Меню

Как использовать шлюз удаленных рабочих столов



Шлюзы удаленный рабочий стол настройки производительности Performance Tuning Remote Desktop Gateways

В Windows 8 + и Windows Server 2012 R2 + шлюз удаленный рабочий стол (шлюз удаленных рабочих столов) поддерживает TCP, UDP и устаревшие транспорта RPC. In Windows 8+ and Windows Server 2012 R2+, Remote Desktop Gateway (RD Gateway) supports TCP, UDP, and the legacy RPC transports. Большая часть следующих данных касается устаревшего транспорта RPC. Most of the following data is regarding the legacy RPC transport. Если устаревший транспорт RPC не используется, этот раздел неприменим. If the legacy RPC transport is not being used, this section is not applicable.

В этом разделе описаны параметры, связанные с производительностью, которые помогают повысить производительность развертывания клиента и настройки, зависящие от особенностей использования сети клиентом. This topic describes the performance-related parameters that help improve the performance of a customer deployment and the tunings that rely on the customer’s network usage patterns.

По сути, шлюз удаленных рабочих столов выполняет множество операций пересылки пакетов между экземплярами подключение к удаленному рабочему столу и экземплярами сервера узла сеансов удаленных рабочих столов в сети клиента. At its core, RD Gateway performs many packet forwarding operations between Remote Desktop Connection instances and the RD Session Host server instances within the customer’s network.

Следующие параметры применяются только к транспорту RPC. The following parameters apply to RPC transport only.

Службы IIS (IIS) и шлюз удаленных рабочих столов экспортируйте следующие параметры реестра, чтобы улучшить производительность системы в шлюзе удаленных рабочих столов. Internet Information Services (IIS) and RD Gateway export the following registry parameters to help improve system performance in the RD Gateway.

Настройка потоков Thread tunings

MaxIOThreads Maxiothreads

Этот пул потоков конкретного приложения определяет количество потоков, создаваемых шлюзом удаленных рабочих столов для обработки входящих запросов. This app-specific thread pool specifies the number of threads that RD Gateway creates to handle incoming requests. Если этот параметр реестра задан, он вступает в силу. If this registry setting is present, it takes effect. Число потоков равно числу логических процессов. The number of threads equals the number of logical processes. Если число логических процессоров меньше 5, по умолчанию используется 5 потоков. If the number of logical processors is less than 5, the default is 5 threads.

макспулсреадс MaxPoolThreads

Этот параметр указывает количество потоков пула IIS, создаваемых для каждого логического процессора. This parameter specifies the number of IIS pool threads to create per logical processor. Потоки пула IIS пропускают сеть для запросов и обрабатывают все входящие запросы. The IIS pool threads watch the network for requests and process all incoming requests. Число макспулсреадс не включает потоки, потребляемые шлюзом удаленных рабочих столов. The MaxPoolThreads count does not include threads that RD Gateway consumes. Значение по умолчанию — 4. The default value is 4.

Настройка удаленного вызова процедур для шлюза удаленных рабочих столов Remote procedure call tunings for RD Gateway

Следующие параметры могут помочь в настройке удаленных вызовов процедур (RPC), полученных подключение к удаленному рабочему столу и компьютерами шлюза удаленных рабочих столов. The following parameters can help tune the remote procedure calls (RPC) that are received by Remote Desktop Connection and RD Gateway computers. Изменение окон помогает регулировать объем данных, передаваемых через каждое подключение, и может повысить производительность для сценариев RPC через HTTP v2. Changing the windows helps throttle how much data is flowing through each connection and can improve performance for RPC over HTTP v2 scenarios.

Читайте также:  Как удалять твики с рабочего стола

серверрецеивевиндов ServerReceiveWindow

Значение по умолчанию — 64 КБ. The default value is 64 KB. Это значение указывает окно, используемое сервером для данных, получаемых от прокси-сервера RPC. This value specifies the window that the server uses for data that is received from the RPC proxy. Минимальное значение равно 8 КБ, а максимальное значение равно 1 ГБ. The minimum value is set to 8 KB, and the maximum value is set at 1 GB. Если значение не указано, используется значение по умолчанию. If a value is not present, the default value is used. При внесении изменений в это значение необходимо перезапустить службы IIS, чтобы изменения вступили в силу. When changes are made to this value, IIS must be restarted for the change to take effect.

серверрецеивевиндов ServerReceiveWindow

Значение по умолчанию — 64 КБ. The default value is 64 KB. Это значение указывает окно, которое клиент использует для данных, получаемых от прокси-сервера RPC. This value specifies the window that the client uses for data that is received from the RPC proxy. Минимальное значение — 8 КБ, а максимальное значение — 1 ГБ. The minimum value is 8 KB, and the maximum value is 1 GB. Если значение не указано, используется значение по умолчанию. If a value is not present, the default value is used.

Мониторинг и сбор данных Monitoring and data collection

Следующий список счетчиков производительности считается базовым набором счетчиков при мониторинге использования ресурсов на шлюзе удаленных рабочих столов. The following list of performance counters is considered a base set of counters when you monitor the resource usage on the RD Gateway:

\Шлюз службы терминалов\* \Terminal Service Gateway\*

\Прокси-сервер RPC/HTTP\* \RPC/HTTP Proxy\*

\Прокси-сервер RPC/HTTP для каждого сервера\* \RPC/HTTP Proxy Per Server\*

Источник

Настройка шлюза удаленных рабочих столов

Для того чтобы повысить уровень безопасности Windows-сервера бывает недостаточно сменить TCP-порт RDP . Рассмотрим настройку шлюза удаленных рабочих столов (Remote Desktop Gateway / Terminal Services Gateway) в домене Active Directory.

Remote Desktop Gateway, что это?

Remote Desktop Gateway — это роль Windows-сервера, обеспечивающая защищенное соединение, с помощью протокола SSL, с сервером по RDP. Главное преимущество этого решения в том, что не требуется развертывание VPN-сервера, для этого и используется шлюз.

Следует отметить, что начиная с Windows Server 2008 R2, были изменены названия всех служб удаленных рабочих столов. Именуемые ранее службы Terminal Services были переименованы в Remote Desktop Services.

Преимущества Remote Desktop Gateway в следующем:

  • Используя зашифрованное соединение, шлюз позволяет подключаться к внутренним сетевым ресурсам без необходимости использования VPN-соединения удаленными пользователями;
  • Шлюз дает возможность контроля доступа к определенным сетевым ресурсам, тем самым реализуя комплексную защиту;
  • Шлюз разрешает подключение к сетевым ресурсам, которые размещены за межсетевыми экранами в частных сетях или NAT;
  • С помощью консоли диспетчера шлюза появляется возможность настраивать политики авторизации для тех или иных условий, которые должны быть выполнены при подключении к сетевым ресурсам удаленными пользователями. В качестве примера, можно указать конкретных пользователей, которые могут подключаться к внутренним сетевым ресурсам, а также должен ли клиентский компьютер при этом быть членом группы безопасности AD, допустимо ли перенаправление устройства и диска;
  • Консоль диспетчера шлюза содержит инструменты, предназначенные для отслеживания состояния шлюза. Используя их, вы можете назначить отслеживаемые события для аудита, например, неудачные попытки подключения к серверу шлюза служб терминалов.
Читайте также:  Отремонтировать теннисный стол своими руками

Важно! Шлюз служб терминалов должен входить в домен Active Directory. Настройка шлюза выполняется только от имени администратора домена, на любом сервере в домене.

Источник

Как настроить Remote Desktop Gateway

В инструкции описана установка и настройка шлюза удаленных рабочих столов Remote Desktop Gateway (Terminal Services Gateway) в домене Active Directory. Описана настройка SSL-сертификата для шлюза и пример подключения.

Что такое Remote Desktop Gateway?

Примечание: начиная с Windows Server 2008 R2 все службы удаленных рабочих столов были переименованы. Службы Terminal Services были переименованы в Remote Desktop Services .

Виртуальный сервер на базе Windows

  • Лицензия включена в стоимость
  • Тестирование 3-5 дней
  • Безлимитный трафик

Remote Desktop Gateway — роль, которая использует протокол удаленного рабочего стола RDP через протокол HTTPS, благодаря которому пользователи могут установить безопасное, зашифрованное соединение с внутренними сетевыми ресурсами, где выполняются их приложения. Основное преимущество заключается в том, что пользователю не нужно устанавливать VPN-соединение с корпоративной сетью перед подключением к серверу терминалов. Вместо этого они подключаются к серверу терминалов через шлюз.

RD Gateway предоставляет множество преимуществ:

  • шлюз позволяет удаленным пользователям подключаться к внутренним сетевым ресурсам через Интернет, используя зашифрованное соединение, без необходимости подключения виртуальных частных сетей (VPN);
  • шлюз предоставляет комплексную конфигурацию безопасности, которая позволяет контролировать доступ к определенным внутренним сетевым ресурсам;
  • шлюз обеспечивает одноточечное RDP-соединение и не позволяет удаленным пользователям получать доступ ко всем внутренним сетевым ресурсам;
  • шлюз позволяет подключаться к внутренним сетевым ресурсам, которые размещаются за брандмауэрами в частных сетях и между NAT;
  • консоль диспетчера шлюза позволяет настраивать политики авторизации для определения условий, которые должны быть выполнены для удаленных пользователей при подключении к внутренним сетевым ресурсам. Например, можно указать: кто может подключаться к сетевым ресурсам и к каким сетевым ресурсам (группам серверов), должны ли клиентские компьютеры быть членами групп безопасности Active Directory, разрешено ли перенаправление устройства и диска;
  • консоль диспетчера шлюза предоставляет инструменты, которые помогут отслеживать состояние шлюза. Используя диспетчер, вы можете указать события (например, неудачные попытки подключения к серверу шлюза служб терминалов), которые вы хотите отслеживать для целей аудита.

Примечание: для подключения через шлюз ваш сервер должен входить в домен Active Directory, настройка шлюза может выполняться на любом сервере в домене от имени администратора домена.

Установка роли

Откройте Диспетчер серверов и выберите пункт Add roles and features .

В качестве типа установки укажите Role-based or feature-based installation .

Выберите ваш сервер из пула.

В следующем окне отметьте Remote Desktop Services .

Далее вы увидите краткую информацию о роли.

Далее добавьте сервис Remote Desktop Gateway .

Для работы этого сервиса необходимо веб-сервер IIS и дополнительные административные инструменты, они будут предложены автоматически, если не были установлены ранее.

Добавьте данные функции.

Установите все выбранные компоненты на VPS с помощью кнопки Install.

Создание политики авторизации подключения и ресурсов

Чтобы открыть Remote Desktop Gateway Manager, в Диспетчере серверов выберите Tools и в открывшемся списке Remote Desktop ServicesRemote Desktop Gateway Manager .

Перед вами откроется менеджер шлюза.

Для создания политик авторизации в древовидной структуре откройте RD Gateway Manager → → PoliciesConnection Authorization Policies . В вертикальном меню Actions справа выберите Create New PolicyWizard .

В открывшемся окне выберите Create RD CAP and RD RAP (recommended), чтобы с помощью одного процесса настроить обе политики.

Введите удобное имя для политики авторизации подключения.

Читайте также:  Как изготовить стол длинный

На следующем шаге выберите наиболее удобный метод аутентификации: пароль или smartcard. Далее добавьте группы пользователей которые смогут подключаться к этому RD Gateway серверу, для это нажмите Add Group.

Выберите нужную группу, например администраторов домена или контроллеры домена. Выполнить поиск можно с помощью кнопки Check Names.

После добавления групп можно переходить к следующему действию.

Выберите устройства и ресурсы удаленной сессии, которые будут доступны клиентам использующие шлюз.

Выберите нужные для вас значения таймаутов: времени простоя и времени работы сессии.

Перепроверьте выбранные настройки.

Далее вы перейдете к настройке политики авторизации ресурсов. Введите удобное имя политики.

Также добавьте группы пользователей, которые смогут подключаться к сетевым ресурсам.

Выберите группу, содержащую серверы, на которых указанные группы пользователей могли бы работать с удаленным рабочим столом. Для этого нажмите Browse.

В этом примере используется встроенная группа под названием Domain Controllers. Вы можете создавать дополнительные группы, содержащие серверы, которые связаны или принадлежат к определенным отделам или сотрудникам. Таким образом, на предыдущих шагах вы можете назначать группы на основе потребностей пользователей и разрешать им доступ только к определенным серверам.

Убедитесь, что добавлена нужная группа.

Если порт по умолчанию удаленного рабочего стола на серверах был изменен, используйте эту страницу для указания порта. В противном случае выберите разрешение подключения только к порту 3389.

Проверьте указанные настройки для политики.

Далее отобразится результат создания политик.

После создания политик менеджер будет выглядеть следующим образом.

Установка SSL-сертификата

Для шлюза удаленного рабочего стола должен быть установлен SSL-сертификат. Чтобы установить SSL-сертификат, щелкните имя сервера удаленного рабочего стола в консоли управления удаленным рабочим столом и выберите View or modify certificate properties.

Возможно 3 способа импорта сертификатов:

  • создание самоподписанного сертификата и его импорт;
  • импорт ранее загруженного сертификата (самоподписанного или стороннего);
  • загрузка стороннего сертификата (например, Comodo) и его импорт;

Выберите подходящий вам способ, в нашем примере мы рассмотрим первый случай с генерацией и импортом самоподписанного сертификата.

Введите имя сертификата и его расположение на сервере. Нажмите OK.

Сертификат будет сгенерирован.

В результате отобразится — кому, кем и до какого числа выдан ssl-сертификат. Нажмите Apply для сохранения изменений.

Теперь самоподписанный SSL-сертификат успешно установлен на TCP-порт 443 (порт SSL по умолчанию).

В целях безопасности рекомендуется изменить порт SSL для шлюза удаленных рабочих столов на другой номер. Обычно компании делают это, чтобы попытаться обмануть хакеров, которые могут ориентироваться на стандартный порт 443.

Чтобы изменить номер порта для шлюза RD, щелкните правой кнопкой мыши имя сервера и выберите свойства в консоли управления удаленным рабочим столом (Action →Properties).

Измените значение HTTP-порта на любое удобное значение и сохраните изменения.

Подтвердите изменения, нажав Yes.

Подключение через шлюз

Для подключения откройте стандартное приложение Windows Подключение к удаленному рабочему столу (mstsc.exe). На вкладке Дополнительно нажмите на кнопку Параметры.

В открывшемся окне выберите Использовать следующие параметры сервера шлюза удаленных рабочих столов. Введите имя сервера в следующем формате и нажмите OK:
rdgateway. :

На вкладке Общие в поле Компьютер введите домен, в поле Пользователь имя пользователя и нажмите Подключить. При необходимости можете сохранить параметры входа.

Примечание: пользователь должен иметь права подключения через шлюз, которые были настроены ранее.

Введите пароль от учетной записи.

В результате будет произведено подключение к удаленному рабочему столу через шлюз RD Gateway. Это можно проверить с помощью команды tracert:

Из вывода видно, что трассировка идет через шлюз.

Источник

Adblock
detector