Was ist RDS und welche Rollen werden benötigt?
Remote Desktop Services ist eine Reihe von Windows Server-Rollen für die Veröffentlichung vollständiger Desktops und Anwendungen (RemoteApp) auf Serverhosts (RD Session Host) mit Sitzungsausgleich und Wiederverbindung über RD Connection Broker, das RD Web Access-Webportal und, falls erforderlich, ein externes RD Gateway und einen separaten RD Licensing-Dienst (CAL für Benutzer/Geräte).
Mindestkonfiguration (Beispiel):
- 2× RD-Sitzungshost (Sitzungshosts)
- 1× Manager mit RD-Verbindungsbroker + RD-Webzugriff + RD-Lizenzierungsrollen (für den Pilotversuch können die Rollen auf einem Server kombiniert werden)
Vorbereitungen in AD:
- Alle Server werden zu einer Domäne hinzugefügt und in einer Organisationseinheit platziert.
- Es wird eine Gruppe (z. B. rdsh-servers) erstellt, der alle RDSH hinzugefügt werden.
- Für Benutzer-Netzwerkprofile wurde ein freigegebenes Verzeichnis für Benutzerprofil-Datenträger (UPD) vorbereitet (optional).
Installation von RDS über den Server-Manager (Standardbereitstellung)
Öffnen Sie den Server-Manager und fügen Sie alle Server zum Pool hinzu (Alle Server → Server hinzufügen):
Starten Sie den Assistenten: Rollen und Features hinzufügen → Installation von Remotedesktopdiensten → Standardbereitstellung → Sitzungsbasierte Bereitstellung.
Rollen nach Server zuweisen (Beispiel unten: RDCB+RDWA auf dem Manager, RDSH auf allen Knoten):
Bestätigen Sie und warten Sie auf die Bereitstellung:
Öffnen Sie nach der Installation Server-Manager → Remotedesktopdienste → Übersicht:
Geben Sie unter „Aufgaben → Bereitstellungseigenschaften bearbeiten“ Folgendes an:
- Lizenzierungsserver und RDS-CAL-Modus (pro Benutzer oder pro Gerät);
- RD-Webzugriff-URL;
- (später) SSL-Zertifikate für RDGW/RDWeb/Publishing/Redirector.
Für ein isoliertes Szenario (ohne Broker/Web, auf einem einzelnen Host) siehe die Option „Standalone-RDSH“ (Arbeit in einer Arbeitsgruppe).
Erstellen Sie eine Sitzungssammlung und verbinden Sie Benutzer
Gehen Sie zu Remotedesktopdienste → Sammlungen → Aufgaben → Sitzungssammlung erstellen:
RD-Sitzungshosts zur Sammlung hinzufügen:
Geben Sie Benutzergruppen an (löschen Sie Domänenbenutzer, fügen Sie eigene hinzu, z. B. RDS-Benutzer) und aktivieren Sie bei Bedarf Benutzerprofil-Datenträger. Klicken Sie anschließend auf Erstellen.
Um die Einstellungen zu bearbeiten, öffnen Sie die Sammlungseigenschaften (Aufgaben → Eigenschaften bearbeiten):
RemoteApp (Anwendungen) werden ebenfalls hier veröffentlicht, und Sitzungslimits (Zeitüberschreitungen für aktive/getrennte Sitzungen) werden festgelegt. Es gibt eine gute Erklärung zu Zeitüberschreitungen mit Bildern.
Zertifikate und HTTPS für RDS-Rollen (kurz)
Um die Warnung vor einer gefährlichen Verbindung zu entfernen und SSO zu aktivieren, weisen Sie den Rollen die richtigen SSL-Zertifikate zu:
- RD-Gateway, RD-Webzugriff, RD-Veröffentlichung, RD-Redirector.
Über PowerShell (Beispiel für ein einzelnes PFX und Broker $RDSCB):
$RDSCB = "msk-rdsman.contoso.local"
$Path = "C:\certs\rds-cert.pfx"
$Pwd = ConvertTo-SecureString "StrongPfxPassword!" -AsPlainText -Force
Set-RDCertificate -Role RDGateway -ImportPath $Path -Password $Pwd -ConnectionBroker $RDSCB -Force
Set-RDCertificate -Role RDWebAccess -ImportPath $Path -Password $Pwd -ConnectionBroker $RDSCB -Force
Set-RDCertificate -Role RDPublishing -ImportPath $Path -Password $Pwd -ConnectionBroker $RDSCB -Force
Set-RDCertificate -Role RDRedirector -ImportPath $Path -Password $Pwd -ConnectionBroker $RDSCB -Force
Get-RDCertificate
Der externe Zugriff ohne VPN ist über RD Gateway (separat bereitgestellt; detaillierte Anweisungen sind verfügbar) sicherer.
Lizenzierung (RDS CAL)
Installieren Sie die Rolle „Remotedesktop-Lizenzierung“ (kann auf dem Broker erfolgen), aktivieren Sie den Lizenzserver und geben Sie die Adresse dieses Servers und den Lizenzmodus (pro Benutzer/pro Gerät) in den Bereitstellungseinstellungen an. Die Parameter werden unter „Bereitstellungseigenschaften bearbeiten“ → „RD-Lizenzierung“ festgelegt.
Beachten Sie dabei bitte die folgenden Einschränkungen: Ein regulärer Windows Server ohne RDS bietet nur 2 administrative RDP-Verbindungen; für vollständige Benutzersitzungen ist eine RDS CAL erforderlich.
Anwendungsbereitstellung (RemoteApp) und Zugriff
Stellen Sie Anwendungen in den Sammlungseigenschaften (RemoteApp-Programme → Veröffentlichen) oder über PowerShell bereit:
New-RDRemoteApp -Alias "Chrome" -DisplayName "Google Chrome" `
-FilePath "C:\Program Files\Google\Chrome\Application\chrome.exe" `
-ShowInWebAccess 1 -CollectionName "General" -ConnectionBroker $RDSCB
Benutzer können sich über folgende Wege anmelden:
- RD Web Access (Webportal),
- .rdp/RemoteApp-Verknüpfungen
- oder direkt über den FQDN der Farm (wenn der Broker und der DNS-Eintrag konfiguriert sind).
Schnelle Bereitstellung einer RDS-Farm mit PowerShell (von Grund auf)
Nachfolgend finden Sie ein komprimiertes Beispiel: Erstellen einer Sammlung, Zuweisen von Gruppen, Veröffentlichen von RemoteApp. (Stellen Sie Rollen wie oben beschrieben über die GUI bereit oder automatisieren Sie den Vorgang gemäß Ihrem Standard.)
$RDSCB = "msk-rdsman.contoso.local"
$RDSH1 = "msk-rds1.contoso.local"
$RDSH2 = "msk-rds2.contoso.local"
# Collection
New-RDSessionCollection `
-CollectionName "General" `
-SessionHost $RDSH1,$RDSH2 `
-ConnectionBroker $RDSCB `
-CollectionDescription "General users"
# Access
$Groups = @("CONTOSO\RDS-Users","CONTOSO\ServiceDesk")
Set-RDSessionCollectionConfiguration -CollectionName "General" -UserGroup $Groups
# App publication
New-RDRemoteApp -Alias "WordPad" -DisplayName "WordPad" `
-FilePath "C:\Program Files\Windows NT\Accessories\wordpad.exe" `
-ShowInWebAccess 1 -CollectionName "General" -ConnectionBroker $RDSCB
Netzwerk, Firewall und Diagnose
Öffnen Sie die folgenden Ports in der Windows-Firewall und der externen ACL des Windows VPS-Anbieters:
- RD Web: 443/TCP
- RD Gateway: 443/TCP
- RDP zu RDSH über Broker: 3389/TCP (+ 3389/UDP für verbesserte Grafik)
- Broker/SQL-Verbindungen zwischen Servern – gemäß Ihrem Schema
Schnellprüfungen vom Client aus:
Test-NetConnection rds.contoso.ru -Port 443 # RDWeb/RDGW
Test-NetConnection rds.contoso.ru -Port 3389 # RDP (if you publish directly)
Es gibt eine separate Diskussion über das „Einfrieren“/den schwarzen Bildschirm während des UDP-Transports RDP.
Häufige Probleme und schnelle Lösungen
- Der Benutzer ist nicht in der Sammlung enthalten. Überprüfen Sie, ob er sich in der richtigen Sammlungszugriffsgruppe befindet (nicht nur Domänenbenutzer).
- Broker nicht sichtbar/Fehler bei der Wiederverbindung. Überprüfen Sie den DNS-Eintrag der Farm, die Verfügbarkeit der Broker-Datenbank und die relevanten Ports; für HA auf dem Broker überprüfen Sie Always On in SQL.
- Sitzungen werden nicht beendet/hängen sich auf. Legen Sie auf der Registerkarte „Sitzung” der Sammlung Limits (Zeitlimits) für aktive/getrennte Sitzungen fest.
Sicherer externer Zugriff ist erforderlich. Stellen Sie RD Gateway (HTTPS, Zugriffsrichtlinien, Zertifikat) bereit.
