Настройка rdp на windows server 2020 r2: Установка роли RDP на сервер Windows
Установка роли RDP на сервер Windows
RDP (англ. Remote Desktop Protocol — протокол удалённого рабочего стола) — проприетарный протокол прикладного уровня, применяемый для организации удалённой работы пользователя с сервером, на котором запущен сервис терминальных подключений. Клиенты существуют практически для всех версий Windows (включая Windows CE, Phone и Mobile), Linux, FreeBSD, Mac OS X, iOS, Android, Symbian. Установка роли RDP на сервер Windows происходит в два этапа: вначале устанавливается служба удаленных рабочих столов, после этого определяем сервер лицензирования.
1. Установка службы удаленных рабочих столов
Запускаем Диспетчер серверов. Его можно запустить с ярлыка на панели задач, либо – выполнив команду servermanager.exe: для этого необходимо нажать комбинацию клавиш Win + R, в появившемся окне в поле «Открыть» (Open) написать имя команды и нажать «ОК»:
В меню, в верхнем правом углу, выбираем «Управление» (Manage) → «Добавить роли и компоненты» (Add Roles and Features):
Запустится «Мастер добавления ролей и компонентов» (Add Roles and Features Wizard). Нажимаем «Далее» (Next) на начальной странице:
Оставляем переключатель на «Установка ролей и компонентов» (Role-based or features-based installation) и снова жмем «Далее» (Next):
Выбираем тот сервер из пула серверов, на который будет установлена служба терминалов. В моем примере это данный локальный сервер. Нажимаем «Далее» (Next):
Отмечаем роль «Службы удаленных рабочих столов» (Remote Desktop Services) в списке ролей и жмем «Далее» (Next):
Компоненты оставляем в том виде, как они есть. Ничего не отмечая, жмем «Далее» (Next):
Читаем описание службы удаленных рабочих столов и нажимаем «Далее» (Next):
Теперь необходимо выбрать устанавливаемые службы ролей. Как минимум нам пригодится «Лицензирование удаленных рабочих столов» (Remote Desktop Licensing). Соглашаемся на установку дополнительных компонентов, нажав на «Добавить компоненты» (Add Features) в появившемся мастере:
Еще нам понадобится «Узел сеансов удаленных рабочих столов» (Remote Desktop Session Host) – опять соглашаемся на установку дополнительных компонентов, нажав на «Добавить компоненты» (Add Features) в открывшемся окне. Отметив необходимые службы ролей, нажимаем «Далее» (Next):
Все параметры установки роли определены. На последней странице установим флаг «Автоматический перезапуск конечного сервера, если требуется» (Restart the destination server automatically if required) , подтвердим выбор нажав «Да» (Yes) в появившемся окне и нажмем «Установить» (Install) для запуска установки службы:
Если все прошло хорошо, после перезагрузки, увидим сообщение об успешной установке всех выбранных служб и компонентов. Нажимаем «Закрыть» (Close) для завершения работы мастера:
2. Определение сервера лицензирования для службы удаленных рабочих столов
Теперь запустим «Средство диагностики лицензирования удаленных рабочих столов» (RD Licensing Diagnoser) . Сделать это можно из диспетчера серверов, выбрав в правом верхнем меню «Средства» (Tools) → «Terminal Services» → «Средство диагностики лицензирования удаленных рабочих столов» (RD Licensing Diagnoser):
Здесь мы видим, что доступных лицензий пока нет, поскольку не задан режим лицензирования для сервера узла сеансов удаленных рабочих столов:
Сервер лицензирования указывается теперь в локальных групповых политиках. Для запуска редактора выполним команду gpedit.msc:
Откроется редактор локальной групповой политики. В дереве слева раскроем вкладки:
•Конфигурация компьютера» (Computer Configuration) → «Административные шаблоны» (Administrative Templates) → «Компоненты Windows» (Windows Components) → «Службы удаленных рабочих столов» (Remote Desktop Services) → «Узел сеансов удаленных рабочих столов» (Remote Desktop Session Host) → «Лицензирование» (Licensing).
Откроем параметры «Использовать указанные серверы лицензирования удаленных рабочих столов» (Use the specified Remote Desktop license servers), кликнув дважды по соответствующей строке:
В окне редактирования параметров политики переставим переключатель в положение «Включено» (Enabled) . Затем необходимо определить сервер лицензирования для службы удаленных рабочих столов. В моем примере сервер лицензирования находится на этом же физическом сервере. Указываем сетевое имя или IP-адрес сервера лицензий и нажимаем «ОК»:
Далее меняем параметры политики «Задать режим лицензирования удаленных рабочих столов» (Set the Remote licensing mode) . Также устанавливаем переключатель в положение «Включено» (Enabled) и указываем режим лицензирования для сервера узла сеансов удаленных рабочих столов. Возможны 2 варианта:
• «На пользователя» (Per User)
• «На устройство» (Per Device)
Для того, чтобы разобраться, чем отличаются эти режимы, рассмотрим простой пример. Предположим, у вас есть 5 лицензий. При режиме «На устройство» вы можете создать неограниченное число пользователей на сервере, которые смогут подключаться через удаленный рабочий стол только с пяти компьютеров, на которых установлены эти лицензии. Если выбрать режим «На пользователя», то зайти на сервер смогут только пять выбранных пользователей, независимо от того, с какого устройства они подключаются.
Выбираем тот режим, который в большей степени соответствует вашим потребностям, и нажимаем «ОК»:
Изменив вышеперечисленные политики, закрываем редактор:
Возвращаемся в оснастку «Средство диагностики лицензирования удаленных рабочих столов» (RD Licensing Diagnoser) и видим новую ошибку, указывающую на то, что сервер лицензирования указан, но не включен:
Для запуска сервера лицензирования переходим в «Диспетчер лицензирования удаленных рабочих столов» (RD Licensing Manager). Найти его можно в диспетчере серверов, вкладка «Средства» (Tools) → «Terminal Services» → «Диспетчер лицензирования удаленных рабочих столов» (Remote Desktop Licensing Manager):
Здесь найдем наш сервер лицензирования со статусом «Не активирован» (Not Activated) . Для активации кликаем по нему правой кнопкой мыши и в контекстном меню выбираем «Активировать сервер» (Activate Server):
Запустится Мастер активации сервера. Жмем «Далее» (Next) на первой странице мастера:
Затем выбираем метод подключения («Авто» (Automatic connection) – по умолчанию) и жмем «Далее» (Next):
Вводим сведения об организации (эти поля обязательны для заполнения) после чего жмем «Далее» (Next):
Вводим дополнительные сведения об организации (необязательно) и снова нажимаем «Далее» (Next):
Сервер лицензирования активирован. Теперь следует установить лицензии. Для этого нажимаем «Далее» (Next), оставляя отметку в чекбоксе «Запустить мастер установки лицензий»:
3. Установка лицензий на сервер лицензирования службы удаленных рабочих столов
Нажимаем «Далее» (Next) на начальной странице Мастера установки лицензий:
Затем выбираем необходимую вам программу лицензирования. В нашем примере это «Соглашение «Enterprise Agreement». Жмем «Далее» (Next):
Вводим номер соглашения и нажимаем «Далее» (Next):
Указываем версию продукта, тип лицензии и количество лицензий в соответствии с вашей программой лицензирования. Жмем «Далее» (Next):
Дожидаемся завершения работы мастера установки лицензий с сообщением о том, что запрошенные лицензии успешно установлены:
В диспетчере лицензирования убеждаемся, что сервер работает, а также видим общее и доступное число установленных лицензий:
Наконец, возвращаемся в «Средства диагностики лицензирования удаленных рабочих столов» (RD Licensing Diagnoser) и видим, что ошибок нет, а число лицензий, доступных клиентам, соответствует тому, что мы вводили на предыдущем шаге:
На этом установка сервера терминалов в Windows Server 2012 завершена.
Защищаем и оптимизируем RDP
Привет.
Вчера, общаясь с Иваном Никитиным, получил дельный совет осветить работу и настройку протокола RDP. Мысль дельная, дальше – подробнее.
Введение
Протокол RDP – удобное, эффективное и практичное средство для удалённого доступа как для целей администрирования, так и для повседневной работы.
Учитывая, что его реализации есть практически везде (различные платформы и ОС), и их много, нужно хорошо представлять его возможности.
По крайней мере, это будет нужно по ряду причин:
- Зачастую вместо RDP используется другое решение (VNC, Citrix ICA) по простой причине – предполагается, что “встроенный RDP минимальный и ничего не умеет”.
- Во многих решениях, связанных с модными сейчас облачными технологиями (перевод офисов на “тонкие клиенты”, да и просто организация терминальных серверов), бытует мнение что “RDP плохой потому что встроенный”.
- Есть стандартный миф про то, что “RDP нельзя без VPN наружу выставлять, ломанут” (миф имеет под собой обоснование, но уже давно не актуален).
- Ну, раз уж про мифы заговорили – бытует мнение, что “Перейдя с RDP на Citrix трафик в пару раз падает”. Ведь цитрикс – это дорого, следовательно как минимум на 157% круче.
Все эти мифы – ерунда и смесь устаревших “дельных советов”, актуальных во времена NT 4.0, а так же откровенных вымыслов, не имеющих никаких причин к существованию. Так как IT – это точная наука, надо разобраться. Хорошо настроеный протокол RDP новых версий, с учётом всех новых функциональных возможностей, является достаточно хорошим и надёжным инструментом для организации удалённого доступа.
Поэтому мы займёмся:
- Кратким упоминанием про версии RDP
- Настройкой режима защиты RDP-сессии
- Настройкой шифрования для RDP
- Привязкой к конкретному адаптеру и порту
- Меняем стандартный порт на нужный
- Делаем раздельные настройки RDP для нескольких сетевых адаптеров
- Включением NLA
- Как включается NLA со стороны RDP-сервера
- NLA и Windows XP
- Как включить CredSSP в XP
- Выбором правильного сертификата для RDP
- Блокированием подключений по RDP учётным записям с пустым паролем
- Настройка ACL для подключения по RDP
- Оптимизацией скорости RDP
- Отключаем редирект неиспользуемых устройств
- Настраиваем общую логику оптимизации визуальных данных RDP
- Оптимизацией сжатия RDP
- Настраиваем общее сжатие RDP
- Настраиваем сжатие аудиопотока RDP
- Оптимизацией соотношения потоков данных RDP
- Включением Require secure RPC communication для RDP
Приступим.
Версии протокола RDP
Протокол имеет достаточно длительную историю, начиная с NT 4.0. Исторические детали мы оставим в стороне по простой причине – на данный момент имеет смысл говорить только про версию RDP 7.0, которая есть в Windows Vista SP1 / Windows Server 2008 и бесплатно добавляема в Windows XP установкой SP3 и обновлённого клиента RDP (находится по ссылке на KB 969084). Я предполагаю, что у Вас как минимум Windows XP, и что Вы поставили/можете поставить последний Service Pack и не трачу Ваше время на обсуждение преимуществ RDP в Windows 2000 SP2 перед NT 4.0 SP5.
Настройка режима защиты RDP-сессии
В принципе, это самая простая часть задачи. Суть в следующем. В различных версиях RDP применяется два основных механизма защиты сессии – встроенный в RDP и “заворачивание” сессии в TLS. Встроенный является недостаточно безопасным, и рекомендация “RDP можно наружу только в VPN” – про него. Поэтому всегда включайте поддержку TLS. Это тот минимум, с которого Вы должны начать. Ограничениями будут разве что версия сервера не ниже Windows Server 2003 SP1 и клиент RDP 5.2 и выше, но, думается, это в конце 2011 года вполне решаемо.
Как включить RDP over TLS
Вариантов, как всегда, несколько. Первый – включение через групповую политику. Для этого надо зайти в целевой объект групповой политики (ну или локально на своей домашней рабочей станции запустить gpedit.msc
) и там последовательно выбрать “Computer Configuration” -> “Administrative Templates” -> “Windows Components” -> “Remote Desktop Session Host” -> “Security” и там включить параметр Require use of specific security layer for remote connections, выбрав в нём SSL (TLS 1.0) only
. Можно выбрать и более мягкий Negotiate
, но я бы не рекомендовал, т.к. на данный момент это банально ниже приемлемого уровня безопасности. Как человек, создававший private cloud’ы с достаточно высоким уровнем безопасности, я могу сказать, что смысл выносить особо ценные данные в датацентр под Лондоном и ходить туда дефолтным RDP – нулевой и является поиском неприятностей.
Можно и проще – откройте оснастку Remote Desktop Session Host Configuration (найдёте в mmc или готовую в меню Administrative Tools -> Remote Desktop Connections), выберите из списка Connections нужное подключение (обычно оно одно и называется RDP-Tcp), и откройте Properties, после – вкладку General и там выбрать нужный Security Layer.
Для работы TLS необходим цифровой сертификат (как минимум – со стороны сервера). Обычно он уже есть (генерится автоматически), убедитесь в его наличии, про то, как сделать его хорошим, поговорим после. Пока надо, чтобы он просто был, иначе подключиться не получится.
Настраиваем шифрование для RDP
Для конфигурирования будет доступно 4 варианта шифрования. Рассмотрим каждый из них.
Режим RDP Low Encryption
Самый “никакой” режим. Наследие страшных времён и версий RDP 5.x. Может согласовать шифрование на базе 56ти битового DES или 40ка битового RC2, что на текущий момент является несерьёзным. Не нужен и опасен. Например, если включить его, то не включится TLS, т.к. TLS уже откажется согласовывать такие слабые шифры, которые предлагает этот вариант.
Режим RDP Client Compatible Encryption
Второй “никакой” режим. Наследие страшных времён и версий RDP 5.x. Попробует до 128 бит RC4, но сразу согласится на DES/RC2. Не нужен и опасен. Тоже не совместим с TLS.
Режим RDP High Encryption
Минимально допустимый режим. Потребует хотя бы 128ми битовый RC4. Работает со всеми серверами, начиная с Windows 2000 Server w/HEP.
Режим RDP FIPS140-1 Encryption
То, что нужно. Будет поддерживать современные симметричные алгоритмы и в явном виде не будет поддерживать RC2, RC4, одиночный DES, а также будет заставлять использовать для вычисления целостности (Message Authentication Code – MAC) алгоритм SHA-1, а не MD5. Включайте этот вариант всегда, найти сервер, который не умеет 3DES, AES или SHA-1 практически нереально.
Где делается эта настройка? Откройте оснастку Remote Desktop Session Host Configuration (найдёте в mmc или готовую в меню Administrative Tools -> Remote Desktop Connections), выберите из списка Connections нужное подключение (обычно оно одно и называется RDP-Tcp), и откройте Properties, после – вкладку General и там выберите нужный Encryption Level.
Привязываем RDP к конкретному адаптеру и порту
Для того, чтобы сервер работал безопасно и предсказуемо (например, не начинал принимать подключения с нового, свежедобавленного сетевого адаптера), необходимо в явном виде указать, на каких интерфейсах служба RDP-сервера должна принимать подключения. Плюс, достаточно часто бывает полезным переключить порт, на котором сервер слушает подключения. Конечно, можно это сделать и публикуя сервер с RDP через какой-нибудь шлюз, но можно и без этого. Такие, казалось бы, базовые действия в реальности ощутимо снизят процент дураков-скрипткиддисов, которые очередной “мощной тулзой” проверяют wellknown-порты.
Как привязать службу RDP к конкретному сетевому адаптеру или сделать несколько RDP с разными настройками для разных адаптеров
Откройте оснастку Remote Desktop Session Host Configuration (найдёте в mmc или готовую в меню Administrative Tools -> Remote Desktop Connections), выберите из списка Connections нужное подключение (обычно оно одно и называется RDP-Tcp), и откройте Properties, после – вкладку Network Interfaces. В ней Вы сможете выбрать один конкретный интерфейс, на котором надо ожидать подключения, плюс ограничить количество параллельных сессий.
Если у Вас много интерфейсов, и Вам надо, допустим, чтобы можно было подключаться через 2 из 5 доступных, то Вам надо будет привязать существующий по-умолчанию RDP-Tcp к одному адаптеру, после зайти в меню Action и там выбрать Create New Connection. Подключение может слушать либо на всех интерфейсах, либо на одном, и в случае, когда надо, чтобы оно слушало на N интерфейсах, придётся создать N подключений.
Соответственно, если у Вас есть задача “Чтобы на одном интерфейсе RDP слушал на одном порту, а на другом – на другом”, она решаема так же – отвязываете дефолтный RDP-Tcp
от всех адаптеров и привязываете к конкретному, после – создаёте новое RDP-подключение и тоже привязываете к нужному сетевому интерфейсу.
Как привязать службу RDP к не-дефолтному порту
Порт по умолчанию – 3389 TCP. Кстати, не забудьте разрешить его в пакетном фильтре. Ну а если хотите другой – надо зайти в ключ реестра
HKEY_LOCAL_MACHINE\System\CurrentControlSet\Control\Terminal Server\WinStations\RDP-Tcp
и поправить в нём значение PortNumber
. Учитывайте, что отслеживание конфликтов в плане занятости портов – на Вашей совести, сам он, обнаружив, что назначенный Вами порт занят, “перепрыгнуть” никуда не сможет.
Включаем NLA – Network Level Authentication
Функция NLA появляется в NT 6.0, а позже добавляется возможность её частичного использования в предыдущей версии ОС путём установки SP3 для XP.
Суть данной функции достаточно проста. В версиях RDP до 6.0 при подключении по RDP клиенту до аутентификации надо показать окно входа – т.е. вначале показать, а потом уже он попробует зайти в систему. Это создаёт простую уязвимость – сервер можно перегрузить пачкой запросов “а дай-ка мне попробовать новую сессию начать”, и он будет вынужден на все запросы отвечать созданием сессии и ожиданием входа пользователя. Фактически, это возможность DoS. Как с этим можно бороться? Логично, что надо придумать схему, целью которой будет как можно раньше запросить у клиента учётные данные. Оптимально – чтобы было что-то типа как kerberos в домене. Это и было сделано. NLA решает две задачи:
- Клиент аутентифицируется до инициации терминальной сессии.
- Появляется возможность передать данные локального клиентского SSP на сервер, т.е. начинает работать Single Sign-On.
Реализуется это через новый провайдер безопасности – CredSSP. Почитать его техническую спецификацию можно тут, ну, а говоря проще, надо всегда включать данную функцию. Конечно, учитывая, что для её работы нужно, чтобы:
- Клиентская ОС (та, с которой идёт подключение) была Windows XP SP3 и выше.
- Серверная ОС (та, к которой будет подключение) была Windows Server 2008 и выше.
Как включается NLA со стороны RDP-сервера
Лучше всего включить NLA на всех серверах через групповую политику. Для этого надо зайти в целевой объект групповой политики и там последовательно выбрать “Computer Configuration” -> “Administrative Templates” -> “Windows Components” -> “Remote Desktop Session Host” -> “Security” и там включить параметр Require user authentication for remote connections by using Network Layer Authentication.
Можно включить и локально. Это делается путём вызова подменю Properties (стандартное подменю у Computer) и выбора там вкладки Remote, в которой будет выбор из трёх вариантов – запрещать подключения по RDP к данному хосту, разрешать подключения по любому RDP, разрешать только с NLA. Всегда включайте вариант с NLA, это в первую очередь защищает сервер.
NLA и Windows XP
В случае, если у Вас Windows XP, то Вы также можете воспользоваться данной функцией. Распространённое утверждение “Для NLA нужна как минимум виста, это Microsoft сделал чтобы апгрейдились” ложно. В Service Pack 3 добавляется реализация CredSSP, позволяющая делегировать клиентские credentials’ы, которыми обладает местный SSP, на сервер. Т.е., говоря проще, это специально сделано, чтобы с Windows XP можно было подключаться на системы с NT 6.0+. На саму Windows XP SP3 с данной функцией подключаться не получится, поддержка NLA будет частичной (поэтому RDP сервер с поддержкой подключения клиентов с использованием NLA из Windows XP сделать штатными способами не получится, Windows XP будет только NLA-совместимым клиентом).
Включать данный функционал нужно в явном виде, так как несмотря на то, что Service Pack 3 добавляет приносит новую dll криптопровайдера, он её не включает.
Как включить CredSSP в XP
Ещё раз – данная операция проводится строго после установки Service Pack 3 на Windows XP и в контексте нашего разговора нужна для того, чтобы было возможно подключение к другим серверам по RDP 6.1 с использованием NLA.
Шаг первый – расширяем перечень Security Packages.
Для этого мы откроем ключ реестра
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Lsa
и найдём в нём значение Security Packages
. Нажмём правую кнопку и выберем “Modify” (не Modify Binary Data, а просто Modify). Там будет список вида “название package на каждой строке”. Нам надо добавить туда tspkg
. Остальное надо оставить. Место добавления некритично.
Второй шаг – подцепляем библиотеку.
Ключ будет другим:
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SecurityProviders
В нём надо будет найти значение SecurityProviders
(заметьте, как и в предыдущем случае, это не subkey, а значение), и модифицировать его по аналогии, только добавив credssp.dll
. Остальное в списке, опять же, трогать не надо.
Теперь редактор реестра можно закрыть. После этих операций систему надо будет обязательно перезагрузить, т.к. криптопровайдеры – штука такая, которая на ходу точно не подцепится, и это скорее хорошо, чем плохо.
Выбираем правильный сертификат для RDP
Если у Вас есть возможность пользоваться не-дефолтным сертификатом для RDP, то лучше пользоваться именно им. Это не повлияет на безопасность сессии как таковой, но повлияет на безопасность и удобство подключения. В сертификате, который оптимально использовать, должны быть следующие момент:
- Имя (в subject или SAN), посимвольно совпадающее с тем именем, которое вводит клиент, подключающийся к серверу.
- Нормальное расширение CDP, указывающее на рабочий CRL (желательно хотя бы на два – OCSP и статический).
- Желательный размер ключа – 2048 бит. Можно и больше, но помните об ограничениях CAPI2 в XP/2003.
- Не экспериментируйте с алгоритмами подписи/хэширования, если Вам нужны подключения со стороны XP/2003. Чуть больше информации про это в статье про настройку TLS, но вкратце – выберите SHA-1, этого вполне достаточно.
Чуть подробнее остановлюсь на выпуске специального сертификата для RDP-сервера.
Делаем всё красиво – специальный шаблон сертификата для RDP-серверов
Идеально будет, если сертификат для RDP сделать не на основе обычного шаблона (типа Web Server) и иметь в поле Application Policy
(которое в сертификате будет более привычно называться Enchanced Key Usage – EKU) стандартные значения Client Authentication
и Server Authentication
, а добавить свой шаблон, в котором будет единственное, специальное, не добавляемое стандартными способами значение применения – Remote Desktop Authentication
. Это значение Application Policy придётся создать вручную, его OID’ом будет 1.3.6.1.4.1.311.54.1.2
, ну а после – уже можно сделать новый шаблон сертификата, на основании которого и выпустить сертификат, адресно “заточеный” под RDP Server.
Чтобы полностью автоматизировать эту операцию, сделайте у нового шаблона предсказуемое название – например, “RDPServerCert” – и зайдите в объект групповой политики, а там откройте Computer Configuration -> Policies -> Administrative Templates -> Windows Components -> Remote Desktop Services -> Remote Desktop Session Host -> Security. Выберите параметр Server Authentication Certificate Template
и включите его, а в поле значения введите название – мы сделали RDPServerCert. Теперь все доменные хосты, подпадающие под эту политику, будут в случае включения на них RDP сами идти к Certification Authority, запрашивать в случае отсутствия себе сертификат на основе указанного шаблона, и автоматически делать его дефолтным для защиты подключений по RDP. Просто, удобно, эффективно.
Блокируем подключения по RDP учётным записям с пустым паролем
Мелочь, а забывать про неё не нужно.
Для блокировки подключения учёток без паролей к RDP надо зайти в настройку объекта групповой политики: Computer Configuration -> Windows Settings -> Security Settings -> Local Policies -> Security Options и установить “Accounts: Limit local account use of blank passwords to console logon only” в Enabled. Не поленитесь проверить, что это так и есть.
Настройка ACL для подключения по RDP
По умолчанию для подключения к RDP-серверу необходимо иметь явное разрешение User Access
или Guest Access
.
Это разрешение есть у локальных групп Administrators
и Remote Desktop Users
. Лучше всего использовать для управления доступом к RDP-серверу группу Remote Desktop Users, добавляя в неё нужные доменные группы, а не отдельных пользователей. Модицифируйте содержимое вкладки Security
в настройках Properties
у RDP-Tcp
только в крайних случаях, лучше всего – добавляя группу “имя хоста RDP Blocked”, которой явно запрещен доступ по RDP к указанному узлу.
Оптимизация скорости RDP
Оптимизация скорости RDP – достаточно обширная тема, поэтому я разделю её на части. В этой будут те способы, которые будут уменьшать нагрузку на протокол до сжатия и до оптимизации сетевого уровня.
Цветность (битовая глубина)
В RDP 7.0 и выше доступны варианты 32,16 и 8 бит. Если речь идёт о работе, то для неё будет достаточно 16 бит. Это ощутимо снизит нагрузку на канал, притом иногда больше, чем в 2 раза, что удивительно, но факт. 8 бит, конечно, тоже можно, но уж больно страшно оно будет выглядеть. 16 бит же вполне приемлемы.
Включите на сервере параметр Limit Maximum Color Depth, либо сделайте аналогичное действие в настройках RDP client.
Отключите ClearType
Когда у Вас выключен ClearType, протокол RDP передаёт не картинку, а команды по отрисовке символов. Когда включен – рендерит картинку со стороны сервера, сжимает и пересылает клиенту. Это с гарантией в разы менее эффективно, поэтому отключение ClearType значительно ускорит процесс работы и уменьшит время отклика. Сами удивитесь, насколько.
Это можно сделать как на уровне настроек клиента, так и на стороне сервера (параметр Do not allow font smoothing
в разделе Remote Session Enviroment в Computer Configuration -> Policies -> Administrative Templates -> Windows Components -> Remote Desktop Services -> Remote Desktop Session Host).
Уберите wallpaper
Параметр Enforce removal of RD Wallpaper
в разделе Remote Session Enviroment в Computer Configuration -> Policies -> Administrative Templates -> Windows Components -> Remote Desktop Services -> Remote Desktop Session Host резко улучшит ситуацию с перерисовкой экрана терминальной сессии. Пользователи без котиков на десктопе выживают нормально, проверено.
Включаем и настраиваем кэширование изображений
Если на клиенте есть достаточно оперативной памяти, то имеет смысл включить и настроить кэширование битмапов. Это позволит выиграть до 20-50% полосы пропускания. Для установки надо будет зайти в ключ
HKEY_CURRENT_USER\SOFTWARE\Microsoft\Terminal Server Client\
и создать там параметры BitmapPersistCacheSize
и BitmapCacheSize
, оба типа DWORD 32.
Параметр BitmapPersistCacheSize
обозначает размер в килобайтах дискового кэша. Значение по умолчанию – 10. Имеет смысл увеличить этот параметр хотя бы до 1000.
Параметр BitmapCacheSize
обозначает размер в килобайтах кэша в RAM. Значение по умолчанию – 1500. Имеет смысл увеличить этот параметр хотя бы до 5000. Это будет всего 5 мегабайт на клиентскую сессию, при современных масштабах оперативной памяти это несущественно, и даже если приведёт к выигрышу 10% производительности, уже себя окупит. Кстати, этот же параметр можно поправить и в .rdp-файле; если сохранить своё RDP-подключение, а после открыть файл блокнотом, то среди параметров можно добавить что-то вида bitmapcachesize:i:5000
, где 5000 – это 5МБ кэша.
Отключаем Desktop Composition
Desktop Composition привносит всякие “красивости” типа Aero и его друзей и ощутимо кушает полосу пропускания. Для работы это не нужно и вредно. Параметр Allow desktop composition for RDP Sessions
в разделе Remote Session Enviroment в Computer Configuration -> Policies -> Administrative Templates -> Windows Components -> Remote Desktop Services -> Remote Desktop Session Host необходимо выставить в параметр Disabled.
Оптимизируем параметры Desktop Window Manager
Параметры, находящиеся в разделе Remote Session Enviroment
в Computer Configuration -> Policies -> Administrative Templates -> Windows Components -> Desktop Window Manager
, будут управлять “красивым” отображением плавно выезжающих меню и подобного. Их три – Do not allow window animations
, Do not allow desktop compositions
и Do not allow Flip3D invocation
. Все их надо переключить в режим Enabled, т.е. по сути – отключить все эти функции.
Отключаем редирект неиспользуемых устройств
Если у Вас не планируется подключение определённых классов устройств (например, COM и LPT-портов), или аудио, имеет смысл отключить возможность их перенаправления со стороны сервера. Чтобы клиенты с дефолтными настройками RDP Client не тратили время подключения на согласование неиспользуемого функционала. Это делается там же, где и остальные настройки сервера, в Properties у RDP-Tcp, вкладка Client Settings (там же, где мы делали настройки с глубиной цвета), раздел Redirection.
Настраиваем общую логику оптимизации визуальных данных RDP
Параметр, называющийся Optimize visual experience for RDP sessions
, находящийся в разделе Remote Session Enviroment
в Computer Configuration -> Policies -> Administrative Templates -> Windows Components -> Remote Desktop Services -> Remote Desktop Session Host -> Remote Session Enviroment
, будет управлять тем, как RDP будет воспринимает визуальные данные – как мультимедийные или как текстовые. Это, грубо говоря, “подсказка” алгоритму сжатия, как грамотнее себя вести. Соответственно, для работы надо будет выставить этот параметр в Text
, а если хочется много красивых flash-баннеров, HTML5 и просматривать видеоклипы – лучше вариант Rich Multimedia
.
Оптимизация сжатия RDP
Сжатие в RDP прошло долгий путь развития. По RDP 5.2 включительно была подсистема сжатия (“компрессор”), имеющий внутреннее название “Version 1” – самый простой и лёгкий вариант с точки зрения загрузки процессора клиента, но самый плохой с точки зрения нагрузки сети трафиком. В RDP 6.0 сделали “Version 2”, который был незначительно, но улучшен по параметру эффективности сжатия. Нам интересен “Version 3”, который работает только при подключении к серверам Windows Server 2008 и старше. Он сжимает лучше всех, а затраты процессорного времени с учётом мощностей современных компьютеров несуществены.
Выигрыш при включении V3 может, судя по тестам, достигать 60% и, в общем-то, и без тестов ощутимо заметен на глаз.
Как включить оптимальное сжатие в RDP
Это – клиентская настройка. Откройте в нужном объекте групповой политики Computer Configuration -> Policies -> Administrative Templates -> Windows Components -> Remote Desktop Services -> Remote Desktop Session Host -> Remote Session Enviroment, выберите там параметр Set compression algoritm for RDP data
, включите его и выберите значение Optimize to use less network bandwidth
.
Настройка сжатия звукового потока
RDP 7.0 приносит отличную возможность регулировать качество сжатия входящего звукового потока (т.е. звука, который идёт с сервера на клиента). Это достаточно полезно – например, если идёт работа на терминальном сервере, то кроме всяких служебных звуков вида “пришло сообщение в ICQ” другие особо как не планируются. Нет смысла передавать с сервера несжатый звук CD-качества, если для работы это не нужно. Соответственно, нужно настроить уровень сжатия звукового потока.
Данный параметр будет называться Limit audio playback quality
и находиться в разделе Device and Resource Redirection
в Computer Configuration -> Policies -> Administrative Templates -> Windows Components -> Remote Desktop Services -> Remote Desktop Session Host
. Вариантов будет три:
High
– звук будет идти без сжатия. Вообще. То есть, он будет подпадать под общее сжатие протокола RDP, но специфическое сжатие звука (с потерей качества) производиться не будет.Medium
– сжатие будет адаптироваться под канал так, чтобы не увеличивать задержку при передаче данных.Dynamic
– сжатие будет динамически адаптироваться под канал так, чтобы задержка не превышала 150ms.
Выберите подходящий. Как понятно, для офисной работы лучше выбрать Dynamic
.
Оптимизация соотношения потоков данных в RDP
Трафик RDP-сессии не является чем-то монолитным. Наоборот, он достаточно чётко разделён на потоки данных перенаправляемых устройств (например, копирования файла с локального хоста на терминальный сервер), аудиопоток, поток команд примитивов отрисовки (RDP старается передавать команды примитивов отрисовки, и передаёт битмапы в крайнем случае), а также потоки устройств ввода (мышка и клавиатура).
На взаимное соотношение этих потоков и логику его (соотношения) вычисления (этакий локальный QoS) можно влиять. Для этого надо со стороны сервера зайти в ключ реестра
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\TermDD
и создать там для начала (если их там нет) четыре ключа:
- FlowControlDisable
- FlowControlDisplayBandwidth
- FlowControlChannelBandwidth
- FlowControlChargePostCompression
Тип у всех – DWORD 32. Функционал у ключей будет следующим.
Ключ FlowControlDisable
будет определять, используется ли приоритезация вообще. Если задать единицу, то приоритезация будет выключена, если нуль – включена. Включите её.
Ключи FlowControlDisplayBandwidth
и FlowControlChannelBandwidth
будут определять взаимное соотношение двух потоков данных:
- Поток взаимодействия с пользователем (изображение+устройства ввода)
- Прочие данные (блочные устройства, буфер обмена и всё остальное)
Сами значения этих ключей не критичны; критично то, как они соотносятся. То есть, если Вы сделаете FlowControlDisplayBandwidth
равным единице, а FlowControlChannelBandwidth
– четырём, то соотношение будет 1:4, и на поток взаимодействия с пользователем будет выделяться 20% полосы пропускания, а на остальное – 80%. Если сделаете 15 и 60 – результат будет идентичным, так как соотношение то же самое.
Ключ FlowControlChargePostCompression
будет определять, когда считается это соотношение – до сжатия или после. Нуль – это до сжатия, единица – после.
Я рекомендую для использования вида “наш удалённый сервак далеко и к нему все по RDP подключаются и в офисе и 1С работают” ставить соотношение 1:1 и считать его после сжатия. По опыту это может реально помочь в ситуации “печать большого документа с терминального сервера на локальный принтер”. Но это не догма – пробуйте, главный инструмент – знание, как это считается и работает – у Вас уже есть.
Включаем Require secure RPC communication для RDP
Данный параметр действует аналогично настройкам для Secure RPC, которые есть в разделе Security групповой политики и действуют на всю систему, только настраивается проще. Включив этот параметр Вы сделаете обязательным для всех клиентских RPC-запросов шифрование (в зависимости от настроек системы “нижняя планка” шифрования будет разной – RC4/DES или, в случае включения FIPS-140 – 3DES/AES) и использование как минимум NTLMv2 для аутентификации удалённого вызова процедур. Всегда включайте этот параметр. Есть миф про то, что он не работает во внедоменной среде. Это не так, и усиление защиты RPC никому не помешает.
Это – серверная настройка. Откройте в нужном объекте групповой политики Computer Configuration -> Policies -> Administrative Templates -> Windows Components -> Remote Desktop Services -> Remote Desktop Session Host -> Security, выберите там параметр Require secure RPC communication
и включите его.
Заключение
Так как все уже давно вытащили сервера на внешние площадки за бугром, то этот материал является Я надеюсь, что данный материал будет Вам полезен для оптимизации и защиты RDP. Если я что-то пропустил – прошу в комментарии.
Дата последнего редактирования текста: 2013-10-05T07:03:54+08:00
Настройка веб-клиента удаленного рабочего стола для пользователей
-
- Чтение занимает 11 мин
-
В этой статье
Веб-клиент удаленного рабочего стола позволяет пользователям обращаться к инфраструктуре удаленных рабочих столов организации через совместимый браузер.The Remote Desktop web client lets users access your organization’s Remote Desktop infrastructure through a compatible web browser. Они смогут взаимодействовать с удаленными приложениями или рабочими столами, как с локальным компьютером, независимо от того, где они находятся.They’ll be able to interact with remote apps or desktops like they would with a local PC no matter where they are. После настройки веб-клиента удаленного рабочего стола все, что нужно будет пользователям, чтобы приступить к работе — это URL-адрес, по которому они смогут обратиться к клиенту, а также учетные данные и поддерживаемый веб-браузер.Once you set up your Remote Desktop web client, all your users need to get started is the URL where they can access the client, their credentials, and a supported web browser.
Что потребуется для настройки веб-клиентаWhat you’ll need to set up the web client
Перед началом работы необходимо помнить следующее.Before getting started, keep the following things in mind:
- Убедитесь, что в вашем развертывании Удаленного рабочего стола есть шлюз удаленных рабочих столов, посредник подключений к удаленному рабочему столу и служба веб-доступа к удаленным рабочим столам на платформе Windows Server 2016 или Windows Server 2019.Make sure your Remote Desktop deployment has an RD Gateway, an RD Connection Broker, and RD Web Access running on Windows Server 2016 or 2019.
- Убедитесь, что развертывание настроено для использования клиентских лицензий «на пользователя», а не клиентских лицензий «на устройство». В противном случае будут использованы все лицензии.Make sure your deployment is configured for per-user client access licenses (CALs) instead of per-device, otherwise all licenses will be consumed.
- Установите обновление KB4025334 для Windows 10 на шлюзе удаленных рабочих столов.Install the Windows 10 KB4025334 update on the RD Gateway. Более поздние накопительные пакеты обновления могут уже содержать обновление из этой статьи базы знаний.Later cumulative updates may already contains this KB.
- Убедитесь, что общедоступные доверенные сертификаты настроены для ролей шлюза удаленных рабочих столов и веб-доступа к удаленным рабочим столам.Make sure public trusted certificates are configured for the RD Gateway and RD Web Access roles.
- Убедитесь, что все компьютеры, к которым ваши пользователи будут подключаться, работают под управлением одной из следующих версий операционной системы:Make sure that any computers your users will connect to are running one of the following OS versions:
- Windows 10Windows 10
- Windows Server 2008 R2 или более поздней версии.Windows Server 2008R2 or later
Пользователи ощутят более высокую производительность подключения к Windows Server 2016 (или более поздней версии) и Windows 10 (версии 1611 или более поздней версии).Your users will see better performance connecting to Windows Server 2016 (or later) and Windows 10 (version 1611 or later).
Важно!
Если вы использовали веб-клиент во время действия предварительной версии и установили версию, предшествующую версии 1.0.0, то сначала необходимо удалить более ранний клиент, а затем перейти на новую версию.If you used the web client during the preview period and installed a version prior to 1.0.0, you must first uninstall the old client before moving to the new version. Если появится сообщение об ошибке: «The web client was installed using an older version of RDWebClientManagement and must first be removed before deploying the new version» (Веб-клиент был установлен с помощью более ранней версии RDWebClientManagement и должен быть удален перед развертыванием новой версии), выполните следующие действия.If you receive an error that says «The web client was installed using an older version of RDWebClientManagement and must first be removed before deploying the new version,» follow these steps:
- Откройте командную строку с повышенными привилегиями PowerShell.Open an elevated PowerShell prompt.
- Выполните командлет RDWebClientManagement Uninstall-Module, чтобы удалить новый модуль.Run Uninstall-Module RDWebClientManagement to uninstall the new module.
- Закройте и снова откройте командную строку с повышенными привилегиями PowerShell.Close and reopen the elevated PowerShell prompt.
- Выполните командлет Install-Module RDWebClientManagement -RequiredVersion <old version>, чтобы установить модуль более ранней версии.Run Install-Module RDWebClientManagement -RequiredVersion <old version> to install the old module.
- Выполните командлет RDWebClient удаления, чтобы удалить более ранний веб-клиент.Run Uninstall-RDWebClient to uninstall the old web client.
- Выполните командлет RDWebClientManagement Uninstall-Module, чтобы удалить более ранний модуль.Run Uninstall-Module RDWebClientManagement to uninstall the old module.
- Закройте и снова откройте командную строку с повышенными привилегиями PowerShell.Close and reopen the elevated PowerShell prompt.
- Выполните шаги обычной установки, как описано ниже.Proceed with the normal installation steps as follows.
Как опубликовать веб-клиент удаленного рабочего столаHow to publish the Remote Desktop web client
Чтобы впервые установить веб-клиент, выполните следующие действия.To install the web client for the first time, follow these steps:
На сервере посредника подключений к удаленному рабочему столу получите сертификат, используемый для подключений к удаленному рабочему столу, и экспортируйте его как CER-файл.On the RD Connection Broker server, obtain the certificate used for Remote Desktop connections and export it as a .cer file. Скопируйте CER-файл из посредника подключений к удаленному рабочему столу на сервер, которому назначена роль веб-доступа к удаленным рабочим столам.Copy the .cer file from the RD Connection Broker to the server running the RD Web role.
На сервере веб-доступа к удаленным рабочим столам откройте командную строку с повышенными привилегиями PowerShell.On the RD Web Access server, open an elevated PowerShell prompt.
В Windows Server 2016 обновите модуль PowerShellGet, так как версия папки «Входящие» не поддерживает установку модуля управления веб-клиентом.On Windows Server 2016, update the PowerShellGet module since the inbox version doesn’t support installing the web client management module. Чтобы обновить PowerShellGet, выполните следующий командлет.To update PowerShellGet, run the following cmdlet:
Install-Module -Name PowerShellGet -Force
Важно!
Необходимо будет перезапустить PowerShell, чтобы обновление вступило в силу, в противном случае модуль может не работать.You’ll need to restart PowerShell before the update can take effect, otherwise the module may not work.
Установите модуль PowerShell управления веб-клиентом удаленного рабочего стола из коллекции PowerShell с помощью следующего командлета.Install the Remote Desktop web client management PowerShell module from the PowerShell gallery with this cmdlet:
Install-Module -Name RDWebClientManagement
После этого выполните приведенный ниже командлет, чтобы скачать последнюю версию веб-клиента удаленного рабочего стола.After that, run the following cmdlet to download the latest version of the Remote Desktop web client:
Install-RDWebClientPackage
Затем выполните этот командлет, заменив значение в квадратных скобках путем к CER-файлу, который был скопирован из посредника подключений к удаленному рабочему столу.Next, run this cmdlet with the bracketed value replaced with the path of the .cer file that you copied from the RD Broker:
Import-RDWebClientBrokerCert <.cer file path>
Наконец, выполните следующий командлет, чтобы опубликовать веб-клиент удаленного рабочего стола.Finally, run this cmdlet to publish the Remote Desktop web client:
Publish-RDWebClientPackage -Type Production -Latest
Убедитесь, что можете получить доступ к веб-клиенту по его URL-адресу с именем вашего сервера в следующем формате: https://server_FQDN/RDWeb/webclient/index.html.Make sure you can access the web client at the web client URL with your server name, formatted as https://server_FQDN/RDWeb/webclient/index.html. В URL-адресе важно использовать имя сервера, которое соответствует общедоступному сертификату для веб-доступа к удаленным рабочим столам (обычно это полное доменное имя сервера).It’s important to use the server name that matches the RD Web Access public certificate in the URL (typically the server FQDN).
Примечание
При выполнении командлета Publish-RDWebClientPackage может появиться предупреждение о том, что клиентские лицензии «на устройство» не поддерживаются, даже если развертывание настроено для использования клиентских лицензий «на пользователя».When running the Publish-RDWebClientPackage cmdlet, you may see a warning that says per-device CALs are not supported, even if your deployment is configured for per-user CALs. Если в развертывании используются клиентские лицензии «на пользователя», это предупреждение можно игнорировать.If your deployment uses per-user CALs, you can ignore this warning. Мы отображаем его, чтобы убедиться, что вам известно об ограничении конфигурации.We display it to make sure you’re aware of the configuration limitation.
Когда все будет готово для предоставления пользователям доступа к веб-клиенту, просто отправьте им созданный вами URL-адрес веб-клиента.When you’re ready for users to access the web client, just send them the web client URL you created.
Примечание
Чтобы просмотреть список всех поддерживаемых командлетов модуля RDWebClientManagement, выполните следующий командлет PowerShell.To see a list of all supported cmdlets for the RDWebClientManagement module, run the following cmdlet in PowerShell:
Get-Command -Module RDWebClientManagement
Как обновить веб-клиент удаленного рабочего столаHow to update the Remote Desktop web client
Если доступна новая версия веб-клиента удаленного рабочего стола, выполните следующие действия, чтобы обновить развертывание, установив новый клиент.When a new version of the Remote Desktop web client is available, follow these steps to update the deployment with the new client:
Откройте командную строку с повышенными привилегиями PowerShell на сервере веб-доступа к удаленным рабочим столам и выполните следующий командлет, чтобы скачать последнюю доступную версию веб-клиента.Open an elevated PowerShell prompt on the RD Web Access server and run the following cmdlet to download the latest available version of the web client:
Install-RDWebClientPackage
При необходимости вы можете опубликовать клиент для тестирования перед официальным выпуском, выполнив следующий командлет.Optionally, you can publish the client for testing before official release by running this cmdlet:
Publish-RDWebClientPackage -Type Test -Latest
Клиент должен быть доступен по тестовому URL-адресу, который соответствует URL-адресу вашего веб-клиента (например, https://server_FQDN/RDWeb/webclient-test/index.html).The client should appear on the test URL that corresponds to your web client URL (for example, https://server_FQDN/RDWeb/webclient-test/index.html).
Опубликуйте клиент для пользователей, выполнив следующий командлет.Publish the client for users by running the following cmdlet:
Publish-RDWebClientPackage -Type Production -Latest
Это заменит клиент для всех пользователей, когда они повторно откроют веб-страницу.This will replace the client for all users when they relaunch the web page.
Как удалить веб-клиент удаленного рабочего столаHow to uninstall the Remote Desktop web client
Чтобы удалить все следы веб-клиента, выполните следующие действия.To remove all traces of the web client, follow these steps:
На сервере веб-доступа к удаленным рабочим столам откройте командную строку с повышенными привилегиями PowerShell.On the RD Web Access server, open an elevated PowerShell prompt.
Отмените публикацию тестового и рабочего клиентов, удалите все локальные пакеты, а затем удалите параметры веб-клиента.Unpublish the Test and Production clients, uninstall all local packages and remove the web client settings:
Uninstall-RDWebClient
Удалите модуль PowerShell управления веб-клиентом удаленного рабочего стола.Uninstall the Remote Desktop web client management PowerShell module:
Uninstall-Module -Name RDWebClientManagement
Как установить веб-клиент удаленного рабочего стола без подключения к ИнтернетуHow to install the Remote Desktop web client without an internet connection
Выполните следующие действия, чтобы развернуть веб-клиент на сервере веб-доступа к удаленным рабочим столам, который не подключен к Интернету.Follow these steps to deploy the web client to an RD Web Access server that doesn’t have an internet connection.
Примечание
Установка без подключения к Интернету доступна для версии 1.0.1 и более поздних версий модуля PowerShell RDWebClientManagement.Installing without an internet connection is available in version 1.0.1 and above of the RDWebClientManagement PowerShell module.
Примечание
По-прежнему требуется компьютер администратора с доступом к Интернету, чтобы скачать необходимые файлы перед их передачей на автономный сервер.You still need an admin PC with internet access to download the necessary files before transferring them to the offline server.
Примечание
Пока что на компьютере пользователя требуется подключение к Интернету.The end-user PC needs an internet connection for now. Это будет устранено в будущем выпуске клиента, чтобы обеспечить сценарий полностью автономного режима.This will be addressed in a future release of the client to provide a complete offline scenario.
На устройстве с доступом к ИнтернетуFrom a device with internet access
Откройте командную строку PowerShell.Open a PowerShell prompt.
Импортируйте модуль PowerShell управления веб-клиентом удаленного рабочего стола из коллекции PowerShell.Import the Remote Desktop web client management PowerShell module from the PowerShell gallery:
Import-Module -Name RDWebClientManagement
Скачайте последнюю версию веб-клиента удаленного рабочего стола для установки на другом устройстве.Download the latest version of the Remote Desktop web client for installation on a different device:
Save-RDWebClientPackage "C:\WebClient\"
Скачайте последнюю версию модуля PowerShell RDWebClientManagement.Download the latest version of the RDWebClientManagement PowerShell module:
Find-Module -Name "RDWebClientManagement" -Repository "PSGallery" | Save-Module -Path "C:\WebClient\"
Скопируйте содержимое C:\WebClient» на сервер веб-доступа к удаленным рабочим столам.Copy the content of «C:\WebClient» to the RD Web Access server.
На сервере веб-доступа к удаленным рабочим столамFrom the RD Web Access server
Следуйте инструкциям в разделе Как опубликовать веб-клиент удаленного рабочего стола, но вместо шагов 4 и 5 выполните следующее.Follow the instructions under How to publish the Remote Desktop web client, replacing steps 4 and 5 with the following.
Получить последнюю версию модуля PowerShell для управления веб-клиентом можно двумя способами:You have two options to retrieve the latest web client management PowerShell module:
Разверните последнюю версию веб-клиента удаленного рабочего стола в локальной папке (замените соответствующий ZIP-файл).Deploy the latest version of the Remote Desktop web client from the local folder (replace with the appropriate zip file):
Install-RDWebClientPackage -Source "C:\WebClient\rdwebclient-1.0.1.zip"
Подключение к посреднику подключений к удаленному рабочему столу без шлюза удаленных рабочих столов в Windows Server 2019Connecting to RD Broker without RD Gateway in Windows Server 2019
В этом разделе описывается, как обеспечить подключение веб-клиента к посреднику подключений к удаленному рабочему столу без шлюза удаленных рабочих столов в Windows Server 2019.This section describes how to enable a web client connection to an RD Broker without an RD Gateway in Windows Server 2019.
Настройка сервера посредника подключений к удаленному рабочему столуSetting up the RD Broker server
Выполните следующие действия, если к серверу посредника подключений к удаленному рабочему столу не привязан сертификат.Follow these steps if there is no certificate bound to the RD Broker server
Выберите Диспетчер серверов > Службы удаленных рабочих столов.Open Server Manager > Remote Desktop Services.
В разделе Обзор развертывания выберите раскрывающееся меню Задачи.In Deployment Overview section, select the Tasks dropdown menu.
Выберите Edit Deployment Properties (Изменить свойства развертывания), откроется новое окно Свойства развертывания будет открыт.Select Edit Deployment Properties, a new window titled Deployment Properties will open.
В окне Свойства развертывания в меню слева выберите Сертификаты.In the Deployment Properties window, select Certificates in the left menu.
Из списка «Уровни сертификатов» выберите Посредник подключений к удаленному рабочему столу: включение единого входа в систему.In the list of Certificate Levels, select RD Connection Broker — Enable Single Sign On. Доступны два варианта: создайте новый сертификат или используйте существующий сертификат.You have two options: (1) create a new certificate or (2) an existing certificate.
Выполните следующие действия, если к серверу посредника подключений к удаленному рабочему столу ранее был привязан сертификат.Follow these steps if there is a certificate previously bound to the RD Broker server
Откройте сертификат, привязанный к посреднику, и скопируйте значение Thumbprint.Open the certificate bound to the Broker and copy the Thumbprint value.
Чтобы привязать этот сертификат к защищенному порту 3392, откройте командную строку с повышенными привилегиями PowerShell и выполните следующую команду, заменив «< thumbprint >» значением, скопированным на предыдущем шаге.To bind this certificate to the secure port 3392, open an elevated PowerShell window and run the following command, replacing «< thumbprint >» with the value copied from the previous step:
netsh http add sslcert ipport=0.0.0.0:3392 certhash="<thumbprint>" certstorename="Remote Desktop" appid="{00000000-0000-0000-0000-000000000000}"
Примечание
Чтобы проверить, был ли сертификат привязан правильно, выполните следующую команду.To check if the certificate has been bound correctly, run the following command:
netsh http show sslcert
В списке привязок SSL-сертификатов убедитесь, что правильный сертификат привязан к порту 3392.In the list of SSL Certificate bindings, ensure that the correct certificate is bound to port 3392.
Откройте реестр Windows (regedit), перейдите к
HKLM\SYSTEM\CurrentControlSet\Control\Terminal Server\WinStations\RDP-Tcp
и найдите раздел WebSocketURI.Open the Windows Registry (regedit) and nagivate toHKLM\SYSTEM\CurrentControlSet\Control\Terminal Server\WinStations\RDP-Tcp
and locate the key WebSocketURI. Его значением должно быть https://+:3392/rdp/.The value must be set to https://+:3392/rdp/.
Настройка узла сеансов удаленных рабочих столовSetting up the RD Session Host
Если сервер узла сеансов удаленных рабочих столов отличается от сервера посредника подключений к удаленному рабочему столу, выполните следующие действия.Follow these steps if the RD Session Host server is different from the RD Broker server:
Создайте сертификат для компьютера узла сеансов удаленных рабочих столов, откройте его и скопируйте значение Thumbprint.Create a certificate for the RD Session Host machine, open it and copy the Thumbprint value.
Чтобы привязать этот сертификат к защищенному порту 3392, откройте командную строку с повышенными привилегиями PowerShell и выполните следующую команду, заменив «< thumbprint >» значением, скопированным на предыдущем шаге.To bind this certificate to the secure port 3392, open an elevated PowerShell window and run the following command, replacing «< thumbprint >» with the value copied from the previous step:
netsh http add sslcert ipport=0.0.0.0:3392 certhash="<thumbprint>" appid="{00000000-0000-0000-0000-000000000000}"
Примечание
Чтобы проверить, был ли сертификат привязан правильно, выполните следующую команду.To check if the certificate has been bound correctly, run the following command:
netsh http show sslcert
В списке привязок SSL-сертификатов убедитесь, что правильный сертификат привязан к порту 3392.In the list of SSL Certificate bindings, ensure that the correct certificate is bound to port 3392.
Откройте реестр Windows (regedit), перейдите к
HKLM\SYSTEM\CurrentControlSet\Control\Terminal Server\WinStations\RDP-Tcp
и найдите раздел WebSocketURI.Open the Windows Registry (regedit) and nagivate toHKLM\SYSTEM\CurrentControlSet\Control\Terminal Server\WinStations\RDP-Tcp
and locate the key WebSocketURI. Его значением должно быть https://+:3392/rdp/.The value must be set to https://+:3392/rdp/.
Общие наблюденияGeneral Observations
Убедитесь, что узел сеансов удаленных рабочих столов и сервер посредника подключений к удаленному рабочему столу выполняются в Windows Server 2019.Ensure that both the RD Session Host and RD Broker server are running Windows Server 2019.
Убедитесь, что для узла сеансов удаленных рабочих столов и сервера посредника подключений к удаленному рабочему столу настроены общедоступные доверенные сертификаты.Ensure that public trusted certificates are configured for both the RD Session Host and RD Broker server.
Примечание
Если узел сеансов удаленных рабочих столов и сервер посредника подключений к удаленному рабочему столу работают на одном компьютере, необходимо настроить только сертификат сервера посредника подключений к удаленному рабочему столу.If both the RD Session Host and the RD Broker server share the same machine, set the RD Broker server certificate only. Если узел сеансов удаленных рабочих столов и сервер посредника подключений к удаленному рабочему столу используют разные компьютеры, то для них должны быть настроены уникальные сертификаты.If the RD Session Host and RD Broker server use different machines, both must be configured with unique certificates.
В качестве альтернативного имени субъекта (SAN) для каждого сертификата нужно задать полное доменное имя (FQDN) компьютера.The Subject Alternative Name (SAN) for each certificate must be set to the machine’s Fully Qualified Domain Name (FQDN). Общее имя (CN) должно соответствовать имени SAN для каждого сертификата.The Common Name (CN) must match the SAN for each certificate.
Как предварительно настроить параметры для пользователей веб-клиента удаленного рабочего столаHow to pre-configure settings for Remote Desktop web client users
В этом разделе мы расскажем о том, как использовать PowerShell для настройки параметров развертывания веб-клиента удаленного рабочего стола.This section will tell you how to use PowerShell to configure settings for your Remote Desktop web client deployment. Эти командлеты PowerShell позволяют управлять возможностями пользователя изменять параметры в соответствии с требованиями безопасности или рабочим процессом вашей организации.These PowerShell cmdlets control a user’s ability to change settings based on your organization’s security concerns or intended workflow. Следующие параметры находятся на боковой панели Параметры веб-клиента.The following settings are all located in the Settings side panel of the web client.
«Suppress telemetry» (Отключение телеметрии)Suppress telemetry
По умолчанию пользователь может включить или отключить сбор данных телеметрии, которые отправляются в корпорацию Майкрософт.By default, users may choose to enable or disable collection of telemetry data that is sent to Microsoft. Сведения о собираемых корпорацией Майкрософт данных телеметрии доступны в заявлении о конфиденциальности, к которому можно перейти по ссылке About (О программе) на боковой панели.For information about the telemetry data Microsoft collects, please refer to our Privacy Statement via the link in the About side panel.
Будучи администратором, вы можете отключить сбор данных телеметрии для развертывания с помощью следующего командлета PowerShell.As an administrator, you can choose to suppress telemetry collection for your deployment using the following PowerShell cmdlet:
Set-RDWebClientDeploymentSetting -Name "SuppressTelemetry" $true
По умолчанию пользователь может включить или отключить сбор данных телеметрии.By default, the user may select to enable or disable telemetry. Логическое значение $false будет соответствовать поведению клиента по умолчанию.A boolean value $false will match the default client behavior. Логическое значение $true отключает телеметрию и запрещает включение телеметрии пользователем.A boolean value $true disables telemetry and restricts the user from enabling telemetry.
«Remote resource launch method» (Метод запуска удаленного ресурса)Remote resource launch method
Примечание
В настоящее время этот параметр работает только с веб-клиентом RDS, а не с веб-клиентом Виртуального рабочего стола Windows.This setting currently only works with the RDS web client, not the Windows Virtual Desktop web client.
По умолчанию пользователи могут выбрать, как запускать удаленные ресурсы: сделать это в браузере или скачать RDP-файл для обработки другим клиентом, установленным на своем компьютере.By default, users may choose to launch remote resources (1) in the browser or (2) by downloading an .rdp file to handle with another client installed on their machine. Будучи администратором, вы можете ограничить метод запуска удаленных ресурсов для развертывания с помощью следующей команды PowerShell.As an administrator, you can choose to restrict the remote resource launch method for your deployment with the following Powershell command:
Set-RDWebClientDeploymentSetting -Name "LaunchResourceInBrowser" ($true|$false)
По умолчанию пользователь может выбрать любой из методов запуска.By default, the user may select either launch method. Логическое значение $true вынудит пользователя запускать ресурсы в браузере.A boolean value $true will force the user to launch resources in the browser. Логическое значение $false вынудит пользователя запускать ресурсы, скачивая RDP-файл для обработки с помощью локально установленного клиента RDP.A boolean value $false will force the user to launch resources by downloading an .rdp file to handle with a locally installed RDP client.
Сброс конфигурации RDWebClientDeploymentSetting до значений по умолчаниюReset RDWebClientDeploymentSetting configurations to default
Чтобы сбросить параметр веб-клиента на уровне развертывания до конфигурации по умолчанию, выполните следующий командлет PowerShell и укажите имя сбрасываемого параметра, используя параметр -name.To reset a deployment-level web client setting to the default configuration, run the following PowerShell cmdlet and use the -name parameter to specify the setting you want to reset:
Reset-RDWebClientDeploymentSetting -Name "LaunchResourceInBrowser"
Reset-RDWebClientDeploymentSetting -Name "SuppressTelemetry"
ДиагностикаTroubleshooting
Если пользователь сообщает о следующих проблемах при первом запуске веб-клиента, в разделах ниже описывается, как устранить эти проблемы.If a user reports any of the following issues when opening the web client for the first time, the following sections will tell you what to do to fix them.
Что делать, если в браузере пользователя отображается предупреждение о безопасности при попытке получения доступа к веб-клиентуWhat to do if the user’s browser shows a security warning when they try to access the web client
Возможно, роль веб-доступа к удаленным рабочим столам не использует доверенный сертификат.The RD Web Access role might not be using a trusted certificate. Убедитесь, что для роли веб-доступа к удаленным рабочим столам настроен общедоступный доверенный сертификат.Make sure the RD Web Access role is configured with a publicly trusted certificate.
Если это не помогло, возможно, имя сервера в URL-адресе клиента отличается от имени, указанного в сертификате для веб-доступа к удаленным рабочим столам.If that doesn’t work, your server name in the web client URL might not match the name provided by the RD Web certificate. Убедитесь, что в URL-адресе используется полное доменное имя сервера, на котором размещена роль веб-доступа к удаленным рабочим столам.Make sure your URL uses the FQDN of the server hosting the RD Web role.
Что делать, если пользователь не может подключиться к ресурсу с помощью веб-клиента, хотя и видит соответствующий элемент в разделе «Все ресурсы»What to do if the user can’t connect to a resource with the web client even though they can see the items under All Resources
Если пользователь сообщил, что он не может подключиться к ресурсам с помощью веб-клиента, хотя видит их в списке, проверьте следующее.If the user reports that they can’t connect with the web client even though they can see the resources listed, check the following things:
- Правильно ли настроена роль шлюза удаленных рабочих столов для использования общедоступного доверенного сертификата?Is the RD Gateway role properly configured to use a trusted public certificate?
- Установлены ли необходимые обновления на сервер шлюза удаленных рабочих столов?Does the RD Gateway server have the required updates installed? Убедитесь, что на сервере установлено обновление KB4025334.Make sure that your server has the KB4025334 update installed.
Если пользователь при попытке подключения получает сообщение об ошибке «unexpected server authentication certificate was received» (был получен непредвиденный сертификат аутентификации), то в нем будет отображен отпечаток сертификата.If the user gets an «unexpected server authentication certificate was received» error message when they try to connect, then the message will show the certificate’s thumbprint. Выполните поиск в диспетчере сертификатов на сервере посредника подключений к удаленному рабочему столу с помощью этого отпечатка, чтобы найти соответствующий сертификат.Search the RD Broker server’s certificate manager using that thumbprint to find the right certificate. Убедитесь, что сертификат настроен для использования для роли посредника подключений к удаленному рабочему столу на странице свойств развертывания Удаленного рабочего стола.Verify that the certificate is configured to be used for the RD Broker role in the Remote Desktop deployment properties page. Убедившись, что срок действия сертификата еще не истек, скопируйте сертификат в виде CER-файла на сервер веб-доступа к удаленным рабочим столам и выполните следующую команду на сервере веб-доступа к удаленным рабочим столам, заменив значение в квадратных скобках путем к файлу сертификата.After making sure the certificate hasn’t expired, copy the certificate in .cer file format to the RD Web Access server and run the following command on the RD Web Access server with the bracketed value replaced by the certificate’s file path:
Import-RDWebClientBrokerCert <certificate file path>
Диагностика проблем с помощью журнал консолиDiagnose issues with the console log
Если не удается устранить проблему, следуя инструкциям по устранению неполадок в этой статье, попробуйте самостоятельно диагностировать источник проблемы, просмотрев журнал консоли в браузере.If you can’t solve the issue based on the troubleshooting instructions in this article, you can try to diagnose the source of the problem yourself by watching the console log in the browser. Веб-клиент предоставляет метод для записи действий из журнала консоли браузера при использовании веб-клиента для диагностики проблем.The web client provides a method for recording the browser console log activity while using the web client to help diagnose issues.
- Щелкните многоточие в правом верхнем углу и перейдите на страницу About (О программе) с помощью раскрывающегося меню.Select the ellipsis in the upper-right corner and navigate to the About page in the dropdown menu.
- В разделе Capture support information (Запись сведения для поддержки) нажмите кнопку Start recording (Начать запись).Under Capture support information select the Start recording button.
- Выполните операции в веб-клиенте, в работе которого возникла диагностируемая проблема.Perform the operation(s) in the web client that produced the issue you are trying to diagnose.
- Перейдите на страницу About (О программе) и нажмите кнопку Stop recording (Остановить запись).Navigate to the About page and select Stop recording.
- Браузер автоматически скачает TXT-файл RD Console Logs.txt.Your browser will automatically download a .txt file titled RD Console Logs.txt. Этот файл будет содержать все действия из журнала консоли, созданные при воспроизведении изучаемой проблемы.This file will contain the full console log activity generated while reproducing the target issue.
В консоль также можно перейти непосредственно через браузер.The console may also be accessed directly through your browser. Консоль обычно находится в разделе средств разработчика.The console is generally located under the developer tools. Например, можно открыть журнал в Microsoft Edge, нажав клавишу F12 или щелкнув многоточие, а затем открыв меню Дополнительные средства > Средства разработчика.For example, you can access the log in Microsoft Edge by pressing the F12 key, or by selecting the ellipsis, then navigating to More tools > Developer Tools.
Помощь в работе с веб-клиентомGet help with the web client
Если возникла проблема, которую не удается устранить с помощью инструкций из этой статьи, сообщите нам о ней на портале Tech Community.If you’ve encountered an issue that can’t be solved by the information in this article, you can report it on Tech Community. Вы можете также запросить новые возможности или проголосовать за них с помощью поля для предложений.You can also request or vote for new features at our suggestion box.
Как сделать работу с Microsoft Remote Desktop лучше / Хабр
Хочу поделиться несколькими советами по настройке удаленного подключения к рабочим местам по RDP. Расскажу как проапгрейдить древний RPC-HTTP до UDP, похвалю и поругаю Windows 10 и AVC, разберу решение нескольких типичных проблем.
Считаем, что для подключения используется Remote Desktop Gateway (RDGW), а в качестве серверов выступают рабочие станции. Использовать RDGW очень удобно, потому что шлюз становится общей точкой входа для всех клиентов. Это дает возможность лучше контролировать доступ, вести учет подключений и их продолжительность. Даже если VPN позволяет подключиться к рабочим машинам напрямую — это не лучший вариант.
RDGW настраивается быстро, просто, а Let’s Encrypt и win-acme легко решают проблему с доверенным сертификатом.
Есть три транспортных протокола по которым клиент может подключиться с серверу:
RPC-HTTP (плохо)
HTTP (лучше)
HTTP+UDP (отлично)
Под сервером будем понимать рабочую машину, под клиентом — домашнюю.
Первое, с чего стоит начать, это «плохо» превратить в «отлично».
Подключение в сессию с использованием RPC-HTTP легко определить по внешнему виду полоски подключения.
Здесь нет значка качества подключения (о нем ниже), а значит мы используем старый RPC, обернутый в TLS — это очень медленно. Дело, конечно, не только в обертке — сам протокол меняется с каждым релизом ОС, меняются кодеки, алгоритмы упаковки изображения. Чем свежее протокол, тем лучше.
Что делать?
Windows XP или Vista
В XP можно поднять протокол с 5.1 до 7. Хотфикс windowsxp-kb969084-x86.exe
В Vista — c 6 до 7. Хотфикс имеет тот же номер, файлы windows6.0-kb969084-x64.msu или Windows6.0-KB969084-x86.msu
Но RDP 7 не работает по HTTP и UDP. Поможет только апгрейд клиента и сервера до Windows 7 и новее.
Windows 7
Сначала надо обновить протокол до RDP 8.1, а затем включить его. Поддержка добавляется обновлениями, которые сгруппированы в один загрузочный пакет:
www.microsoft.com/en-US/download/details.aspx?id=40986
Windows6.1-KB2574819-v2-x64.msu
windows6.1-kb2592687-x64.msu
Windows6.1-KB2830477-x64.msu
Windows6.1-KB2857650-x64.msu Windows6.1-KB2913751-x64.msu (заменен kb2923545)
windows6.1-kb2923545-x64.msu
Так вы получите и свежий клиент mstsc.exe, и поддержку RDP 8.1 серверной части ОС.
Было:
Стало:
После этого протокол надо включить ключом реестра (для этого можно использовать adm шаблон в комплекте с Windows 7).
[HKEY_LOCAL_MACHINE\SOFTWARE\Policies\Microsoft\Windows NT\Terminal Services]
"fServerEnableRDP8"=dword:00000001
[HKEY_LOCAL_MACHINE\SOFTWARE\Wow6432Node\Policies\Microsoft\Windows NT\Terminal Services]
"fServerEnableRDP8"=dword:00000001
Включите поддержку транспорта UDP в групповой политике.
Перезагружаем сервер с Windows 7. Тот самый случай, когда может потребоваться перезагрузиться дважды — значение в реестре должно быть установлено до того, как включился RDP, а групповая политика применяется позже.
Если все получилось, то при подключении к серверу в полоске сессии появится иконка качества подключения (как в телефоне для мобильной сети):
Windows 8 и новее
Протокол работает «из коробки».
Если ваша сеть не склонна к потере пакетов, UDP существенно (для CAD — радикально) повышает отзывчивость сервера за счет использования FEC для сокращения ретрансмиссии, а также перехода подтверждения доставки пакетов с уровня системного стека TCP/IP на уровень протокола RDP-UDP.
От каждого клиента подключается одна основная управляющая сессия по HTTP (в этом канале также передается клавиатура/мышь), плюс одна или несколько сессий UDP для передачи картинки или других виртуальных каналов.
Мы коснемся только верхушки айсберга. Есть 3 различных версии протокола RDP-UDP. Кроме того, сам UDP может работать в двух режимах UDP-R (reliable) и UDP-L (lossy). С Microsoft ничего просто не бывает. Но поскольку от нас здесь ничего не зависит, просто имейте в виду — чем новее операционная система, теме более современный протокол используется.
Снаружи RDP-UDP оборачивается в Datagram Transport Layer Security (DTLS) RFC4347, в чем вы можете убедиться открыв Wireshark.
Подробнее в документах:
[MS-RDPEMT]: Remote Desktop Protocol: Multitransport Extension
[MS-RDPEUDP]: Remote Desktop Protocol: UDP Transport Extension
[MS-RDPEUDP2]: Remote Desktop Protocol: UDP Transport Extension Version 2
Где не прав — поправьте, пожалуйста.
Что же нужно для включения UDP?
RDP-UDP поддерживается начиная с RDP 8.
На клиенте должен быть открыт порт udp/3389. Если вы его закрыли локальным firewall, ACL на свитче или внешнем файрволле — порт надо открыть.
Для сервера Remote Desktop Gateway к порту tcp/443 надо открыть udp/3391.
Порт можно поменять, вот как он настраивается:
Для Windows 7 обязательно должен быть включен NLA (Network Level Authentication).
Можно включить в групповой политике
или через реестр
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Terminal Server\WinStations\RDP-Tcp]
"SecurityLayer"=dword:00000001
В чем связь непонятно. Но без NLA на 7-ке не работает, на более свежих релизах NLA для работы UDP не обязателен.
После установления сессии по HTTP, клиент и сервер пробуют согласовать подключение по UDP. Если есть выпадение пакетов или задержки, то сессия UDP не запустится. Точный алгоритм отказа согласования UDP до конца не понятен.
Если все настроено, то после подключения нажмите на кнопку качества связи. В окошке будет указано, что согласован UDP.
На шлюзе это выглядит так:
Windows 10
Если у вас Windows 10 и на сервере, и на клиенте, то это самый быстрый и беспроблемный вариант. В Microsoft активно дорабатывают RDP, и в свежих релизах 10 вы можете рассчитывать на неплохую скорость работы. Коллеги не смогли обнаружить разницу между Citrix и Windows 10 RDP по скорости работы в AutoCAD.
Про эволюцию кодеков RDP на базе AVC в Windows 10 есть хорошая статья
Remote Desktop Protocol (RDP) 10 AVC/H.264 improvements in Windows 10 and Windows Server 2016 Technical Preview
Согласование AVC с аппаратным кодированием можно увидеть в журнале событий (подробнее в статье выше):
Замечу только, что проблема искажений все же есть даже с h.264 4:4:4. Она сразу бросается в глаза если работать в PowerShell ISE — текст ошибок выводится с неприятным искажением. Причем на скриншоте и на фотографии все отлично. Волшебство.
Также косвенным признаком работы AVC являются время от времени появляющиеся зеленые квадраты по углам.
AVC и аппаратное кодирование в свежих билдах должно работать из коробки, но групповая политика никогда не бывает лишней:
С учетом того, что AVC кодируется аппаратно видеокартой, то обновить драйверы видео — хорошая идея.
XP и Vista
Если проблема возникает на Windows XP или Vista, попробуйте сначала обновить протокол до 7 версии (писал в начале статьи). Обязательно включите поддержку CredSSP. На сайте Microsoft статьи уже удалены, но Интернет помнит.
Если не помогло — «доктор говорит в морг, значит в морг». Что испытала на себе операционная система за последние 15 лет — лучше об этом даже и не думать.
NLA
Иногда помогает отключение NLA на сервере. Выяснить причину не получилось, домашние машины все разные.
NTLM
Некоторые клиенты пытаются авторизоваться с использованием NTLMv1. Причины разные, но исправить на клиенте можно так:
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Lsa]
"LmCompatibilityLevel"=dword:00000003
Перезагрузка обязательна.
Если вы молоды и дерзки ничего не боитесь, то есть более радикальное решение — отключение Channel Binding на Remote Desktop Gateway
HKLM\Software\Microsoft\Windows NT\CurrentVersion\TerminalServerGateway\Config\Core
Type: REG_DWORD
Name: EnforceChannelBinding
Value: 0 (Decimal)
Делать так не надо. Но мы делали. 🙂 Для клиента, который настаивал (нет не так, НАСТАИВАЛ) что NTLMv1 на рабочих станциях ему необходим. Не знаю, может там серверы на NT4 без SP еще в работе.
Отключение RDP 8+ в Windows 10
Если ничего не помогает, а идеи кончились, можно воспользоваться недокументированным ключом для даунгрейда протокола RDP до 7 версии.
[HKEY_CURRENT_USER\Software\Microsoft\Terminal Server Client]
"RDGClientTransport"=dword:00000001
Сам не делал, и вам не советую. Но кому-то, пишут, что помогает.
DrWeb
Компонент Dr.Web SpIDerGate может запретить подключение. В этом случае возвращается ошибка:
В статистике Dr.Web будет запись:
В комментариях к этой статье со мной связался сотрудник Dr.Web и наша проблема решилась в ближайшем обновлении антивирусных баз.
Если у вас такая же ошибка, лучше обратиться в поддержку.
Как временное решение, можно внести URL вашего RDGW в исключения:
И только если не помогло отключить компонент SpIDer Gate полностью.
Системный прокси
Встретился списанный компьютер из какой-то компании, где в качестве системного прокси был прописан местный TMG, и подключение к RDGW не работало. Это можно исправить так:
netsh winhttp show proxy && netsh winhttp reset proxy
Переключение раскладок клавиатуры
Иногда приезжают лишние раскладки. Можно отключить проброс раскладки с клиента
[HKLM\System\CurrentControlSet\Control\Keyboard Layout]
"IgnoreRemoteKeyboardLayout"=dword:00000001
Проблемы с DPI
Масштабирование приходит с клиентской машины, и если на домашнем ноутбуке стоит 125%, то и на рабочей машине будет так же. На серверах это можно отключить, а на рабочих станциях не нашел как. Но в магазине приложений Windows 10 есть «современный» клиент.
В нем можно настроить DPI:
Есть счетчик производительности «Шлюз служб терминалов\Текущие подключения», который немного глючит, если нет подключений или сервер долго не перезагружался. Он показывает именно число подключений, но как мы помним, для HTTP+UDP их как минимум два, а может быть и больше. Поэтому это не совсем объективный показатель числа подключений сотрудников.
Есть класс WMI Win32_TSGatewayConnection. Его содержимое соответствует тому, что вы видите в разделе «Наблюдение» шлюза удаленных рабочих столов.
С ним число подключений можно посчитать поточнее:
Get-WmiObject -class "Win32_TSGatewayConnection" -namespace "root\cimv2\TerminalServices"
|?{$_.transportprotocol -ne 2}|select username,connectedresource|sort username|Get-Unique -AsString| measure|select -ExpandProperty count
Just for fun есть утилита Remote Display Analyzer. Бесплатная версия мне ничего полезного не показала, но вдруг кому-то пригодится.
А как же тонкий тюнинг, настройка нескольких десятков параметров сессии?
Здесь уместен принцип Парето: 20% усилий дают 80% результата. Если вы готовы инвестировать ваше время в оставшиеся 20% результата — отлично. Только имейте в виду, что когда вы читаете статью о настройке протокола в Windows 7, то не знаете про какой протокол писал автор — 7, 8 или 8.1. Когда читаете про Windows 10 без указания релиза — проблемы те же. Например, пишут что в свежих билдах Windows 10 кодек AVC/h.264 изменился на RDPGFX_CODECID_AVC444V2, а в Windows Server 2016 остался RDPGFX_CODECID_AVC444.
Из всех таких советов мы используем только две настройки:
- 16 bit цвет, об этом можно почитать в статье MS RDP Performance / Bandwidth Usage
- Отключение сглаживания шрифтов font smoothing:i:0 по статье выше или Performance Tuning Remote Desktop Session Hosts
Сомневаюсь, что они дают какой-то ощутимый результат.
Вот мы и подошли к концу статьи. Хотел покороче, а получилось как всегда. Рад, если кому-то эти советы помогут сэкономить время или улучшить настройку своей инфраструктуры.
Поддерживаемые конфигурации для служб удаленных рабочих столов
-
- Чтение занимает 5 мин
-
В этой статье
Область применения. Windows Server 2016, Windows Server 2019Applies To: Windows Server 2016, Windows Server 2019
Когда речь идет о поддерживаемых конфигурациях для сред служб удаленных рабочих столов, наибольшую озабоченность вызывает взаимодействие версий.When it comes to supported configurations for Remote Desktop Services environments, the largest concern tends to be version interoperability. Большинство сред включают несколько версий Windows Server — например, у вас может быть существующее развертывание Windows Server 2012 R2 RDS, но вы хотите обновить его до Windows Server 2016, чтобы воспользоваться преимуществами новых функций (таких как поддержка OpenGL\OpenCL, дискретное назначение устройств или локальные дисковые пространства).Most environments include multiple versions of Windows Server — for example, you may have an existing Windows Server 2012 R2 RDS deployment but want to upgrade to Windows Server 2016 to take advantage of the new features (like support for OpenGL\OpenCL, Discrete Device Assignment, or Storage Spaces Direct). Тогда возникает вопрос, какие компоненты RDS могут работать с разными версиями и какие должны быть одинаковыми?The question then becomes, which RDS components can work with different versions and which need to be the same?
Исходя из этого, ниже перечислены основные рекомендации по поддерживаемым конфигурациям служб удаленных рабочих столов в Windows Server.So with that in mind, here are basic guidelines for supported configurations of Remote Desktop Services in Windows Server.
РекомендацииBest practices
Используйте Windows Server 2019 для инфраструктуры удаленного рабочего стола — веб-доступа, шлюза, посредника подключений и сервера лицензирования.Use Windows Server 2019 for your Remote Desktop infrastructure (the Web Access, Gateway, Connection Broker, and license server). Windows Server 2019 обеспечивает обратную совместимость с этими компонентами. Это означает, что узел сеансов удаленного рабочего стола Windows Server 2016 или Windows Server 2012 R2 может подключаться к RDCB 2019, но не наоборот.Windows Server 2019 is backward-compatible with these components, which means a Windows Server 2016 or Windows Server 2012 R2 RD Session Host can connect to a 2019 RD Connection Broker, but not the other way around.
Для узлов сеансов удаленных рабочих столов — все узлы сеансов в коллекции должны находиться на одном уровне, но вы можете иметь несколько коллекций.For RD Session Hosts — all Session Hosts in a collection need to be at the same level, but you can have multiple collections. У вас может быть коллекция с узлами сеансов Windows Server 2016 и коллекция с узлами сеансов Windows Server 2019.You can have a collection with Windows Server 2016 Session Hosts and one with Windows Server 2019 Session Hosts.
Если вы обновляете свой узел сеансов удаленных рабочих столов до Windows Server 2019, также обновите сервер лицензирования.If you upgrade your RD Session Host to Windows Server 2019, also upgrade the license server. Помните, что сервер лицензирования версии 2019 может обрабатывать клиентские лицензии всех предыдущих версий Windows Server, вплоть до Windows Server 2003.Remember that a 2019 license server can process CALs from all previous versions of Windows Server, down to Windows Server 2003.
Следуйте порядку обновления, рекомендованному в разделе Обновление среды служб удаленных рабочих столов.Follow the upgrade order recommended in Upgrading your Remote Desktop Services environment.
Если вы создаете высокодоступную среду, все ваши посредники подключений должны быть на одном уровне ОС.If you are creating a highly available environment, all of your Connection Brokers need to be at the same OS level.
Посредники подключений к удаленному рабочему столуRD Connection Brokers
Windows Server 2016 снимает ограничение на количество посредников подключений, которое может иметься в развертывании при использовании узлов сеансов удаленных рабочих столов (RDSH) и узлов виртуализации удаленных рабочих столов (RDVH), которые также работают под управлением Windows Server 2016.Windows Server 2016 removes the restriction for the number of Connection Brokers you can have in a deployment when using Remote Desktop Session Hosts (RDSH) and Remote Desktop Virtualization Hosts (RDVH) that also run Windows Server 2016. В следующей таблице показано, какие версии компонентов RDS работают с версиями посредника подключений R2 2016 и 2012 годов в высокодоступном развертывании с тремя или более посредниками подключений.The following table shows which versions of RDS components work with the 2016 and 2012 R2 versions of the Connection Broker in a highly available deployment with three or more Connection Brokers.
3+ посредников подключений к удаленному рабочему столу3+ Connection Brokers in HA | Узлы сеансов удаленных рабочих столов (RDSH) или узлы виртуализации удаленных рабочих столов (RDVH) 2019RDSH or RDVH 2019 | Узлы сеансов удаленных рабочих столов (RDSH) или узлы виртуализации удаленных рабочих столов (RDVH) 2016RDSH or RDVH 2016 | Узлы сеансов удаленных рабочих столов (RDSH) или узлы виртуализации удаленных рабочих столов (RDVH) 2012 R2RDSH or RDVH 2012 R2 |
---|---|---|---|
Посредник подключений Windows Server 2019Windows Server 2019 Connection Broker | ПоддерживаетсяSupported | ПоддерживаетсяSupported | ПоддерживаетсяSupported |
Посредник подключений Windows Server 2016Windows Server 2016 Connection Broker | Н/ДN/A | ПоддерживаетсяSupported | ПоддерживаетсяSupported |
Посредник подключений Windows Server 2012 R2Windows Server 2012 R2 Connection Broker | Н/ДN/A | Н/ДN/A | Не поддерживаетсяNot Supported |
Поддержка ускорения с помощью графического процессора (GPU)Support for graphics processing unit (GPU) acceleration
Службы удаленных рабочих столов поддерживают системы, оснащенные графическими процессорами.Remote Desktop Services support systems equipped with GPUs. Приложения, которым требуется GPU, можно использовать через удаленное подключение.Applications that require a GPU can be used over the remote connection. Кроме того, можно включить ускорение отрисовки и кодирования с помощью GPU, чтобы повысить производительность и улучшить масштабируемость приложений.Additionally, GPU-accelerated rendering and encoding can be enabled for improved app performance and scalability.
Узлы сеансов служб удаленных рабочих столов и односеансовые клиентские операционные системы поддерживают возможности физических или виртуальных графических процессоров, представляемых в операционной системе различными способами. Сюда входят размеры виртуальных машин, оптимизированных для Azure GPU; GPU, доступные для физического сервера RDSH; GPU, предоставляемые виртуальным машинам поддерживаемыми гипервизорами.Remote Desktop Services Session Hosts and single-session client operating systems can take advantage of the physical or virtual GPUs presented to the operating system in many ways, including the Azure GPU optimized virtual machine sizes, GPUs available to the physical RDSH server, and GPUs presented to the VMs by supported hypervisors.
Чтобы узнать, что вам нужно, см. раздел Какие технологии виртуализации графики подходят вам?.See Which graphics virtualization technology is right for you? for help figuring out what you need. Узнайте подробные сведения о DDA в Плане развертывания дискретного назначения устройств.For specific information about DDA, check out Plan for deploying Discrete Device Assignment.
Поставщики GPU могут применять отдельную схему лицензирования для сценариев узлов сеансов удаленных рабочих столов или ограничивать использование GPU в серверных ОС. Ознакомьтесь с требованиями выбранного поставщика.GPU vendors may have a separate licensing scheme for RDSH scenarios or restrict GPU use on the server OS, verify the requirements with your favorite vendor.
Графические процессоры, представленные гипервизорами или облачной платформой сторонних производителей, должны иметь драйверы с цифровой подписью WHQL, предоставляемые соответствующими поставщиками.GPUs presented by a non-Microsoft hypervisor or Cloud Platform must have drivers digitally-signed by WHQL and supplied by the GPU vendor.
Поддержка GPU узлами сеансов удаленных рабочих столовRemote Desktop Session Host support for GPUs
В следующей таблице приведены сценарии, в которых возможно применение различных версий узлов RDSH.The following table shows the scenarios supported by different versions of RDSH hosts.
ФункцияFeature | Windows Server 2008 R2Windows Server 2008 R2 | Windows Server 2012 R2Windows Server 2012 R2 | Windows Server 2016Windows Server 2016 | Windows Server 2019Windows Server 2019 |
---|---|---|---|---|
Использование аппаратного GPU для всех сеансов RDPUse of hardware GPU for all RDP sessions | НетNo | ДаYes | ДаYes | ДаYes |
Аппаратное кодирование H.264/AVC (если поддерживается GPU)H.264/AVC hardware encoding (if suppported by the GPU) | НетNo | НетNo | ДаYes | ДаYes |
Балансировка нагрузки между несколькими GPU, предоставленными операционной системеLoad balancing between multiple GPUs presented to the OS | НетNo | НетNo | НетNo | ДаYes |
Оптимизация кодирования H.264/AVC для минимизации использования пропускной способностиH.264/AVC encoding optimizations for minimizing bandwidth usage | НетNo | НетNo | НетNo | ДаYes |
Поддержка кодирования H.264/AVC для разрешения 4KH.264/AVC support for 4K resolution | НетNo | НетNo | НетNo | ДаYes |
Поддержка VDI для GPUVDI support for GPUs
В следующей таблице описывается поддержка применения GPU в клиентской операционной системе.The following table shows support for GPU scenarios in the client OS.
ФункцияFeature | Windows 7 с пакетом обновления 1 (SP1)Windows 7 SP1 | Windows 8.1Windows 8.1 | Windows 10Windows 10 |
---|---|---|---|
Использование аппаратного GPU для всех сеансов RDPUse of hardware GPU for all RDP sessions | НетNo | ДаYes | ДаYes |
Аппаратное кодирование H.264/AVC (если поддерживается GPU)H.264/AVC hardware encoding (if suppported by the GPU) | НетNo | НетNo | Windows 10 (сборка 1703) и более поздние версииWindows 10 1703 and later |
Балансировка нагрузки между несколькими GPU, предоставленными операционной системеLoad balancing between multiple GPUs presented to the OS | НетNo | НетNo | Windows 10 (сборка 1803) и более поздние версииWindows 10 1803 and later |
Оптимизация кодирования H.264/AVC для минимизации использования пропускной способностиH.264/AVC encoding optimizations for minimizing bandwidth usage | НетNo | НетNo | Windows 10 (сборка 1803) и более поздние версииWindows 10 1803 and later |
Поддержка кодирования H.264/AVC для разрешения 4KH.264/AVC support for 4K resolution | НетNo | НетNo | Windows 10 (сборка 1803) и более поздние версииWindows 10 1803 and later |
Поддержка 3D-видеоадаптера RemoteFX (vGPU)RemoteFX 3D Video Adapter (vGPU) support
Примечание
Из соображений безопасности процессор RemoteFX vGPU по умолчанию отключен для всех версий Windows, начиная с обновления для системы безопасности за 14 июля 2020 г.Because of security concerns, RemoteFX vGPU is disabled by default on all versions of Windows starting with the July 14, 2020 Security Update. См. KB 4570006.To learn more, see KB 4570006.
Службы удаленных рабочих столов поддерживают процессоры vGPU RemoteFX, когда виртуальная машина работает в качестве гостевой виртуальной машины Hyper-V в Windows Server 2012 R2 или Windows Server 2016.Remote Desktop Services supports RemoteFX vGPUs when VM is running as a Hyper-V guest on Windows Server 2012 R2 or Windows Server 2016. В следующих гостевых операционных системах поддерживается vGPU RemoteFX:The following guest operating systems have RemoteFX vGPU support:
- Windows 7 с пакетом обновления 1 (SP1)Windows 7 SP1
- Windows 8.1Windows 8.1
- Windows 10 (сборка 1703) или более поздней версииWindows 10 1703 or later
- Windows Server 2016 (только односеансовое развертывание)Windows Server 2016 in a single-session deployment only
Поддержка дискретного назначения устройствDiscrete Device Assignment support
Службы удаленных рабочих столов поддерживают физические GPU, предоставляемые с помощью дискретного назначения устройств с узлов Hyper-V Windows Server 2016 или Windows Server 2019.Remote Desktop Services supports Physical GPUs presented with Discrete Device Assignment from Windows Server 2016 or Windows Server 2019 Hyper-V hosts. Дополнительные сведения см. в разделе Планирование развертывания устройств с помощью дискретного назначения устройств.See Plan for deploying Discrete Device Assignment for more details.
Развертывание VDI: поддерживаемые гостевые ОСVDI deployment – supported guest OSes
Серверы узлов виртуализации удаленных столов Windows Server 2016 и Windows Server 2019 поддерживают следующие гостевые ОС:Windows Server 2016 and Windows Server 2019 RD Virtualization Host servers support the following guest OSes:
- Windows 10 КорпоративнаяWindows 10 Enterprise
- Windows 8.1 КорпоративнаяWindows 8.1 Enterprise
- Windows 7 SP1 КорпоративнаяWindows 7 SP1 Enterprise
Примечание
- Службы удаленных рабочих столов не поддерживают разнородные коллекции сеансов.Remote Desktop Services doesn’t support heterogeneous session collections. Операционные системы всех виртуальных машин в коллекции должны быть одной версии.The OSes of all VMs in a collection must be the same version.
- Вы можете иметь отдельные однородные коллекции с разными версиями гостевой ОС на одном узле.You can have separate homogeneous collections with different guest OS versions on the same host.
- Узел Hyper-V, используемый для запуска виртуальных машин, должен иметь ту же версию операционной системы, что и узел Hyper-V, использованный для создания исходных шаблонов виртуальных машин.The Hyper-V host used to run VMs must be the same version as the Hyper-V host used to create the original VM templates.
Единый входSingle sign-on
Службы удаленных рабочих столов Windows Server 2016 и Windows Server 2019 поддерживают два основных режима единого входа:Windows Server 2016 and Windows Server 2019 RDS supports two main SSO experiences:
- В приложении (приложение удаленного рабочего стола в Windows, iOS, Android и Mac)In-app (Remote Desktop application on Windows, iOS, Android, and Mac)
- Веб-служба SSOWeb SSO
Используя приложение удаленного рабочего стола, вы можете хранить учетные данные либо как часть информации о подключении (Mac), либо как часть управляемых учетных записей (iOS, Android, Windows ) безопасно с помощью механизмов, уникальных для каждой ОС.Using the Remote Desktop application, you can store credentials either as part of the connection info (Mac) or as part of managed accounts (iOS, Android, Windows) securely through the mechanisms unique to each OS.
Чтобы подключиться к рабочим столам и приложениям RemoteApp с помощью единого входа в клиенте подключения удаленных рабочих столов в Windows, необходимо подключиться к веб-странице удаленных рабочих столов через Internet Explorer.To connect to desktops and RemoteApps with SSO through the inbox Remote Desktop Connection client on Windows, you must connect to the RD Web page through Internet Explorer. На стороне сервера требуются следующие параметры конфигурации.The following configuration options are required on the server side. Другие конфигурации для единого входа для интернет-решений не поддерживаются.No other configurations are supported for Web SSO:
- Веб-интерфейс удаленного рабочего стола установлен на проверку подлинности на основе форм (по умолчанию)RD Web set to Forms-Based Authentication (Default)
- Веб-интерфейс шлюза удаленного рабочего стола установлен на проверку пароля (по умолчанию)RD Gateway set to Password Authentication (Default)
- Для развертывания RDS установлено значение «Использовать учетные данные шлюза удаленных рабочих столов» (по умолчанию) в свойствах шлюза удаленных рабочих столов.RDS Deployment set to «Use RD Gateway credentials for remote computers» (Default) in the RD Gateway properties
Примечание
Из-за требуемых параметров конфигурации единый вход для интернет-решений не поддерживается смарт-картами.Due to the required configuration options, Web SSO is not supported with smartcards. Пользователи, которые входят через смарт-карты, могут столкнуться с несколькими приглашениями на вход.Users who login via smartcards might face multiple prompts to login.
Дополнительные сведения о создании развертывания служб удаленных рабочих столов VDI см. в разделе Поддерживаемые настройки безопасности в Windows 10 для служб удаленных рабочих столов VDI.For more information about creating VDI deployment of Remote Desktop Services, check out Supported Windows 10 security configurations for Remote Desktop Services VDI.
Использование служб удаленных рабочих столов со службами прокси приложенийUsing Remote Desktop Services with application proxy services
Вы можете использовать службы удаленных рабочих столов с прокси приложениями Azure AD.You can use Remote Desktop Services with Azure AD Application Proxy. Службы удаленных рабочих столов не поддерживают использование прокси-службы веб-приложения, включенного в Windows Server 2016 и более поздние версии.Remote Desktop Services does not support using Web Application Proxy, which is included in Windows Server 2016 and earlier versions.
Настройка лимитов (таймаутов) для RDP/RDS сессий в Windows
По-умолчанию, когда пользователь со своего компьютера закрывает окно своей RDP/RDS сессией в терминальном клиенте (mstsc, rdcman или rdp html web клиент) простым нажатием по крестику в окне, без выполнения выхода (logoff), его сессия переходит в режим disconnected (разъединённый сеанс). В этом режиме все запущенные пользователем программы, открытые документы и окна продолжают работать на удаленном сервере и потреблять ресурсы.
По-умолчанию в Windows RDP сессия пользователя может находится в состоянии disconnected до перезагрузки компьютера или явного ее завершения пользователем или администратором. Это довольно удобно, т.к. пользователь может в любой момент подключиться к своей старой сессии и продолжить работу с открытыми программами и документами.
На следующем скриншоте видно, что отключенные сессии пользователей на RDS сервере с Windows Server 2016 используют около 35% памяти сервера. Кроме того незавершенные сессии могут блокировать открытые файлы на файловых серверах, вызывать проблемы с корректным сохранением данных в приложениях, профилях или User Profile Disks.
С помощью команды quser
можно узнать, когда начата RDP сессия пользователя, длительность простоя и статус сессии.
Для автоматического завершения отключенных RDP/RDS сессий через определенный промежуток времени, вам нужно правильно настроить лимиты (таймауты).
При использовании RDS сервера, вы можете настроить параметры таймаутов сессий в настройках RDS коллекций на вкладке Session.
Укажите время, через которое нужно завершить отключенный сеанс в параметре End a disconnected session (по умолчанию срок сеанса неограничен – never). Также вы можете выставить максимальную длительность активной RDP сессии (Active session limit) и отключение бездействующего сеанса (Idle session limit). Это жесткие таймауты применяются для всех сессий в RDS коллекции.
Также можно настроить ограничение времени RDP сессии в свойства локального (консоль lusrmgr.msc) или доменного пользователя (консоль dsa.msc — ADUC).
Не стоит делать таймауты на время RDP сеанса слишком маленькими, иначе сеансы пользователей будут завершаться при малейшей неактивности.
В Windows Server 2012 R2/2016/2019 можно настроить таймауты RDP сессий с помощью групповых политик. Можно использовать как редактор доменных GPO gpmc.msc, так и редактор локальных групповых политик (gpedit.msc) на конкретном RDS сервере или клиенте (если вы используете десктопную Windows в качестве терминального сервера)
Параметры таймаутов RDP сессий находятся в разделе GPO
Computer Configuration -> Policies -> Administrative Templates -> Windows Components -> Remote Desktop Services -> Remote Desktop Session Host -> Session Time Limits (Конфигурация компьютера -> Политики -> Административные шаблоны -> Компоненты Windows -> Службы удаленных рабочих столов -> Узел сеансов удаленных рабочих столов -> Ограничение сеансов по времени). Доступны следующие политики таймаутов:
- Set time limit for disconnected session (Задать ограничение по времени для отключенных сеансов)
- Set time limit for active but idle Remote Desktop Services sessions (Задать ограничение времени для активных, но бездействующих сеансов служб удаленных рабочих столов) – политика позволяет завершить простаивающие RDP сессии, в которых отсутствует ввод со стороны пользователя (движение мышкой, ввод символов с клавиатуры)
- Set time limit for active Remote Desktop Services sessions (Задать ограничение по времени для активных сеансов служб удаленных рабочих столов) – максимальный срок для любой (даже активной) RDP сессии пользователя, после которого она переводится в состояние disconnected;
- End Session when time limits are reached (Завершать сеанс при достижении ограничения по времени) – через какое время нужно завершать RDS сессию (logoff) вместо перевода ее в disconnected;
- Set time limit for logoff of RemoteApp sessions (Задать предел для выхода из сеансов RemoteApp)
Аналогичные настройки по управлению таймаутами RDP есть в секции GPO с настройками пользователи: User Configuration -> Administrative Templates -> Windows Components. С помощью политики из пользовательской секции вы сможете более гибко настроить группы пользователей с различными лимитами на длительность RDP сессий.
По умолчанию эти параметры не настроены. Чтобы автоматически завершать отключенные RDP сеансы пользователей через 8 часов, включите политику “Set time limit for disconnected session” = Enabled, и в выпадающем списке выберите 8 часов.
Сохраните изменения и обновите политики сервера (gpupdate /force). Новые настройки таймаутов будут применяться только к новым RDP сеансам, текущие сеансы придется завершить вручную.
Также можно задать лимиты времени RDP сеансов через реестр. Указанным выше политикам соответствую следующие DWORD параметры в ветке реестра HKLMACHINE\SOFTWARE\Policies\Microsoft\Windows NT\Terminal Services
- MaxDisconnectionTime
- MaxIdleTime
- MaxConnectionTime
- MaxDisconnectionTime
- RemoteAppLogoffTimeLimit
В Windows Server 2008 R2 также можно было задать лимиты RDP сессий на хосте через специальную консоль tsconfig.msc (RD Session Host Configuration). Достаточно было запустить консоль, щелкнуть правой кнопкой по RDP-Tcp -> Properties. Настройки ограничения длительности сессий находятся на вкладке Sessions. Но в следующих версиях Windows Server эта консоль отсутствует (хотя вы можете вручную скопировать файлы tsadmin.msc и tsconfig.msc и использовать эти консоли и более новых версиях Windows Server).
Подключение к удаленному рабочему столу с помощью встроенного в Windows RDP-клиента
Во всех редакциях ОС Windows начиная с XP, есть стандартный RDP – клиент, который используется для подключения к службе удаленных рабочих столов. В этой статье я хочу описать подробно возможности данной программы.
RDP-клиент используется для подключения к серверу терминалов по протоколу Remote Desktop Protocol, или через удаленный рабочий стол. Об установке сервера терминалом можно также прочитать на данном сайте.
Запустить программу «Подключение к удаленному рабочему столу» можно из меню «Пуск» — «Все программы» — «Стандартные» — «Подключение к удаленному рабочему столу», либо же выполнив команду mstsc.exe (для этого необходимо нажать комбинацию клавиш WIN+R и вписать имя команды в появившемся окне «Выполнить»). Соответственно, сам исполняющий файл mstsc.exe находится в директории C:\Windows\System32. Для удобства можно вынести ярлык на рабочий с заданными настройками.
В появившемся окне нужно ввести ip-адрес или имя того сервера к которому вы хотите подключиться.
При подключении вам будет предложено ввести свои учетные данные. После ввода вы попадете на рабочий стол вашего сервера.
Для изменения параметров необходимо нажать на ссылку «Показать параметры» в главном окне программы.
В появившемся меню можно настроить необходимые вам параметрами, которые будут использоваться при подключении.
На первой вкладке «Общие» можно сохранить учетные данные, для того что бы не вводить их каждый раз. Для этого нужно установить флаг «Разрешить мне сохранять учетные данные».
На второй вкладке «Экран» настраивается размер подключаемого удаленного рабочего стола и глубина цвета для удаленного сеанса. Так же можно убрать совсем выезжающую сверху панель подключения, но я вам не советую этого делать, так как закрыть подключение через Alt+F4 не получиться, если в настройках стоит использование сочетание клавиш «на удаленном компьютере», а закрыть соединение можно будет только через «Диспетчер задач».
На вкладке «Локальные ресурсы» настраиваются передача звука — запись и воспроизведение. Для настройки необходимо нажать кнопку «Параметры».
Также здесь настраивается «Использование сочетаний клавиш», о которых я писал выше.
Можно на данной вкладке настроить включение или отключение «Принтеров» и «Буфер обмена», которые будут использоваться во время удаленного сеанса, путем снятия или, наоборот, установки флага тех параметров, которые вам необходимы.
А если нажать на кнопку «Подробнее», то можно будет поставить подключение «Смарт карт», если, конечно, у вас есть Смарт карта с учетными данными, также можно подключить любой диск или DVD и СD-ROM локального компьютера с которого происходит подключение.
На вкладке «Программы» можно настроить запуск той программы, которая будет автоматически запускаться при входе пользователя на удаленный рабочий стол. Здесь же настраивается рабочий каталог пользователя.
На следующей вкладке «Взаимодействие», можно указать скорость соединения с терминальным сервером и указать те параметры, которые нужны или не нужны для повышения производительности. Хотя в наше время высокоскоростного интернета эти настройки уже не актуальны, поэтому можно смело оставить автоопределение.
На вкладке «Дополнительно» настраивается проверка подлинности сервера.
Также можно настроить подключение через шлюз удаленных рабочих столов, нажав кнопку «Параметры».
Для сохранения всех выставленных параметров нужно перейти на вкладку «Общие» и сохранить настройки в виде ярлыка подключения по RDP в любом удобном для вас месте и с любым названием.
Через полученный таким образом ярлык вы будете подключаться к удаленному рабочему столу с раннее сделанными и сохраненными настройками.
Смотрите также:
- Поиск по содержимому в Windows
По умолчанию поиск в Windows (в данном примере в Windows 7) ищет файлы по имени. Содержимое учитывает только в проиндексированных расположениях. Чтобы поиск искал по содержимому всех документов, нужно изменить…
- Русификация Windows 8 для англоязычных редакций
На нашем сайте уже раннее рассматривался вариант установки изначально русифицированной редакции Windows 8.1. Англоязычные редакции, к примеру, ознакомительная версия Windows 8.1 Корпоративная на сайте Центра пробного ПО от компании Microsoft, дистрибутив…
- Как изменить расширение файла в Windows
Иногда в Windows 7 нужно изменить расширение вручную, например, превратить файл “txt” в “bat”. Первое, что приходит на ум, — переименовать (F2). Но оказывается, что расширение «.bat» ты вроде бы…
клиентов удаленного рабочего стола: вопросы и ответы | Документы Microsoft
- Читать 12 минут
В этой статье
Применимо к: Windows 10, Windows 8.1, Windows Server 2019, Windows Server 2016, Windows Server 2012 R2
Теперь, когда вы настроили клиент удаленного рабочего стола на своем устройстве (Android, Mac, iOS или Windows), у вас могут возникнуть вопросы.Вот ответы на наиболее часто задаваемые вопросы о клиентах удаленного рабочего стола.
Большинство этих вопросов относятся ко всем клиентам, но есть несколько пунктов, специфичных для клиентов.
Если у вас есть дополнительные вопросы, на которые вы хотите, чтобы мы ответили, оставьте их в качестве отзыва к этой статье.
Настройка
К каким компьютерам я могу подключиться?
Прочтите статью о поддерживаемой конфигурации, чтобы узнать, к каким компьютерам можно подключиться.
Как настроить ПК для удаленного рабочего стола?
У меня есть настроенное устройство, но я не думаю, что компьютер готов. Помогите?
Во-первых, видели ли вы мастер установки удаленного рабочего стола? Он поможет вам подготовить компьютер к удаленному доступу. Загрузите и запустите этот инструмент на свой компьютер, чтобы все было настроено.
В противном случае, если вы предпочитаете делать что-то вручную, читайте дальше.
Для Windows 10 сделайте следующее:
- На устройстве, к которому вы хотите подключиться, откройте Настройки .
- Выберите Система , а затем Удаленный рабочий стол .
- Используйте ползунок, чтобы включить удаленный рабочий стол.
- В общем, лучше всего держать компьютер активным и доступным для обнаружения, чтобы облегчить подключение. Щелкните Показать настройки , чтобы перейти к настройкам питания вашего ПК, где вы можете изменить этот параметр.
Примечание
Невозможно подключиться к ПК, который находится в спящем или гибернационном режиме, поэтому убедитесь, что для параметров сна и гибернации на удаленном ПК установлено значение Никогда .(Гибернация доступна не на всех ПК.)
Запишите имя этого ПК под Как подключиться к этому ПК . Это понадобится вам для настройки клиентов.
Вы можете предоставить конкретным пользователям разрешение на доступ к этому ПК — для этого щелкните Выберите пользователей, которые могут получить удаленный доступ к этому ПК .
Члены группы администраторов автоматически получают доступ.
Для Windows 8.1: следуйте инструкциям по разрешению удаленных подключений в разделе Подключение к другому рабочему столу с помощью подключений к удаленному рабочему столу.
Соединение, шлюз и сети
Почему я не могу подключиться с помощью удаленного рабочего стола?
Вот несколько возможных решений распространенных проблем, с которыми вы можете столкнуться при попытке подключиться к удаленному компьютеру. Если эти решения не работают, дополнительную помощь можно найти на веб-сайте сообщества Microsoft.
Удаленный компьютер не найден. Убедитесь, что у вас правильное имя ПК, а затем проверьте, правильно ли вы ввели это имя. Если вы по-прежнему не можете подключиться, попробуйте использовать IP-адрес удаленного ПК вместо имени ПК.
Проблема с сетью. Убедитесь, что у вас есть подключение к Интернету.
Порт удаленного рабочего стола может быть заблокирован брандмауэром. Если вы используете брандмауэр Windows, выполните следующие действия:
Откройте брандмауэр Windows.
Щелкните Разрешить приложение или функцию через брандмауэр Windows .
Щелкните Изменить настройки . Вас могут попросить ввести пароль администратора или подтвердить свой выбор.
Ниже Разрешенные приложения и функции , выберите Удаленный рабочий стол , а затем коснитесь или щелкните ОК .
Если вы используете другой брандмауэр, убедитесь, что порт для удаленного рабочего стола (обычно 3389) открыт.
На удаленном ПК не могут быть установлены удаленные подключения. Чтобы исправить это, прокрутите назад до раздела «Как настроить ПК для удаленного рабочего стола?» вопрос в этой теме.
Удаленный компьютер может разрешать подключение только тем ПК, на которых настроена проверка подлинности на уровне сети.
Возможно, удаленный компьютер выключен. Невозможно подключиться к ПК, который выключен, находится в спящем режиме или находится в режиме гибернации, поэтому убедитесь, что для параметров сна и гибернации на удаленном ПК установлено значение Никогда (гибернация доступна не на всех ПК).
Почему я не могу найти свой компьютер или подключиться к нему?
Проверьте следующее:
ПК включен и не спит?
Вы ввели правильное имя или IP-адрес?
Важно
Использование имени ПК требует, чтобы ваша сеть правильно разрешила имя через DNS.Во многих домашних сетях для подключения вы должны использовать IP-адрес вместо имени хоста.
Находится ли ПК в другой сети? Вы настроили компьютер на пропуск внешних подключений? Проверьте Разрешить доступ к вашему ПК из-за пределов вашей сети для получения помощи.
Вы подключаетесь к поддерживаемой версии Windows?
Примечание
Windows XP Home, Windows Media Center Edition, Windows Vista Home и Windows 7 Home или Starter не поддерживаются без стороннего программного обеспечения.
Почему я не могу войти на удаленный компьютер?
Если вы видите экран входа на удаленном компьютере, но не можете войти в систему, возможно, вы не были добавлены в группу пользователей удаленного рабочего стола или в какую-либо группу с правами администратора на удаленном компьютере. Попросите системного администратора сделать это за вас.
Какие методы подключения поддерживаются для сетей компании?
Если вы хотите получить доступ к своему офисному рабочему столу из-за пределов корпоративной сети, ваша компания должна предоставить вам средства удаленного доступа.Клиент RD в настоящее время поддерживает следующее:
- Шлюз сервера терминалов или шлюз удаленного рабочего стола
- Веб-доступ к удаленному рабочему столу
- VPN (через встроенные параметры VPN в iOS)
VPN не работает
Проблемы с VPN могут иметь несколько причин. Первый шаг — убедиться, что VPN работает в той же сети, что и ваш ПК или компьютер Mac. Если вы не можете протестировать с ПК или Mac, вы можете попытаться получить доступ к веб-странице интрасети компании с помощью браузера вашего устройства.
Что еще нужно проверить:
- Сеть 3G блокирует или разрушает VPN. В мире есть несколько провайдеров 3G, которые блокируют или искажают трафик 3G. Убедитесь, что соединение VPN работает правильно в течение более минуты.
- L2TP или PPTP VPN. Если вы используете L2TP или PPTP в своей VPN, установите для параметра «Отправить весь трафик» значение «ON» в конфигурации VPN.
- VPN неправильно настроен. Неправильно настроенный VPN-сервер может быть причиной того, что VPN-соединения никогда не работали или перестали работать через некоторое время.Если это произойдет, убедитесь, что тестирование выполняется с помощью веб-браузера устройства iOS или ПК или Mac в той же сети.
Как проверить, правильно ли работает VPN?
Убедитесь, что на вашем устройстве включен VPN. Вы можете проверить свое VPN-соединение, перейдя на веб-страницу во внутренней сети или используя веб-службу, доступную только через VPN.
Как мне настроить L2TP или PPTP VPN-соединения?
Если вы используете L2TP или PPTP в своей VPN, обязательно установите Отправлять весь трафик с на ON в конфигурации VPN.
Веб-клиент
Какие браузеры я могу использовать?
Веб-клиент поддерживает Microsoft Edge, Internet Explorer 11, Mozilla Firefox (v55.0 и выше), Safari и Google Chrome.
Какие компьютеры я могу использовать для доступа к веб-клиенту?
Веб-клиент поддерживает Windows, macOS, Linux и ChromeOS. Мобильные устройства в настоящее время не поддерживаются.
Могу ли я использовать веб-клиент в развертывании удаленного рабочего стола без шлюза?
Нет. Для подключения клиенту требуется шлюз удаленного рабочего стола.Не знаю, что это значит? Спросите об этом у администратора.
Заменяет ли веб-клиент удаленного рабочего стола страницу веб-доступа к удаленному рабочему столу?
Нет. Веб-клиент удаленного рабочего стола размещен по другому URL-адресу, чем страница веб-доступа к удаленному рабочему столу. Вы можете использовать веб-клиент или страницу веб-доступа для просмотра удаленных ресурсов в браузере.
Могу ли я встроить веб-клиент на другую веб-страницу?
В настоящий момент эта функция не поддерживается.
Мониторы, аудио и мышь
Как использовать все мои мониторы?
Чтобы использовать два или более экранов, выполните следующие действия:
- Щелкните правой кнопкой мыши удаленный рабочий стол, для которого нужно включить несколько экранов, а затем щелкните Изменить .
- Включить Использовать все мониторы и Полный экран .
Поддерживается ли двунаправленный звук?
Двунаправленный звук можно настроить в клиенте Windows для каждого соединения. Доступ к соответствующим настройкам можно получить в разделе Remote audio вкладки Local Resources options.
Что делать, если звук не воспроизводится?
Выйдите из сеанса (не просто отключитесь, войдите полностью), а затем войдите снова.
Клиент для Mac — вопросы по оборудованию
Поддерживается ли разрешение Retina?
Да, клиент удаленного рабочего стола поддерживает разрешение Retina.
Как включить вторичный щелчок правой кнопкой мыши?
Чтобы использовать щелчок правой кнопкой мыши внутри открытого сеанса, у вас есть три варианта:
- Стандартная компьютерная двухкнопочная USB-мышь
- Apple Magic Mouse: чтобы включить щелчок правой кнопкой мыши, щелкните Системные настройки в доке, щелкните Мышь , а затем включите Дополнительный щелчок .
- Apple Magic Trackpad или MacBook Trackpad: чтобы включить щелчок правой кнопкой мыши, щелкните Системные настройки в доке, щелкните Trackpad , а затем включите Secondary click .
Поддерживается ли AirPrint?
Нет, клиент удаленного рабочего стола не поддерживает AirPrint. (Это верно как для клиентов Mac, так и для iOS.)
Почему в сеансе появляются неправильные символы?
Если вы используете международную клавиатуру, вы можете столкнуться с проблемой, когда символы, которые появляются в сеансе, совпадают с символами, которые вы вводили на клавиатуре Mac.
Это может произойти в следующих случаях:
- Вы используете клавиатуру, которую удаленный сеанс не распознает. Когда удаленный рабочий стол не распознает клавиатуру, по умолчанию используется язык, последний раз использовавшийся на удаленном ПК.
- Вы подключаетесь к ранее отключенному сеансу на удаленном ПК, и этот удаленный компьютер использует язык клавиатуры, отличный от языка, который вы пытаетесь использовать в настоящее время.
Эту проблему можно решить, вручную установив язык клавиатуры для удаленного сеанса.См. Шаги в следующем разделе.
Как языковые настройки влияют на клавиатуру в удаленном сеансе?
Существует много типов раскладок клавиатуры Mac. Некоторые из них являются макетами для Mac или настраиваемыми макетами, точное совпадение которых может быть недоступно в версии Windows, в которой выполняется удаленное взаимодействие. Удаленный сеанс сопоставляет вашу клавиатуру с наиболее подходящим языком клавиатуры, доступным на удаленном ПК.
Если для раскладки клавиатуры Mac задана версия языковой клавиатуры для ПК (например, французский — ПК), все ваши клавиши должны быть правильно сопоставлены, и ваша клавиатура должна работать.
Если для раскладки клавиатуры Mac задана версия клавиатуры для Mac (например, французская), удаленный сеанс сопоставит вас с версией французского языка для ПК. Некоторые сочетания клавиш Mac, которые вы привыкли использовать в OSX, не будут работать в удаленном сеансе Windows.
Если ваша раскладка клавиатуры настроена на вариант языка (например, канадско-французский) и если удаленный сеанс не может сопоставить вас с этим точным вариантом, удаленный сеанс сопоставит вас с ближайшим языком (например, французским) .Некоторые сочетания клавиш Mac, которые вы привыкли использовать в OSX, не будут работать в удаленном сеансе Windows.
Если ваша раскладка клавиатуры настроена на раскладку, с которой удаленный сеанс не может соответствовать вообще, ваш удаленный сеанс по умолчанию будет предоставлять вам язык, который вы в последний раз использовали на этом ПК. В этом случае или в тех случаях, когда вам нужно изменить язык удаленного сеанса, чтобы он соответствовал клавиатуре Mac, вы можете вручную установить язык клавиатуры в удаленном сеансе на язык, наиболее близкий к тому, который вы хотите использовать. следующее.
Используйте следующие инструкции для изменения раскладки клавиатуры в сеансе удаленного рабочего стола:
В Windows 10 или Windows 8:
- Изнутри удаленного сеанса откройте «Регион и язык». Щелкните Пуск> Параметры> Время и язык . Откройте регион и язык .
- Добавьте язык, который хотите использовать. Затем закройте окно «Регион и язык».
- Теперь в удаленном сеансе вы увидите возможность переключения между языками.(В правой части удаленного сеанса, рядом с часами.) Щелкните язык, на который хотите переключиться (например, Eng ).
Вам может потребоваться закрыть и перезапустить приложение, которое вы в настоящее время используете, чтобы изменения клавиатуры вступили в силу.
Специфические ошибки
Почему я получаю ошибку «Недостаточно прав»?
У вас нет доступа к сеансу, к которому вы хотите подключиться. Наиболее вероятная причина в том, что вы пытаетесь подключиться к сеансу администратора.Только администраторы могут подключаться к консоли. Убедитесь, что консольный переключатель выключен в дополнительных настройках удаленного рабочего стола. Если проблема не в этом, обратитесь за помощью к системному администратору.
Почему клиент говорит, что клиентской лицензии нет?
Когда клиент удаленного рабочего стола подключается к серверу удаленного рабочего стола, сервер выдает клиентскую лицензию на доступ к службам удаленных рабочих столов (RDS CAL), хранящуюся у клиента. Каждый раз, когда клиент подключается снова, он будет использовать свою RDS CAL, и сервер не будет выдавать другую лицензию.Сервер выдаст другую лицензию, если RDS CAL на устройстве отсутствует или повреждена. При достижении максимального количества лицензированных устройств сервер не будет выдавать новые клиентские лицензии RDS. Обратитесь к сетевому администратору за помощью.
Почему я получил ошибку «Доступ запрещен»?
Ошибка «Доступ запрещен» генерируется шлюзом удаленного рабочего стола и является результатом неверных учетных данных во время попытки подключения. Подтвердите свое имя пользователя и пароль. Если соединение работало раньше и ошибка возникла недавно, возможно, вы изменили пароль своей учетной записи Windows и еще не обновили его в настройках удаленного рабочего стола.
Что означает «Ошибка RPC 23014» или «Ошибка 0x59e6»?
В случае ошибки RPC 23014 или Ошибка 0x59E6 повторите попытку через несколько минут. , сервер шлюза удаленных рабочих столов достиг максимального количества активных подключений. В зависимости от версии Windows, запущенной на шлюзе удаленных рабочих столов, максимальное количество подключений различается: стандартная реализация Windows Server 2008 R2 ограничивает количество подключений до 250. Реализация Windows Server 2008 R2 Foundation ограничивает количество подключений до 50.Все остальные реализации Windows допускают неограниченное количество подключений.
Что означает ошибка «Не удалось проанализировать вызов NTLM»?
Эта ошибка вызвана неправильной конфигурацией удаленного ПК. Убедитесь, что для уровня безопасности RDP на удаленном ПК установлено значение «Совместимость с клиентом». (Если вам потребуется помощь, обратитесь к системному администратору.)
Что означает «TS_RAP Вам не разрешено подключаться к данному хосту»?
Эта ошибка возникает, когда политика авторизации ресурсов на сервере шлюза не позволяет вашему имени пользователя подключаться к удаленному компьютеру.Это может произойти в следующих случаях:
- Имя удаленного ПК совпадает с именем шлюза. Затем, когда вы пытаетесь подключиться к удаленному компьютеру, вместо этого соединение идет на шлюз, к которому у вас, вероятно, нет разрешения на доступ. Если вам нужно подключиться к шлюзу, не используйте имя внешнего шлюза в качестве имени ПК. Вместо этого используйте localhost, IP-адрес (127.0.0.1) или внутреннее имя сервера.
- Ваша учетная запись пользователя не входит в группу пользователей удаленного доступа.
.
Поддерживаемые конфигурации для служб удаленных рабочих столов
- 6 минут на чтение
В этой статье
Применимо к: Windows Server 2016, Windows Server 2019
Когда дело доходит до поддерживаемых конфигураций для сред служб удаленных рабочих столов, наибольшую озабоченность вызывает совместимость версий.Большинство сред включают несколько версий Windows Server — например, у вас может быть существующее развертывание Windows Server 2012 R2 RDS, но вы хотите выполнить обновление до Windows Server 2016, чтобы воспользоваться преимуществами новых функций (таких как поддержка OpenGL \ OpenCL, Discrete Device Assignment, или Storage Spaces Direct). Тогда возникает вопрос, какие компоненты RDS могут работать с разными версиями, а какие должны быть одинаковыми?
Имея это в виду, вот основные рекомендации для поддерживаемых конфигураций служб удаленных рабочих столов в Windows Server.
Лучшие практики
Используйте Windows Server 2019 для инфраструктуры удаленного рабочего стола (веб-доступ, шлюз, посредник подключений и сервер лицензий). Windows Server 2019 обратно совместим с этими компонентами, что означает, что узел сеанса удаленных рабочих столов Windows Server 2016 или Windows Server 2012 R2 может подключаться к посреднику подключений к удаленному рабочему столу 2019, но не наоборот.
Для узлов сеансов удаленных рабочих столов — все узлы сеансов в коллекции должны быть на одном уровне, но вы можете иметь несколько коллекций.У вас может быть коллекция с узлами сеанса Windows Server 2016 и одна с узлами сеанса Windows Server 2019.
При обновлении узла сеанса удаленных рабочих столов до Windows Server 2019 также обновите сервер лицензий. Помните, что сервер лицензий 2019 может обрабатывать клиентские лицензии от всех предыдущих версий Windows Server, вплоть до Windows Server 2003.
Следуйте порядку обновления, рекомендованному в разделе «Обновление среды служб удаленных рабочих столов».
Если вы создаете среду с высокой доступностью, все ваши брокеры подключений должны быть на одном уровне ОС.
Брокеры подключений к RD
Windows Server 2016 снимает ограничение на количество брокеров подключений, которые могут быть в развертывании при использовании узлов сеанса удаленных рабочих столов (RDSH) и узлов виртуализации удаленных рабочих столов (RDVH), которые также работают под управлением Windows Server 2016. В следующей таблице показано, какие версии Компоненты RDS работают с версиями посредника подключений 2016 и 2012 R2 в высокодоступном развертывании с тремя или более посредниками подключений.
3+ брокера соединений в HA | RDSH или RDVH 2019 | RDSH или RDVH 2016 | RDSH или RDVH 2012 R2 |
---|---|---|---|
Посредник подключений Windows Server 2019 | Поддерживается | Поддерживается | Поддерживается |
Посредник подключений Windows Server 2016 | НЕТ | Поддерживается | Поддерживается |
Посредник подключений Windows Server 2012 R2 | НЕТ | НЕТ | Не поддерживается |
Поддержка ускорения графического процессора (GPU)
Службы удаленных рабочих столов поддерживают системы, оснащенные графическими процессорами.Приложения, для которых требуется графический процессор, можно использовать через удаленное соединение. Кроме того, можно включить рендеринг и кодирование с ускорением графического процессора для повышения производительности и масштабируемости приложения.
Хосты сеансов удаленных рабочих столов
и клиентские операционные системы с одним сеансом могут использовать преимущества физических или виртуальных графических процессоров, представленных операционной системе, разными способами, включая размеры виртуальных машин, оптимизированные для графического процессора Azure, графические процессоры, доступные для физического сервера RDSH, и графические процессоры. предоставляется виртуальным машинам поддерживаемыми гипервизорами.
См. Какая технология виртуализации графики вам подходит? за помощь в выяснении того, что вам нужно. Для получения конкретной информации о DDA, ознакомьтесь с планом развертывания дискретного назначения устройств.
Поставщики графических процессоров
могут иметь отдельную схему лицензирования для сценариев RDSH или ограничивать использование графических процессоров в серверной ОС, уточняйте требования у вашего любимого поставщика.
Графические процессоры
, представленные гипервизором сторонних производителей или облачной платформой, должны иметь драйверы с цифровой подписью WHQL и поставляемые поставщиком графических процессоров.
Поддержка хоста сеансов удаленного рабочего стола для графических процессоров
В следующей таблице показаны сценарии, поддерживаемые различными версиями хостов RDSH.
Элемент | Windows Server 2008 R2 | Windows Server 2012 R2 | Windows Server 2016 | Windows Server 2019 |
---|---|---|---|---|
Использование аппаратного графического процессора для всех сеансов RDP | Нет | Есть | Есть | Есть |
H.264 / AVC (если поддерживается графическим процессором) | Нет | Нет | Есть | Есть |
Балансировка нагрузки между несколькими графическими процессорами, представленными в ОС | Нет | Нет | Нет | Есть |
Оптимизация кодирования H.264 / AVC для минимизации использования полосы пропускания | Нет | Нет | Нет | Есть |
Поддержка H.264 / AVC для разрешения 4K | Нет | Нет | Нет | Есть |
Поддержка VDI для графических процессоров
В следующей таблице показана поддержка сценариев GPU в клиентской ОС.
Элемент | Windows 7 с пакетом обновления 1 (SP1) | Windows 8.1 | Windows 10 |
---|---|---|---|
Использование аппаратного графического процессора для всех сеансов RDP | Нет | Есть | Есть |
Аппаратное кодирование H.264 / AVC (если поддерживается графическим процессором) | Нет | Нет | Windows 10 1703 и выше |
Балансировка нагрузки между несколькими графическими процессорами, представленными в ОС | Нет | Нет | Windows 10 1803 и выше |
H.264 / AVC оптимизация кодирования для минимизации использования полосы пропускания | Нет | Нет | Windows 10 1803 и выше |
Поддержка H.264 / AVC для разрешения 4K | Нет | Нет | Windows 10 1803 и выше |
Поддержка 3D-видеоадаптера RemoteFX (vGPU)
Примечание
Из соображений безопасности RemoteFX vGPU отключен по умолчанию во всех версиях Windows, начиная с обновления безопасности от 14 июля 2020 г.Чтобы узнать больше, см. KB 4570006.
Службы удаленных рабочих столов
поддерживают виртуальные графические процессоры RemoteFX, когда виртуальная машина работает в качестве гостя Hyper-V на Windows Server 2012 R2 или Windows Server 2016. Следующие гостевые операционные системы имеют поддержку виртуальных графических процессоров RemoteFX:
- Windows 7 SP1
- Windows 8.1
- Windows 10 1703 или новее
- Windows Server 2016 только при развертывании за один сеанс
Поддержка назначения дискретных устройств
Службы удаленных рабочих столов
поддерживают физические графические процессоры, представленные с помощью дискретного назначения устройств с хостов Windows Server 2016 или Windows Server 2019 Hyper-V.Дополнительные сведения см. В разделе «План развертывания назначения дискретных устройств».
Развертывание
VDI — поддерживаемые гостевые ОС
Windows Server 2016 и Windows Server 2019 Хост-серверы виртуализации удаленных рабочих столов поддерживают следующие гостевые ОС:
- Windows 10 Корпоративная
- Windows 8.1 Корпоративная
- Windows 7 Корпоративная с пакетом обновления 1 (SP1)
Примечание
- Службы удаленных рабочих столов не поддерживают разнородные коллекции сеансов. Операционные системы всех виртуальных машин в коллекции должны быть одной версии.
- У вас могут быть отдельные однородные коллекции с разными версиями гостевой ОС на одном хосте.
- Хост Hyper-V, используемый для запуска виртуальных машин, должен быть той же версии, что и хост Hyper-V, который использовался для создания исходных шаблонов виртуальных машин.
Единый вход
Windows Server 2016 и Windows Server 2019 RDS поддерживает два основных режима единого входа:
- In-app (приложение удаленного рабочего стола в Windows, iOS, Android и Mac)
- Веб-единый вход
Используя приложение «Удаленный рабочий стол», вы можете безопасно хранить учетные данные либо как часть информации о подключении (Mac), либо как часть управляемых учетных записей (iOS, Android, Windows) с помощью механизмов, уникальных для каждой ОС.
Для подключения к рабочим столам и удаленным приложениям с помощью единого входа через клиент подключения к удаленному рабочему столу в папке «Входящие» в Windows необходимо подключиться к веб-странице удаленных рабочих столов через Internet Explorer. На стороне сервера требуются следующие параметры конфигурации. Никакие другие конфигурации не поддерживаются для Web SSO:
- Веб-узел удаленных рабочих столов настроен на проверку подлинности на основе форм (по умолчанию)
- Шлюз удаленных рабочих столов настроен на аутентификацию по паролю (по умолчанию)
- Для развертывания RDS задано значение «Использовать учетные данные шлюза удаленных компьютеров для удаленных компьютеров» (по умолчанию) в свойствах шлюза удаленных рабочих столов
Примечание
Из-за требуемых параметров конфигурации веб-единый вход для смарт-карт не поддерживается.Пользователи, которые входят в систему с помощью смарт-карт, могут столкнуться с несколькими запросами на вход.
Для получения дополнительной информации о создании VDI-развертывания служб удаленных рабочих столов ознакомьтесь с Поддерживаемыми конфигурациями безопасности Windows 10 для VDI служб удаленных рабочих столов.
Использование служб удаленных рабочих столов с прокси-службами приложений
Вы можете использовать службы удаленных рабочих столов с прокси приложения Azure AD. Службы удаленных рабочих столов не поддерживают использование прокси-сервера веб-приложения, который включен в Windows Server 2016 и более ранние версии.
.
Клиент удаленного рабочего стола — поддерживаемая конфигурация
- 2 минуты на чтение
В этой статье
Поддерживаемые ПК
Вы можете подключаться к компьютерам под управлением следующих операционных систем Windows:
- Windows 10 Pro
- Windows 10 Корпоративная
- Windows 8 Корпоративная
- Windows 8 Профессиональная
- Windows 7 Профессиональная
- Windows 7 Корпоративная
- Windows 7 Максимальная
- Windows 7 Максимальная
- Windows Server 2008
- Windows Server 2008 R2
- Windows Server 2012
- Windows Server 2012 R2
- Windows Server 2016
- Windows Multipoint Server 2011
- Windows Multipoint Server 2012
- Windows Small Business Server 2008
- Windows Small Business Server 2011
Следующие компьютеры могут использовать шлюз удаленного рабочего стола:
- Windows Server 2008
- Windows Server 2008 R2
- Windows Server 2012
- Windows Server 2012 R2
- Windows Server 2016
- Windows Small Business Server 2011
Следующие операционные системы могут служить серверами RD Web Access или RemoteApp:
- Windows Server 2008 R2
- Windows Server 2012
- Windows Server 2012 R2
- Windows Server 2016
Неподдерживаемые версии и выпуски Windows
Клиент удаленного рабочего стола не подключается к этим версиям и выпускам Windows:
- Windows 7 начальная версия
- Windows 7 Домашняя
- Windows 8 Домашняя
- Windows 8.1 дом
- Windows 10 Домашняя
Если вы хотите получить доступ к компьютерам, на которых установлена одна из этих версий Windows, мы рекомендуем вам выполнить обновление до версии Windows, которая поддерживает RDP.
Обмен сообщениями через шлюз удаленных рабочих столов не поддерживается
Клиент удаленного рабочего стола не поддерживает обмен сообщениями через шлюз удаленных рабочих столов. Убедитесь, что в политике доступа к ресурсам удаленного рабочего стола (RD RAP) для вашего сервера шлюза удаленных рабочих столов не указано значение Разрешать только компьютеры с поддержкой обмена сообщениями шлюза удаленных рабочих столов , иначе вы не сможете подключиться.
.
Разрешить несколько подключений к удаленному рабочему столу (RDP) в Windows Server 2012/2016
-
Клиент
Авторизоваться -
открыто
Билет - Онлайн-чат
- 888-404-1279
Хостинг
общий
Бизнес
Реселлер
White LabelVPS
Управляемый Linux
Удалось
WindowsНеуправляемый Linux
неуправляемых WindowsОблако
Преданный
Услуги
SSL
Компания
О нас
Награды
Дата-центров
Свяжитесь с намиПоддержка
Вход для клиентов
Открыть билет
Позвонить
ПоддержкаВход для клиентов
перейти к содержанию
Руководства Hostwinds
Поиск в базе знаний проводников Hostwinds
Поиск
Главное руководство Hostwinds ›Общие руководства› Операционные системы ›Windows.