Bài viết này mô tả cách cài đặt và định cấu hình vai trò máy chủ đầu cuối Máy chủ phiên máy tính từ xa trong một nhóm làm việc (không có miền Active Directory) và không có bất kỳ vai trò bổ sung nào khác (Môi giới kết nối, Truy cập Web Máy tính Từ xa, Cổng RDS). Đây sẽ là một triển khai RDS máy chủ duy nhất trên Windows Server 2019/2022.
Windows Server với vai trò RDSH (Máy chủ phiên máy tính từ xa) cho phép nhiều người dùng kết nối đồng thời với máy chủ bằng RDP (theo mặc định, chỉ 2 kết nối Máy tính từ xa quản trị được phép trên Windows Server). Một phiên riêng biệt được tạo cho mỗi người dùng và họ truy cập vào môi trường máy tính để bàn cá nhân của họ.
Nếu bạn định sử dụng một máy chủ RDS riêng biệt trong một nhóm làm việc, hãy lưu ý rằng chức năng của nó bị hạn chế. Nó không thể được mở rộng thành một trang trại RDS đầy đủ tính năng, bạn không thể tạo các bộ sưu tập riêng biệt hoặc một Ứng dụng từ xa, không có Nhà môi giới kết nối, bạn không thể sử dụng Đĩa Hồ sơ Người dùng, không có công cụ quản lý tập trung, dịch vụ RDS sẽ không khả dụng cho người dùng trong các hoạt động bảo trì nếu máy chủ đang ở chế độ xả.
Cách cài đặt vai trò của dịch vụ máy tính từ xa trên Windows Server 2019/2022?
Có nghĩa là bạn đã cài đặt Windows Server và định cấu hình các cài đặt cơ bản (địa chỉ IP, tên máy chủ, ngày / giờ, các bản cập nhật đã cài đặt, v.v.). Sau đó, bạn có thể cài đặt vai trò RDS. Để làm điều đó, bạn có thể sử dụng Trình quản lý máy chủ hoặc PowerShell.
Để cài đặt RDS bằng Trình quản lý máy chủ, hãy chọn Máy chủ phiên máy tính từ xa và Cấp phép Máy tính Từ xa trong Cài đặt dựa trên vai trò hoặc dựa trên tính năng -> Vai trò máy chủ -> Dịch vụ máy tính từ xa trong các thành phần RDS (đồng ý với việc cài đặt các tính năng RSAT để quản lý vai trò).
Bạn cũng có thể cài đặt các role Windows Server bằng PowerShell:
Install-WindowsFeature -Name RDS-Licensing, RDS-RD-Server –IncludeManagementTools
Kiểm tra vai trò RDS nào được cài đặt trên máy chủ của bạn:
Get-WindowsFeature -Name RDS* | Where installed
Khởi động lại máy chủ của bạn:
Restart-Computer
Định cấu hình Vai trò cấp phép Máy tính Từ xa và Thêm Giấy phép RDS (CAL)
Bước tiếp theo là định cấu hình vai trò Cấp phép Máy tính Từ xa, vai trò này cung cấp cấp phép cho các kết nối RDP của người dùng. Bạn có thể cài đặt và kích hoạt Cấp phép Máy tính Từ xa trên máy chủ này (nếu bạn chỉ có một máy chủ trong mạng của mình) hoặc đặt vai trò RDLicensing trên một máy chủ khác. Một máy chủ có vai trò Cấp phép RDS có thể cấp giấy phép cho bất kỳ số lượng máy chủ RDS nào.
Nếu bạn đã quyết định sử dụng máy chủ RDLicensing cục bộ, hãy kích hoạt máy chủ Cấp phép RDS và cài đặt giấy phép ứng dụng khách (RDS CAL) theo hướng dẫn này.
Trong một nhóm làm việc, bạn nên sử dụng Mỗi thiết bị RDS CAL. Nếu máy chủ cấp phép của bạn chỉ cấp giấy phép cho Mỗi người dùng, người dùng sẽ gặp lỗi sau khi kết nối với máy chủ qua RDP:Remote Desktop License Issue There is a problem with your Remote Desktop license, and your session will be disconnected in 60 minutes.
Định cấu hình Máy chủ Phiên Máy tính Từ xa trong Nhóm làm việc
Đi tới Bảng điều khiển -> Hệ thống và bảo mật -> Công cụ quản trị -> Dịch vụ máy tính từ xa -> Trình chẩn đoán cấp phép máy tính từ xa. Lưu ý rằng máy chủ của bạn chưa được định cấu hình để nhận RDS CAL từ máy chủ cấp phép. Các thông báo sau đây chứng minh điều đó:
- Chế độ cấp phép cho máy chủ Máy chủ lưu trữ phiên máy tính từ xa không được định cấu hình
- Số lượng giấy phép có sẵn cho khách hàng:0
Nếu bạn không nhắm mục tiêu máy chủ RDSH của mình tới máy chủ cấp phép RDS có thể cấp CAL cho người dùng của bạn, máy chủ của bạn sẽ ở chế độ dùng thử. Ở chế độ này, các dịch vụ RDS chỉ hoạt động trong 120 ngày (tại mỗi kết nối, bạn sẽ thấy thông báo này trong khay:“The Remote Desktop service will stop working in xxx days ”). Sau khi hết thời gian gia hạn, người dùng sẽ không thể kết nối với RDS do lỗi sau:
Phiên từ xa đã bị ngắt kết nối vì không có giấy phép truy cập máy khách Máy tính từ xa nào khả dụng cho máy tính này.
Nhược điểm chính của Dịch vụ Máy tính Từ xa trên Windows Server 2019 trong nhóm làm việc (không có miền) là bạn không có bất kỳ công cụ quản trị thuận tiện nào để quản lý vai trò RDS. Bạn sẽ phải định cấu hình bất kỳ cài đặt vai trò RDSH nào trong Local Group Policy Editor (gpedit.msc ).
Định cấu hình cài đặt cấp phép RDS với Local Group Policy Editor (gpedit.msc ):
- Đi tới Cấu hình Máy tính -> Mẫu Quản trị -> Thành phần Windows -> Dịch vụ Máy tính Từ xa -> Máy chủ Phiên Máy tính Từ xa -> Cấp phép;
- Thay đổi Đặt chế độ cấp phép Máy tính Từ xa đến Mỗi thiết bị;
- Trong Sử dụng máy chủ cấp phép Máy tính Từ xa được chỉ định tùy chọn, chỉ định địa chỉ IP của máy chủ Máy chủ RDLicensing được cài đặt trên. Nếu máy chủ cấp phép được cài đặt cục bộ, hãy nhập
localhosthoặc127.0.0.1;
- Cập nhật cài đặt Chính sách nhóm cục bộ và chạy Trình chẩn đoán cấp phép máy tính từ xa . Đảm bảo rằng nó nhìn thấy RDS CAL của bạn.
Trong GPO cục bộ, bạn cũng có thể đặt giới hạn phiên RDP (thời gian chờ) và quy tắc ngắt kết nối người dùng khi họ không hoạt động.
Nếu bạn muốn định cấu hình các Chính sách Nhóm khác nhau cho người dùng và quản trị viên cục bộ, hãy sử dụng tính năng nhiều GPO (MLGPO).
Sau đó, tạo tài khoản người dùng cục bộ trên máy chủ RDS của bạn. Bạn có thể tạo người dùng trong lusrmgr.msc hoặc với PowerShell:
$UserPassword = ConvertTo-SecureString "PaSS123!" -AsPlainText -Force
New-LocalUser a.brown -Password $UserPassword -FullName "Andi Brown"
Để cho phép người dùng kết nối với máy chủ thông qua Dịch vụ Máy tính Từ xa, hãy thêm tài khoản người dùng vào Người dùng Máy tính Từ xa cục bộ nhóm . Thêm người dùng theo cách thủ công bằng bảng điều khiển quản lý máy tính hoặc bằng PowerShell:
Add-LocalGroupMember -Group "Remote Desktop Users" -Member a.brown
Giờ đây, người dùng có thể cố gắng kết nối với máy chủ RDS của bạn bằng mstsc.exe (hoặc bất kỳ ứng dụng khách RDS nào khác) từ máy tính của họ. Đảm bảo rằng nhiều hơn hai người dùng đang hoạt động có thể kết nối đồng thời với máy chủ.
Ở lần đăng nhập đầu tiên, giấy phép tạm thời được cấp cho thiết bị người dùng (tính năng cấp phép RDS Per Device). Ở lần đăng nhập thứ hai, giấy phép vĩnh viễn được cấp xuất hiện trong Trình quản lý cấp phép Máy tính Từ xa. Giấy phép được cấp trong thời hạn 52-89 ngày (một số ngẫu nhiên).
Nếu không có giấy phép miễn phí cho mỗi thiết bị, bạn có thể thu hồi giấy phép cho một số thiết bị của người dùng theo cách thủ công. Sử dụng bảng điều khiển RDSLicensing hoặc tập lệnh PowerShell này:
$licensepacks = Get-WmiObject win32_tslicensekeypack | where {($_.keypacktype -ne 0) -and ($_.keypacktype -ne 4) -and ($_.keypacktype -ne 6)}
# the total number of per device licenses
$licensepacks.TotalLicenses
# the number of licenses issued to the devices
$TSLicensesAssigned = gwmi win32_tsissuedlicense | where {$_.licensestatus -eq 2}
# the computer name you want to revoke a license from
$compname="wksmun2a15"
$RevokePC = $TSLicensesAssigned | ? sIssuedToComputer -EQ $compname
$RevokePC.Revoke()
Nếu bạn cần kết nối với phiên RDP của người dùng, bạn có thể sử dụng chế độ kết nối bóng RDS (chế độ này cũng hoạt động trên RDSH trong một nhóm làm việc).