Yandex Cloud
  • Сервисы
  • Решения
  • Почему Yandex Cloud
  • Сообщество
  • Тарифы
  • Документация
  • Связаться с нами
Подключиться
Language / Region
© 2022 ООО «Яндекс.Облако»
Практические руководства
  • Веб-сервис
    • Все руководства
    • Cтатический сайт в Object Storage
    • Cайт на LAMP- или LEMP-стеке
    • Отказоустойчивый сайт с балансировкой нагрузки через Network Load Balancer
    • Отказоустойчивый сайт с балансировкой нагрузки через Application Load Balancer
    • Сайт на базе Joomla с БД PostgreSQL
    • Сайт на WordPress
    • Сайт на WordPress с БД MySQL
    • Перенос WordPress сайта с хостинга в Yandex Cloud
    • Веб-сайт на базе 1С-Битрикс
    • Интеграция L7-балансировщика с Cloud CDN и Object Storage
    • Сине-зеленое и канареечное развертывание версий сервиса
  • Интернет-магазины
    • Все руководства
    • Интернет-магазин на 1С-Битрикс
    • Интернет-магазин на Opencart
  • Архив данных
    • Все руководства
    • Однонодовый файловый сервер
    • Настройка SFTP-сервера на Centos 7
    • Резервное копирование в Object Storage через Acronis
    • Резервное копирование в Object Storage через CloudBerry Desktop Backup
    • Резервное копирование в Object Storage через Duplicati
    • Резервное копирование в Object Storage через Bacula
    • Резервное копирование в Object Storage через Veritas Backup Exec
    • Оцифровка архива в Yandex Vision
  • Тестовая среда
    • Все руководства
    • Тестирование приложений с помощью GitLab
    • Создание тестовых ВМ через GitLab CI
    • Высокопроизводительные вычисления на прерываемых виртуальных машинах
    • Эмуляция множества IoT-устройств
    • Нагрузочное тестирование gRPC-сервиса
    • HTTPS-тест с постоянной нагрузкой с помощью Phantom
    • HTTPS-тест со ступенчатой нагрузкой с помощью Pandora
  • Управление инфраструктурой
    • Все руководства
    • Начало работы с Terraform
    • Загрузка состояний Terraform в Object Storage
    • Начало работы с Packer
    • Сборка образа ВМ с набором инфраструктурных инструментов с помощью Packer
    • Автоматизация сборки образов ВМ с помощью Jenkins
    • Непрерывное развертывание контейнеризованных приложений с помощью GitLab
    • Создание кластера Linux-серверов «1С:Предприятия» с кластером Managed Service for PostgreSQL
    • Создание кластера Windows-серверов «1С:Предприятия» с базой данных SQL Server
    • Миграция в Yandex Cloud с помощью Hystax Acura
    • Защита от сбоев с помощью Hystax Acura
    • Настройка отказоустойчивой архитектуры в Yandex Cloud
    • Создание SAP-программы в Yandex Cloud
  • Построение Data Platform
    • Все руководства
    • Синхронизация данных из MySQL с помощью Yandex Data Transfer
    • Миграция базы данных из Yandex Managed Service for MySQL в MySQL
    • Настройка управляемой базы данных в кластере ClickHouse для Graphite
    • Обмен данными между Yandex Managed Service for ClickHouse и Yandex Data Proc
    • Импорт базы данных в Yandex Data Proc с использованием Sqoop
    • Использование Confluent Schema Registry с Yandex Managed Service for Apache Kafka®
    • Поставка данных из Yandex Managed Service for PostgreSQL в Yandex Managed Service for Apache Kafka® с помощью Debezium
    • Поставка данных из Yandex Managed Service for PostgreSQL в Yandex Managed Service for Apache Kafka® с помощью Yandex Data Transfer
    • Миграция данных в Yandex Managed Service for Apache Kafka®
    • Перенос коллекций из MongoDB в Yandex Managed Service for MongoDB
    • Миграция базы данных в Yandex Managed Service for SQL Server
    • Перенос данных из PostgreSQL в ClickHouse с помощью Yandex Data Transfer
    • Настройка Kafka Connect для работы с кластером Yandex Managed Service for Apache Kafka®
    • Настройка Yandex Cloud DNS для доступа к кластерам управляемых баз данных из других облачных сетей
    • Миграция в Yandex Managed Service for Elasticsearch с помощью Reindex API
    • Использование скриптов инициализации для настройки GeeseFS в Yandex Data Proc
  • Windows в Yandex Cloud
    • Все руководства
    • Развертывание Active Directory
    • Развертывание Microsoft Exchange
    • Развертывание Remote Desktop Services
    • Развертывание группы доступности Always On
    • Развертывание группы доступности Always On с внутренним сетевым балансировщиком
    • Развертывание Remote Desktop Gateway
  • Сетевая маршрутизация
    • Все руководства
    • Маршрутизация с помощью NAT-инстанса
    • Создание VPN-туннеля
    • Установка виртуального роутера Cisco CSR1000v
    • Установка виртуального роутера Mikrotik CHR
    • Соединение с облачной сетью при помощи OpenVPN
    • Настройка сети для Yandex Data Proc
  • Визуализация и анализ данных
    • Все руководства
    • Визуализация данных из CSV-файла
    • Создание и публикация диаграммы с картой Москвы из CSV-файла
    • Анализ продаж сети магазинов из БД ClickHouse
    • Анализ открытых данных ДТП на дорогах России
    • Анализ продаж и локаций пиццерий на данных из БД ClickHouse и Marketplace
    • Веб-аналитика с подключением к Яндекс Метрике
    • Веб-аналитика с расчетом воронок и когорт на данных Яндекс Метрики
    • Аналитика мобильного приложения на данных AppMetrica
    • Анализ статистики подкастов Яндекс Музыки (для авторов подкастов)
    • Визуализация данных с помощью SQL-чарта
    • Анализ customer journey мобильного приложения на данных AppMetrica
    • Анализ логов Object Storage при помощи DataLens
  • Интернет вещей
    • Руководства по работе с интернетом вещей
    • Мониторинг состояния географически распределенных устройств
    • Мониторинг показаний датчиков и уведомления о событиях
  • Бессерверные технологии
    • Сокращатель ссылок
    • Ввод данных в системы хранения
    • Хранение журналов работы приложения
  1. Windows в Yandex Cloud
  2. Развертывание Remote Desktop Services

Развертывание Microsoft Remote Desktop Services

Статья создана
Yandex Cloud
  • Подготовьте облако к работе
    • Необходимые платные ресурсы
  • Создайте облачную сеть и подсети
  • Создайте скрипт для управления локальной учетной записью администратора
  • Создайте ВМ для Windows Server with Remote Desktop Services
  • Установите и настройте службу контроллера домена (Active Directory)
  • Настройте правила файрвола
  • Настройте сервер лицензирования в домене
  • Настройте роль Remote Desktop Session Host
  • Создайте пользователей
  • Как удалить созданные ресурсы

В сценарии описывается развертывание Microsoft Windows Server 2019 Datacenter с предустановленной службой Remote Desktop Services в Yandex Cloud. Инсталляция Microsoft Windows Server with Remote Desktop Services будет состоять из одного сервера, на котором будут установлены службы Remote Desktop Services и Active Directory. Образы представлены с подготовленными квотами на 5/10/25/50/100/250/500 пользователей. Выберите версию с необходимой квотой. Все примеры приводятся для сервера с квотой на 5 пользователей.

Важно

Для увеличения квоты необходимо пересоздать ВМ.

Чтобы развернуть инфраструктуру Remote Desktop Services:

  1. Подготовьте облако к работе.
  2. Создайте облачную сеть и подсети.
  3. Создайте скрипт для управления локальной учетной записью администратора.
  4. Создайте ВМ для Remote Desktop Services.
  5. Установите и настройте службу контроллера домена (Active Directory).
  6. Настройте правила файрвола.
  7. Настройте сервер лицензирования в домене.
  8. Настройте роль Remote Desktop Session Host.
  9. Создайте пользователей.

Если созданные ресурсы вам больше не нужны, удалите их.

Подготовьте облако к работе

Перед работой нужно зарегистрироваться в Yandex Cloud и создать платежный аккаунт:

  1. Перейдите в консоль управления, затем войдите в Yandex Cloud или зарегистрируйтесь, если вы еще не зарегистрированы.
  2. На странице биллинга убедитесь, что у вас подключен платежный аккаунт, и он находится в статусе ACTIVE или TRIAL_ACTIVE. Если платежного аккаунта нет, создайте его.

Если у вас есть активный платежный аккаунт, вы можете создать или выбрать каталог, в котором будет работать ваша инфраструктура, на странице облака.

Подробнее об облаках и каталогах.

Примечание

Проверьте, что в платежном аккаунте указаны пользовательские данные, необходимые для выполнения требований лицензионной политики Microsoft. Без этих данных вы не сможете запустить продукт.

Необходимые платные ресурсы

В стоимость инсталляции Microsoft Windows Server with Remote Desktop Services входят:

  • плата за постоянно запущенные виртуальные машины (см. тарифы Yandex Compute Cloud);
  • плата за использование динамических или статических публичных IP-адресов (см. тарифы Yandex Virtual Private Cloud);
  • стоимость исходящего трафика из Yandex Cloud в интернет (см. тарифы Yandex Compute Cloud).

Создайте облачную сеть и подсети

Создайте облачную сеть my-network с подсетями во всех зонах доступности, где будут находиться виртуальные машины.

  1. Создайте облачную сеть:

    Консоль управления
    CLI

    Чтобы создать облачную сеть:

    1. Откройте раздел Virtual Private Cloud в каталоге, где требуется создать облачную сеть.
    2. Нажмите кнопку Создать сеть.
    3. Задайте имя сети: my-network.
    4. Нажмите кнопку Создать сеть.

    Если у вас еще нет интерфейса командной строки Yandex Cloud, установите и инициализируйте его.

    По умолчанию используется каталог, указанный в профиле CLI. Вы можете указать другой каталог с помощью параметра --folder-name или --folder-id.

    Чтобы создать облачную сеть, выполните команду:

    yc vpc network create --name my-network
    
  2. Создайте подсеть в сети my-network:

    Консоль управления
    CLI

    Чтобы создать подсеть:

    1. Откройте раздел Virtual Private Cloud в каталоге, где требуется создать подсеть.
    2. Нажмите на имя облачной сети.
    3. Нажмите кнопку Добавить подсеть.
    4. Заполните форму: введите имя подсети my-subnet-a, выберите зону доступности ru-central1-a из выпадающего списка.
    5. Введите CIDR подсети: IP-адрес и маску подсети: 10.1.0.0/16. Подробнее про диапазоны IP-адресов в подсетях читайте в разделе Облачные сети и подсети.
    6. Нажмите кнопку Создать подсеть.

    Чтобы создать подсеть, выполните команду:

    yc vpc subnet create \
      --name my-subnet-a \
      --zone ru-central1-a \
      --network-name my-network \
      --range 10.1.0.0/16
    

Создайте скрипт для управления локальной учетной записью администратора

Создайте файл setpass, содержащий скрипт, который будет устанавливать пароль для локальной учетной записи администратора при создании виртуальных машин через CLI:

PowerShell
#ps1
Get-LocalUser | Where-Object SID -like *-500 | Set-LocalUser -Password (ConvertTo-SecureString "<ваш пароль>" -AsPlainText -Force)

Пароль должен соответствовать требованиям к сложности.

Подробные рекомендации по защите Active Directory читайте на сайте разработчика.

Создайте ВМ для Windows Server with Remote Desktop Services

Создайте виртуальную машину для Windows Server with Remote Desktop Services. Эта машина будет иметь доступ в интернет.

Консоль управления
CLI
  1. На странице каталога в консоли управления нажмите кнопку Создать ресурс и выберите Виртуальная машина.

  2. В поле Имя введите имя виртуальной машины: my-rds-vm.

  3. Выберите зону доступности ru-central1-a.

  4. В блоке Cloud Marketplace нажмите кнопку Посмотреть больше. В открывшемся окне выберите образ Windows RDS.

  5. В блоке Диски укажите размер загрузочного диска 50 ГБ.

  6. В блоке Вычислительные ресурсы:

    • Выберите платформу: Intel Ice Lake.
    • Укажите необходимое количество vCPU и объем RAM:
      • vCPU — 4.
      • Гарантированная доля vCPU — 100%.
      • RAM — 8 ГБ.
  7. В блоке Сетевые настройки нажмите кнопку Добавить сеть и выберите сеть my-network. Выберите подсеть my-subnet-a. В блоке Публичный адрес выберите вариант Автоматически.

  8. В блоке Доступ укажите данные для доступа на виртуальную машину:

    • В поле Пароль укажите ваш пароль.
  9. Нажмите кнопку Создать ВМ.

 yc compute instance create \
    --name my-rds-vm \
    --hostname my-rds-vm \
    --memory 8 \
    --cores 4 \
    --zone ru-central1-a \
    --network-interface subnet-name=my-subnet-a,ipv4-address=10.1.0.3,nat-ip-version=ipv4 \
    --create-boot-disk image-folder-id=standard-images,image-family=windows-2019-dc-gvlk-rds-5 \
    --metadata-from-file user-data=setpass

Установите и настройте службу контроллера домена (Active Directory)

  1. Подключитесь к ВМ my-rds-vm с помощью RDP. Используйте логин Administrator и ваш пароль.

  2. Установите роли Active Directory:

    PowerShell
    Install-WindowsFeature AD-Domain-Services -IncludeManagementTools
    Restart-Computer -Force
    
  3. Создайте лес Active Directory:

    PowerShell
    Install-ADDSForest -DomainName 'yantoso.net' -Force:$true
    

    Windows перезапустится автоматически. Снова подключитесь к ВМ my-rds-vm. Используйте логин yantoso\Administrator и ваш пароль. Снова откройте PowerShell.

Настройте правила файрвола

  1. Добавьте правила файрвола, защищающие службу Active Directory от запросов из внешних сетей:

    PowerShell
    Set-NetFirewallRule `
      -DisplayName 'Active Directory Domain Controller - LDAP (UDP-In)' `
      -RemoteAddress:Intranet
    
    Set-NetFirewallRule `
      -DisplayName 'Active Directory Domain Controller - LDAP (TCP-In)' `
      -RemoteAddress:Intranet
    
    Set-NetFirewallRule `
      -DisplayName 'Active Directory Domain Controller - Secure LDAP (TCP-In)' `
      -RemoteAddress:Intranet
    

Настройте сервер лицензирования в домене

  1. Авторизуйте сервер лицензирования в домене.

    Роль находится на контроллере домена, поэтому в BUILTIN группу необходимо добавить Network Service:

    PowerShell
    net localgroup "Terminal Server License Servers" /Add 'Network Service'
    
  2. Установите тип лицензирования.

    Примечание

    Доступны только User CAL лицензии.

    PowerShell
    New-ItemProperty `
    -Path 'HKLM:\SOFTWARE\Policies\Microsoft\Windows NT\Terminal Services' `
    -Name 'LicensingMode' `
    -Value 4 `
    -PropertyType 'DWord'
    
  3. Укажите службу лицензирования RDS:

    PowerShell
    New-ItemProperty `
    -Path 'HKLM:\SOFTWARE\Policies\Microsoft\Windows NT\Terminal Services' `
    -Name 'LicenseServers' `
    -Value 'localhost' `
    -PropertyType 'String'
    
  4. (Опционально) Ограничьте количество разрешенных одновременных сессий к серверу:

    PowerShell
    New-ItemProperty `
    -Path 'HKLM:\SOFTWARE\Policies\Microsoft\Windows NT\Terminal Services' `
    -Name 'MaxInstanceCount' `
    -Value 5 `
    -PropertyType 'DWord'
    

Настройте роль Remote Desktop Session Host

Установите роль Remote Desktop Session Host на сервер:

PowerShell
Install-WindowsFeature RDS-RD-Server -IncludeManagementTools
Restart-Computer -Force

Создайте пользователей

  1. Создайте тестовых пользователей:

    PowerShell
    New-ADUser `
      -Name ru1 `
      -PasswordNeverExpires $true `
      -Enabled $true `
      -AccountPassword ("P@ssw0rd!1" | ConvertTo-SecureString -AsPlainText -Force )
    New-ADUser `
      -Name ru2 `
      -PasswordNeverExpires $true `
      -Enabled $true `
      -AccountPassword ("P@ssw0rd!1" | ConvertTo-SecureString -AsPlainText -Force )
    New-ADUser `
      -Name ru3 `
      -PasswordNeverExpires $true `
      -Enabled $true `
      -AccountPassword ("P@ssw0rd!1" | ConvertTo-SecureString -AsPlainText -Force )
    New-ADUser `
      -Name ru4 `
      -PasswordNeverExpires $true `
      -Enabled $true `
      -AccountPassword ("P@ssw0rd!1" | ConvertTo-SecureString -AsPlainText -Force )
    New-ADUser `
      -Name ru5 `
      -PasswordNeverExpires $true `
      -Enabled $true `
      -AccountPassword ("P@ssw0rd!1" | ConvertTo-SecureString -AsPlainText -Force )
    
  2. Выдайте пользователям права Remote Desktop Users:

    PowerShell
    Add-ADGroupMember -Members 'ru1' -Identity 'Remote Desktop Users'
    Add-ADGroupMember -Members 'ru2' -Identity 'Remote Desktop Users'
    Add-ADGroupMember -Members 'ru3' -Identity 'Remote Desktop Users'
    Add-ADGroupMember -Members 'ru4' -Identity 'Remote Desktop Users'
    Add-ADGroupMember -Members 'ru5' -Identity 'Remote Desktop Users'
    
  3. Настройте права доступа по RDP для группы Remote Desktop Users:

    PowerShell
    & secedit /export /cfg sec_conf_export.ini  /areas user_rights
    $secConfig = Get-Content sec_conf_export.ini
    $SID = 'S-1-5-32-555'
    $secConfig = $secConfig -replace '^SeRemoteInteractiveLogonRight .+', "`$0,*$SID"
    $secConfig | Set-Content sec_conf_import.ini
    & secedit /configure /db secedit.sdb /cfg sec_conf_import.ini /areas user_rights
    Remove-Item sec_conf_import.ini
    Remove-Item sec_conf_export.ini
    

Как удалить созданные ресурсы

Если вам больше не нужны созданные ресурсы, удалите виртуальные машины и сети.

Была ли статья полезна?

Language / Region
© 2022 ООО «Яндекс.Облако»
В этой статье:
  • Подготовьте облако к работе
  • Необходимые платные ресурсы
  • Создайте облачную сеть и подсети
  • Создайте скрипт для управления локальной учетной записью администратора
  • Создайте ВМ для Windows Server with Remote Desktop Services
  • Установите и настройте службу контроллера домена (Active Directory)
  • Настройте правила файрвола
  • Настройте сервер лицензирования в домене
  • Настройте роль Remote Desktop Session Host
  • Создайте пользователей
  • Как удалить созданные ресурсы