Inzicht in de beperkingen en basisconfiguratie van een standalone RDS in een werkgroep
Als u ooit hebt geprobeerd Remote Desktop Session Host (RDSH) in te stellen op een Windows Server in een werkgroep, hebt u waarschijnlijk gemerkt dat dit niet zo eenvoudig is als in een domein. U mist namelijk alle geavanceerde schaalbaarheidsfuncties: geen sessieverzamelingen, geen RemoteApps die via de webportal worden gepubliceerd en al helemaal geen Connection Broker. Het is een vrij kale configuratie, maar het is mogelijk als u gewoon een eenvoudig extern toegangspunt wilt zonder alle toeters en bellen van een bedrijfsomgeving. Houd er wel rekening mee dat sommige functies, zoals gebruikersprofielschijven of beheer op afstand tijdens onderhoud, niet beschikbaar zullen zijn.
In deze korte handleiding is het doel om RDSH in een standalone omgeving te laten draaien – voldoende om enkele externe verbindingen te ondersteunen, licenties te installeren en misschien een of twee externe applicaties te publiceren. Geen domein, geen gedoe, maar verwacht geen vlekkeloze ervaring bij zeer grote gebruikersaantallen of complexe implementaties.
Hoe je veelvoorkomende problemen met RDS in een werkgroep kunt oplossen
Methode 1: De RDS-rol handmatig of via PowerShell installeren
Dit is de eerste stap. Het is misschien wat vreemd, maar het installeren van de rol in een werkgroep vereist handmatige handelingen. Via Server Manager is het eenvoudig, maar als je liever de opdrachtregel gebruikt, is PowerShell een goede optie. Het is niet veel anders dan op een server in een domein, maar onthoud wel dat Connection Broker niet automatisch wordt geïnstalleerd, tenzij je het handmatig instelt.
- Open PowerShell als beheerder en voer de volgende opdracht uit:
Install-WindowsFeature -Name RDS-Licensing, RDS-RD-Server –IncludeManagementTools - Om te controleren of de rollen zijn geïnstalleerd, voert u het volgende commando uit:
Get-WindowsFeature -Name RDS* | Where-Object { $_. Installed } - En herstart indien nodig:
Restart-Computer
Waarom zou je de moeite nemen? Omdat zonder de juiste installatie van deze rollen niets zal werken. Het is een beetje zoals het leggen van de fundering voordat je gaat bouwen.
Methode 2: RDS-licenties instellen en licentiewaarschuwingen voorkomen
Nadat de rollen zijn geïnstalleerd, is de volgende bron van ergernis de licentieverlening. RDS moet weten welk type licenties het uitdeelt: per apparaat of per gebruiker. Omdat er geen Active Directory in een werkgroep is, zit je vast aan lokale licenties, die beperkt zijn. Het gebruik van CAL’s per apparaat is hier de beste optie; anders loop je het risico na ongeveer 60 minuten te worden uitgelogd met een licentiefoutmelding.
Om dit in te stellen, ga naar de Editor voor lokaal groepsbeleid ( gpedit.msc) en pas de licentiemodus aan:
- Navigeer naar Computerconfiguratie > Beheersjablonen > Windows-onderdelen > Extern bureaubladservices > Extern bureaubladsessiehost > Licenties
- Schakel de licentiemodus voor Extern bureaublad in en selecteer ‘ Per apparaat’.
- Schakel ‘ Gebruik de opgegeven Remote Desktop-licentieservers’ in en voer het IP-adres van de server in of localhost als u zich op dezelfde machine bevindt:
127.0.0.1oflocalhost
Tip: Soms worden deze instellingen niet direct van kracht. Een herstart lost het probleem meestal op, maar bij sommige configuraties kan het openen van de Remote Desktop Licensing Diagnoser ( lsdiag.msc) en het controleren van de licenties helpen om te bevestigen dat alles correct is ingesteld. Vergeet niet: geen domein betekent geen gecentraliseerd licentiebeheer. Verwacht licentiewaarschuwingen als u deze stap overslaat.
Methode 3: RDSH configureren voor toegang op afstand en gebruikersinstellingen
Dit gedeelte is nogal omslachtig, maar wel noodzakelijk. Je wilt immers dat gebruikers verbinding kunnen maken, toch? Dus moet je lokale gebruikersaccounts aanmaken (met lusrmgr.msc of PowerShell).Meestal is dat vrij eenvoudig:
$UserPassword = ConvertTo-SecureString "PaSS123!" -AsPlainText -Force New-LocalUser "john.doe" -Password $UserPassword -FullName "John Doe"Of maak gebruikers handmatig aan. Voeg ze vervolgens toe aan de groep ‘Gebruikers van extern bureaublad’, zodat ze op afstand verbinding kunnen maken.
Add-LocalGroupMember -Group "Remote Desktop Users" -Member "john.doe"Dit is cruciaal, want standaard kunnen alleen beheerders verbinding maken, en je wilt dat gewone gebruikers dat ook kunnen. Nadat je dit hebt ingesteld, test je het vanaf een andere pc — start het programma mstsc.exeen maak verbinding met rdshostname\username. Zorg ervoor dat er minstens een paar gebruikers tegelijk kunnen inloggen. Bij een bepaalde configuratie mislukt het soms de eerste keer, maar werkt het na een herstart of na een tijdje ineens wel, wat totaal geen logica heeft, maar ja, Windows.
Methode 4: RemoteApp publiceren zonder domein
Hier wordt het een beetje een lapmiddel. Omdat er geen Active Directory is, kun je de ingebouwde tools voor het publiceren van RemoteApps niet rechtstreeks gebruiken. Maar er is een workaround: je bewerkt het register om applicaties toe te voegen aan de lijst met publiceerbare apps.
Windows Registry Editor Version 5.00 [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Terminal Server\TSAppAllowList\Applications\MyAdobeReaderApp] "CommandLineSetting"=dword:00000000 "RequiredCommandLine"="" "Name"="Adobe Reader" "Path"="C:\\Program Files\\Adobe\\Acrobat DC\\Acrobat\\Acrobat.exe" "ShortPath"="C:\\PROGRA~1\\Adobe\\Acrobat DC\\Acrobat\\Acrobat.exe" "IconPath"="C:\\PROGRA~1\\Adobe\\Acrobat DC\\Acrobat\\Acrobat.exe" "IconIndex"=dword:00000000 "ShowInTSWA"=dword:00000001 "SecurityDescriptor"=""Vervang “Adobe Reader” en het bijbehorende pad door de naam van de app die u wilt publiceren. Nadat u dit in het register hebt geïmporteerd, moet u mogelijk de server of de Remote Desktop Service opnieuw starten. Om de RemoteApp aan de clientzijde te starten, kunt u de .RDP- bestanden aanpassen en het volgende toevoegen:
remoteapplicationmode:i:1 alternate shell:s:||MyAdobeReaderApp remoteapplicationname:s:MyAdobeReaderApp remoteapplicationprogram:s:||MyAdobeReaderAppSoms is deze methode niet zo vlekkeloos als in een domein, maar hij werkt uitstekend voor het snel en eenvoudig publiceren van essentiële apps.
Methode 5: Een beveiligde gateway instellen zonder domein
Als je mensen via internet wilt laten verbinden, is een VPN of een Remote Desktop Gateway ( Microsofts handleiding vind je hier ) de beste optie. Verrassend genoeg kun je een RD Gateway ook in een werkgroep configureren – dus niet in een Active Directory-domein – maar dat vereist wel iets meer handmatige aanpassingen.
Dit houdt in dat je de RD Gateway-rol op je server installeert, specifieke poorten opent en certificaten configureert – maar dat is weer een heel ander verhaal. Waar het op neerkomt, is dat een correct geconfigureerde RD Gateway het RDP-verkeer versleutelt en de authenticatie correct afhandelt, zonder je server direct bloot te stellen aan de gevaren van het internet.
Samenvatting
Als dit allemaal wat overweldigend lijkt, bedenk dan dat het instellen van RDS in een werkgroep niet onmogelijk is. Het gaat vooral om de handmatige configuratie en het in de gaten houden van licentie- of verbindingsproblemen. Op meerdere machines is dit een prima oplossing gebleken voor kleinschalige toegang op afstand zonder dat je een domein hoeft te beheren. Houd er rekening mee dat er een paar extra stappen nodig zijn, dat je wat moet uitproberen en dat je waarschijnlijk een of twee keer je computer opnieuw moet opstarten. Maar goed, als het één installatie soepel laat verlopen, is dat al winst.
Samenvatting
- Installeer RDS-rollen correct via PowerShell of Server Manager.
- Configureer de licentiemodi zorgvuldig om onderbrekingen te voorkomen.
- Maak lokale gebruikersaccounts aan en voeg ze toe aan de groep ‘Gebruikers van Extern bureaublad’.
- Een tijdelijke oplossing voor het publiceren van RemoteApps vereist aanpassingen in het register en handmatige RDP-instellingen.
- Het veilig gebruiken van RD Gateway via internet in een werkgroep is minder ingewikkeld dan het klinkt, maar vereist wel extra configuratie.