Service Terminal Server (TSE) / (RDS)

Service Terminal Server (TSE) / (RDS)

Le Service Terminal Server (TSE) ou RDS (Remote Desktop Services) depuis 2008, est une technologie Microsoft qui permet à plusieurs utilisateurs d’accéder simultanément à des applications ou à un système d’exploitation Windows installé sur un serveur distant.

Contexte:

 La Maison des Ligues de Lorraine (La M2L) est un établissement du Conseil Régional de Lorraine, est responsable de la gestion du service des sports et en particulier des ligues sportives ainsi que d’autres structures hébergées. La M2L doit fournir les infrastructures matérielles, logistiques et des services à l’ensemble des ligues sportives installées. Elle assure l’offre de services et de support technique aux différentes ligues déjà  implantées (ou à venir) dans la région.

L’une des préoccupations de l’administrateur est d’automatiser au maximum des tâches administratives pour répondre rapidement aux différentes sollicitations des départements de la M2L et des ligues sportives. C’est dans ce contexte que j’ai participé, avec d’autres élèves de mon groupe, au projet consistant à structurer le réseau des ligues en plusieurs sous réseaux (Vlan), configurer un routage OSPF, mise en place d’une redondance pour une tolérance aux pannes et à installer un service TSE pour permettre aux utilisateurs d’une ligue sportive de travailler à distance sur une application commune dans notre cas la suite bureautique Open Office.

 

1) Infrastructure (réseau et système)

 Ce réseau regroupe un ensemble de ressources partageables entre M2L et les différentes ligues (Annuaire, Serveurs, DMZ, …) et les équipements du parc de M2L.

 Le réseau de la M2L est organisé en Vlan et comporte des commutateurs de niveau 2 et des routeurs Cisco.

 Le VLAN INFORMATIQUE est dédié aux serveurs : contrôleur de domaine, DHCP et serveur d’applications. Les ligues sont organisées aussi en Vlan. Au niveau du domaine la M2L et les ligues sont représentées en unités d’organisation. Les serveurs sont en Windows 2003 SP2 & les clients en Windows XP SP3 ou Seven.

 L’autre partie concerne l’infrastructure propre à chaque ligue (les sous réseaux des Ligues).

Cette dernière relève de la responsabilité de chaque ligue autant pour l’installation des équipements que pour leur exploitation et leur maintenance. Les ligues délèguent actuellement  ces tâches au département réseau de M2L qui agit comme prestataire au travers d’un contrat de service.

 La suite bureautique Open Office  sera installée sur un serveur d’applications hébergé dans le sous réseau du service informatique.  Le  service TSE sera configuré dans ce serveur, pour le groupe d’utilisateurs de la ligue Tennis.

 

Liste du matériel:
 
Plan du réseau:

 Plan d’adressage IP:

 Le réseau général est construit autour de l’adresse 172.16.0.0 avec un masque de 16 bits. Ceci permet d’accepter un ensemble de 32 ligues qui correspond à la capacité d’hébergement maximale de M2L. Dans cette infrastructure 30 adresses IP peuvent être affectées à chaque ligue dans un environnement double DHCP, soit un masque de 26 bits par sous réseau. Le plan d’adressage IP 192.168.0.0 /28 est attribué à la DMZ. Le plan d’adressage IP 172.16.99.x /28 est réservé au VLAN de gestion.

 Un ensemble d’adresses fixes sont réservées pour les équipements réseau, serveurs et postes terminaux ceci pour chaque sous réseaux

 Une plage d’adresse pour les postes à adressage dynamique est établie et tient compte de l’installation de 2 serveurs DHCP pour l’implantation d’une tolérance de panne sur le service réseau DHCP.

2) Description fonctionnelle :

Configuration des équipements réseaux:

Pour cette mission on doit :

  • => Définir le plan d’adressage IP à partir du plan existant
  • => Configurer les équipements réseaux existants et ceux à rajouter :

Sur les Switch :

  • - Création des VLAN
  • - Attribution des ports aux VLAN
  • - Configuration du mode Trunk et ou du mode Ether Channel
  • - Configuration du Spanning-tree

Sur les Routeurs :

  • - Attribution d’adresses aux interfaces et leurs activations
  • - Création des sous interfaces pour l’encapsulation des VLAN
  • - Configuration du routage OSPF
  • - Configuration des Relais DHCP
  • - Création d’une route par défaut vers l’internet sur le routeur DMZ et ça déclaration pour les autres routeurs
  • => Configuration d’un accès pour la gestion à distance des équipements réseau (SSH)
  • => Testes de connectivité des équipements à partir du poste de l’administrateur, avec le Ping des différentes passerelles des routeurs. Puis après l’attribution d’adresses aux postes des ligues on Ping ces postes à leurs tours.

3) LE SYSTEME:

Configuration des équipements Système :

Nous utiliserons le logiciel Virtual Box afin de simulée un environnement Windows Serveur 2003, qui joue le rôle de Contrôleur du domaine –Serveur DHCP- Serveur TSE:

        1- Sur le Serveur DHCP (Dynamics Host Configuration Protocol) : Ce protocole dont le rôle est d’assurer l’attribution automatique des paramètres IP pour les machines, notamment en leurs affectant automatiquement une adresse IP et un masque de sous-réseau et des informations DNS et passerelle. Nous allons créer différents étendues d’adresse IP pour les différentes Ligues de l’association. Le serveur DHCP principale porte l’adresse IP fixe suivante : 172.16.0.60, comme le masque de chaque ligue est de26 bits, il limite le nombre d’adresses utilisables à 62, du coup et pour des raisons de sécurité de ce service on a pensé à la redondance des serveurs DHCP, les étendues du serveur DHCP principal auront une plage de 25 adresse pour chaque ligue.

 On a mit en place un second serveur DHCP sous Debian pour la tolérance aux pannes dont les étendues porteront la deuxième moitie des adresses IP les 25 restantes de la plage dynamique totale de chaque ligue. Ce serveur DHCP portera l’adresse IP fixe suivante : 172.16.0.61

         2-  Sur le Contrôleur de Domaine :

-le contrôleur de domaine reflètera l’organisation de la Maison des Ligues, le nom de domaine est m2l.local.

Nous y trouverons ainsi les différentes ligues  représentées sous forme d’unité d’organisation.

      -   Création des utilisateurs de chaque ligue avec l’attribution de mots de passe et de quotas

      -    Création des machines de chaque ligue

      -    Installation des machines et leur mise sur le domaine m2l.local

=>Tests DHCP :

      - Dans paramètres de la carte réseau de chaque machine, et dans Propriété de Protocole internet version 4 (TCP/IPv4) on bascule vers Obtenir une adresse IP automatiquement (DHCP). Puis dans la console CMD on force le renouvellement de l’adressage IP avec les commandes suivantes: ipconfig /release pour effacer les paramètres précédents on valide puis on renouvelle les paramètres avec la commande: ipconfig /renew. et on vérifie si la machine a obtenu les nouveaux paramètres IP.

      - On désactive le serveur DHCP principale et on refait la même manipulation sur une machine, si cette machine obtient ses paramètres IP donc le serveur DHCP de secours à remplit sa tache.  

Mise en place du serveur d’application pour la connexion à distance :

 

Comme le serveur de fichiers met des fichiers à dispositions d’utilisateurs, le serveur d’applications permet à des utilisateurs connectés en réseau d’accéder à des logiciels applicatifs à partir d’un exemplaire unique situé sur le serveur d’application.

  1- Définition: 

Terminal Services: est un composant de Microsoft Windows (dans les versions clientes et serveur) qui permet à un utilisateur d'accéder à des applications et des données sur un ordinateur distant, via n'importe quel type de réseau et à partir de n’importe quel autre ordinateur.

         1. Fonctionnement :

Au démarrage de Windows Serveur 2003, le service TSE (termsrv.exe) démarre et commence à écouter les demandes de connexion par le biais du composant Ecouteur RDP-Tcp. A chaque demande de connexion, le composant Ecouteur RDP-Tcp intercepte la requête, la transmet au Session Manager(SMSS.exe) qui crée et gère les sessions TSE, et se remet en position d’écoute.

   2. Le Protocol RDP :

RDP (Remote Desktop Protocol) est le protocole de communication entre un serveur TSE et un poste de travail distant, il s’appuie sur TCP/IP, ce qui le permet d’être utilisé sur la plupart des réseaux comme d’être encapsulé dans un réseau privé virtuel ou VPN.

         3. Schéma fonctionnel :

 

  1. Le poste client lance le client RDP appelé RDC (Remote Desktop Connexion) qui vérifie en premier lieu la présence de la DLL de gestion des canaux virtuels.
  2. Il envoie une requête sur le port de connexion 1 associé à la carte réseau 1 du serveur.
  3. L’Ecouteur RDP-Tcp prend en charge la requête, la transmet au gestionnaire de session SMSS, et retourne écouter les ports de connexion.
  4. Session Manager vérifie les capacités de cryptage du poste client avant de définir le niveau de cryptage des futures communications, et fait l’inventaire des canaux virtuels à établir. Il invoque alors le service Win logon qui permet à l’utilisateur de rentrer ses identifiants, nom d’utilisateur et mot de passe.
  5. Le contrôle d’authentification est effectué avec le contrôleur de domaine (Active Directory ou autre).
  6. Le contrôleur de licence est effectué avec le serveur de licences CALs TSE.
  7. Si tout est conforme, la session de l’utilisateur est créée, les scripts d’ouverture de session sont exécutés, et son bureau virtuel est monté.
  8. L’utilisateur travaille désormais directement en relation avec les services terminaux et le système Windows 2003 Server.                                                                    

2-  Installation et gestion du service terminal serveur

2.1. Sur le serveur 2003 :

Aller vers  Panneau de Configuration puis Ajout/Suppression de Programmes "Ajout/Suppression de composants Windows ". Ensuite, Dans la liste, cocher la case  Terminal Server, puis suivant (CD d’installation nécessaire).

Après, le redémarrage est nécessaire pour l’installation des services.

2.2. A partir du poste client :

Clic droit sur «Poste de travail» propriétés, puis sélectionner l’onglet «Utilisation à distance» et cocher les 2 cases et pour finir appliquer les modifications.

Ensuite, la connexion s’effectue grâce à la connexion du bureau à distance.

Aller dans Démarrer, tous les programmes, accessoires, communication, bureau à distance.
Il suffit alors de renseigner l’adresse IP du serveur avec le nom d’utilisateur avec son mot de passe. Pour le moment, seul l’administrateur peut se connecter en Terminal Server (il est enregistré dans le groupe de bureau à distance).

  Configuration :

Par défaut, seuls les membres des groupes administrateurs et utilisateurs de bureau à distance peuvent ouvrir une session sur un terminal server.

Donc on peut accéder au server depuis un poste client afin d’administrer à distance le server.

Pour cela il suffit de lancer l’accès au bureau à distance sur XP, renseigner le nom du server puis se connecter en tant qu’administrateur et voilà on a la main sur le Server.

Par mesure de sécurité, pour les autres utilisateurs, on crée une unité d’organisation dans laquelle on insère un groupe avec des utilisateurs, puis on ajoute une stratégie de groupe pour limiter les droits des utilisateurs, dans les accès au serveur en TSE.

L’unité d’organisation en question sera nommée TSE-Stratégies dans laquelle on crée une sous unité d’organisation Open Office qui contiendra le groupe TSE-Handball dont les membres sont Ali et Christophe. 

Nous appliquerons une stratégie de groupe afin d’appliqué une sécurité pour empêcher l’utilisateur d’avoir tous les droits sur le server d’application.

Clique droit sur le groupe « TSE-Handball » aller dans propriété puis stratégie de groupe

On editera une nouvelle stratégie qui enlevera certains attributs comme l’accès au panneau de configuration .

Nous pouvons par ce biais définir la façon dont notre serveur réagira lorsque des connexions clientes seront

établies. Nous pouvons aussi personnaliser l'environnement de chaque utilisateur. Et tout ceci de façon centralisée. Pour ce faire, nous ouvrons la console des stratégies locales (GPEDIT.MSC) et nous développons le nœud  Configuration ordinateur => Modèles d'administration =>Composants Windows => Services Terminal Server :

3- Configuration des services Terminal Server

La configuration des services de Terminal Server s’effectue à partir d’une console, qui se trouve dans :

Démarrer => Outils d’administrations => Configuration des services Terminal Server.
Dans connexions, il suffit de faire un clic droit, puis propriétés sur RDP-TCP pour avoir accès aux propriétés de connexions de TSE.

Dans ces onglets:

Général : pour commenter la connexion et spécifier le niveau de cryptage utilisé.

Paramètres d’ouverture de session : pour spécifier une session qui pourra se connecter au serveur.

Sessions : on peut définir des règles de temps au bout duquel une session active ou inactive est déconnectée ou terminée.

Environnement : Application qui sera ouverte à la connexion de la session Terminal Server si on le désire.

Contrôle à distance : on peut permettre à l’administrateur du serveur de surveiller et interagir avec les sessions actives sur le Terminal Server.

Paramètres du client : permet de modifier l’apparence de la session client (couleurs, sons…)

Carte réseau : on choisit l’interface réseau qu’utilisera Terminal Server ainsi que le nombre de connexions maximal.

Autorisations : on indique les utilisateurs et groupes qui sont autorisés à utiliser Terminal Server.

C’est dans l’onglet Autorisations qu’il va falloir ajouter le groupe TSE, pour que les utilisateurs puissent se connecter et utiliser des applications partagées.

Dans les paramètres :

- Supprimer les dossiers temporaires en quittant : ce paramètre permet de déterminer si l'on souhaite que les dossiers temporaires créés lors de la connexion de soient conservés à la fermeture de la session du client ou non.

- Utiliser des dossiers temporaires par session : ce paramètre détermine le fait que chaque utilisateur ouvrant une session utilisera un dossier temporaire différent (plutôt qu'un dossier temporaire commun à tous les utilisateurs).

- Licence : ce paramètre définit le type de licences que nous voulons utiliser sur notre serveur Terminal Server. Il en existe deux : les licences par périphériques et les licences par utilisateurs.

- Active Desktop : ce paramètre indique si la fonctionnalité Active Desktop doit être activée ou non.

- Compatibilité des autorisations : permet de spécifier si nous voulons donner un accès au registre ou à certains répertoires système à certaines applications anciennes. Dans ce cas nous choisirons l'option Sécurité moyenne. Dans d'autres situations où les applications ont été écrites de façon à utiliser les fonctionnalités de Windows Server 2003, nous pouvons conserver l'option Sécurité totale. Dans ce cas, l'accès au registre et à certains dossiers système n'est pas autorisé. Ce paramètre est celui par défaut.

- Restreindre chaque utilisateur à une seule session : cette option limite le nombre de sessions ouvertes par chaque utilisateur à une seule. De cette façon, un utilisateur qui aurait simplement déconnecté sa précédente session rouvrira cette dernière. Encore une fois cela permet d'économiser des ressources sur le serveur.

       4- Installation d’Applications sur l’environnement du TSE:

Utiliser l'option Ajout/Suppression de programme dans le Panneau de configuration. Cela passe automatiquement notre serveur en mode installation et le repasse en mode exécution une fois l'installation achevée. (dans notre exemple on va installer l’application Open Office)

Après l’installation de l’application, on va paramétrer TSE afin que dès qu’un utilisateur ouvre une session TSE

l’application précédemment installer s’exécute ainsi l’utilisateur n’aura accès qu’a l’application ceci est une autre façon de renforcer la sécurité.

Pour cela nous allons configurer l’Environnement du TSE dans les Propriétés de RDP-Tcp.

Sur le poste client, connexion sur le serveur TSE :

La connexion s’effectue grâce à la connexion du bureau à distance.
Aller dans Démarrer => Tous les programmes => Accessoires => Communication => Bureau à distance.
Il suffit alors de renseigner l’adresse IP du serveur avec le nom d’utilisateur avec son mot de passe.

Ou bien dans  le menu démarrer Windows, puis exécuter on tape la commande mstsc. La fenêtre de connexion  du bureau à distance apparait et nous apercevons le nom de l’utilisateur crée précédemment Ali.

Soit on indique le nom du serveur TSE ou l’adresse IP 172.16.32.250, puis connexion.

La fenêtre d’ouverture de session Windows serveur 2003 s’affiche et nous indiquons le nom de l’utilisateur avec son mot de passe.

On a alors accès au serveur d’application en mode TSE.

Et l’ouverture finale s’effectue automatiquement sur l’application choisie par l’administrateur pour les sessions des utilisateurs des connexions à distance.

CONCLUSION

L’administration à distance du serveur est désormais possible. Les clients peuvent se connecter au serveur via le Bureau à distance et travailler sur les applications à partir d’un exemplaire unique situé sur le serveur d’application.