Tri*_*ene 7 windows-server-2008 active-directory remote-desktop remote-desktop-services windows-server-2012
我想做的事情非常复杂,所以我想我会把它扔给更广泛的观众,看看是否有人能找到缺陷。我想要做的(作为 MSP/VAR)是设计一个解决方案,该解决方案将为多家公司提供基于会话的远程桌面(需要完全独立的公司),仅使用少量服务器。这就是我目前的想象:
我想做的是在他们自己的 OU 中设置每个组织(也许根据 Excahnge 2010 租户 OU 结构创建他们的 OU 结构,以便链接帐户)。每家公司都会获得一个远程桌面会话主机服务器,它也可以用作文件服务器。该服务器将在其自己的范围内与其他服务器分开。服务器 Cloud-SG01 可以访问所有这些网络,并在客户端连接并通过身份验证时将流量路由到适当的网络,以便将它们推送到正确的服务器上(基于 2012 年的会话收集)。
我不会撒谎,这是我很快就想到的东西,所以很可能我遗漏了一些非常明显的东西。对于任何反馈,我们都表示感谢。
这与我们所做的非常相似。我们有一个单一的 TS 网关,我们所有的客户都可以通过它进入。这具有控制哪些用户组可以登录到哪些服务器的连接和资源策略。
每个公司都有自己独立的终端服务器。大多数公司只能登录一个TS,但对于一个特别大的客户,他们有两个。我们不对它们进行任何聚类,只有一半用户连接到 TS1,另一半连接到 TS2。
所有的服务器都位于同一个网段,我们有非常严格的 ACL 来定义谁可以去网络上的哪个地方(即没有人可以真正去任何地方)。我们用于 RDS 服务器的 GPO 也极大地限制了它们在服务器上的位置。
我们在此设置中遇到的最大问题是为新客户端自动部署服务器。大部分过程都可以自动化(我们使用 ESXi 和 vSphere,它们具有 powershell 集成。与 Hyper-V 相同),但我还没有找到如何自动修改 TS 网关策略。
我们还有一个非常大的客户使用我们托管的终端服务器。因为我不想自己管理他们所有的密码重置和新帐户,所以我们授予他们对域上自己的 OU 的委派权限。当他们开始成长时,出于政治原因,我们在我们的森林下给了他们自己的领地。到目前为止,这一切都运行得很好,除了您不能使用它,User must change their password on next logon因为它与 TS Gateway 不兼容。当他们的密码过期时,同样的交易,他们无法登录,需要有人手动重置他们的密码。
| 归档时间: |
|
| 查看次数: |
4656 次 |
| 最近记录: |