Раздел: Админство

Remote Desktop Services

Группа ролей Remote Desktop Services ранее (т.е. до windows 2008 R2) называлась Terminal Services. Эта группа служб представляет собой систему с клиент-серверной архитектурой, позволяющую клиентам запускать удалённые приложения на сервере и работать с ними, а так же перенаправлять не только управление с помощью мыши и клавиатуры, но и аудиосигналы, принтеры, COM-порты, Pnp-устройства, жёсткие диски, и др. Эту группу служб можно использовать как сервер приложений для тонких клиентов, или же для администрирования серверов. Давайте рассмотрим настройку Remote Desktop Services на примере Windows 2008 R2.
Терминальная служба позволяет пользователю управлять рабочим столом удалённого компьютера с помощью программы Remote Desktop Connection (RDC), которая работает через протокол Remote Desktop Protocol (RDP). Вызвать эту программу можно нажав кнопку Start(Пуск, или кнопка Windows на клавиатуре) или запустив окно Run(Выполнить, или сочетание клавиш Win+R), и написав mstsc. По умолчанию, подключения, созданные с помощью RDP, работают через TCP-порт 3389, а при использлованиии шлюза терминальной службы — через TCP-порт 443 (HTTPS). Настройку и работу с программой RDC мы здесь рассматривать не будем, а затронем настройку группы ролей Remote Desktop Services.
Для того, чтобы всё корректно работало, компьютер с включёнными компонентами роли Remote Desktop Services во-первых, обязательно должен находиться  в домене, в о вторых (не обязательно, но всё-таки логично) — не быть контроллером домена. Ещё, хотелось бы обратить ваше внимание на то, что программы, которые терминальный сервер будет предоставлять для пользователя, должны быть установлены после установки службы роли терминального сервера. И — ещё одно: после установки роли терминального сервера, нельзя будет поменять имя компьютера, так что подумайте об этом заранее.
Итак, добавляем в Server Manager’e роль Remote Desktop Services (Службы удалённых рабочих столов):

Далее следует весьма верное замечание от Microsoft: если вы просто хотите удалённо администрировать сервер, то вам незачем устанавливать эту службу — просто включите поддержку удалённого рабочего стола:

Далее, выбираем первый компонент — Remote Desktop Session Host (Узел сеансов удалённых рабочих столов).

После этого, Microsoft предупреждает о том, о чём я говорил в начале статьи — что если узел сеансов удалённых рабочих столов устанавливается на сервер с уже имеющимися программами, то они могут работать некорректно. Естественно, в идеале, прежде чем внедрять Remote Desktop Session Host в рабочую инфраструктуру, целесообразно протестировать работу приложений на нём в тестовой среде.

В следующем диалоговом окне мастер спрашивает о методе аутентификации для терминального сервера. Если вы выберете Require network level authentication (Требовать проверки подлинности на уровне сети), то к узлу смогут присоединиться только клиенты,поддерживающие проверку подлинности на уровне сети. На данный момент, по умолчанию эта опция подходит только для операционных систем Windows2008/windows2008R2/Windows7, но, если поработать руками то, конечно, и Windows XP и Windows Vista можно заставить работать таким образом. К сожалению, подобные манипуляции «напильником» в данной статье мы рассматривать не будем. Итак, выбираем интересующий нас вариант:

В окне выбора режима лицензирования удалённых рабочих столов (Licensing mode) столов мы выберем параметр Configure Later (Настроить позже).

Далее, мы можем добавить пользователей или группы пользователей, которые имеют право подключаться к этому серверу узла сеансов. По умолчанию уже добавлена группа администраторов. Оставим всё как есть.

Далее, настраиваем взаимодействие с пользователем. Требуется выбрать функционал, который будет предоставляться клиентам. Итак, у нас есть чекбоксы:

-Audio and video playback (Воспроизведение аудиопотока и видеоданных);
-Audio recording redirection (перенаправление записи звука);
-Desktop composition (Provides the user interface elements ofRwindows Aero)(Композиция рабочего стола (Элементы интерфейса Windows Aero));

Вы можете разрешить пользователям эти возможности, но учтите, что они требуют дополнительных ресурсов сервера, клиента и самой сети. Рекомендую не включать эти возможности без надобности:

Всё, нажимаем Next, затем Install. После установки вы должны перезагрузиться.

Когда установка компонента Remote Desktop Sesion Host завершена, можно проинсталлировать программы, которые вы хотите открыть для терминального доступа. Устанавливать программы можно только если сервер находится в режиме Install.

Чтобы узнать, в каком режиме находится сервер, в командной строке наберите:
Change user /Query

Чтобы перевести сервер в режим Install, наберите:
Change user /Install

После установки необходимых приложений, переведите сервер из режима Install в режим Execute:
Change user /Execute
Для установки приложения из .msi-пакета сервер не обязательно переводить в режим Install.

Чтобы настроить на использование установленный компонент Remote Desktop Sesion Host, мы должны открыть соответствующую mmc-консоль, это можно сделать двумя способами. Во-первых, через Server Manager, где появляются все оснастки установленных ролей; во-вторых, соответствующие оснастки появляются в разделе Start(Пуск) -> Administrative Tools(Администрирование) -> Remote Desktop Services(Службы удалённых рабочих столов).

Откроем оснастку Remote App Manager(Диспетчер удалённых приложений RemoteApp). Выглядеть она будет так:

В правом верхнем углу в разделе Actions нажмём Add RemoteApp Programs(Добавить удалённые приложения RemoteApp), чтобы добавить программы , к которым мы будем предоставлять удалённый доступ. Откроется окно мастера.

Нажимаем Next, и видим окно, с установленными на компьютере программами:

Ставим галочки напротив нужных; если какой-то программы не хватает, можете её добавить через кнопку Browse(Обзор).

Для каждой из программ можно посмотреть свойства, вызвав соответствующее окно кнопкой Properties(Свойства), например, Snipping Tool:

Это окно содержит название программы(RemoteApp program name), её месторасположение(Location), псевдоним (Alias), и прочие параметры:

чекбокс RemoteApp program is avaiable through RD Web Access (удалённое приложение RemoteApp доступно через Web-доступ к удалённым рабочим столам) — означает, будет ли это приложение доступно пользователям через веб-сервис служб терминалов, который называется  Remote Desktop Web Access (об этом способе доступа читайте в другой статье).

Параметры аргументов командной строки:

Do not allow command-line Arguments (Не разрешать аргументы командной строки)
Allow any comand-line arguments (Разрешать любые аргументы командной строки)
Always use the following comand-line arguments (Всегда использовать со следующими аргументами командной строки)

А так же с помощью кнопки Change Icon (Сменить значок) можно изменить иконку для приложения.

После добавления нужных программ вы увидите их в нижней части окна Диспетчера удалённых приложений RemoteApp Manager:

На этом основная настройка сервиса завершена.
Дополнительные настройки можно произвести с помощью следующих средств.

Start(Пуск) -> Administrative Tools(Администрирование) -> Local Security Policy(Локальная политика безопасности).
В этой оснастке в разделе Local Policies(Локальные политики) -> User Rights Assignment(Назначение прав пользователя) есть два параметра, относящиеся к нашему сервису:
Allow log on through Remote Desktop Services(Разрешать вход в систему через службы удаленных рабочих столов)
Deny log on through Remote Desktop Services(Запретить вход в систему через службы удаленных рабочих столов)
Эти параметры безопасности определяют, какие пользователи или группы имеют(или не имеют) право входа в систему в качестве клиента служб удаленных рабочих столов.

Комментировать

Комментарии

два × два =

  1. У меня в Разрешать вход в систему через службы удаленных рабочих столов нет возможности добавлять или удалять группы и пользователей.
    С чем это может быть связано?

    windows 2008 R2, в доменен, не является контроллером домена.

    пользователей пускает только доменных, локальных на терминал не пускает.

  2. @Сиптх
    Там где вы добавляете пользователя или группу «Add User Or group» проверьте, видно ли ваш домен в Locations. Если не видно, значит комп не видит домена.

    Если вы вообще не можете произвести действие, возможно, у вас нет на это прав, если компьютер в домене.

    Если кого-то пускает, а кого-то нет, проверьте, какие группы назначены в этой политике ( а так же в Deny log on through Remote Desktop Services), и наличие ваших пользователей в этих группах.

    ещё можно загуглить ошибку, которую выдаёт при коннекте.