Coup de pouce pour une infra AD + RDS avec Windows Server 2022

[RomainH]

Juste après m'être inscrit et présenté, je sollicite déjà votre aide concernant un petit blocage sur un "PoC" (proof of concept) que je mène chez un client. Il s'agit d'une PME dans l'événementiel qui utilise une drôle d'application métier baptisée Locasyst. Pour utiliser celle-ci, les collaborateurs sont connectés via SMB au dossier contenant le logiciel et lancent tous l'exécutable depuis ce dossier. Puis ils s'authentifient chacun avec leur propre identifiant/mot de passe. Locasyst est interconnecté à un logiciel de base de données qui s'appelle ADS, mais je n'ai pas encore très bien compris s'il faisait partie de Locasyst (ou si c'était une solution tierce) et comment les deux s'interfaçaient.

 

Quoi qu'il en soit, pour les commerciaux qui travaillent à distance, bien qu'il y ait désormais un VPN performant (j'ai remplacé un vieux routeur Sophos XG, que nous vendons + vieux switches Cisco SMB par une UniFi Dream Machine SE + switch UniFi, en attendant de me perfectionner sur pfSense/OPNsense), Locasyst fonctionne très mal si on l'exécute directement sur le PC portable via SMB via le VPN. Dans la salle des machines il y a donc une dizaine de vieux PC Windows 10 (et même un Windows XP ! ) qui tournent 24/7 et auxquels les commerciaux se connectent via VPN + RDP ou TeamViewer.

 

J'ai pour mission (entre autres !) de remplacer ou de faire remplacer ce serveur + ces 10 vieux PC. J'ai consulté l'éditeur de Locasyst, mais il ne propose pas d'infogérance, ainsi qu'un intégrateur spécialisé dans l'événementiel, mais il est très cher. On s'oriente donc vers un nouveau serveur on premise sur lequel faire du RDS.

 

Je me suis donc fait prêter par Dell un R6515 (1 x AMD EPYC 16 cœurs) sur lequel j'ai installé la version d'évaluation VMware ESXi (8.0) puis deux VM Windows Server 2022 Evaluation, l'une comme contrôleur de domaine Active Directory (bien qu'on n'en fasse presque rien à ce jour), l'autre comme serveur auquel les commerciaux se connecteraient via RDP ou RemoteApp (je découvre ce dernier). À ce stade l'objectif est de vérifier si 16 cœurs et 64 Go de RAM conviendraient pour 15 ou 20 connexions simultanées, avant de passer commande.

 

TL;DR

 

Mais je bloque sur un petit détail :
Sur la 1re VM, j'ai fait la configuration de base de mon contrôleur de domaine, j'ai ajouté quelques utilisateurs, je les ai ajoutés au groupe "Remote Desktop Users". (Je profite du test pour essayer Windows Server en anglais sur la 1re VM et en français sur la 2de.)
Sur la 2de VM, j'ai joint le domaine et j'ai installé le rôle "Hôte de session Bureau à distance" (et seulement celui-ci à ce stade).

 

Quand j'essaie de me connecter via "Connexion Bureau à distance" (Windows) ou via Microsoft Remote Desktop (macOS) avec l'un ou l'autre des utilisateurs, j'obtiens le message d'erreur :
"La connexion a été refusée car le compte d’utilisateur n’est pas autorisé à ouvrir de session à distance. Code d’erreur : 0x3. Code d’erreur étendu : 0x9."
"We couldn't connect to the remote PC. You might not have permission to sign in remotely. Contact your network administrator for assistance. Error code: 0x2407"

 

Qu'est-ce que j'ai oublié ?

[Pyrithe]

Bonjour,

 

Effectivement, après avoir consulté ta présentation, je comprends que ton profil technique n'est pas orienté adminsys/réseau du tout.

Te répondre ici en quelques échanges serait, de mon point de vue, contre-productif, sans vouloir t'offenser, et je m'en explique :

Mettre en place ce genre de solution demande des bases techniques, et les résumer en quelques phrases serait compliqué.

De plus, l'aspect sécurité dans ce genre de solution est une brique à ne pas négliger, faisant appel à d'autres compétences.

Et au final, il faudra aussi maintenir ce genre de solution, ce qui peut s'avérer aussi compliqué sans les connaissances adéquates.

 

Je ne saurai que te conseiller de te rapprocher de prestataires qui ont les compétences, et pourront t'accompagner sur les missions de ce type, en sous-traitance.

Ca permet d'aborder les projets plus sereinement, et de monter progressivement en compétence au fil des projets.

C'est toujours du gagnant/gagnant

Je travaille de cette manière pour plusieurs pros, dont certains qui ont pris contact ici.
Après de nombreux projets, la formule est clairement intéressante pour tout le monde.

 

N'hésite pas à prendre contact en MP si besoin.

[RomainH]

Bonsoir,

 

Je compte bien me faire assister et/ou suivre une véritable formation, mais dans un second temps. Ce n'est pas ce que j'aurais préféré mais ce sont les choix multi-factoriels de mon client.

 

Dans un 1er temps, mon setup sera "good enough", et déjà bien meilleur que le Windows Server 2008 R2 et les Windows 10 livrés à eux-mêmes, avec lesquels ça marche pourtant assez bien.

 

Depuis mon 1er message jeudi, sur la 2e VM, j'ai restauré un snapshot et réinstallé les services Bureau à distance cette fois via l'assistant de démarrage rapide, et tout a immédiatement fonctionné avec les utilisateurs précédemment créés et ajoutés au groupe "Remote Desktop Users". Il me semble que ça confirme que ce n'est qu'un petit détail qui m'échappait avec mon installation sur-mesure.

 

Ce qui m'inciterait à faire appel à tes services, c'est que tu me fasses goûter, comme font les dealers. Ou comme font des gens comme Mikaël en français, Crosstalk Solutions et plein d'autres en anglais, avec leurs chaînes YouTube : ils permettent à des gens comme moi d'expérimenter ou de mettre en œuvre la base, puis on les embauche pour aller plus loin. En tout cas c'est ce qui me parle !

 

Maintenant que mon setup marche, ma prochaine étape est de sécuriser un minimum les sessions des utilisateurs, éventuellement d'explorer RemoteApp. Si tu as des pistes…