Remote Desktop Services (RDS), bekannt als Terminal Services in Windows Server 2008 und früheren Versionen, ist eine Komponente vom Windows Server, die Benutzern den Fernzugriff auf grafische Desktops und Windows-Anwendungen ermöglicht. Vor dem Jahr 2008 war es kaum möglich Microsoft Terminal Services zu verwenden ohne eine Zusatzsoftware wie Citrix einzusetzen.

Durch eine Reihe nützlicher Erweiterungen der Terminal-Dienste unter Windows Server 2008 hat Microsoft es geschafft kleinen und mittleren Unternehmen die Möglichkeit zu bieten auf Zusatzsoftware zu verzichten. Zu den Erweiterungen zählen die Verwaltung von Terminal-Server-Anwendungen (TS RemoteApp), der Web-Zugriff (TS Web Access) sowie der sichere Zugang zu den Terminal-Diensten über das Internet (TS Gateway).

Mit der Erscheinung vom Windows Server 2008 R2 im Jahr 2009 wurde die Namensänderung auf Remote Desktop Services vollzogen.

Genug von der Vergangenheit, schauen wir uns an was heutzutage möglich ist. Durch die Einführung und Weiterentwicklung von Hyper-V und Virtual Desktop Infrastructure (VDI) wird keine Drittanbieter Software mehr benötigt um RDS Umgebungen in verschiedensten Umfängen zur Verfügung zu stellen.

In der Welt von Cloud und Virtualisierung bedeutet das für viele Unternehmen eine erhebliche Kostenersparnis.

Nehmen wir Microsoft RDS etwas genauer unter die Lupe. Um eine RDS Umgebung zu implementieren benötigt es einige Komponenten, welche im Folgenden genauer erläutert werden.

 

Remote Desktop Connection Broker (RDCB):

Ein Remote Desktop Connection Broker ermöglicht es Client-Rechnern, auf verschiedene Arten von serverbasierten Desktops und Applikationen zuzugreifen. In gehosteten Desktop-Umgebungen ist der Remote Desktop Connection Broker die Komponente zwischen den Desktops im Rechenzentrum (virtuelle Maschinen, Terminalserver Desktops) und den Client-Rechnern, die genutzt werden, um auf diese Desktops zuzugreifen.

Der Remote Desktop Connection Broker hat eine Reihe von Aufgaben, dazu gehören:

·         Prüfung der Benutzerdaten

·         Zuweisung des Benutzers zu einem Remote Desktop

·         An- und Abschalten von Remote Desktops, je nach Bedarf

·         Load Balancing der Server, auf denen die Desktops laufen

·         Verwaltung der Desktop Images

·         Umleitung der Multimedia Verarbeitung auf den Client-Rechnern

Der Connection Broker verwendet eine lokale Datenbank oder eine SQL-Datenbank, wenn der Dienst für Hochverfügbarkeit konfiguriert ist.

 

 

Remote Desktop Session Host (RDSH):

RDSH ist eine Rolle innerhalb der Remote Desktop Services (RDS). Session Host Server stellen Anwendungen oder Desktops bereit, auf die Benutzer zugreifen.

Mehrere Session Host Server lassen sich zu einer Gruppe zusammenfassen, um über diese gruppierten RDSH-Server dann RemoteApp-Anwendungen oder sitzungsbasierte Desktops bereitzustellen, allerdings nicht beides gleichzeitig über die gleiche RDSH-Gruppe.

Die Möglichkeit zur Gruppierung (Sitzungshost Sammlungen) ist eine Neuerung von Windows Server 2012 RDS, die vor allem für das Load Balancing zwischen verschiedenen miteinander verbundenen Servern sehr nützlich ist.

 

Remote Desktop Gateway (RD-Gateway):

RD-Gateway ermöglicht autorisierten Remotebenutzern das Herstellen von Verbindungen mit Ressourcen in einem internen Firmennetzwerk von jedem Gerät, das mit dem Internet verbunden ist und auf dem Remotedesktopverbindungs-Client (RDC-Client) ausgeführt werden kann.

RD-Gateway verwendet das Remotedesktopprotokoll (RDP) über HTTPS zur Herstellung einer sicheren, verschlüsselten Verbindung zwischen Remotebenutzern im Internet und den internen Netzwerkressourcen, auf denen Produktivitätsanwendungen ausgeführt werden. Es ermöglicht also, sicher auf RemoteApp-Programme und Desktops zuzugreifen.

RD-Gateway ermöglicht Remotebenutzern das Herstellen einer Verbindung mit internen Netzwerkressourcen über das Internet mithilfe einer verschlüsselten Verbindung, ohne dass dabei VPN-Verbindungen (Virtual Private Network, virtuelles privates Netzwerk) konfiguriert werden müssen.

Das RD-Gateway-Manager-Tool kann Gateway-Verbindungsautorisierungsrichtlinien (Connection Authorization Policies, CAPs) durchsetzen um einzuschränken, welche Benutzer eine Verbindung herstellen können.

Zudem gibt es Ressourcenautorisierungsrichtlinien (Ressource Authorization Policies, RAPs). Diese bieten Einschränkungen auf Basis der Active-Directory-Gruppenmitgliedschaft. Diese Einschränkungen können Verbindungen von bestimmten Netzwerkressourcengruppen oder durch das RD-Gateway verwaltete Gruppen beschränken. Alternativ erlauben sie den Zugriff auf alle Netzwerkressourcen.

Häufig nutzt RD-Gateway nur die lokalen Netzwerkrichtliniendienste (Network Policy Services, NPS) um Benutzer zu authentifizieren. Zusätzlich besteht die Möglichkeit Multifaktor-Authentifizierung z.B. mit Azure MFA zu implementieren.  RADIUS-Anforderungen aus dem Remotedesktopgateway (über lokale NPS) werden dann an den Multi-Factor Authentication-Server weitergeleitet.

 

Remote Desktop Web Access:

RD Web Access ist eine erforderliche Komponente von RDS. Die Rolle bietet Zugriff auf Remotedesktops und virtuelle Desktops über das Benutzer-Startmenü oder einen Web-Browser.

Benutzer authentifizieren sich an RD Web Access und wählen eine RemoteApp oder den Desktop für die Verbindung aus.

RD Web Access ist eine kritische Komponente für den Zugriff und die Vermittlung von RDS-Verbindungen zwischen Client und Server. Diese RDS-Komponente erstellt die RDP-Datei, die der Client verwendet, um sich mit der Infrastruktur zu verbinden.

Genau wie beim RD-Gateway erfordert die RD Web Access-Komponente ein SSL-Zertifikat für die SSL-Verschlüsselung zwischen Client und Server. Da Remote-Desktop-Verbindungen mit einer Verbindung zum Web Access-Server beginnen, sollte bei der Verwendung eines RD-Gateways ein RD Web Access-Server in der DMZ zusammen mit dem RD-Gateway-Server bereitgestellt werden. Auf diese Weise können Sie die Kommunikation und die vor-authentifizierte Kommunikation zu Ihrer RDS-Infrastruktur zu Ihrem internen Netzwerk isolieren.

 

Remote Desktop Virtualization Host:

Die Virtualization-Host-Komponente ist ein Hyper-V-Server, der im Zusammenhang mit persönlichen virtuellen Desktops oder Desktop-Pools konfiguriert wird. Es können mehrere RD Virtualization Hosts in einem Hyper-V-Cluster verwendet werden, um eine hochverfügbare virtuelle Desktop-Sammlung zu erstellen.

 

Remote Desktop Lizensierung:

Die RD-Lizenzierungskomponente verwaltet die erforderlichen Lizenzen in der RDS-Infrastruktur. Die Lizenzen werden aktiv benötigt, damit sich Anwender mit einer RD-Sitzungshost-Sammlung oder auf einem RD-Virtualisierungshost zu einer virtuellen Desktop-Kollektion verbinden können. Hochverfügbarkeit kann mit Clustering oder durch die Bereitstellung mehrerer RD-Lizenzierungs-Server erreicht werden.

Dieser Beitrag ist Teil einer dreiteiligen Blog-Serie.

  • Teil 1: Remote Desktop Services Architektur
  • Teil 2: Virtual Desktop Infrastructure (VDI)
  • Teil 3: Teil 3 RemoteApps

 

Redakt.: Christian Seurig