner$\Profilname\Profilname

Verbindung mit dem “H:” Laufwerk (Best-Practice)

Klicken Sie danach auf „Übernehmen“ und “OK”.

5.3 Automatisierung der Rechtezuweisung

Für 

# Definiere den Pfad zur Freigabe 

$sharePath = „\\WIN-AMO5R4VDSP8\Home_Paths$“ 

# Hole alle Benutzer aus einer bestimmten OU 

$users = Get-ADUser -Filter * -SearchBase „OU=”Organisationseinheit”, DC=domain,DC=subdomain,DC=endung“ -Property SamAccountName 

foreach ($user in $users) { 

# Pfad für den Benutzer erstellen 

$userHomePath =“$sharePath\$($user.SamAccountName)“ 

# Setze den Homedirectory-Pfad im AD-Benutzerprofil 

Set-ADUser -Identity $user.SamAccountName -HomeDirectory 

$userHomePath -HomeDrive H: 

}

Kommentar verfassen

Deine E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind mit * markiert

Nach oben scrollen