我想要做的事情非常复杂,所以我想我会把它抛给更广泛的观众,看看是否有人能find一个缺陷。 我试图做的(作为一个MSP / VAR)是devise一个解决scheme,将使多个公司基于会话的远程桌面(需要保持完全独立的公司),只使用less数服务器。 这是我现在的想法:
我想要做的是在各自的OU中设置每个组织(可能会根据Excahnge 2010租户OU结构创build其OU结构,以便账户链接)。 每个公司都会得到一个远程桌面会话主机服务器,它也可以作为文件服务器。 这台服务器将在其他自己的范围内分开。 服务器Cloud-SG01可以访问所有这些networking,并在客户端连接并进行身份validation时将stream量路由到适当的networking,以便将其推送到正确的服务器(基于2012年的会话集合)。
我不会说谎,这是我很快就想出来的,所以可能会有一些明显的缺陷。 任何反馈将不胜感激。
这与我们所做的非常相似。 我们有一个单一的TS网关,我们所有的客户input。 这具有控制哪些用户组可以login到哪些服务器的连接和资源策略。
每家公司都有自己的terminal服务器。 大多数公司只能login到一个TS,但对于一个特别大的客户,他们有两个。 我们不做任何聚类,只有一半的用户连接到TS1,另一半连接到TS2。
所有的服务器都位于同一个网段,我们有非常严格的ACL来定义谁可以到达networking的哪个位置(即没有人可以到任何地方)。 我们的RDS服务器的GPO也大大限制了他们可以在服务器本身上的位置。
这个设置最大的问题是为新客户自动部署服务器。 大部分stream程都可以自动化(我们使用ESXi和vSphere,其中包括PowerShell集成,与Hyper-V相同),但我还没有发现如何自动修改TS网关策略。
我们也有一个非常大的客户使用我们的托pipeterminal服务器。 因为我不想pipe理自己的所有密码重置和新帐户,所以我们授予他们在域上自己的OU的授权。 当他们出于政治原因开始增长的时候,我们在森林之下给了他们自己的领域。 这一切都工作得很好,除了你不能使用User must change their password on next logon因为这是不符合TS网关。 密码过期时也是如此,他们无法login,有人需要手动重置密码。