Для чего нужен шлюзовой сервер удаленного рабочего стола Windows

02.03.2010
Основное требование для SSO на стороне клиента:
Клиентская ОС: Microsoft Windows XP SP3, Microsoft Windows Vista SP1, Microsoft Windows 7

Введение

  • Зачастую вместо RDP используется другое решение (VNC, Citrix ICA) по простой причине – предполагается, что “встроенный RDP минимальный и ничего не умеет”.
  • Во многих решениях, связанных с модными сейчас облачными технологиями (перевод офисов на “тонкие клиенты”, да и просто организация терминальных серверов), бытует мнение что “RDP плохой потому что встроенный”.
  • Есть стандартный миф про то, что “RDP нельзя без VPN наружу выставлять, ломанут” (миф имеет под собой обоснование, но уже давно не актуален).
  • Ну, раз уж про мифы заговорили – бытует мнение, что “Перейдя с RDP на Citrix трафик в пару раз падает”. Ведь цитрикс – это дорого, следовательно как минимум на 157% круче.
  • Кратким упоминанием про версии RDP
  • Настройкой режима защиты RDP-сессии
  • Настройкой шифрования для RDP
  • Привязкой к конкретному адаптеру и порту
    • Меняем стандартный порт на нужный
    • Делаем раздельные настройки RDP для нескольких сетевых адаптеров
  • Включением NLA
    • Как включается NLA со стороны RDP-сервера
    • NLA и Windows XP
    • Как включить CredSSP в XP
  • Выбором правильного сертификата для RDP
  • Блокированием подключений по RDP учётным записям с пустым паролем
  • Настройка ACL для подключения по RDP
  • Оптимизацией скорости RDP
    • Отключаем редирект неиспользуемых устройств
    • Настраиваем общую логику оптимизации визуальных данных RDP
  • Оптимизацией сжатия RDP
    • Настраиваем общее сжатие RDP
    • Настраиваем сжатие аудиопотока RDP
  • Оптимизацией соотношения потоков данных RDP
  • Включением Require secure RPC communication для RDP

Указание шлюзового сервера удаленного рабочего стола

  1. Откройте окно «Подключение к удаленному рабочему столу».
  2. Щелкните Параметры, перейдите на вкладку Дополнительно, в разделе Подключение из любого места нажмите кнопку Параметры.
  3. Выберите переключатель Использовать следующие параметры сервера RD Gateway и введите имя сервера (по этим данным обратитесь к администратору сети).
  4. Выберите один из трёх доступных способов входа:
    • Выбрать позже. Этот параметр позволяет выбрать способ входа непосредственно при подключении.
    • Запрос пароля (NTLM). Он позволяет включать запрос пароля при подключении.
    • Смарт-карта. Он позволяет включать запрос смарт-карты при подключении.
  5. Установите или снимите флажок Не использовать сервер шлюза удаленного рабочего стола для локальных адресов.

Если этот флажок установлен, входящий и исходящий трафик с локальных сетевых адресов не будет направлен через сервер RD Gateway. Это увеличит скорость подключения.

Примечание: Возможно, администратор запретил изменение настроек сервера RD Gateway.

Как подключиться к серверу Windows?

Как говорилось выше, к Windows-серверу можно подсоединиться через RDP. По умолчанию это удаленный доступ включен для всех готовых Windows-серверов. Если после заказа функционал недоступен, обратитесь в службу поддержки. Если же вы настраивали ОС сервера самостоятельно, специалисты не смогут проконсультировать вас по включению и настройке RDP.

Читайте также:  Методы исправление ошибки 0x800f0831 при обновлении Windows 10

Для подключения по RDP понадобятся:

  • доступы к серверу (IP-адрес, пользователь и пароль);
  • стандартная программа на компьютере (продемонстрирует на примере ОС Windows, но и о пользователях Ubuntu Microsoft позаботились, выпустив клиент Remmina) или приложение на телефоне (разберем на примере Android).

Теперь по порядку.

Где взять доступы к серверу?

У поставщика услуг. Если вы заказали выделенный Windows-сервер в Renter (а если нет, то еще не поздно, ловите инструкцию), письмо с доступами придет на контактный e-mail. То, что мы ищем в блоке Удаленный доступ в Windows:

На случай если письмо потерялось в пучине спама, доступы продублированы в Личном кабинете. Просто авторизуйтесь, выберите интересующий вас сервер и перейдите в раздел Доступ root

Имея под рукой доступы можно перейти к настройке подключения на своем компьютере/телефоне.

Включение доступа и добавление пользователей

Первый шаг настройки – корректировка настроек Windows 10, чтобы сделать соединение через интернет с использованием RDP в принципе возможным. Откройте Пуск и нажмите на шестеренку Параметры.

Откройте раздел с настройкой системы.

Включение доступа и добавление пользователей

Просмотрите детальные сведения (можно сразу открыть этот экран комбинацией Win-Pause или Win-Break).

Включение доступа и добавление пользователей

Запомните, какое имя указано для компьютера. Далее перейдите к настройке удаленного доступа.

Включение доступа и добавление пользователей

Если в системе настроено автоматическое переведение в «спячку», то будет показано предупреждение.

Включение доступа и добавление пользователей

Нажмите Электропитание и далее настройки схемы, чтобы убрать помехи к использованию RDP в Win 10.

Включение доступа и добавление пользователей

Выберите из списка «Никогда», если хотите, чтобы ПК был постоянно доступен.

Включение доступа и добавление пользователей

Альтернативный способ – активировать режим повышенной производительности, тогда компьютер не будет отключаться.

Включение доступа и добавление пользователей

В подразделе удаленного рабочего стола разрешите подключаться к компьютеру.

Включение доступа и добавление пользователей

При желании можно провести настройку RDP Windows 10 для нескольких пользователей, нажав кнопку чуть ниже переключателя.

Включение доступа и добавление пользователей

По умолчанию доступ дается администраторам, но можно добавить произвольного пользователя (например, специально созданного для этих целей).

Включение доступа и добавление пользователей

Впишите его имя в системе.

Включение доступа и добавление пользователей

Пользователь появится в списке допуска к RDP.

Включение доступа и добавление пользователей

В зависимости от версии ОС, порядок действий может несколько отличаться. Например, официальное руководство предлагает перейти к параметрам рабочего стола непосредственно в подразделе «Система» или же открыть в браузере адрес «ms-settings:remotedesktop».

Включение доступа и добавление пользователей

Как разрешить обычном пользователям использовать теневое подключение

В рассмотренных выше примерах для использования теневого подключения к терминальным сессиям необходимы права локального администратора на RDS сервере. Однако можно разрешить использовать теневое (shadow) подключение для подключения к сессиям пользователей и простым пользователям (не давая им прав локального администратора на сервере).

Читайте также:  Простая система аудита удаления файлов и папок для Windows Server

К примеру, вы хотите разрешить членам группы AllowRDSShadow использовать теневое подключение к сессиям пользователей, выполните команду:

wmic /namespace:\\root\CIMV2\TerminalServices PATH Win32_TSPermissionsSetting WHERE (TerminalName=’RDP-Tcp’) CALL AddAccount ‘corp\AllowRDSShadow’,2

В январе 2018 года после установки обновления KB4056898 (патч Windows против Meltdown и Spectre) пользователи столкнулись, что в Windows Server 2012 R2 перестал работать теневой доступ. При попытке выполнить теневое подключение к чужой сессии появляется сообщение «Неопознанная ошибка» (в логах присутствует ошибка STATUS_BAD_IMPERSONATION_LEVEL). Аналогичная проблема возникала и на RDS ферме на базе Windows Server 2016.

Для решения проблемы нужно установить отдельные обновления:

  • для Windows Server 2016 — KB4057142 (от 17 января 2018)
  • для Windows Server 2012 R2 — KB4057401 (от 17 января 2018)

Как обойти?

1 способ: сторонние программы

Надо признать, оба описанных способа имеют свои ограничения и особенности, которые мы также уточним, но именно этот метод кажется нам наименее проблемным и простым как при подключении, так и для дальнейшего одновременного подключения нескольких RDP мы будем использовать программу RDP Wrapper. Это OpenSource-проект, следить за которым вы можете на GitHub. Кроме нескольких RDP сессий, данная программа позволит реализовать удаленный доступ, в том числе, на Windows Home, и если необходимо, под одной учетной записью, скрыть список пользователей на экране приветствия, создать теневое RDP подключение и установить и подготовить программу к использованию, выполняем следующие шаги:

  1. Скачиваем RDP Wrapper из репозитория GitHub по ссылке
  2. В получившемся архиве находим и запускаем файл , не забывая о правах администратора.
  3. После установки, обратим внимание на файл (его вы найдете в том же архиве). Здесь нас интересует раздел Diagnostics, где все элементы должны быть окрашены в зеленый цвет. Если вместо [fully supported] вы видите [not supported], программа нуждается в обновлении. Нет возможности обновить полностью — скачайте отдельно файл с ресурса разработчика и сохраните его по пути C:\Program Files\RDP Wrapper\ Этот же способ нужно использовать для самых новых версий Windows.
  4. В качестве проверки, запускаем файл или создаем удаленное подключение. Если все сделано правильно, две и более сессий будут работать параллельно.

Также сразу обратим внимание читателей, что антивирусы данную программу, мягко говоря, недолюбливают, считая её вредоносным ПО, будьте готовы.

2 способ: внутренняя модификация

Этот способ подходит для пользователей Windows 10 и не требует установки сторонних приложений, однако требует бОльших, по сравнению с первым вариантом, навыков работы, в частности, с командной строкой. Есть и еще одна сложность, правку файла (а именно этим мы будем заниматься) придется повторять после каждой установки новой версии , интересующий нас файл можно найти по пути C:\Windows\System32 и прежде чем мы начнем, желательно создать его резервную копию. Если все пройдет как надо — она не понадобится, а если нет — сбережет вам немало нервных клеток. Для этого делаем следующее: запускаем командную строку с правами администратора и вводим команду:

Читайте также:  Подключение к Microsoft Exchange недоступно при запуске Outlook

copy c:\Windows\System32\ _backup

Кроме того, нам понадобится информация об установленной версии (билде) Windows 10. Это проще всего узнать, введя в PowerShell: “Get-ComputerInfo | select WindowsProductName, WindowsVersion”. Билд обозначается четырьмя цифрами, указывающими на год и месяц его выпуска. Впрочем, это скорее теоретические сведения, нас интересует лишь сам номер, его можно просто запомнить.

Теперь можно смело переходить к собственно правке файла. Для этого нам нужно проделать следующие шаги:

  1. Меняем владельца файла с TrustedInstaller на локальных администраторов. Для этого вводим в командную строку команду: «takeown /F c:\Windows\System32\ /A» В ответ получаем сообщение: «SUCCESS: The file (or folder): «c:\Windows\System32\» now owned by the administrators group«.
  2. Даем группе администраторов полные права на файл командой: «icacls c:\Windows\System32\ /grant Administrators:F» (или Администраторы, если речь идет о русской версии Windows). В подтверждение будет ответ: «processed file: c:\Windows\System32\ Successfully processed 1 files; Failed processing 0 files«.
  3. Останавливаем службу Remote Desktop Service (TermService) при помощи команды: «Net stop TermService«.
  4. Теперь переходим к собственно правке файла Для этого нам понадобится HEX редактор (скачиваем бесплатно из интернета) и немного внимания. В зависимости от билда, находим одну из строк, представленных в таблице ниже и заменяем её последовательностью “B8 00 01 00 00 89 81 38 06 00 00 90”, после этого сохраняем изменения.
  5. Запускаем TermService.

Версия

Строка

Windows 10 x64 1909

39 81 3C 06 00 00 0F 84 5D 61 01 00

Windows 10 x64 1903

39 81 3C 06 00 00 0F 84 5D 61 01 00

Windows 10 x64 1809

39 81 3C 06 00 00 0F 84 3B 2B 01 00

Windows 10 x64 1803

8B 99 3C 06 00 00 8B B9 38 06 00 00

Windows 10 x64 1709

39 81 3C 06 00 00 0F 84 B1 7D 02 00

Если все сделано правильно, вы сможете использовать столько удаленных подключений, сколько вам понадобится. Если же что-то пойдет не так, вам нужно будет снова остановить упомянутую ранее службу TermService и восстановить сохраненный ранее файл при помощи команды

copy _backup c:\Windows\System32\

На этом все. Как видите, при подробном рассмотрении оба способа не так сложны как кажется поначалу, зато они могут значительно упростить вашу жизнь, если у вас потребность в удаленном доступе возникает часто. Все вопросы относительно описанных здесь методов, вы можете задать их в комментариях или нашем Telegram чате, а за новостями и обновлениями игр не забывайте следить на канале ТЕХМО.