Настройка терминального сервера windows server 2020: нужен ли в 2020 году?
Настройка терминального сервера в Windows Server
Итак, вы решили разделить ресурс созданного облачного сервера на несколько пользователей и, определили что подключаться они будут к серверу средствами клиента удаленных рабочих столов. В стандартном варианте Windows Server имеет две лицензии удаленного рабочего стола для использования администраторами в целях настройки сервера. Поэтому если к серверу требуется подключение более двух клиентов, понадобится активировать и настроить службу сервера терминалов.
Настройка сервера терминалов Windows Server не зависит от того, каким способом установлена операционная система, это может быть как аппаратный сервер, на которой Windows Server установлена нативно, без использования гипервизора, так и виртуальный сервер.
Наиболее частое применение терминального сервера Windows встречается в работе организации с 1С Предприятие. Настройка сервера для 1с в базом варианте не отличается от настройки для других применений.
При установке служб терминального сервера Windows Server следует сразу учитывать, будет ли использоваться сервер в доменной среде, или продолжит пребывать в рабочей группе. Далее опишем базовую настройку терминального сервера в Windows Server 2012 R2 в рабочей группе, как типовую для большинства небольших инсталляций, например на виртуальных или VPS серверах.
Если вы еще не заказали сервер у нас, то самое время! Будет что настраивать. Мы предлагаем как одиночные виртуальные VPS серверы, так и целое облако IaaS , где могут быть несколько серверов, объединенных в единую сеть!
Настройка службы сервера терминалов в Windows Server 2012 R2
В случае, если доменную среду использовать не планируется:
- Запустить средство управления «Диспетчер серверов»
Меню «Пуск» -> «Диспетчер серверов» или выполнить консольную команду «servermanager.exe»
2. Выбрать меню «Управление» -> «Добавить роли и компоненты»
3. В пункте «Тип установки» выбираем «Установка ролей и компонентов»
4. Выбираем сервер, на который будут установлены роли и компоненты, в нашем случае – это имя локального компьютера
5. Выбираем дополнительную роль сервера: «Службы удаленных рабочих столов»
6. Пропускаем выбор компонентов и переходим к выбору на странице «Службы ролей», выбираем и добавляем следующие компоненты: «Лицензирование удаленных рабочих столов» и «Узел сеансов удаленных рабочих столов»
7. Выбираем, разрешено ли мастеру добавления ролей и компонентов перезагрузить сервер автоматически, или же это необходимо будет сделать вручную (рекомендуется в случае, если в данный момент с сервером работают другие пользователи)
8. Жмем кнопку установить и дожидаемся полного завершения установки ролей после перезагрузки сервера:
9. Запустить средство управления «Диспетчер серверов» и выбрать меню «Средства» -> «Terminal Services» -> «Средство диагностики лицензирования удаленных рабочих столов»
10. В данном средстве мониторинга вы можете наблюдать все проблемы, связанные с лицензированием удаленных рабочих столов
11. Необходимо задать режим лицензирования и выбрать соответствующий сервер лицензирования
Заходим в редактор локальной групповой политики сервера – можно использовать консольную команду gpedit.msc
Следующий путь: «Конфигурация компьютера» -> «Административные шаблоны» -> «Компоненты Windows» -> «Службы удаленных рабочих столов» -> «Узел сеансов удаленных рабочих столов» -> «Лицензирование»
Потребуется изменить следующие параметры политики:
«Использовать указанные серверы лицензирования удаленных рабочих столов» -> «Включено» в поле «Использовать серверы лицензий» необходимо указать имя сервера лицензирования – в нашем случае, это WS2012R2RUS (имя компьютера можно посмотреть здесь: Система -> Полное имя компьютера)
«Задать режим лицензирования удаленных рабочих столов» -> «Включено» в поле «Укажите режим лицензирования для сервера узла сеанса удаленных рабочих столов» выбрать режим «На устройство» или «На пользователя»
12. Необходимо активировать сервер лицензирования на локальном компьютере, для этого переходим в Диспетчер серверов -> Средства -> Terminal Services -> Диспетчер лицензирования удаленных рабочих столов
Выбираем сервер по имени нажимаем на него правой кнопкой мыши и выбираем «Активировать сервер»
В мастере рекомендуется выбирать «Метод подключения» — «Авто» и указывать актуальные данные о пользователе. Если вы все сделали правильно, то сервер получит статус «Активирован»
Осталось только установить приобретенные RDS лицензии, и можно начинать их использование. Дополнительные лицензии RDS для наших облачных серверов можно заказать в личном кабинете, а заботливая поддержка поможет их вам установить!
Таким образом достаточно быстро можно настроить терминальный сервер в Windows Server и приступить к настройке прав и ролей пользователей, а также к настройке ваших приложений, например использовать сервер для 1с или другого программного обеспечения. Не забудьте также дополнительно проверить ваши настройки безопасности, а также активировать встроенный антивирус.
Рассказать друзьям:
Настраиваем Windows Server так, чтобы у вас все было, при этом вам за это ничего не было
Parallels Parallels Remote Application Server (RAS) представляет из себя RDP с человеческим лицом, но некоторые его фишки должны быть настроены на стороне Windows Server (либо в виртуальных машинах, которые вы используете). Под катом рекомендации Матвея Коровина из команды техподдержки Parallels о настройках Windows Server при использовании RAS.
Ниже будут представлены групповые политики, которые смогут сделать ваш Parallels RAS (или просто сервер терминалов) более удобным и безопасным. Для более целевого использования приведенных ниже конфигураций, рекомендуем создать отдельную группу пользователей Parallels RAS и применять групповые политики именно к ней.
Часть первая. «Запрещательная»
Прячем элементы эксплорера (Диски, кнопка «Пуск» и тд)
По умолчанию при подключении к терминальному серверу \ виртуальной машине пользователь, добавленный в группу «Пользователи удаленного рабочего стола» увидит полностью функциональный рабочий стол.
Локальные диски будут ему видны и часто доступны. Согласитесь, это неплохая дыра в безопасности, если пользователь даже со своими лимитированными правами будет иметь возможность доступа к локальным дискам и файлам на удаленном сервере.
Даже если установить правильное разграничение доступа и тем самым обезопасить себя пугливый юзверь все равно будет путать диски терминального сервера со своими локальными дисками и в ужасе звонить в тех поддержку. Наилучшим решением такой ситуации будет спрятать локальные диски терминального сервера от пытливого взора энд юзера.
Расположение групповой политики:
User Configuration\Policies\Administrative Templates\Windows Components\Windows Explorer
И измените значение следующих опций:
• Hide these specified drives in My Computer — изменив значение этой опции, вы можете убрать упоминание конкретных дисков из меню компьютера и всех связанных меню, однако это не запрещает доступ к дискам. Если пользователь задаст абсолютный адрес диска, то он откроется.
• Prevent access to drives from My Computer — запретить доступ к конкретным дискам. При включении этой опции доступ к дискам будет ограничен, но диски будут отображены в file explorer.
Что еще можно спрятать от пользователя, используя эту групповую политику:
• Remove Run menu from Start Menu – при активации убирает кнопку «Пуск» из меню
• Remove Search button from Windows Explorer – здесь все просто: поиск в эксплорере будет недоступен
• Disable Windows Explorer’s default context menu – это функция лишает пользователя возможности вызывать менюшку правым кликом мыши (можно купить старых мышек от мака и сэкономить на одной кнопке)
После написания этой части проснулась просто-таки депутатская страсть к запретам. На этом фоне стоит рассказать вам, какими способами можно запретить пользователю все.
И так поехали:
Запрещаем использование командной строки (даже если пользователь сможет открыть CMD ему останется просто любоваться черным окошком с уведомлением о запрете доступа)
Расположение групповой политики:
User Configuration → Policies → Administrative Templates → System → Prevent access to the command promt.
Меняем значение на enabled.
Опция Disable the command prompt script processing also запрещает пользователю выполнять скрипты.
Есть один нюанс: если у вас настроены логон скрипты при включении этой опции, они выполняться не будут.
Убираем кнопки выключения \ перезагрузки \ сна (будет обидно, если удаленный пользователь случайно выключит терминальный сервер)
Расположение групповой политики:
User Configuration → Administrative Templates → Start Menu and Taskbar → Remove and prevent access to the Shut Down, Restart, Sleep, and Hibernate Commands
При включении этой опции пользователь сможет только заблокировать сессию или разлогиниться из нее.
Запрещаем Автозапуск «Управление сервером» при логине
Расположение групповой политики:
Computer Configuration → Policies → Administrative Templates → System → Server Manager → Do not display Server Manager automatically at logon
Меняем значение на enabled.
Запрещаем запуск PowerShell
Расположение групповой политики:
User Configuration → Policies → Administrative Templates → System → Don’t run specified Windows applications
Включаем эту политику и добавляем туда следующие приложения
powershell.exe and powershell_ise.exe
Этой политикой можно запретить запуск любых установленных (а также не установленных) приложений.
Прячем элементы панели управления
Расположение групповой политики:
User Configuration → Administrative Templates → Control Panel → Show only specified Control Panel items.
При включении этой политики все элементы панели управления будут скрыты от пользователя. Если пользователю должны быть доступны какие-либо элементы, добавьте их в исключения.
Запрещаем запуск редактора реестра
Расположение групповой политики:
User Configuration → Policies → Administrative Templates → System → Prevent access to registry editing tools
Меняем значение на enabled.
Запрещаем все
Логичным завершением этой части статьи будет рассказ о том, как запретить пользователям все. Есть мнение, что пользователь должен подключиться к удаленному рабочему столу, посмотреть на него и, убедившись в торжестве технического прогресса, отключиться.
Для достижения этой цели нам нужно создать групповую политику добавления дополнительных ключей в реестре Windows:
Расположение групповой политики:
User Configuration\Preferences\ Windows Settings\Registry
Кликаем правой кнопкой мыши по Registry затем New затем Registry item
Добавляем новый REG_DWORD параметр RestrictRun со значением 1 в ключ реестра
HKCU\Software\Microsoft\Windows\CurrentVersion\Policies\Explorer\
Теперь пользователю запрещено запускать любые приложения кроме системных.
Как запретить ему пользоваться CMD и Power Shell описано выше.
Если вы все-таки решите (исключительно по доброте душевной) разрешить пользователям запуск каких-либо приложений, их нужно будет добавить в «разрешительный список» путем создания в ключе
HKCU\Software\Microsoft\Windows\CurrentVersion\Policies\Explorer\RestrictRun
Значением типа string, используя порядковый номер разрешаемой программы в качестве имени (нумерация как это не странно начинается с 1), и именем разрешаемой программы в качестве значения.
Пример:
HKCU\Software\Microsoft\Windows\CurrentVersion\Policies\Explorer\RestrictRun]
String Name:«1»=«notepad.exe»
String Name «2»=«calc.exe»
При такой конфигурации пользователь сможет запустить только блокнот и калькулятор.
На этом хочется закончить «Запрещательную» часть. Конечно, можно упомянуть еще некоторое количество «Низя», но все это настраивается через Parallels Client и встроенные политики Parallels RAS.
Часть вторая. «Время и прочая романтика»
Установка временных лимитов для удаленных сессий
Бывает, что пользователь запускает приложение в фоне и может даже не пользоваться им. Если для обычных приложений это не страшно, то запущенное в фоне опубликованное приложение / рабочий стол занимает лицензию, а лицензии, как бы дико это не звучало для России, стоят денег.
Для решения этого вопроса умные люди из Microsoft придумали различные статусы терминальных сессий и временные лимиты для них.
Какие бывают статусы терминальных сессий:
Active – сессия активна и в ней что-то происходит. Пользователь двигает мышкой, нажимает на кнопки и создает имитацию бурной деятельности
IDLE – соединение есть, сессия запущена, приложение работает, но пользователь активности не проявляет
Disconnected – пользователь нажал крестик и отключился. Объяснять конечному пользователю, что за зверь логоф и чем он питается — бесполезно.
Наиболее целесообразно устанавливать временные рамки на IDLE и Disconnected сессий.
В них ничего не происходит, а лицензии занимаются.
Добиться этого мы можем опять-таки, используя групповые политики.
Расположение групповой политики:
User Configuration → Policies → Administrative Templates Administrative Templates → Windows Components → Remote Desktop Services → Remote Desktop Session Host → Session Time Limits
В этой ветке есть несколько опций. Давайте разберем их все:
Set time limit for active but idle Remote Desktop Services sessions
Максимальное время работы для Active сессий.
Set time limit for active Remote Desktop Services sessions
Максимальное время работы для IDLE сессий.
Set time limit for disconnected sessions
Максимальное время работы для disconnected сессий.
End session when time limits are reached
Если установить эту политику в Enabled статус, то по достижению временного лимита сессии будут завершаться, а не отключаться.
Настройка временных лимитов – важный шаг для оптимизации работы сервера и оптимизации затрат на ПО.
Установка времени логина для пользователей или скажем нет переработкам
У каждого из нас есть рабочий день, а также утро, вечер и ночь. Но Британские (или Мальтийские) ученые недавно выяснили, что от работы, оказывается, можно заболеть или даже умереть. Работа — это очень сильный и опасный наркотик, поэтому в ярой заботе о любимых пользователях мы должны ограничить им время, когда они могут логиниться на сервер. А то надумают тоже работать из дома, отпуска и по выходным. И помогут нам в этом не групповые политики. Настройка времени работы находится в свойствах пользователя. Где-то далеко в начале этой статьи я упоминал, что все манипуляции лучше производить со специально созданной группой пользователей Parallels RAS, так вот, на примере этой группы мы и разберем, как установить часы работы.
Идем в левый нижний угол нашего экрана, нажимаем кнопку пуск и печатаем dsa.msc
Откроется всеми любимая оснастка Active Directory Users and Computers.
Найдите созданную вами группу пользователей Parallels RAS кликните по ней правой кнопкой мыши и зайдите в свойства. Во вкладке Account будет опция Logon Hours в которой нужно выбрать разрешенные и запрещенные часы работы для группы.
Итог этого раздела:
1. Вы великолепны
2. Жизни пользователей спасены от переработки
Часть третья. «Интерактивная»
Используя опубликованные ресурсы, часто приходится не только запрещать все подряд на сервере, но и перенаправлять в удаленную сессию локальные ресурсы. И если с принтерами, сканерами, дисками, звуком и COM портами никаких сложностей не возникнет, Parallels RAS прекрасно их перенаправляет без дополнительных настроек со стороны Windows, то с перенаправлением USB устройств и веб камер все не так просто.
Для перенаправления данного типа оборудования нужно, чтобы звезды сошлись в правильном порядке не только на сервере, но и на клиентской машине:
На компьютере пользователя измените следующую групповую политику:
Computer Configuration → Administrative Templates → Windows Components → Remote Desktop Services → Remote Desktop Connection Client → RemoteFX USB Device Redirection
Присвойте ей значение Enabled
Теперь в свойствах Parallels клиента (Connection Properties → Local Resources) вы сможете выбрать, какое именно из подключенных USB устройств должно быть перенаправлено на сервер.
Примечание: USB устройство может быть задействовано либо в опубликованном приложении, либо на локальном компьютере, но не одновременно и там, и там.
На стороне сервера необходимо установить драйверы и все необходимое ПО для работы USB устройства. К сожалению, универсального драйвера для всего подряд человечество еще не придумало.
На этом хотелось бы завершить обзор настроек Windows, которые будут важны для работы Parallels RAS.
З.Ы. Таких длинных текстов писать не доводилось давно, отсюда огромная благодарность всем тем, кто осилил эту статью.
Лицензирование сервера удаленных рабочих столов
В данной инструкции мы рассмотрим как лицензировать сервер удаленных рабочих столов (терминальный сервер), или другими словами настройка сервера для подключения к нему по RDP. Данная инструкция распространяется для версий Windows Server 2012, 2016 и 2019.
1) Первое, что нам нужно сделать — это добавить службы и роли удаленных рабочих столов, если Вы их еще не установили. Заходим в Active Directory => Установка ролей или компонентов => Выбор нужного сервера.
Далее добавляете в ролях «Службы удаленных рабочих столов», а в службе ролей «Лицензирование удаленных рабочих столов», так же можете установить «Узел сеансов удаленных рабочих столов» и «Шлюз удаленных рабочих столов».
2) Следующим пунктом нам нужно настроить групповую политику. Чтобы произвести настройку заходим в «Поиск» на панели инструментов => gpedit.msc => Конфигурация компьютера => Административные шаблоны => Компоненты Windows => Службы удаленных рабочих столов => Узел сеансов удаленных рабочих столов => Лицензирование.
Переходим в меню «Использовать указанные серверы лицензирования удаленных рабочих столов» и вводим в поле имя Вашего сервера, либо его IP.
После переходим в меню «Задать режим лицензирования удаленных рабочих столов», в раскрывающемся меню выбираем «На пользователя», либо «На устройство» в зависимости от Вашей лицензии. (см. 3 пункт про лицензию).
3) Теперь можно перейти непосредственно к самому лицензированию. Переходим в «Панель управления» => Администрирование => Remote Desktop Services => Диспетчер лицензирования удаленных рабочих столов.
Переходим в «Мастер активации сервера».
Выбираем рекомендуемый «Авто» метод подключения.
Далее вводите опционально имя и фамилию, название Вашей организации и страну размещения сервера. (Можно вводить любые данные, они не требуют проверки).
Приступаем к самому лицензированию после регистрации выше. Вам нужен ключ активации для лицензирования терминального сервера — CAL (Client Access Licence). В нашем случае — это будет лицензирование «На пользователя», он обеспечивает подключение 50 пользователей (клиентов) по RDP к серверу.
Приобрести ключи активации «На пользователя», или «На устройство» Вы можете в нашем интернет-магазине выбрав лицензию под Вашу версию Windows Server. Подробнее в каталоге Windows Server CAL на следующей странице.
При лицензировании — выбираем «Пакет лицензий в розницу» => Далее.
Вводим ключ активации, который Вы приобрели.
Далее в зависимости от лицензии она может определиться сразу на 50 пользователей, или устройств, либо Вам нужно будет это указать самим как на скриншоте ниже. (указав больше пользователей, чем позволяет лицензия — данная настройка просто не активируется). Тип лицензии соответственно выбираем «По пользователю», в нашем случае.
После возвращаемся в диспетчер лицензирования удаленных рабочих столов. И смотрим активирован ли сервер. Если да, то значит, что все прошло успешно. Но у Вас еще может быть «желтое предупреждение» на иконке сервера. Чтобы устранить проблемы переходим в «Рецензия». В меню данной «Рецензии» могут быть пункты которые нужно отметить, нажмите соответствующие кнопки, если они у вас будут.
Как установить и настроить терминальный сервер Microsoft Windows Server 2016 Standart
- Заметки
- Windows
- Как установить и настроить терминальный сервер Microsoft Windows Server 2016 Standart
01.08.2019
Добавление ролей и компонентов
Установка самой оси Microsoft Windows Server 2016 в рамках данной статьи рассматриваться не будет, только отдельно сама установка терминального сервера.
На будущем терминальном сервере открываем диспетчер сервера через Панель управления (Win + R Control) — Администрирование — Диспетчер серверов (Server Manager)
или через команду «Выполнить» (Win + R ServerManager). После чего переходим по вкладке Локальный сервер (Local Server)
Открываем мастер добавления ролей и компонентов, жмём далее, в типе установки отмечаем радиокнопкой пункт Установка ролей или компонентов (Role-based or feature-based installation),
выбираем сервер, жмём далее, чекбоксом отмечаем Службы удаленных рабочих столов. В службах ролей отмечаем для установки две службы: Лицензирование удаленных рабочих столов (Remote Desktop Licensing) и Узел сеансов удаленных рабочих столов (Remote Desktop Session Host),
жмём далее и потом установить. Дожидаемся конца установки и перезагружаем сервер, если это не было сделано автоматически по завершению установки.
Активация лицензии удалённых рабочих столов
Средства — Remote Desktop Services — Диспетчер лицензирования удаленных рабочих столов (RD Licensing Manager).
Раскрываем древо, правой кнопкой по нашему серверу вызываем выпадающее меню и выбираем пункт активировать сервер.
В мастер активации сервера вначале заполняем сведения об организации, а после устанавливаем саму лицензию. При выборе программы лицензии указываем Другое соглашение,
и указываем ключи активации купленной лицензии 6565792 (или любой другой. Для тестового сервера нагуглите за 2 минуты:»номер соглашения windows server 2016«. Ключ 6565792 — также является результатом выдачи поисковика google).
Выбираем версию продукта Windows Server 2016и тип лицензии Клиентская лицензия служб удаленных рабочих столов (на пользователя). Готово!
Но Средство диагностики лицензирования удаленных рабочих столов сообщает нам, что сервер лицензирования не включён. Чтож, поправим это дело через политики. Вызываем
командное меню «Выполнить» Win + R gpedit.msc. Переходим: Конфигурация компьютера (Computer Configuration) — Административные шаблоны (Administrative Templates) — Компоненты Windows (Windows Components) — Службы удаленных рабочих столов (Remote Desktop Services) — Узел сеансов удаленных рабочих столов (Remote Desktop Session Host) — Лицензирование (Licensing).
Тут поправим Использовать указанные серверы лицензирования удаленных рабочих столов (Use the specified Remote Desktop license servers) и Задать режим лицензирования удаленных рабочих столов (Set the Remote licensing mode).
Обновляем сведения в оснастке Средство диагностики лицинзирования удаленных рабочих столов. Теперь всё ок!
Изменение стандартного порта подключения
Стандартный порт для RDP подключения: 3389
Открываем реестр (Win + R regedit), переходим по ветке:
HKEY_LOCAL_MACHINE\System\CurrentControlSet\Control\Terminal Server\WinStations\RDP-Tcp
Находим ключ PortNumber, меняем систему исчисления на Десятичную и задаем необходимый номер порта.
Так же это можно сделать через командную строу:
reg add "HKLM\System\CurrentControlSet\Control\Terminal Server\WinStations\RDP-Tcp" /v PortNumber /t REG_DWORD /d НОВЫЙ_НОМЕР_ПОРТА /f
Возможные проблемы
Подключение было запрещено
Скорее всего вы при попытке подключиться увидите сообщение:»Подключение было запрещено, так как учетная запись пользователя не имеет прав для удаленного входа в систему«,
а всё из-за того, что 1 — терминальный сервер не настроен в домене на разрешение подключения к нему определённых пользователей; 2 — вы не добавили в группу Пользователи удаленного рабочего стола ни одного пользователя.
Возможно вам будет полезна статья о том как из Windows 10 сделать Терминальный сервер.
CredSSP
Ещё можете столкнуться с такой вот ошибкой: An authentication error has occurred. The function is not supported. This could be due to CredSSP encryption oracle remediation.
О ней я писал ранее в статье:»Ошибка RDP подключения: CredSSP encryption oracle remediation. Как исправить?».
А возникновение этой ошибки связано с тем, что на терминальном Windows сервере, на который идёт подключение, не установлены последние обновления безопасности (CredSSP обновления для CVE-2018-0886). После обновления система по умолчанию запрещает подключаться к удалённым серверам по RDP со старой версией протокола CredSSP.
Отсутствуют доступные серверы лицензирования удаленных рабочих столов
После настройки сервера всё шло хорошо, но только 120 дней. Потом случилось следущее:
Удаленный сеанс отключен, поскольку отсутствуют доступные серверы лицензирования удаленных рабочих столов.
Обратитесь к администратору сервера
А это означает что у вас установлен ключ льготного периода (grace period licensing), который необходимо удалить. Для этого вам нужно залогиниться на сервер локально.
Где удалять ключ льготного периода? В реестре под именем L$RTMTIMEBOMB. Идём по ветке реестра:
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Terminal Server\RCM\GracePeriod
Но не тут то было! У вас недостаточно прав, но и это нас не остановит. Жмём правой кнопкой мыши и меняем владельца на ветку реестра и даём полные права самому себе, после чего спокойно удаляем эту гадость).
Лично у меня после этого проблема с подключением продолжалась до тех пор пока не переустановил роли и компоненты.
Несколько независимых RDP портов на одном терминальном сервере
Добрый день! Уважаемые читатели и гости одного из крупнейших IT блогов в России. В прошлый раз мы с вами разобрали замечательную утилиту Remote Desktop Connection Manager для удобного администрирования и подключения к серверам по RDP. В сегодняшней публикации я хочу вас научить более рационально использовать ваш терминальный сервер и покажу, как в рамках одного сервера иметь несколько независимых RDP портов подключения и применяя разные настройки на них.
Принцип изолированного терминального сервера
Удаленный рабочий стол отлично подходит для подключения к компьютеру или серверу Windows по локальной или удаленной сети. Вы можете получить доступ к локальным дискам, принтерам, файлам и т.д., так если бы вы сидели перед ним. Я хочу вам предложить два примера использования подхода с разными портами RDP в рамках одного сервера или компьютера, с которыми вы можете столкнуться в своей практике.
Первый сценарий. Уникальное пространство для подрядчиков
Предположим, что у вас есть RDS ферма или отдельный терминальный стол. У вас есть две группы пользователей, первая это ваши сотрудники, а вторая, это подрядчики. У вас появилась задача для подрядчиков запретить пробрасывание локальных дисков, съемных носителей, буфера обмена и подключение к интернету. Логично, что вы скажете Иван, но ведь это можно сделать с помощью групповых политик и будите правы, но есть БОЛЬШОЕ НО. Буфер обмена вы можете запретить на уровне пользователя, а вот запретить подключение локальных дисков или съемных устройств для отдельной группы людей вы не можете, только на уровне компьютера, но слава Богу, что это можно обойти. Создав две или более независимые службы удаленного рабочего стола вы их используете на одном сервере.
Второй сценарий для проброса портов
Предположим, что у вас есть стационарный компьютер с Windows 10 или Windows Server. Есть роутер Mikrotik с внешним IP-адресов и на нем настроен проброс портов RDP. Когда у вас несколько серверов, то проблем с пробросом на разные порты нет, так как я вам рассказывал «Как поменять порт RDP», а что делать в рамках одного сервера. Это я вам и покажу в данной статье.
Как добавить новый порт прослушивания RDP на сервере терминалов
И так в моем тестовом окружении есть виртуальная машина на которой установлена Windows Server 2019, имеющая установленную роль RDS. На ней я хочу для подрядчиков поднять дополнительную службу RDP работающую по порту 3390. Доступ к стандартному порту 3389 для подрядчиков запрещу, а так же сделаю для них политику запрещающую:
- Перенаправление локальных дисков
- Перенаправление USB-дисков и устройств
- Запрет буфера обмена
- Запрет изменения прокси-сервера в Internet Explorer или Google Chrome
Чтобы все это провернуть, нам потребуется произвести манипуляцию с реестром Windows, путем копирования ветки и изменения ее настроек. Запустите окно выполнить и введите regedit.
Далее вам необходимо перейти в раздел реестра:
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\ Control\Terminal Server\WinStations\RDP-Tcp
Перед вами будет ветка реестра. которая отвечает за подключение к удаленному рабочему столу по стандартному порту 3389. Тут вы увидите большое количество ключей, которые нам помогут ограничить нужную группу людей, но об этом чуть ниже.
Чтобы добавить новый порт прослушивания RDP на сервере терминалов, вам необходимо скопировать текущую ветку реестра и затем ее видоизменить. Для этого мы произведем ее экспорт, через контекстное меню, выбрав соответствующий пункт меню.
Далее вам необходимо указать место сохранения вашей экспортируемой ветки реестра. В моем примере это будет рабочий стол и я задам имя 3390, по номеру будущего порта.
В результате у вас будет файл в формате .reg, который вы можете легко отредактировать любым текстовым редактором, мне будет достаточно встроенного блокнота в Windows Server 2019. Щелкаем по нему правым кликом и выбираем пункт изменить.
Находим третью строку с адресом ветки и меняем у нее на конце имя, в моем примере это будет RDP-Tcp-3390.
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\ Control\Terminal Server\WinStations\RDP-Tcp-3390
Обязательно сохраните настройки. Далее вам необходимо импортировать это reg файл на нужном терминальном сервере. Обратите внимание, что будет предупреждение, что вы должны понимать, что делаете. Если не хотите его видеть в своем сценарии, то можете сконвертировать reg файл в exe.
В результате будет создана новая ветка реестр.
Переходим в вашу новую ветку в редакторе. Пока она так же работает по порту 3389 и нам нужно его поменять, за это отвечает ключ PortNumber. Открываем его, переключаем в десятичное отображение и меняем номер порта на 3390
Если хотите использовать шеснадцатиричное представление ,то вам может помочь встроенный калькулятор в Windows, в режиме программиста. Тут число 3390 будет представлено в виде «D3E«.
Далее я хочу запретить для данного подключения по RDP буфер обмена, для этого есть ключ реестра fDisableClip. Если вы установите в fDisableClip значение «0», то буфер обмена между хостовой системой и удаленной будет работать, если вы выставите «1», то вы запретите использование общего буфера обмена.
Далее я хочу запретить перенаправление USB-устройств, локальных дисков на терминальный стол. Для этого есть ключ реестра fDisableCdm. По умолчанию у ключа fDisableCdm выставлено значение «0», что подразумевает возможность сопоставления клиентских дисков и их подключение в автоматическом режиме. Если вы выставите у fDisableCdm значение «1». то вы запретите перенаправление (проброс) USB и локальных дисков на терминальный стол.
Следующим шагом я сделал запрет изменения настроек прокси-сервера, если у вас интернет дается всем по умолчанию и нет обязательной аутентификации, например ISA или Kerio Control, то вы можете тут задать какие-то неработающие адреса, они будут блокировать интернет и пользователь не сможет их поменять, делая такой терминальный стол более изолированным.
Как ограничить порты подключения на терминальном сервере
По умолчанию, на оба RDP порта 3389 и 3390 (Созданный ранее) пользователи группы администраторы и пользователи удаленного рабочего стола имею права для подключения, это не совсем правильно. Что я хочу сделать:
- Члены группы администраторы должны иметь возможность подключаться к любому порту RDP
- Члены группы удаленного рабочего стола должны иметь возможность подключаться только к стандартному порту 3389
- А вот группа изолированные пользователи должны иметь возможность подключаться исключительно ко второму RDP порту 3390 (Изолированное окружение в рамках общего терминального сервера)
Вы открываете оснастку «Active Directory Пользователи и компьютеры» и создаете отдельные группы, я создам группу term-svt2019s01-rdp-3390 для изолированного подключения.
В группу term-svt2019s01-rdp-3390 я добавлю пользователя Барбоскина Генная Викторовича.
Далее вам нужно нужного пользователя. в моем случае Барбоскина Генная Викторовича исключить из группы администраторы или группы удаленного рабочего стола, если он в них состоял и назначить права доступа на порт 3390 для группы term-svt2019s01-rdp-3390. Сделать штатными средствами в операционных системах Windows Server 2012 R2 и выше вы не сможете, так как в оснастке по управлению RDS фермой нет такой функции, но не все потеряно.
В операционных системах Windows Server 2008 R2 и ниже, при установке терминального сервера были замечательные оснастки TSADMIN.msc (Remote Desktop Services Manager) и TSCONFIG.msc (Remote Desctop Session Host Configuration). Это были великолепные инструменты помогающие в удобном интерфейсе взаимодействовать с терминальными подключениями и настройками. Именно благодаря TSCONFIG.msc у вас была возможность настроить разрешения на подключение к конкретному RDP порту. У меня для таких целей всегда есть виртуальная машина с установленными на нее оснастками, которые добавляются при установке роли терминального сервера.
Запускаем оснастку «Конфигурация узла сеансов удаленных рабочих столов (Remote Desctop Session Host Configuration)». Щелкаем по корню и из контекстного меню выбираем пункт «Подключиться к серверу узла сеансов удаленных рабочих столов«
Выбираем сервер на котором вы настроили два разных RDP порта.
Щелкаем по изолированному подключению правым кликом и открываем его свойства.
Перейдите на вкладку «Безопасность«. Обратите внимание, что тут по умолчанию у группы «Пользователи удаленного рабочего стола» выставлены права на:
- Доступ пользователя
- Доступ гостя
Обращу ваше внимание, что данная вкладка почему-то доступна исключительно из операционной системы Windows Server 2008R2, с установленными компонентами, в Windows Server 2012 R2 и выше после регистрации оснасток, эта вкладка почему-то отсутствовала. Если кто-то знает причину, то напишите в комментариях
Вы так же можете более подробно посмотреть, что именно требуется для подключения по удаленному рабочему столу.
Удаляем из списка доступа (DACL) группу «Пользователи удаленного рабочего стола» и нажимаем кнопку «Добавить«. В открывшемся окне найдите вашу группу доступа
Можем более тонко выставить разрешения. Сохраняем все.
Открытие порта для второго RDP подключения
Наш изолированный терминальный стол почти готов, вам нужно не забыть открыть порты на брандмауэре Windows или другом фаэрволе, который вы используете. Я это буду делать через утилиту netsh. Я вам уже приводил пример такого правила в статье, где я удаленно включал RDP подключение. Откройте командную строку от имени администратора и запустите вот такую команду:
netsh advfirewall firewall add rule name=»allow RemoteDesktop 3390″ dir=in protocol=TCP localport=3390 action=allow
Создание RDP файла подключения
Запустите клиента «Подключения к удаленному рабочему столу». Укажите адрес подключения, порт подключения, имя пользователя и нажмите кнопку «Сохранить как«
Выбираем место сохранения RDP файла с подключением к изолированному терминальному серверу.
Чем хорошо файлы формата rdp можно легко редактировать и открывать с помощью любого текстового редактора.
В итоге вы можете производить нужные вам настройки в рамках данного клиента. После чего сохраните файл и передайте его сотруднику для подключения.
На этом у меня все. Мы с вами разобрали как создать несколько независимых RDP портов на одном терминальном сервере. С вами был Иван Семин, автор и создатель IT портала Pyatilistnik.org,
Максимальная производительность RDP в Windows Server
Эта статья актуальна для Windows Server 2019 в качестве сервера и Windows 10 в качестве клиента RDP. В статье мы рассмотрим шаги, которые следует предпринять для достижения максимальной производительности терминальных сессий RDP в Windows Server.
1. Коротко об основном
В Windows 10 вместе с стандартным клиентом удаленного стола (MSTSC), появился новый клиент для осуществления удаленных подключений Remote Desktop (MSRDC) client, проинсталлировать который можно из магазина Microsoft Windows 10.
Отметим, что изначально MSRDC поддерживал удаленные подключения с Windows Virtual Desktop (VDI). На данный момент существуют клиенты для Windows Desktop, Android, iOS, macOS.
Можно сравнить два типа клиентов для удаленных подключений – MSTSC и MSRDC.
Тестирование проводилось на виртуальных машинах с Windows Server 2019 и Windows 10.
В качестве теста копировался файл с клиента на сервер. По итогу тестирования имеем такие результаты – копирование с помощью MSTSC:
Для сравнения – скриншоты процесса копирования файла с помощью MSRDC:
Как видим, файл копируется быстрее с помощью mstsc, но при этом mstsc создает значительно более высокую нагрузку на сеть и ЦП, занимая практически все доступные ресурсы. При этом использование нового клиента MSRDC выглядит более предпочтительным, т.к. при большом количестве одновременных подключений будет создавать более пологий график нагрузки на системные ресурсы, чем MSTSC.
С другой стороны, хочется отметить «сырость» нового клиента для удаленных подключений. К примеру, копирование файлов с сервера на клиент попросту не работает. При этом оба клиента используют протокол TCP для подключения к серверу.
2. Сжатие передачи данных при подключении к серверу
Для клиентов RDP можно настроить сжатие передачи данных при подключении к серверу.
Для этого на сервере необходимо открыть объект локально групповой политики и изменить значение:
Конфигурация компьютера → Административные шаблоны → компоненты Windows→ Службы удаленных рабочих столов → Удаленный рабочий стол узле сеансов → Среда удаленного сеанса → Настроить сжатие для данных RemoteFX.
Есть возможность оптимизировать работу сервера за счет оптимизацию работы памяти, пропускной способности сети, баланс памяти и пропускной способности сети, либо отключить механизм сжатия.
Для эксперимента попробуем оптимизировать работу за счет оптимизации работы пропускной способности сети.
Меняем параметр и перезагружаем сервер:
Смотрим, что получилось для MSTSC:
Как видим – ничего не поменялось. Это потому, что данный механизм будет заметен только на большом количестве подключений. Тогда-то мы и увидим уменьшение потребления пропускной способности сети.
3. Отключение перенаправленных устройств
Настройка с помощью GPO находится в:
Конфигурация компьютера → Административные шаблоны → Компоненты Windows → Службы удаленных рабочих столов → Удаленный узел сеансов рабочего стола → Перенаправление устройств и ресурсов.
Здесь можно включить или отключить параметры перенаправления для клиентских устройств. В том числе – видеозахват, воспроизведение и запись звука, буфер обмена, перенаправление com портов, перенаправление LPT-портов, локальных дисков, самонастраивающихся устройств, устройств чтения смарт карт и перенаправления часового пояса.
Чем больше перенаправленных устройств используется, тем больше пропускной способности сети сервера они поглощают.
Перенаправленные принтеры и устройства Plug & Play потребляют ресурсы процессора также при входе в сеанс RDP.
Перенаправление звука создает устойчивый сетевой трафик. Приложения, использующие перенаправление звука, могут потреблять значительные ресурсы процессора.
4. Параметры интерфейса клиента
- Отключить фоновый рисунок, это значительно снизит потребление пропускной способности сети.
- Кеш точечных рисунков необходимо всегда включать, т.к. в этом случае создается клиентский кэш растровых изображений, отображаемых в сеансе, что значительно снижает использование пропускной способности.
- Имеет смысл выключать отображение содержимого окон при перетаскивании, т.к. это снижает нагрузку на сеть за счет отображения только рамки окна вместо всего содержимого.
- Точно так же стоит отключать анимацию меню и окон, поскольку она увеличивает нагрузку на сетевую подсистему
- ClearType нужно включать для систем более ранних, чем Windows 7 и Windows 2008 R2
- Стили оформления – параметр, актуальный для систем Windows 7 и более ранних. Если параметр отключен, пропускная способность снижается за счет упрощения чертежей, использующих классическую тему.
- Серьезно влияет на загрузку ЦП и пропускной способности сети и разрешение экрана, с которым клиент подключается к серверу.
- Корпорация Microsoft рекомендует оставлять параметры подключения клиента в автоматическом режиме, но есть смысл попробовать выставить параметры вручную.
Например, если вы выставите на клиенте настройку «Подключаться со скоростью модем 56 Кбит/с – это отключит множество визуальных эффектов и значительно ускорит работу сервера в контексте подключения большого числа клиентов RDP.
5. Параметры конфигурации сервера RDP
- Файл подкачки на сервере должен иметь достаточный размер. При нехватке виртуальной памяти в работе сервера могут возникать сбои.
- Антивирус может значительно замедлить работу системы. Особенно серьёзно он может влиять на загрузку ЦП. Есть рекомендация исключать папки с временными файлами, особенно те, которые создаются системой.
- Планировщик заданий может содержать большое количество заданий, ненужных на сервере RDS. Их есть смысл отключать.
- На сервере RDS рекомендуется отключать все уведомления рабочего стола, поскольку они могут потреблять значительное количество системных ресурсов.
Установка служб удаленного рабочего стола , терминального сервера RDS TS на Windows Server
Пример тестового стенда windows server 2016 2019 RDS TS для standard и datacenter , не для essentials
1)Вводим Windows сервер в домен join server to domain Active Directory
PS
add-computer -domainname 5house.win -cred 5house.win\Администратор restart-computer
2)Залогинится с правами администратора на windows север
Добавляем роль и компоненты служб удаленного рабочего стола на основе сеансов
добавим функцию RDS , Add the role and components of Remote Desktop Services based on sessions
add RDS function
PS
Add-WindowsFeature –Name RDS-RD-Server –IncludeAllSubFeature -Restart
Remote Desktop Services-RDS-install-gui
3)Чтобы установить три обязательных компонента RDS в стандартном развертывании, используйте командлет New-SessionDeployment, как показано ниже, заменив значения параметров -ConnectionBroker, -WebAccessServer и -SessionHost с именами серверов, на которых вы хотите для установки этих ролей.
PS
Import-Module RemoteDesktop New-SessionDeployment –ConnectionBroker MSK01-RDS.5house.win –WebAccessServer MSK01-RDS.5house.win –SessionHost MSK01-RDS.5house.win
4)Теперь нам нужно активировать наш сервер лицензий и установить клиентские лицензии через графический интерфейс диспетчера лицензирования на сервере лицензий.
Я активировал сервер лицензий и установил клиентские лицензии PerUser.
Типы клиентских терминальных лицензий (RDS CAL)
Каждый пользователь или устройство, которое подключается к серверам Remote Desktop Session должно иметь клиентскую лицензию (CAL — client access license). Есть два типа терминальных CAL.
На устройство (Per Device CAL) – это постоянный тип лицензии, назначающаяся компьютеру или устройству, которое подключается к RDS серверу более одного раза (при первом подключении устройства ему выдается временная лицензия). Данные лицензии не являются конкурентными, т.е. если у вас 10 лицензий Per Device, то к вашему RDS серверу смогут подключится всего 10 хостов.
На пользователя (Per User CAL) – такой тип лицензии позволяет одному пользователю подключаться к серверу RDS с любого количества компьютеров/устройств. Данный тип лицензий привязывается к пользователю Active Directory, но выдается не навсегда, а на определенный период времени (90 дней по-умолчанию).
Давайте настроим наше развертывание для лицензирования. Для этого используется командлет ниже:
PS
Set-RDLicenseConfiguration -LicenseServer MSK01-RDS.5house.win -Mode PerUser -ConnectionBroker MSK01-RDS.5house.win
5)Создадим коллекцию со списком подключения
PS
New-RDSessionCollection –CollectionName SessionCollection –SessionHost MSK01-RDS.5house.win –CollectionDescription “This Collection is for Desktop Sessions” –ConnectionBroker MSK01-RDS.5house.win
6)Контроль доступа на основе группы для подключения (dsa.msc) к RDP сервера msk01-rds
Удалив на сервере msk01-rdp в локальной группе Пользователи удаленного рабочего стола группу
5HOUSE\Пользователи домена и добавить доменную группу 5HOUSE\MSK01-RDS-Users , выключить запрос разрешения пользователя на удаленное управление для конкретного пользователя в ad
7)Групповая политика GPO или gpedit.msc согласие пользователя на теневое подключение shadow connection
Конфигурация Компьютера \ Административные шаблоны\Компоненты Windows\ Службы удаленных рабочих столов \ Узел сеансов удаленных рабочих столов \Подключения
cmd gpupdate /force
при малом белом квадрате mstsc — перезагрузите сервер MSK01-RDS
8)Диспетчер серверов\Службы удаленных рабочих столов\Коллекции\SessionCollection Remote Desktop Services-RDS-shadow-connect
9)Веб доступ к удаленным рабочим столам URL
https://msk01-rds.5house.win/RdWeb
10)Настройки параметров сеанса Session Settings RDS
Диспетчер серверов\ Службы удаленных рабочих столов\ коллекции \свойства \задачи \ Коллекция сеансов
настройка параметров сеанса : Окончание разъединенного сеанса , Ограничение активности сеанса, Ограничение бездействующего сеанса ; никогда 2 часа
https://blogs.technet.microsoft.com/askperf/2015/03/04/step-by-step-instructions-for-installing-rds-session-deployment-using-powershell-in-windows-server-2012-r2/
Setting up a 2012 R2 RDS Gateway for a workgroup
Вы выполнили вход с учетной записью администратора. Чтобы управлять серверами и коллекциями, вам необходимо выполнить вход в качестве пользователя домена.
Руководство по настройке конфигурации сервера терминалов
— Среда быстрого запуска
Последнее обновление 11 сентября 2020 г.
Конфигурация сервера терминалов
— с помощью служб терминалов Windows организации могут предоставлять сотрудникам доступ к приложениям Windows практически с любого устройства, независимо от географического положения.Службы терминалов (известные как RDS, начиная с Windows 2008 R2) — это роль сервера в Windows Server, которая позволяет серверу выполнять несколько одновременных клиентских сеансов для рабочих столов и приложений Windows. Это предоставляет организациям высокозащищенное и экономичное решение для управления и развертывания рабочих столов и приложений для многих пользователей независимо от используемого устройства, вместо того, чтобы управлять ПК индивидуально. Пользователи получают доступ к приложениям, рабочим столам и данным с настольных ПК, мобильных устройств или тонких клиентов без фактической установки программного обеспечения.Приняв эту модель, организации получают выгоду от простого развертывания и обновлений приложений, кроссплатформенной поддержки, повышенной безопасности, мобильности и упрощенной ИТ-поддержки. С такими инструментами, как T
.
Настройка терминала / сервера связи — Cisco
Терминал или коммуникационный сервер обычно обеспечивает внеполосный доступ для нескольких устройств. Терминальный сервер — это маршрутизатор с несколькими низкоскоростными асинхронными портами, которые подключены к другим последовательным устройствам, например модемам или консольным портам на маршрутизаторах или коммутаторах.
Терминальный сервер позволяет использовать единую точку для доступа к консольным портам многих устройств. Терминальный сервер избавляет от необходимости настраивать сценарии резервного копирования, такие как модемы на вспомогательных портах, для каждого устройства.Вы также можете настроить один модем на вспомогательном порте терминального сервера для предоставления услуг удаленного доступа другим устройствам при сбое сетевого подключения.
В этом документе показано, как настроить сервер терминалов для доступа только к консольным портам на других маршрутизаторах через обратный Telnet. Обратный Telnet позволяет вам установить Telnet-соединение на том же устройстве, с которого вы используете Telnet, но на другом интерфейсе. Дополнительные сведения о обратном Telnet см. В разделе «Установление обратного сеанса Telnet с модемом».
Требования
Для этого документа нет особых требований.
Используемые компоненты
Этот документ не ограничивается конкретными версиями программного и аппаратного обеспечения.
Условные обозначения
Дополнительные сведения об условных обозначениях в документах см. В разделе «Условные обозначения технических советов Cisco».
Информация в этом документе была создана на устройствах в определенной лабораторной среде. Все устройства, используемые в этом документе, были запущены с очищенной (по умолчанию) конфигурацией.Если ваша сеть работает, убедитесь, что вы понимаете потенциальное влияние любой команды.
Маршрутизаторы Cisco серии 2509–2512 используют 68-контактный разъем и переходной кабель. Этот кабель (CAB-OCTAL-ASYNC) обеспечивает восемь асинхронных портов RJ-45 для свернутого кабеля на каждом 68-контактном разъеме. Вы можете подключить каждый асинхронный порт свернутого кабеля RJ-45 к консольному порту устройства. Маршрутизатор 2511 обеспечивает удаленный доступ к максимум 16 устройствам. Кроме того, для маршрутизаторов серий Cisco 2600 и 3600 доступны асинхронные сетевые модули высокой плотности NM-16A или NM-32A, обеспечивающие ту же функцию.Для получения дополнительной информации о кабельной разводке см. Let’s Connect: Your Serial Cable Guide и Cabling Guide for Console and AUX Ports.
Примечание: Асинхронные порты 68-контактного разъема являются устройствами оконечного оборудования данных (DTE). От DTE к устройствам DTE требуется свернутый (нуль-модемный) кабель, а для устройств DTE с оконечным оборудованием канала передачи данных (DCE) требуется прямой кабель. Кабель CAB-OCTAL-ASYNC свернут. Таким образом, вы можете подключить каждый кабель напрямую к консольным портам устройств с интерфейсами RJ-45.Однако, если консольный порт устройства, к которому вы подключаетесь, является 25-контактным интерфейсом (DCE), вы должны использовать адаптер RJ-45 на 25-контактный с пометкой «Модем» (чтобы перевернуть «рулон»), чтобы завершить соединение.
В этой таблице показаны типы портов для консольных и вспомогательных портов на маршрутизаторах и коммутаторах Cisco:
| Тип интерфейса | DB25 Интерфейс | Интерфейс RJ-45 |
|---|---|---|
| Консоль | DCE | DTE |
| AUX | DTE | DTE |
Настройте терминальный сервер так, чтобы вы могли получить доступ к терминальному серверу из любого места.Чтобы сделать терминальный сервер доступным, назначьте зарегистрированный общедоступный Интернет-адрес и найдите сервер за пределами брандмауэра. Когда вы это сделаете, проблемы с брандмауэром не прервут ваше соединение. Вы всегда можете поддерживать подключение к серверу терминалов и получать доступ к подключенным устройствам. Если вас беспокоит безопасность, настройте списки доступа, чтобы разрешить доступ только к серверу терминалов с определенных адресов. Для более надежного решения безопасности вы также можете настроить серверную аутентификацию, авторизацию и учет (AAA), например, RADIUS или TACACS +.Для получения дополнительной информации об AAA см. Аутентификацию, авторизацию и учет (AAA).
Вы можете настроить модем на вспомогательном порте терминального сервера для резервного копирования по телефону в случае разрыва основного соединения (через Интернет). Такой модем избавляет от необходимости настраивать резервное копирование по телефонной линии для каждого устройства. Терминальный сервер подключен через свои асинхронные порты к консольным портам других устройств. Для получения дополнительной информации о том, как подключить модем к порту AUX, см. Руководство по подключению модема к маршрутизатору.
Используйте оператор ip default gateway и укажите на маршрутизатор следующего перехода в Интернете. Эта команда позволяет подключаться к серверу терминалов через Интернет, даже если маршрутизация не включена. Например, сервер терминалов находится в режиме монитора ПЗУ (ROMMON) в результате неудачной перезагрузки после отключения электроэнергии.
В этом разделе представлена информация для настройки функций, описанных в этом документе.
Примечание: Чтобы найти дополнительную информацию о командах, используемых в этом документе, используйте инструмент Command Lookup Tool (только для зарегистрированных клиентов).
Схема сети
В этом документе используется следующая настройка сети:
Конфигурации
В этом документе используется следующая конфигурация:
| Cisco 2511 |
|---|
aus-comm-server # показать рабочую конфигурацию ! версия 12.0 сервисные отметки времени отладки datetime msec localtime show-timezone отметки времени службы журнал datetime мсек местное время show-timezone сервисное шифрование паролей ! имя хоста aus-comm-server ! включить секрет <удалено> ! имя пользователя пароль cisco <удалено> ! IP подсеть-ноль ip список-доменов cisco.com нет IP-поиска домена ip хост 3600-3 2014 172.21.1.1 ! --- Хост 3600-3 подключен к порту 14 коммуникационного сервера. ! --- Убедитесь, что это IP-адрес интерфейса на коммуникационном сервере. IP хост 3600-2 2013172.21.1.1 IP хост 5200-1 2010 172.21.1.1 ip хост 2600-1 2008 172.21.1.1 IP-хост 2509-1 2007 172.21.1.1 IP хост 4500-1 2015 172.21.1.1 ip хост 3600-1 2012 172.21.1.1 IP-хост 2511-2 2002 172.21.1.1 IP-хост 2511-RJ 2003 172.21.1.1 IP-хост 2511-1 2001 172.21.1.1 IP хост 5200-2 2011 172.21.1.1 IP-хост 2520-1 2004 172.21.1.1 IP хост 2520-2 2005 172.21.1.1 ip хост 2600-2 2009 172.21.1.1 IP-хост 2513-1 2006 172.21.1.1 IP хост pix-1 2016 172.21.1.1 ! ! максимальное время процесса 200 ! интерфейс Loopback1 IP-адрес 172.21.1.1 255.0.0.0 ! --- Этот адрес используется в командах IP-хоста. ! --- Работа с loopback-интерфейсами, которые виртуальны и всегда доступны. нет IP-трансляции ! интерфейс Ethernet0 IP-адрес 171.55.31.5 255.255.255.192 ! --- Используйте общедоступный IP-адрес для обеспечения возможности подключения. Нет IP-трансляции нет ip mroute-cache ! интерфейс Serial0 нет IP-адреса нет IP-трансляции нет ip mroute-cache неисправность ! IP-шлюз по умолчанию 171.55.31.1 ! --- Это шлюз по умолчанию, когда маршрутизация отключена.! --- Например, если маршрутизатор находится в режиме загрузочного ПЗУ. ip бесклассовый IP-маршрут 0.0.0.0 0.0.0.0 171.55.31.1 ! --- Установите маршрут по умолчанию для внешней сети. нет IP http сервера ! линия con 0 транспорт ввод все строка 1 16 время ожидания сеанса 20 ! --- Время ожидания сеанса истекает через 20 минут бездействия. нет exec ! --- Нежелательные сигналы от подключенного устройства не запускаются. ! --- Сеанс EXEC гарантирует, что линия никогда не станет недоступной! --- из-за несанкционированного процесса EXEC. время ожидания выполнения 0 0 ! --- Это отключает весь транспортный ввод времени ожидания выполнения. ! --- Разрешить всем протоколам использовать линию. ! --- Настройте строки 1–16 как минимум на транспортный вход Telnet. линия aux 0 ! --- Вспомогательный порт может обеспечивать резервное копирование по телефонной линии в сеть. ! --- Примечание: Эта конфигурация не реализует модем на порте AUX модем InOut. ! --- Разрешить вспомогательному порту поддерживать исходящие и исходящие соединения. транспорт предпочтительный telnet транспорт ввод все скорость 38400 оборудование управления потоком линия vty 0 4 время ожидания выполнения 60 0 пароль <удален> авторизоваться ! конец |
Примечание: Если вы используете 3600 в качестве сервера доступа, обратитесь к разделу «Как нумерация асинхронных линий в маршрутизаторах Cisco серии 3600» для получения подробной информации о номерах линий.
Сводка команд
ip host — Используйте эту команду для определения преобразования имени в адрес статического хоста в кэше хоста. для удаления сопоставления имени и адреса используйте форму no этой команды.
транспортный вход — Используйте эту команду для определения протоколов, которые будут использоваться при подключении к определенной линии маршрутизатора.
транспортный ввод {все | лат | швабра | наси | нет | колодка | rlogin | телнет | версия 120}
all — All выбирает все протоколы.
нет — Нет запрещает выбор любого протокола на линии. В этом случае порт становится непригодным для входящих соединений.
Примечание: В нашем примере конфигурации в асинхронных строках используется минимальная конфигурация команды telnet transport input . Таким образом, вы можете использовать Telnet с устройствами на асинхронной линии.
telnet — Используйте эту команду EXEC для входа на хост, поддерживающий Telnet.
Переключение между активными сеансами
Выполните следующие действия для переключения между активными сеансами:
Используйте escape-последовательность Ctrl-Shift-6 , затем x , чтобы выйти из текущего сеанса.
Используйте команду show sessions для отображения всех открытых соединений.
aus-comm-server # показать сеансы Conn Адрес хоста Байт Idle Имя соединения 1 2511-1 171.69.163.26 0 0 2511-1 2 2511-2 171.69.163.26 0 0 2511-2 * 3 2511-3 171.69.163.26 0 0 2511-3
Примечание: Звездочка (*) указывает текущий сеанс терминала.
Введите номер сеанса (соединения) для подключения к соответствующему устройству. Например, чтобы подключиться к 2511-1, введите 1 , который является номером подключения. Однако если вы нажмете клавишу возврата, вы подключитесь к текущему сеансу терминала, которым в данном случае является маршрутизатор 2511-3.
Завершить активные сеансы
Выполните следующие действия, чтобы завершить конкретный сеанс Telnet:
Используйте escape-последовательность Ctrl-Shift-6 , затем x , чтобы выйти из текущего сеанса Telnet.
Примечание: Убедитесь, что вы можете надежно выполнить escape-последовательность, чтобы приостановить сеанс Telnet. Некоторые пакеты эмулятора терминала не могут отправлять правильную последовательность, Ctrl-Shift-6, затем x.
Введите команду show sessions , чтобы отобразить все открытые соединения.
Введите команду disconnect [connection] , чтобы отключить требуемый сеанс.
В этом разделе представлена информация, которую вы можете использовать, чтобы убедиться, что ваша конфигурация работает правильно.
Определенные команды show поддерживаются Средством интерпретации выходных данных (только для зарегистрированных клиентов), который позволяет просматривать анализ выходных данных команды show .
В этом разделе представлена информация, которую можно использовать для устранения неполадок в конфигурации.
Процедура поиска и устранения неисправностей
Следуйте этим инструкциям, чтобы устранить неполадки в конфигурации.
Если вы не можете подключиться к выбранному маршрутизатору с именем, настроенным в команде ip host , проверьте:
Проверьте, правильно ли настроен адрес порта.
Убедитесь, что адрес (интерфейс), используемый для обратного Telnet, активен / активен. Эту информацию предоставляет выходные данные команды show ip interfacerief .Cisco рекомендует использовать петли, потому что они всегда активны.
Убедитесь, что у вас правильный тип кабеля. Например, для увеличения длины нельзя использовать перекрестный кабель. Обратитесь к разделу «Кабели» для получения дополнительной информации.
Установите соединение Telnet с портом IP-адреса для проверки прямого соединения. Вы должны использовать telnet как с внешнего устройства, так и с терминального сервера. Например, telnet 172.21.1.1 2003 .
Убедитесь, что у вас есть команда transport input telnet под строкой для целевого устройства. Целевое устройство — это устройство, подключенное к терминальному серверу.
Используйте ПК / терминал для прямого подключения к консоли целевого маршрутизатора. Целевой маршрутизатор — это устройство, подключенное к терминальному серверу. Этот шаг поможет вам определить наличие проблемы с портом.
Если вы отключены, проверьте таймауты.Вы можете удалить или настроить таймауты.
Примечание: Если вы столкнулись с ошибками аутентификации, помните, что сервер терминалов выполняет первую аутентификацию (если настроен), а устройство, к которому вы пытаетесь подключиться, выполняет вторую аутентификацию (если настроено). Убедитесь, что AAA правильно настроен как на сервере терминалов, так и на подключаемом устройстве.
.
Что такое терминальный сервер? У параллелей есть ответ
Последнее обновление 15 апреля 2020 г.
Терминальный сервер — это сервер или сетевое устройство, которое позволяет подключаться к нескольким клиентским системам для подключения к сети LAN без использования модема или сетевого интерфейса.Microsoft представила эту концепцию, выпустив терминальные службы как часть операционной системы Windows Server. Терминальные службы были неотъемлемой частью выпусков ОС Windows Server, начиная с Windows NT 4.0. С выпуском Windows Server 2008 R2 службы терминалов были переименованы в службы удаленных рабочих столов (RDS). Перед внедрением этой технологии важно знать , что такое терминальный сервер и почему вы должны его использовать.
Зачем нужен терминальный сервер?
Терминальные серверы
позволяют предприятиям централизованно размещать приложения и ресурсы и публиковать их на удаленных клиентских устройствах независимо от местоположения и платформы устройства конечного пользователя.Терминальный сервер дает множество преимуществ. Во-первых, терминальные серверы предоставляют конечным пользователям доступ к ресурсам компании из любого места и с любого устройства. Во-вторых, они обеспечивают единую точку обслуживания и позволяют контролировать инфраструктуру с центральной панели управления. В-третьих, приложения устанавливаются один раз и регулярно обновляются на сервере, поэтому нет необходимости устанавливать или обновлять программу на каждой машине в сети. Кроме того, с одновременными лицензиями вместо лицензии на устройство
.
Настройка лицензирования удаленных рабочих столов для лесов доменов или рабочих групп — Windows Server
- 3 минуты на чтение
В этой статье
В этой статье содержится информация по вопросам о возможности поддержки (или рекомендуемом подходе) настройки лицензирования удаленного рабочего стола (RD) в домене, лесу или рабочих группах.
Исходная версия продукта: Windows Server 2008 R2 Service Pack 1
Исходный номер базы знаний: 2473823
Примечание
В Windows Server 2008 R2 службы терминалов переименованы в службы удаленных рабочих столов (RDS).
Вопрос
Может ли сервер лицензирования удаленных рабочих столов выдать лицензию клиентского доступа (CAL) пользователям или устройствам, подключающимся к серверам узла сеансов удаленных рабочих столов (серверу терминалов), при любом из следующих условий?
- Серверы узлов сеансов удаленных рабочих столов находятся в домене Active Directory, а сервер лицензирования удаленных рабочих столов находится в среде рабочей группы.
- Серверы узла сеансов удаленных рабочих столов находятся в рабочей группе, а сервер лицензирования удаленных рабочих столов — в домене Active Directory.
- Серверы узлов сеансов удаленных рабочих столов и сервер лицензирования удаленных рабочих столов находятся в разных лесах. Между этими лесами не существует доверительных отношений (односторонних или двусторонних).
- Серверы узлов сеансов удаленных рабочих столов и серверы лицензирования удаленных рабочих столов находятся в одной рабочей группе.
Ответ
Для работы выдачи клиентских лицензий «на устройство» и «на пользователя» узел сеанса удаленных рабочих столов и сервер лицензирования удаленных рабочих столов в любой из следующих трех конфигураций:
- Оба в одной рабочей группе
- Оба в одном домене
- Оба в доверенных (двустороннее доверие) доменах Active Directory или в лесу
Дополнительные сведения об этих сценариях:
Хост RDS и серверы лицензирования RDS находятся в одной рабочей группе
Учитывайте следующие моменты при настройке серверов лицензирования RDS и RDS в среде рабочей группы:
- Мы можем использовать ТОЛЬКО клиентские лицензии на устройство в среде рабочей группы.Таким образом, на сервере лицензирования RDS
- Отслеживание клиентских лицензий на пользователя и создание отчетов не поддерживаются в режиме рабочей группы
- RDS Host и роли сервера лицензирования RDS могут быть установлены на одном сервере
- Если вы устанавливаете сервер лицензирования RDS на другом сервере в рабочей группе, убедитесь, что сервер RDS имеет доступ к серверу лицензирования RDS
следует устанавливать только клиентские лицензии на устройство.
В Windows 2008 R2 автоматическое обнаружение сервера лицензий больше не поддерживается для серверов узла сеансов удаленных рабочих столов.Вы должны указать имя сервера лицензий, который будет использоваться сервером узла сеансов удаленных рабочих столов с помощью оснастки «Конфигурация узла сеансов удаленных рабочих столов». Дополнительные сведения см. В разделе Указание сервера лицензий для используемого хост-сервера сеансов удаленных рабочих столов.
Хост RDS и серверы лицензирования RDS находятся в одном домене
В сценарии домена Active Directory мы можем иметь серверы лицензирования RDS Host и RDS либо на одном сервере, либо на разных серверах. При настройке среды RDS в доменном сценарии учитывайте следующие моменты:
На сервере лицензирования RDS можно установить обе клиентские лицензии (на устройство и на пользователя).
Учетная запись компьютера для сервера лицензий должна быть членом группы серверов лицензий сервера терминалов в AD DS. Если сервер лицензий установлен на контроллере домена, учетная запись сетевой службы также должна быть членом группы серверов лицензий сервера терминалов
Чтобы ограничить выдачу клиентских лицензий RDS, можно добавить серверы узлов RDS в группу «Компьютеры сервера терминалов» на сервере лицензирования RDS, а затем включить параметр групповой политики безопасности сервера лицензий на сервере лицензирования RDS.
Параметр групповой политики безопасности сервера лицензий находится в разделе Конфигурация компьютера \ Политики \ Административные шаблоны \ Компоненты Windows \ Remote \ Лицензирование RD и может быть настроен с помощью редактора локальной групповой политики или групповой консоли (GPMC).
Хост-серверы RDS находятся в одном домене / лесу, а сервер лицензирования RDS — в другом домене / лесу
В этом сценарии следует учитывать следующие моменты:
Между этими доменами / лесами должно быть двустороннее доверие.Это может быть доверие леса или внешнее доверие.
Все необходимые порты должны быть открыты на брандмауэре. Если у вас есть какие-либо вопросы о портах, которые необходимо открыть, см. Обзор служб и требования к сетевым портам для Windows.
Для выдачи клиентских лицензий RDS на пользователя пользователям в других доменах между доменами должно быть двустороннее доверие, а сервер лицензий должен быть членом группы серверов лицензий сервера терминалов в этих доменах.
Чтобы ограничить выдачу клиентских лицензий RDS, вы можете добавить серверы узлов RDS в группу «Компьютеры серверов терминалов» на серверах лицензирования RDS.
Настройте сервер лицензирования RDS на всех хост-серверах RDS в каждом домене / лесу. Вы можете сделать это через оснастку конфигурации хоста RDS или через групповую политику.
Добавьте группу администраторов каждого домена / леса в локальных администраторов сервера лицензирования RDS. Таким образом, вы не получите запрос на ввод учетных данных при открытии оснастки конфигурации узла RDS в доверенных доменах / лесах.
.