• Статья
Общие сведения о службах удаленных рабочих столов

Службы удаленных рабочих столов предоставляют серверную среду выполнения, которая позволяет пользователям запускать программы Windows, как если бы они были локально установлены на компьютерах пользователей, хотя фактически эти программы устанавливаются централизованно на сервере.Кроме того, службы удаленных рабочих столов позволяют пользователям получить полный доступ к рабочим столам, выполняемым на сервере узла сеансов удаленных рабочих столов, или к рабочим столам виртуальных машин, выполняемым на сервере узла виртуализации удаленных рабочих столов.

Службы удаленных рабочих столов передают выполняемые на компьютере пользователя нажатия клавиш и щелчки мыши на сервер (узла сеансов удаленных рабочих столов или узла виртуализации удаленных рабочих столов), где они используются в качестве входных данных для действий, выполняемых с помощью удаленной программы, удаленного рабочего стола или удаленной виртуальной машины, к которым осуществлен доступ.После этого сервер передает результат по сети на компьютер пользователя для отображения на мониторе.Действия с клавиатурой и мышью и отображаемые данные передаются между сервером терминалов и агентом с помощью протокола удаленного рабочего стола версии 7.0 (RDP 7. 0), который работает в сети TCP/IP через TCP-порт 3389, как показанона рисунке 4-1. Запущенное на стороне клиента программное обеспечение, которое обеспечивает такое взаимодействие, называется подключением к удаленному рабочему столу (RDC).

Рисунок 4-1. Принцип работы служб удаленных рабочих столов.

В операционной системе Windows Server 2008 и более ранних версий эта роль сервера называлась службами терминалов; однако после выпуска Windows Server 2008 R2 она называется службами удаленных рабочих столов и включает в себя новые возможности.В таблице 4-2 приведена сводная информация по изменениям название этих служб роли, а в таблице 4-3 — по изменениям названий средств для управления этой ролью сервера.В последующих разделах описывается каждая из служб роли, входящая в состав служб удаленных рабочих столов, и рассматриваются новые и улучшенные возможности, которые были добавлены в данную службу роли.

Таблица 4-2. Переименование служб роли служб терминалов из Windows Server 2008 в Windows Server 2008 R2

Службы роли служб терминалов вWindowsServer2008 Службы роли служб удаленных рабочих столов вWindowsServer2008R2
Сервер терминалов Узел сеансов удаленных рабочих столов
Шлюз служб терминалов Шлюз удаленных рабочих столов
Лицензирование служб терминалов Лицензирование удаленных рабочих столов
Посредник сеансов служб терминалов Посредник подключений к удаленному рабочему столу
Веб-доступ к службам терминалов Веб-доступ к удаленным рабочим столам
Н/Д Узел виртуализации удаленных рабочих столов


Таблица 4-3. Переименование служб роли служб терминалов из Windows Server 2008 в Windows Server 2008 R2

Средства управления службами терминалов вWindowsServer2008 Средства управления службами удаленных рабочих столов вWindowsServer2008R2
Диспетчер служб терминалов Диспетчер служб удаленных рабочих столов
Конфигурация служб терминалов Конфигурация узла сеансов удаленных рабочих столов
Диспетчер шлюза служб терминалов Диспетчер шлюза удаленных рабочих столов
Диспетчер лицензирования служб терминалов Диспетчер лицензирования удаленных рабочих столов
Диспетчер удаленных приложенийRemoteAppслужб терминалов Диспетчер удаленных приложений RemoteApp
Н/Д Поставщик PowerShell для служб удаленных рабочих столов


Общие сведения об улучшениях взаимодействия в клиенте подключения к удаленному рабочему столу

В операционных системах Windows 7 и Windows Server 2008 R2 клиент подключения к удаленному рабочему (RDC) был улучшен для того, чтобы приблизить взаимодействие с пользователем при использовании удаленного рабочего стола к уровню использования локального рабочего стола на компьютере.В клиент RDC 7.0 были внесены следующие улучшения:

  • Перенаправление воспроизведения звука и видео — аудио- и видеосодержимое, которое воспроизводилось в проигрывателе Windows Media, теперь может быть перенаправлено с сервера узла сеансов удаленных рабочих столов на клиентский компьютер в исходном формате и обработано с использованием ресурсов этого клиентского компьютера. Другие типы мультимедийного содержимого, такие как содержимое Microsoft Silverlight, все еще обрабатываются на сервере.
  • Перенаправление записи звука — устройства звукозаписи, такие как микрофоны, теперь можно перенаправлять с клиентского компьютера в сеанс удаленного рабочего стола,что может оказаться полезным для организаций, использующих голосовой чат или распознавание речи Windows.
  • Композиция рабочего стола — теперь Windows Aero поддерживается в сеансе узла сеансов удаленных рабочих столов с помощью клиента RDC 7.0.
  • Перенаправление языковой панели — теперь языковую панель на клиентском компьютере можно использовать для управления языковыми параметрами в программах удаленного приложения RemoteApp.
  • Поддержка нескольких мониторов — сеансы удаленных рабочих столов теперь могут поддерживать до 16 мониторов, используя любую поддерживаемую на клиентском компьютере конфигурацию мониторов.Обратите внимание на то, что композиция рабочего стола для сеанса узла сеансов удаленных рабочих столов, использующего несколько мониторов, не поддерживается.

Кроме перечисленных выше улучшений взаимодействия с пользователем, в клиенте RDC 7.0 также реализована поддержка других новых возможностей:

  • Единый вход в сеть (SSO) и проверка подлинности на основе веб-форм
  • Доступ к личным виртуальным рабочим столам с помощью посредника подключений к удаленному рабочему столу
  • Доступ к пулам виртуальных рабочих столов с помощью посредника подключений к удаленному рабочему столу
  • Значок состояния и разъединения на панели задач
  • Реализация перенаправления устройств на базе шлюза удаленных рабочих столов
  • Системные сообщения и сообщения входа в систему для шлюза удаленных рабочих столов
  • Фоновая проверка подлинности и авторизация для шлюза удаленных рабочих столов
  • Таймауты простоя и сеанса для шлюза удаленных рабочих столов
  • Обновление защиты доступа к сети (NAP) с помощью шлюза удаленных рабочих столов

Многие из этих дополнительных улучшений описаны подробнее в последующих разделах данной статьи.

RDC 7.0 также доступен для бесплатной загрузки для пакета обновления 1 (SP1) Windows Vista или более поздней версии и для пакета обновления 3 (SP3) Windows XP.Для получения дополнительных сведений о RDC 7.0 и его получении для указанных версий операционной системы Windows см. статью KB969084 в базе знаний Майкрософт по адресу https://support.microsoft.com/kb/969084.Однако следующие компоненты RDC 7.0 доступны только при подключении из операционной системы версии с Windows 7 по Windows Server 2008 R2:

  • Поддержка Aero Glass и закрепления языковой панели
  • Поддержка запуска приложений и рабочих столов с помощью удаленного приложения RemoteApp и подключения к удаленному рабочему столу
  • Использование планировщика заданий удаленных приложений для автоматического запуска удаленных приложений, которые могут потребоваться пользователю, на клиенте удаленного рабочего стола

Общие сведения об узле сеансов удаленных рабочих столов

Служба роли узла сеансов удаленных рабочих столов в Windows Server 2008 R2 раньше называлась сервером терминалов в Windows Server 2008. Установка службы роли узла сеансов удаленных рабочих столов позволяет серверу предоставлять программы Windows (называемые программами удаленного приложения RemoteApp) или целые рабочие столы Windows через сеть пользователям.Новые возможности службы роли узла сеансов удаленных рабочих столов, представленной в Windows Server 2008 R2, включают следующее:

  • Страница «Настройка взаимодействия с пользователем» — добавление новой страницы в мастер добавления ролей при установке службы роли узла сеансов удаленных рабочих столов для роли служб удаленных рабочих столов.Эта новая страница мастера позволяет включить для пользователей сеанса узла сеансов удаленных рабочих столов следующие расширения взаимодействия с пользователем:
    • Перенаправление воспроизведения звука и видео — позволяет пользователям перенаправлять вывод звука и видео со своего компьютера в сеанс узла сеансов удаленных рабочих столов.
    • Перенаправление записи звука — позволяет пользователям перенаправлять выходные данные устройства звукозаписи, такого как микрофон, со своего компьютера в сеанс узла сеансов удаленных рабочих столов.
    • Композиция рабочего стола — предоставляет элементы пользовательского интерфейса Windows Aero в сеансе узла сеансов удаленных рабочих столов.
  • Индивидуальная фильтрация RemoteApp — позволяет выполнять фильтрацию списка программ удаленного приложения RemoteApp, которые доступны учетной записи пользователя при входе в систему с использованием веб-доступа к удаленным рабочим столам.
  • Планирование ЦП со справедливым разделением — динамически распределяет процессорное время между сеансами узла сеансов удаленных рабочих столов в зависимости от числа активных сеансов и их загруженности, используя механизм планирования на уровне ядра Windows Server 2008 R2. В результате один пользователь сервера узла сеансов удаленных рабочих столов не мешает работе сеанса другого пользователя даже при высокой нагрузке на сервер узла сеансов удаленных рабочих столов.
  • Совместимость служб удаленных рабочих столов с установщиком Windows — обеспечивает помещение индивидуальных установок приложений в очередь сервером узла сеансов удаленных рабочих столов с последующей обработкой установщиком Windows. Это позволяет установить программу на сервер узла сеансов удаленных рабочих столов точно так же, как и на локальный рабочий стол, при условии, что программа устанавливается для всех пользователей компьютера и все компоненты данного приложения установлены локально на сервере узла сеансов удаленных рабочих столов.
  • Управление кэшем перемещаемых профилей пользователя — позволяет ограничить общий размер кэша профилей для пользователей сервера узла сеансов удаленных рабочих столов.Если размер кэша профилей увеличивается сверх заданного значения, выполняется удаление профилей с самой старой датой использования до установки соответствия размера кэша квоте.Размер кэша можно настроить с помощью следующего параметра групповой политики:
    Конфигурация компьютера\Политики\Административные шаблоны\Компоненты Windows\ Службы удаленных рабочих столов\Узел сеансов удаленных рабочих столов\Профили\Ограничить размер кэша всех перемещаемых профилей пользователей
  • IP-виртуализация удаленных рабочих столов — позволяет назначать IP-адреса подключениям удаленных рабочих столов для отдельных сеансов или отдельных программ. При назначении IP-адресов нескольким программам она используют такой IP-адрес сеанса совместно. Для настройки данной возможности используйте новую вкладку виртуализации удаленных рабочих столов в оснастке конфигурации узла сеансов удаленных рабочих столов. Если сервер узла сеансов удаленных рабочих столов использует несколько сетевых адаптеров, необходимо выбрать один из них, который будет использоваться для IP-виртуализации удаленных рабочих столов.

Установка сервера узла сеансов удаленных рабочих столов

Службу роли узла сеансов удаленных рабочих столов можно установить в выпуске Standard, Enterprise или Datacenter операционной системы Windows Server 2008 R2, при этом в выпуске Standard действует ограничение, разрешающее не более 250 подключений служб удаленных рабочих столов.Для установки данной службы роли можно использовать любой из следующих способов:

  • Запуск мастера добавления ролей из окна диспетчера серверов (ServerManager.msc)  или задач начальной настройки (Oobe.exe)
  • Использование ServerManager.cmd из командной строки
  • Во время установки операционной системы Windows Server 2008 R2 с использованием средства Microsoft Deployment Toolkit 2010 (MDT 2010) и/или System Center Configuration Manager 2007 с пакетом обновления 2 (SP2) (SCCM 2007 SP2)
  • Использование средства системы обслуживания образов развертывания и управления ими (DISM exe), входящего в состав пакета автоматической установки Windows 2.0
  • Использование Windows PowerShell

Выполните следующие действия для добавления службы роли узла сеансов удаленных рабочих столов на сервер с помощью мастера добавления ролей:

  1. Запустите мастер из окна диспетчера серверов или окна запуска при первом включении компьютера  (OOBE).(В случае отображения страницы «Перед началом работы» пропустите ее.)
  2. Выберите роль служб удаленных рабочих столов:
  3. Выберите «Узел сеансов удаленных рабочих столов» в списке доступных служб ролей:
  4. На следующей странице мастера отображается предупреждение о том, что может потребоваться удаление всех установленных на сервере пользовательских приложений для обеспечения их правильной работы в многопользовательской среде (для получения дополнительных сведений см. вставку «Из первых уст: рекомендации по установке приложений на серверах узла сеансов удаленных рабочих столов» ниже в данной главе):
  5. На нескольких следующих страницах мастера можно настроить параметры безопасности (рассматриваются ниже в разделе «Настройка безопасности узла сеансов удаленных рабочих столов») и лицензирования (рассматриваются ниже в разделе «Общие сведения о лицензировании удаленных рабочих столов») для своего сервера узла сеансов удаленных рабочих столов.
  6. На предпоследней странице мастера можно настроить взаимодействие с клиентом. Например, , выбрав «Композиция рабочего стола», можно включить отображение компонентов Windows Aero на рабочих столах с сеансами, предоставляемых пользователям с данного сервера узла сеансов удаленных рабочих столов:

    Обратите внимание на то, что для включения данных функций взаимодействия с пользователем требуется дополнительная пропускная способность сети и дополнительные системные ресурсы на сервере.
  7. На последней странице мастера отображаются сводные данные по выбранным параметрам, чтобы вы могли проверить их перед установкой службы роли.

Настройка безопасности узла сеансов удаленных рабочих столов

Безопасность для сервере узла сеансов удаленных рабочих столов можно настроить как во время установки роли, так и после нее.Для обеспечения безопасного доступа к серверу узла сеансов удаленных рабочих столов, выполните следующие дополнительные действия:

  • Укажите для сервера узла сеансов удаленных рабочих столов метод проверки подлинности.
  • Укажите, каким группам пользователей разрешено осуществлять доступ к серверу узла сеансов удаленных рабочих столов.

В последующих разделах приведены более подробные сведения об этих действиях.Кроме того, во вставке «Из первых уст:использование SSL для подключений к службам удаленных рабочих столов» приведена дополнительная информация о способах защиты сервера узла сеансов удаленных рабочих столов.

Настройка проверки подлинности узла сеансов удаленных рабочих столов Поддержка проверки подлинности на уровне сети  (NLA) была впервые представлена в роли служба терминалов в Windows Server 2008. Проверка подлинности на уровне сети — это метод проверки подлинности, который завершает процесс проверки подлинности пользователя до создания сеанса узла сеансов удаленных рабочих столов и отображения экрана входа в систему.Этот метод обеспечивает повышенную безопасность и требует меньше исходных ресурсов во время процесса проверки подлинности.Как показано на рисунке 4-2, параметр запроса проверки подлинности на уровне сети можно настроить во время установки службы роли сервера узла сеансов удаленных рабочих столов.

Рисунок 4-2. Запрос проверки подлинности на уровне сети для удаленных подключений к серверу узла сеансов удаленных рабочих столов.

Чтобы использовать метод NLA для проверки подлинности попыток удаленного подключения к серверу узла сеансов удаленных рабочих столов, на компьютере должно быть запущено клиентское программное обеспечение RDC 6.0 или более поздней версии. Это значит, что компьютер должен работать под управлением операционной системы Windows 7, Windows Vista с пакетом обновления 1 (SP1) или более поздней версии, Windows XP с пакетом обновления 3 (SP3) или более поздней версии, Windows Server 2008 или Windows Server 2008 R2.

Настройка доступа к узлу сеансов удаленных рабочих столов Прежде чем кто-либо из пользователей сможет устанавливать сеансы связи узла сеансов удаленных рабочих столов с сервером узла сеансов удаленных рабочих столов, необходимо добавить соответствующие группы безопасности в группу «Пользователи удаленного рабочего стола » на сервере узла сеансов удаленных рабочих столов. Это можно сделать как во время установки службы роли узла сеансов удаленных рабочих столов, так и после нее. По умолчанию такими правами

на доступ обладает локальная группа «Администраторы» на сервере узла сеансов удаленных рабочих столов, что по умолчанию также предоставляет доступ членами группы «Администраторы домена». Чтобы предоставить пользователям домена возможность установки сеансов связи узла сеансов удаленных рабочих столов с сервером узла сеансов удаленных рабочих столов, добавьте глобальную группу «Пользователи домена», как показано на рисунке 4-3.

Рисунок 4-3. Разрешение доступа к серверу узла сеансов удаленных рабочих столов для пользователей.

Из первых уст: использование SSL для подключений к службам удаленных рабочих столов

По умолчанию сеансы узла сеансов удаленных рабочих столов используют собственное шифрование протокола удаленного рабочего стола (RDP).Однако протокол RDP не обеспечивает проверку подлинности для проверки удостоверения сервера узла сеансов удаленных рабочих столов.Безопасность сеансов узла сеансов удаленных рабочих столов можно улучшить, используя протокол TLS 1.0 на базе протокола SSL для реализации проверки подлинности сервера и для шифрования обмена данными узла сеансов удаленных рабочих столов.Для обеспечения повышенной безопасности сервер узла сеансов удаленных рабочих столов и клиентский компьютер должны быть правильно настроены на использование протокола TLS.Три доступных уровня безопасности приведены в таблице 4-4.

Таблица 4-4. Уровни безопасности RDP

Уровень безопасности Описание
SSL (TLS 1.0) SSL (TLS 1.0) будет использоваться для проверки подлинности сервера и для шифрования всех данных, передаваемых между сервером и клиентом.
Согласование Будет использоваться самый безопасный уровень, поддерживаемый клиентом.Будет использоваться SSL (TLS 1.0), если поддерживается.Если клиент не поддерживает SSL (TLS 1.0), используется уровень безопасности RDP.Этот вариант используется по умолчанию.
Уровень безопасности RDP Связь между сервером и клиентом будет осуществляться с помощью собственного шифрования протокола удаленного рабочего стола.Если выбран уровень безопасности RDP, то проверка подлинности на уровне сети будет недоступна.

Для проверки подлинности сервера узла сеансов удаленных рабочих столов, когда для безопасного соединения между клиентом и сервером во время RDP-подключений используется протокол SSL (TLS 1.0), необходим сертификат. Можно выбрать сертификат, который уже установлен на сервере узла сеансов удаленных рабочих столов, или использовать самозаверяющий сертификат по умолчанию. На рисунке 4-4 показано, как включить SSL для подключений к удаленным рабочим столам с помощью диалогового окна «Свойства RDP-Tcp», которое можно открыть из оснастки «Конфигурация узла сеансов удаленных рабочих столов».

Рисунок 4-4. Настройка параметров уровня безопасности для сервера узла сеансов удаленных рабочих столов.

Функция шифрования данных обеспечивает для подключений к удаленным рабочим столам с помощью шифрования данных в канале связи между клиентом и сервером.Шифрование защищает от риска перехвата данных, которыми обмениваются клиент и сервер.

По умолчанию подключения к удаленным рабочим столам шифруются на самом высоком из доступных уровней безопасности (128-битовое шифрование).Однако некоторые старые версии приложения клиента подключений к удаленным рабочим столам не поддерживают такой высокий уровень шифрования.Если необходимо, чтобы высокий уровень шифрования обеспечивал поддержку клиентов предшествующих версий, то для подключения можно настроить отправку и получение данных с наивысшим уровнем шифрования, поддерживаемым клиентом.Доступно четыре уровня шифрования, указанных в таблице 4-5.

Таблица 4-5. Уровни шифрования RDP

Уровень шифрования Описание
Низкий Данные, которыми обмениваются клиент и сервер, зашифрованы на основе 56-битного шифрования.Данные, отправляемые с сервера на клиент, не шифруются.
Совместимый с клиентским Обмен данными между клиентом и сервером шифруется с использованием ключа максимальной стойкости, поддерживаемой клиентом.Используйте данный уровень, когда сервер терминалов запущен в среде, содержащей смешанные клиенты или клиенты предшествующих версий.Этот уровень шифрования используется по умолчанию.
Высокий Данные, которыми обмениваются клиент и сервер, шифруются на основе 128-битного шифрования.Используйте этот уровень, когда клиенты, осуществляющие доступ к серверу терминалов, также поддерживают 128-битное шифрование.Когда установлен данный уровень шифрования, клиенты, которые не поддерживают его, не смогут подключиться к серверу.
FIPS-совместимый Все данные, которыми обмениваются клиент и сервер, шифруются и расшифровываются с использованием алгоритмов, совместимых с Федеральным стандартом обработки информации (FIPS).Стандарт FIPS 140-1 (1994) и его последующий вариант FIPS 140-2 (2001) описывают требования, установленные правительством США для шифрования.

На рисунке 4-5 показано, как настроить уровень шифрования с помощью диалогового окна «СвойстваRDP-Tcp», которое можно открыть из оснастки «Конфигурация узла сеансов удаленных рабочих столов».

Параметры проверки подлинности и шифрования для узла сеансов удаленных рабочих столов также можно задать, применив следующие параметры групповой политики:

  • Установить уровень шифрования для клиентских подключений
  • Требовать использования специального уровня безопасности для удаленных подключений по методу RDP
  • Шаблон сертификата проверки подлинности сервера
  • Требовать проверку подлинности пользователя для удаленных подключений путем проверки подлинности на уровне сети

Рисунок 4-5. Настройка параметров уровня безопасности для сервера узла сеансов удаленных рабочих столов.

Эти параметры групповой политики расположены в следующем контейнере:

Конфигурация компьютера\Политики\Административные шаблоны\Компоненты Windows\ Службы удаленных рабочих столов\Узел сеансов удаленных рабочих столов\Безопасность

FIPS можно указать в качестве уровня шифрования, используя параметр глобальной политики «Системная криптография:использовать FIPS-совместимые алгоритмы для шифрования, хэширования и подписывания», расположенную в следующем контейнере:

Конфигурация компьютера\Политики\Конфигурация Windows\Настройки безопасности\Локальные политики\ Параметры безопасности

— Отдел CSS Global Technical Readiness (GTR)