Remote desktop services что это
Введение в службы удаленных рабочих столов
Службы удаленных рабочих столов (RDS) – это предпочтительная платформа для создания решений виртуализации для любых нужд конечных пользователей, включая доставку отдельных виртуализированных приложений, обеспечение безопасного доступа к мобильным и удаленным рабочим столам и предоставление конечным пользователям возможности запускать свои приложения и рабочие столы из облака.
Службы удаленных рабочих столов предлагают гибкость развертывания, экономическую эффективность и расширяемость — все это обеспечивается различными вариантами развертывания, включая Windows Server 2016 для локальных развертываний, Microsoft Azure для облачных развертываний и надежный набор партнерских решений.
В зависимости от среды и параметров можно настроить решение службы удаленных рабочих столов для виртуализации на основе сеансов, в качестве инфраструктуры виртуальных рабочих столов (VDI) или в виде комбинации из двух:
Эти средства виртуализации располагают дополнительной гибкостью, позволяющей публиковать для своих пользователей:
В средах, где эффективность затрат имеет решающее значение и вы хотите расширить преимущества развертывания полных рабочих столов в среде виртуализации на основе сеансов, вы можете использовать службы MultiPoint для обеспечения наилучшего соотношение цены и качества.
Благодаря этим опциям и настройкам можно гибко развертывать рабочие столы и приложения, необходимые вашим пользователям, удаленно, безопасно и экономически эффективно.
Дальнейшие действия
Ниже приведены некоторые шаги, которые помогут вам лучше понять службы удаленных рабочих столов и даже начать развертывание собственной среды:
Что нового в службах удаленных рабочих столов?
Службы удаленных рабочих столов (RDS) на основе Windows Server 2016 — это платформа виртуализации, которая предоставляет широкий спектр сценариев клиентов. Улучшения в общем решении RDS включает работы, выполненные командой удаленного рабочего стола и другими партнерами по разработке технологий в корпорации Майкрософт. Следующие сценарии и технологии в Windows Server 2016 являются обновленными или улучшенными.
Также обязательно ознакомьтесь с нашим сеансом на конференции Ignite 2016. Использование улучшенных возможностей RDS в Windows Server 2016. В этом видео группы разработки продукта рассматривает все новые и улучшенные возможности служб удаленных рабочих столов, включая поддержку vGPU.
Совместимость приложений — Windows Server 2016 и Windows 10
Основанная на той же платформе Windows 10, Windows Server 2016 имеет не только аналогичное оформление и предоставляет то, что вы ожидаете от рабочего стола, но также может запускать многие из тех же приложений. Связывание Windows Server 2016 с графическими возможностями (ниже) обеспечивает среду для продуктивной работы всех пользователей.
База данных SQL Azure — новая база данных для вашей среды высокой доступности
Посредник подключений к удаленному рабочему столу имеет возможность сохранять сведения о развертывании (например, состояния подключения и сопоставления пользователя/узла) в общую базу данных SQL, на подобии базы данных Azure SQL. Откажитесь от руководства по развертыванию постоянно доступных групп SQL Server, скачайте строку подключения к базе данных SQL Azure и начните использовать среду высокой доступности.
IP-виртуализация удаленных рабочих столов в Windows Server 2019
Если вы хотите использовать IP-виртуализацию в Windows Server 2019, сделайте следующее.
Графика — предоставление необходимой графики для различных сценариев
Благодаря дискретному назначению устройств в Hyper-V, теперь вы сможете выполнить сопоставление графических процессоров на хост-компьютере напрямую с виртуальной машины, которая будет использоваться приложениями, требующими графического процессора. Улучшения также были предприняты в vGPU RemoteFX, включая поддержку OpenGL 4.4, OpenCL 1.1, разрешения 4k и виртуальных машин Windows Server.
Посредник подключений к удаленному рабочему столу — улучшенная обработка подключения во время «штурмов входа»
Благодаря улучшенной обработке подключения, посредник подключений к удаленному рабочему столу теперь может обрабатывать больше 10 000 текущих запросов на вход, которые иногда можно увидеть во время так именуемых «штурмов входа». Улучшенный посредник подключений к удаленному рабочему столу также упрощает обслуживание развертывания, предоставляя возможность более быстрого повторного добавления серверов в среду.
RDP 10 — новые возможности, встроенные в протокол
RDP 10 использует кодек H.264/AVC 444, который соответствующим образом оптимизирует как видео, так и текст. В этом выпуске также поддерживается удаленное взаимодействие с помощью пера. Благодаря этим возможностям, ваши удаленные сеансы будут больше походить на локальный сеанс.
Рабочие столы на базе личных сеансов предоставляют индивидуальные рабочие столы для каждого пользователя
Рабочие столы на базе личных сеансов —новый способ иметь свой личный рабочий стол, размещенный в облаке. Права администратора и выделенные хосты сеансов устраняют сложность сред хостинга, где пользователи хотят управлять рабочим столом, как своим собственным.
Что такое удаленный рабочий стол
Удалённый рабочий стол — это технология, позволяющая на расстоянии управлять ПК или сервером через интернет. Принцип работы заключается в предоставлении административных прав одному устройству (клиенту) для управления другим (сервером).
Для установки соединения с сервером можно использовать практически любое устройство – компьютер, ноутбук, планшет или даже смартфон. Возможность подключения практически с любого девайса доступна, благодаря работе всех процессов на удаленной станции, которые не нагружают устройство клиента. При этом пользователь получает изображение с подключенного ПК и свободно управляет системой.
При работе на удалённом компьютере любая информация не выходит за пределы подключенного сервера и не сохраняется на пользовательском устройстве, что снижает риск кражи данных до минимума. Эта технология также незаменима для тех, кто работает вдали от офиса, так как исключает вероятность утраты информации, в случае повреждения или потери оборудования.
О том, что представляет собой технология удаленного рабочего стола, как она реализуется практически, расскажем в этой статье.
Инфраструктура удаленных рабочих столов
Соединение с удаленным компьютером выполняется при помощи технологии RDP (Remote Desktop Protocol, «Протокол удаленного рабочего стола»), разработанный компанией Microsoft. По умолчанию для работы задействован 3389 порт TCP или UDP, который пользователь может изменить при настройке ПО.
Комплект программ для RDP
Начиная с Windows XP, RDP сервер установлен в систему по умолчанию. В качестве RDP клиента для ОС Windows рекомендуется использовать встроенную бесплатную утилиту Windows Remote Desktop Connection.
Во время подключения к удаленному рабочему столу пользовательское устройство работает в режиме «тонкого клиента». Экран девайса играет роль «телевизора» и передаёт картинку с удаленного компьютера. При этом RDP сервер принимает нажатия клавиш клавиатуры и движение мышью, что позволяет пользователю полноценно работать с системой.
Аналоги для Unix систем
Для удаленного доступа к ОС на базе Unix/Linux рекомендуется использовать систему VNC (Virtual Network Computing), работающую через клиент-серверный протокол RFB (Remote Framebuffer).
Если предпочтение отдается именно протоколу RDP, то можно воспользоваться аналогичным RDP сервером для Linux – XRDP.
Примечание. Не рекомендуется устанавливать соединение через протокол RDP с операционной системы Linux для подключения к Windows и наоборот. Это грозит потерей производительности и может стать причиной возникновения визуальных ошибок (изменение фона рабочего стола или неправильное отображение шрифтов).
Также для удаленного управления системой можно использовать программу TeamViewer с бесплатной лицензией для некоммерческого использования. Программа доступна для большинства ОС, включая Windows, Linux и MacOS.
Как организовать удаленные рабочие столы
Основной протокол для управления удаленным рабочим столом RDP может быть реализован с помощью двух решений:
Терминальный сервер (RDS)
RDS (Remote Desktop Services) – служба удаленного управления терминальным сервером, позволяющая подключится сразу нескольким пользователям к удаленному устройству. Служба RDS разработана компанией Microsoft и по умолчанию установлена на системах Windows Server 2003 и новее.
Для создания удаленного рабочего стола на Linux системе, можно использовать аналог RDS – LTSP.
Преимущества RDS
Недостатки RDS
Отдельная виртуальная машина (VDI)
VDI (Virtual Desktop Infrastructure – «инфраструктура виртуальных рабочих столов») – технология, применяющаяся для создания удалённого рабочего места под одного пользователя. В итоге пользователь получает полноценную систему с правами администратора и полным контролем файлов.
При настройке удаленного рабочего стола, сервер VDI может быть установлен как поверх основной операционной системы, так и на «чистой» виртуальной машине (Hyper-V, VMware Workstation и др.). Последний вариант подразумевает размещение нескольких пользователей на одном мощном сервере.
Чаще всего инфраструктуру VDI выбирают компании, благодаря высокой безопасности при работе с финансовыми и личными данными.
Преимущества VDI
Недостатки VDI
Способы реализации удаленных рабочих столов
Рабочий стол как услуга (DaaS)
Это полностью готовый к работе мощный виртуальный компьютер, развернутый на терминальном сервере. Система поставляется со всем необходимым ПО для начала работы. Чтобы арендовать удаленный рабочий стол нужно воспользоваться услугами, которые предоставляет облачный провайдер, работающий по модели DaaS (Desktop as a Service – «рабочий стол как услуга»).
Для управления рабочим местом человек может подключиться к серверу через интернет и управлять системой как обычным компьютером. При работе на виртуальном рабочем столе, все данные размещаются на удаленном хранилище и многократно резервируются.
Преимущества
Недостатки
Организация удаленной работы
Виртуальный рабочий стол – готовая услуга, поставляемая по модели DaaS. Многие провайдеры, работающие с этой структурой, предоставляют пробный период, в течение которого пользователь может испытать весь функционал.
Арендуя виртуальный рабочий стол, не придется беспокоиться об активации ПО, так как провайдер предоставляет лицензии для предустановленных программ и системы Windows. Перед арендой указывается периодичность резервного копирования данных для восстановления информации в случае сбоя системы.
Рекомендуется предварительно собрать подробную информацию о нескольких провайдерах DaaS на рынке и выбрать подходящего по соответствующим критериям. Важные моменты, требующие внимания при выборе поставщика услуги DaaS будут рассмотрены далее.
Как выбрать DaaS-провайдера
При выборе провайдера DaaS нужно обратить внимание на ряд важных моментов.
Нужен надежный поставщик услуги DaaS? Выбирайте сервис нашего партнера — Deskon. Мощное и безопасное удаленное рабочее место станет залогом продуктивной работы для любого сотрудника «на удаленке».
Собственный сервер
Выделение ПК или сервера для дальнейшего использования в качестве удаленного рабочего стола. Важно понимать, что придется тратить значительное количество времени на правильную настройку и обновления операционной системы.
Чаще всего локальная сеть на предприятии создается на базе физических серверов. Это позволяет организовать связь между рабочими машинами сотрудников без интернета.
Преимущества
Недостатки
Как организовать удаленный рабочий стол самостоятельно
В приведенном ниже примере рассмотрим наиболее популярный вариант ПО для создания удаленных рабочих столов — Windows Server и RDP (RDS).
Запуск RDP сервера
Запустить службу RDP на операционной системе Windows Server можно, следуя следующему алгоритму.
Примечание. После включения функции компьютер становится доступен в сети по IP адресу. Для аутентификации используется имя и пароль пользователя на сервере, поэтому рекомендуется заранее установить надежные аутентификационные данные, обезопасив систему от несанкционированного проникновения.
Инструкция рассмотрена на примере Windows Server 2012. Для других версий ОС действия строятся по аналогичному алгоритму.
Подключение к удаленному рабочему столу
Для подключения к созданному рабочему месту всех ОС Windows можно пользоваться следующим алгоритмом:
Если все предыдущие действия были выполнены правильно, на экране появится рабочий стол удаленного компьютера. Для подключения с устройств на базе Linux, MacOS или Android потребуется скачать аналогичный RDP-клиент.
Сфера применения
Компании
Частные пользователи
Заключение
Удаленный рабочий стол стал важнейшим инструментом технического обеспечения для предприятий практически любой сферы и размера. Это наиболее эффективное и безопасное средство создание удаленного рабочего места для отдельного сотрудника или коллектива в целом.
Сегодня все больше компаний выбирают реализацию удаленного рабочего стола как услуги «под ключ». Это позволяет оперативно обеспечить сотрудников производительными ПК без капитальных вложений в собственную IT-инфраструктуру. Провайдер, поставляющий виртуальные рабочие столы по модели DaaS, сам решает вопросы с обслуживанием и безопасностью рабочего оборудования.
RDP. Игра в три буквы
Как известно, протокол удаленного рабочего стола (Remote Desktop Protocol или RDP) позволяет удаленно подключаться к компьютерам под управлением Windows и доступен любому пользователю Windows, если у него не версия Home, где есть только клиент RDP, но не хост. Это удобное, эффективное и практичное средство для удаленного доступа для целей администрирования или повседневной работы. В последнее время оно приглянулось майнерам, которые используют RDP для удаленного доступа к своим фермам. Поддержка RDP включена в ОС Windows, начиная еще с NT 4.0 и XP, однако далеко не все знают, как ею пользоваться. Между тем можно открывать удаленный рабочий стол Microsoft с компьютеров под Windows, Mac OS X, а также с мобильных устройств с ОС Android или с iPhone и iPad.
Если должным образом разбираться в настройках, то RDP будет хорошим средством удаленного доступа. Он дает возможность не только видеть удаленный рабочий стол, но и пользоваться ресурсами удаленного компьютера, подключать к нему локальные диски или периферийные устройства. При этом компьютер должен иметь внешний IP, (статический или динамический), или должна быть возможность «пробросить» порт с маршрутизатора с внешним IP-адресом.
Серверы RDP нередко применяют для совместной работы в системе 1С, или на них разворачивают рабочие места пользователей, позволяя им подключаться к своему рабочему месту удаленно. Клиент RDP позволяет дает возможность работать с текстовыми и графическими приложениями, удаленно получать какие-то данные с домашнего ПК. Для этого на роутере нужно пробросить порт 3389, чтобы через NAT получить доступ к домашней сети. Тоже относится к настройке RDP-сервера в организации.
RDP многие считают небезопасным способом удаленного доступа по сравнению с использованием специальных программ, таких как RAdmin, TeamViewer, VNC и пр. Другой предрассудок – большой трафик RDP. Однако на сегодня RDP не менее безопасен, чем любое другое решение для удаленного доступа (к вопросу безопасности мы еще вернемся), а с помощью настроек можно добиться высокой скорости реакции и небольшой потребности в полосе пропускания.
Как защитить RDP и настроить его производительность
| Шифрование и безопасность | Нужно открыть gpedit.msc, в «Конфигурация компьютера — Административные шаблоны — Компоненты Windows — Службы удаленных рабочих столов — Безопасность» задать параметр «Требовать использования специального уровня безопасности для удаленных подключений по методу RDP» и в «Уровень безопасности» выбрать «SSL TLS». В «Установить уровень шифрования для клиентских подключений» выберите «Высокий». Чтобы включить использование FIPS 140-1, нужно зайти в «Конфигурация компьютера — Конфигурация Windows — Параметры безопасности — Локальные политики — Параметры безопасности» и выбрать «Системная криптография: использовать FIPS-совместимые алгоритмы для шифрования, хэширования и подписывания». Параметр «Конфигурация компьютера — Параметры Windows — Параметры безопасности — Локальные политики — Параметры безопасности» параметр «Учетные записи: разрешать использование пустых паролей только при консольном входе» должен быть включен. Проверьте список пользователей, которые могут подключаться по RDP. |
| Оптимизация | Откройте «Конфигурация компьютера — Административные шаблоны — Компоненты Windows — Службы удаленных рабочих столов — Среда удаленных сеансов». В «Наибольшая глубина цвета» выберите 16 бит, этого достаточно. Снимите флажок «Принудительная отмена фонового рисунка удаленного рабочего стола». В «Задание алгоритма сжатия RDP» установите «Оптимизация использования полосы пропускания. В «Оптимизировать визуальные эффекты для сеансов служб удаленных рабочих столов» установите значение «Текст». Отключите «Сглаживание шрифтов». |
Базовая настройка выполнена. Как подключиться к удаленному рабочему столу?
Подключение к удаленному рабочему столу
Для подключения по RDP необходимо, на удаленном компьютере была учетная запись с паролем, в системе должны быть разрешены удаленные подключения, а чтобы не менять данные доступа при постоянно меняющемся динамическом IP-адресе, в настройках сети можно присвоить статический IP-адрес. Удаленный доступ возможен только на компьютерах с Windows Pro, Enterprise или Ultimate.
Для удаленного подключения к компьютеру нужно разрешить подключение в «Свойствах Системы» и задать пароль для текущего пользователя, либо создать для RDP нового пользователя. Пользователи обычных аккаунтов не имеют права самостоятельно предоставлять компьютер для удаленного управления. Такое право им может дать администратор. Препятствием использования протокола RDP может стать его блокировка антивирусами. В таком случае RDP нужно разрешить в настройках антивирусных программ.
Стоит отметить особенность некоторых серверных ОС: если один и тот же пользователь попытается зайти на сервер локально и удаленно, то локальный сеанс закроется и на том же месте откроется удаленный. И наоборот, при локальном входе закроется удаленный сеанс. Если же зайти локально под одним пользователем, а удаленно — под другим, то система завершит локальный сеанс.
Подключение по протоколу RDP осуществляется между компьютерами, находящимися в одной локальной сети, или по интернету, но для этого потребуются дополнительные действия – проброс порта 3389 на роутере, либо соединение с удаленным компьютером по VPN.
Чтобы подключиться к удаленному рабочему столу в Windows 10, можно разрешить удаленное подключение в «Параметры — Система — Удаленный рабочий стол» и указать пользователей, которым нужно предоставить доступ, либо создать отдельного пользователя для подключения. По умолчанию доступ имеют текущий пользователь и администратор. На удаленной системе запустите утилиту для подключения.
Нажмите Win+R, введите MSTSC и нажмите Enter. В окне введите IP-адрес или имя компьютера, выберите «Подключить», введите имя пользователя и пароль. Появится экран удаленного компьютера.
При подключении к удаленному рабочему столу через командную строку (MSTSC) можно задать дополнительные параметры RDP:
| Параметр | Значение |
| /v: | Удаленный компьютер, к которому выполняется подключение. |
| /admin | Подключение к сеансу для администрирования сервера. |
| /edit | Редактирование RDP-файла. |
| /f | Запуск удаленного рабочего стола на полном экране. |
| /w: | Ширина окна удаленного рабочего стола. |
| /h: | Высота окна удаленного рабочего стола. |
| /public | Запуск удаленного рабочего стола в общем режиме. |
| /span | Сопоставление ширины и высоты удаленного рабочего стола с локальным виртуальным рабочим столом и развертывание на несколько мониторов. |
| /multimon | Настраивает размещение мониторов сеанса RDP в соответствии с текущей конфигурацией на стороне клиента. |
| /migrate | Миграция файлов подключения прежних версий в новые RDP-файлы. |
Для Mac OS компания Microsoft выпустила официальный RDP-клиент, который стабильно работает при подключении к любым версиям ОС Windows. В Mac OS X для подключения к компьютеру Windows нужно скачать из App Store приложение Microsoft Remote Desktop. В нем кнопкой «Плюс» можно добавить удаленный компьютер: введите его IP-адрес, имя пользователя и пароль. Двойной щелчок на имени удаленного рабочего стола в списке для подключения откроет рабочий стол Windows.
На смартфонах и планшетах под Android и iOS нужно установить приложение Microsoft Remote Desktop («Удаленный рабочий стол Майкрософт») и запустить его. Выберите «Добавить» введите параметры подключения — IP-адрес компьютера, логин и пароль для входа в Windows. Еще один способ — проброс на роутере порта 3389 на IP-адрес компьютера и подключение к публичному адресу роутера с указанием данного порта. Это делается с помощью опции Port Forwarding роутера. Выберите Add и введите:
А что насчет Linux? RDP –закрытый протокол Microsoft, она не выпускает RDP-клиентов для ОС Linux, но можно воспользоваться клиентом Remmina. Для пользователей Ubuntu есть специальные репозитории с Remmina и RDP.
Протокол RDP также используется для подключения к виртуальным машинам Hyper-V. В отличие от окна подключения гипервизора, при подключении по RDP виртуальная машина видит различные устройства, подсоединенных к физическому компьютеру, поддерживает работу со звуком, дает более качественное изображение рабочего стола гостевой ОС и т.д.
У провайдеров виртуального хостинга серверы VPS под Windows по умолчанию обычно также доступны для подключения по стандартному протоколу RDP. При использовании стандартной операционной системы Windows для подключения к серверу достаточно выбрать: «Пуск — Программы — Стандартные — Подключение к удаленному рабочему столу» или нажать Win+R и в открывшемся окне набрать MSTSC. В окне вводится IP-адрес VPS-сервера.
Нажав кнопку «Подключить», вы увидите окно с полями авторизации.
Чтобы серверу были доступны подключенные к вашему ПК USB-устройства и сетевые принтеры, при первом подключении к серверу выберите «Показать параметры» в левом нижнем углу. В окне откройте вкладку «Локальные ресурсы» и выберите требуемые параметры.
С помощью опции сохранения данных авторизации на удаленном компьютере параметры подключения (IP-адрес, имя пользователя и пароль) можно сохранить в отдельном RDP-файлом и использовать его на другом компьютере.
Настройка другой функциональности удаленного доступа
В окне подключения к удаленному компьютеру есть вкладки с настраиваемыми параметрами.
| Вкладка | Назначение |
| «Экран» | Задает разрешение экрана удаленного компьютера, то есть окна утилиты после подключения. Можно установить низкое разрешение и пожертвовать глубиной цвета. |
| «Локальные ресурсы» | Для экономии системных ресурсов можно отключить воспроизведение звука на удаленном компьютере. В разделе локальных устройств и можно выбрать принтер и другие устройства основного компьютера, которые будут доступны на удаленном ПК, например, USB-устройства, карты памяти, внешние диски. |
Подробности настройки удаленного рабочего стола в Windows 10 – в этом видео. А теперь вернемся к безопасности RDP.
Как «угнать» сеанс RDP?
Можно ли перехватывать сеансы RDS? И как от этого защищаться? Про возможность угона RDP-сессии в Microsoft Windows известно с 2011 года, а год назад исследователь Александр Корзников в своем блоге детально описал методики угона. Оказывается, существует возможность подключиться к любой запущенной сессии в Windows (с любыми правами), будучи залогиненным под какой-либо другой.
Некоторые приемы позволяют перехватить сеанс без логина-пароля. Нужен лишь доступ к командной строке NT AUTHORITY/SYSTEM. Если вы запустите tscon.exe в качестве пользователя SYSTEM, то сможете подключиться к любой сессии без пароля. RDP не запрашивает пароль, он просто подключает вас к рабочему столу пользователя. Вы можете, например, сделать дамп памяти сервера и получить пароли пользователей. Простым запуском tscon.exe с номером сеанса можно получить рабочий стол указанного пользователя — без внешних инструментов. Таким образом, с помощью одной команды имеем взломанный сеанс RDP. Можно также использовать утилиту psexec.exe, если она была предварительно установлена:
Или же можно создать службу, которая будет подключать атакуемую учетную запись, и запустить ее, после чего ваша сессия будет заменена целевой. Вот некоторые замечания о том, как далеко это позволяет зайти:
Наконец, рассмотрим, как удалить подключение к удаленному рабочему столу. Это полезная мера нужна, если необходимость в удаленном доступе пропала, или требуется запретить подключение посторонних к удаленному рабочему столу. Откройте «Панель управления – Система и безопасность – Система». В левой колонке кликните «Настройка удаленного доступа». В разделе «Удаленный рабочий стол» выберите «Не разрешать подключения к этому компьютеру». Теперь никто не сможет подключиться к вам через удаленный рабочий стол.
В завершение – еще несколько лайфхаков, которые могут пригодиться при работе с удаленным рабочим столом Windows 10, да и просто при удаленном доступе.