Развертывание роли шлюза удаленных рабочих столов

Введение

Протокол RDP – удобное, эффективное и практичное средство для удалённого доступа как для целей администрирования, так и для повседневной работы.

Учитывая, что его реализации есть практически везде (различные платформы и ОС), и их много, нужно хорошо представлять его возможности.

По крайней мере, это будет нужно по ряду причин:

• Зачастую вместо RDP используется другое решение (VNC, Citrix ICA) по простой причине – предполагается, что «встроенный RDP минимальный и ничего не умеет».
• Во многих решениях, связанных с модными сейчас облачными технологиями (перевод офисов на «тонкие клиенты», да и просто организация терминальных серверов), бытует мнение что «RDP плохой потому что встроенный».
• Есть стандартный миф про то, что «RDP нельзя без VPN наружу выставлять, ломанут» (миф имеет под собой обоснование, но уже давно не актуален).
• Ну, раз уж про мифы заговорили – бытует мнение, что «Перейдя с RDP на Citrix трафик в пару раз падает». Ведь цитрикс – это дорого, следовательно как минимум на 157% круче.

Все эти мифы – ерунда и смесь устаревших «дельных советов», актуальных во времена NT 4.0, а так же откровенных вымыслов, не имеющих никаких причин к существованию. Так как IT – это точная наука, надо разобраться. Хорошо настроеный протокол RDP новых версий, с учётом всех новых функциональных возможностей, является достаточно хорошим и надёжным инструментом для организации удалённого доступа.

Поэтому мы займёмся:

• Кратким упоминанием про версии RDP
• Настройкой режима защиты RDP-сессии
• Настройкой шифрования для RDP
• Привязкой к конкретному адаптеру и порту
  • Меняем стандартный порт на нужный
  • Делаем раздельные настройки RDP для нескольких сетевых адаптеров
• Включением NLA
  • Как включается NLA со стороны RDP-сервера
  • NLA и Windows XP
  • Как включить CredSSP в XP
• Выбором правильного сертификата для RDP
• Блокированием подключений по RDP учётным записям с пустым паролем
• Настройка ACL для подключения по RDP
• Оптимизацией скорости RDP
  • Отключаем редирект неиспользуемых устройств
  • Настраиваем общую логику оптимизации визуальных данных RDP
• Оптимизацией сжатия RDP
  • Настраиваем общее сжатие RDP
  • Настраиваем сжатие аудиопотока RDP
• Оптимизацией соотношения потоков данных RDP
• Включением Require secure RPC communication для RDP

Приступим.

Смена стандартного порта Remote Desktop Protocol

Начнем со стандартной меры — смены стандартного порта Windows 2016 RDP, что позволит предотвратить атаку всем известных портов (well-known ports).
Настройку порта можно осуществить с помощью реестра —

HKEY_LOCAL_MACHINE\System\CurrentControlSet\Control\TerminalServer\WinStations\RDP-Tcp\PortNumber.

Рис. 1. Смена порта RDP в Windows Server 2016 с помощью редактора реестра

После этого запустите Брандмауэр Windows и на боковой панели слева выберите Дополнительные параметры. Далее — Правила для входящих соединений и нажмите кнопку Создать правило (на панели справа)

Рис. 2. Правила для входящих подключений

В появившемся окне выберите Для порта и нажмите кнопку Далее. Затем выберите Определенные локальные порты и введите порт, указанный при редактировании реестра (рис. 3). В следующем окне мастера нужно выбрать Разрешить подключение (рис. 4).

Рис. 3. Задаем новый порт

Рис. 4. Разрешаем подключение

Собственно, на этом настройка безопасности RDP завершена. Отключитесь от сервера и установите новое соединение. Не забудьте в настройках RDP-клиента Windows Server 2016 указать новый порт: IP-адрес_сервера: порт.

Solution

Prerequisites

Topology: Simply getting your ‘ducks in a row’ will take a lot longer than actually deploying the service. Here is the topology that I’m going to deploy;

Firewall Rules: You will see I’ve labelled all the Certificate/CRL rules as optional, this is because you would only need them if you were using self signed certificates. In this example that’s what I am doing, this means that all my remote clients need the root certificate installing on them, so for production I suggest you purchase a publicly signed wildcard certificate for simplicity.

DNS Requirements: For your internal domain and the DMZ it’s simple enough but your external clients will need to be able to resolve your public URL (and the URL of your CRL is used).

Certificate Services (Optional): If you want to deploy self signed wildcard certificates you will  need a PKI environment and a published CRL. See the following article;

Once setup you will need to generate a self signed wildcard certificate. See the following article;

Active Directory Directory Services: You need to have your ADFS farm deployed and ready to add your relying trust to. See the following article;

Web Application Proxy: The Role needs installing ready to have the publishing rule added for Remote Desktop Web Access. See the following article;

MAKE SURE: You have ran Windows updates on the WAP server, there are a number of bugs that have been fixed, ensure you have at least KB2975719, and in addition you need to have KB2983037 Hotfix installed.

Создание группы безопасности для RD Connection Broker

Следующим шагом нам необходимо в Active Directory создать группу безопасности в которую мы поместим наши сервера с ролью RD Connection Broker. Необходимо, это для того, чтобы мы этой группе безопасности назначили необходимые права на нашем SQL сервере.

Открываем оснастку ADUC и создаем в нужном вам расположении группу безопасности RD-Connection-Broker. Я выставлю область действия группы (Локальная в домене).

Добавим в группу RD-Connection-Broker два сервера с ролью посредника подключений к удаленным рабочим столам. В моем случае, это RDCB01 и RDCB02.

Не забудьте перезагрузить оба сервера, чтобы обновился их ACL с членством в группе

Установка сертификата SSL

Чтобы доступ через RDG был активен, также необходимо создать сертификат. В рабочем окне RDG Manager переходим к разделу «Имя сервера». Через контекстное меню открываем пункт «Просмотреть или изменить свойства сертификата». В открывшемся окне переключаемся на вкладку SSL. Доступно 3 варианта создания. Выбираем пункт, отмеченный красным на скриншоте:

Скриншот №12. Выбор метода

Теперь прописываем имя сертификата и путь, по которому он будет храниться:

Скриншот №13. Импорт

Нажимаем «ОК» для генерации. В итоге рабочая область менеджера выглядит следующим образом:

Скриншот №14. Общая информация

Для повышения уровня безопасности рекомендуется сменить порт по умолчанию для подключения через Remote Desktop Protocol. Открываем в RDG Manager раздел «Действия», пункт «Свойства». Переходим во вкладку «Свойства транспортировки». В поле, отмеченным красным, меняем значение:

Скриншот №15. Смена порта

Подтверждаем изменения, закрываем окно.

4.4. Login Test with MFA Push Login

I start the default RDP client tool from Microsoft. In the advanced configuration, I configure my RD Gateway server address.

I will now try to login remotely on my AD server, so I configured my AD server address:

In the meantime, I’ve started my Radius Bridge component in debug mode with the following command to see in live the radius request sent by NPS:

I perform the login now through my RDP client. I’m prompted to enter my Credentials:

I press OK after providing my credentials and then I see the RADIUS request coming on my Radius Bridge debug console:

I now received the push login request on my phone:

I approve the login request and I am logged on my remote server:

5. Another scenario

Another scenario is also possible which consists to protect each session hosts with the OpenOTP Credential Provider for Windows login. The 2FA login will be performed by each session hosts instead of a centralized component.

Configuring IIS and a HTTPS certificate:

The next steps will be to download the win-acme lets Encrypt client tool for generating a free public SSL certificate. https://www.win-acme.com/

Once downloaded, copy all of the files into the inetpub folder under a newly created folder called lets encrypt as shown in the screenshot.

Then ensure that the you configure external DNS with the FQDN required and ensure ports 443/3391 and port 80 are open on the firewall. You will then need to add the https binding to IIS.

Once this is all in place, you then would run the wacs.exe and follow the steps to generate the public certificate.

follow the steps to create a simple certificate for IIS.

Once completed the certificate will appear in the Web Hosting section of the local computer certificates.

The next step would be to run the importRDGateway script to auto configure the certificate as shown above. this can be found in the lets encrypt folder we created earlier.

Once the script is successfully run, you will see under SSL Certificate in the Remote Gateway Manager, the let’s Encrypt certificate is assigned.

Дополнительные роли и возможности (Additional Roles & Features)

Для поддержки новых функций в RDS, необходимо использование некоторых дополнительных ролей и возможностей. К ним относятся:

• Web Server (IIS). Данная роль необходима для доступа к RD Web Access.
• Hyper-V. Эта роль поддерживает виртуализацию удаленных рабочих столов и требуется при установке RD Virtualization.
• Network Policy Server в сочетании со службами RD Gateway используется для обеспечения доступа к клиентским политикам доступа.
• Desktop Experience Pack. Обеспечивает такие возможности как интерфейс Aero и проигрывание видео высокой четности.

На Рисунке 1 представлена инфраструктура RDS. Ниже описывается последовательность подключения клиента к удаленному рабочему столу или к удаленному приложению.

1. Удаленный пользователь подключается к сайту RD Web Access.
2. Сервер RD Web запрашивает информацию о приложениях, сессиях и виртуальных рабочих столах у сервера RD Connection Broker.
3. RD Connection Broker проверяет состояние ролей RDSH и RDVH, информацию о назначенных пользователю виртуальных рабочих столах в Active Directory Domain Services (AD DS), затем передает эту информацию обратно на сервер RD WEB Access.
4. Пользователь получает информацию о доступных удаленных приложениях и виртуальных рабочих столах на сайте RD Web.
5. Клиентский компьютер открывает соединение с сервером RD Gateway. Используя процедуру удаленного вызова (RPC) поверх протокола HTTP подключается к серверу RD Connection Broker.
6. RD Connection Broker использует AD DS для нахождения разрешений пользователя и информации о персональных виртуальных рабочих столах ассоциированных с данным пользователем.
7. RD Connection Broker перенаправляет клиентский компьютер на доступный RDSH или RDVH сервер на котором установлено запрашиваемое приложение или виртуальный рабочий стол.
8. RDSH или RDVH сервер отвечают клиенту и предоставляют запрашиваемую сессию или виртуальный рабочий стол.
9. Любые RDSH или RDVH сервера требуют доступа к серверу лицензирования (RD Licensing Server). Существует 120 дневный период, в течение которого лицензии не требуются.

Рисунок 1 Инфраструктура RDS

Как устранить неполадки подключения

Обычно после настройки приложения «Удаленный рабочий стол» вы можете без проблем подключиться к другому компьютеру. Однако, если вы не можете подключиться, вам может потребоваться выполнить некоторые действия по устранению неполадок, чтобы устранить проблему с подключением.

Подтвердите настройки брандмауэра

При включении удаленного рабочего стола в Windows 10 брандмауэр Windows также автоматически настраивает необходимые порты, но это не всегда так. Если вы не можете подключиться к устройству удаленно, вы должны убедиться, что брандмауэр разрешает службу удаленного рабочего стола, выполнив следующие действия:

1. Откройте приложение безопасности Windows.
2. Нажмите на Брандмауэр и безопасность сети.
3. Нажмите Разрешить работу с приложением через брандмауэр.
4. Нажмите кнопку Изменить настройки.
5. Установите флажок Удаленный рабочий стол и проверьте параметры «Частный» и «Общедоступный».
6. Нажмите кнопку ОК.

Если вы используете сторонний брандмауэр или антивирус, вы можете отключить эти приложения, чтобы проверить, можно ли подключиться.

Разблокировать порт удаленного подключения

Это маловероятно, но если вы пытаетесь подключиться через Интернет, возможно, ваш интернет-провайдер блокирует порт из соображений безопасности. Если это так, вы можете связаться с ними напрямую, чтобы узнать, как вы можете открыть указанный порт.

Используйте IP-адрес, а не имя ПК

При настройке подключений к удаленному рабочему столу рекомендуется использовать IP-адрес, а не имя компьютера, так как это может привести к проблемам при неправильной настройке.

Кроме того, если вы добавляете новое устройство в список на удаленный рабочий стол, обязательно введите правильный IP-адрес (как показано в приведенных выше шагах). Например, используйте локальный IP-адрес для подключения внутри частной сети или используйте общедоступный IP-адрес для связи через Интернет.

Активируйте службу удаленного рабочего стол

Также возможно, что вы можете подключиться, потому что необходимые службы не работают.

Чтобы определить, запущена ли служба удаленного рабочего стола, выполните следующие действия:

1. Откройте Пуск.
2. Выполните поиск по запросу Службы и нажмите верхний результат, чтобы открыть приложение.
3. Выберите службу удаленного рабочего стола и проверьте, что в столбце «Состояние» указано «Работает».
4. Если она не запущена, щелкните правой кнопкой мыши службу и выберите параметр «Запуск».

После выполнения этих шагов вы сможете подключиться к установке удаленного сеанса.

Переключиться на Интернет-протокол версии 4 (TCP/IPv4)

Хотя Windows 10 может использовать оба сетевых стека, включая IPv4 и IPv6, иногда ОС предпочитает IP версии 6, что может вызвать проблемы с протоколом удаленного рабочего стола (RDP).

Чтобы использовать IPv4 по умолчанию в Windows 10, выполните следующие действия:

1. Откройте Панель управления.
2. Нажмите Сеть и Интернет.
3. Нажмите на Центр управления сетями и общим доступом.
4. Выберите «Изменить параметры адаптера» на левой панели.
5. Щелкните правой кнопкой мыши адаптер, подключенный к сети, и выберите параметр Свойства.
6. Снимите флажок Протокол Интернета версии 6 (TCP/IPv6).
7. Нажмите кнопку ОК.

После того, как вы выполните эти шаги, перезагрузите устройство, и теперь вы сможете подключиться с помощью удаленного подключения.

В этом руководстве мы наметили необходимые шаги для успешного подключения к вашему ПК удаленно в частной сети и через Интернет

Однако, важно помнить, что разрешение подключений к удаленному рабочему столу (в частности, через Интернет) может представлять угрозу безопасности

Вы всегда должны знать, что настройка удаленного рабочего стола и открытие портов на маршрутизаторе могут позволить злоумышленникам получить несанкционированный доступ к вашему устройству

Используйте это руководство с осторожностью, всегда используйте надежные пароли, отключайте службу удаленного рабочего стола и удаляйте настройки переадресации портов на маршрутизаторе, когда они не нужны

Требования по развертыванию RD Connection Broker High Availability

Прежде, чем мы начнем к поэтапному приготовлению к установке вашей отказоустойчивой RDS ферме, я бы хотел выделить пункты, которые нам потребуется выполнить.

1. Наличие двух серверов или виртуальных машин с Windows Server 2019, на которые мы будем устанавливать роли посредников подключений (RD Connection Broker)
2. Создание группы безопасности Active Directory, в которую необходимо поместить сервера RD Connection Broker
3. Установка MS SQL 2012 и выше, для базы Connection Broker, лучше в режиме Always On.
4. Предоставление группы безопасности с серверами RD Connection Broker, прав на создание баз данных
5. Установка на сервера посредников подключений SQL Server Native Client, если SQL 2016, то Client Tools Connectivity
6. Создание записи в DNS, которое будет использоваться в качестве имени RDS фермы, с помощью механизма DNS round robin.
7. Настройка алиаса в cliconfg.exe для SQL базы и упрощенного переноса в случае необходимости
8. Подготовка одного или более сервера с Windows Server 2016 для установки роли Remote Desctop Session Host и RD Web
9. Выпуск SSL сертификата безопасности
10. Создание и настройка коллекции на RDS ферме
11. Установка и настройка сервера лицензирования терминальных сессий
12. Дополнительные правки реестра для подключений через стандартное приложение «Подключение к удаленному рабочему столу»

Тестовый стенд с виртуальными машинами фермы Remote Desktop Services

1. Две виртуальные машины с установленной Windows Server 2019, RDCB01.root.pyatilistnik.org (ip-адрес 192.168.31.20) и RDCB02.root.pyatilistnik.org (ip-адрес 192.168.31.21)
2. Две виртуальные машины с установленной Windows Server 2016, RDHC01.root.pyatilistnik.org
3. (ip-адрес 192.168.31.22) и RDSH02.root.pyatilistnik.org (ip-адрес 192.168.31.23)
4. Виртуальная машина SQL01.root.pyatilistnik.org с установленной MS SQL 2016, но напоминаю у вас должен быть отказоустойчивый кластер SQL.

Уверен, что вы произвели настройку Windows Server 2019 и 2016 серверов, дали им статические IP-адреса и установили все доступные обновления безопасности

Несколько терминальных серверов и dns round robin

При наличие нескольких серверов терминалов, мы можем создать несколько записей в DNS, чтобы получать по round robin разные серверы:

Однако, при попытке подключиться к незарегистрированному серверу мы увидим ошибку:

Для решения переходим в настройку шлюза — кликаем правой кнопкой по Политики авторизации ресурсов и выбираем Управление локальными группами компьютеров

Выбираем нужную группу компьютеров и нажимаем Свойства

* в моем случае это была единственная группа, созданная по умолчанию.

На вкладке Сетевые ресурсы добавляем имя, созданное в DNS:

Теперь подключение будет выполняться без ошибок.

Настройка режима защиты RDP-сессии

В принципе, это самая простая часть задачи. Суть в следующем. В различных версиях RDP применяется два основных механизма защиты сессии – встроенный в RDP и «заворачивание» сессии в TLS. Встроенный является недостаточно безопасным, и рекомендация «RDP можно наружу только в VPN» – про него. Поэтому всегда включайте поддержку TLS. Это тот минимум, с которого Вы должны начать. Ограничениями будут разве что версия сервера не ниже Windows Server 2003 SP1 и клиент RDP 5.2 и выше, но, думается, это в конце 2011 года вполне решаемо.

Как включить RDP over TLS

Вариантов, как всегда, несколько. Первый – включение через групповую политику. Для этого надо зайти в целевой объект групповой политики (ну или локально на своей домашней рабочей станции запустить gpedit.msc) и там последовательно выбрать и там включить параметр , выбрав в нём SSL (TLS 1.0) only. Можно выбрать и более мягкий Negotiate, но я бы не рекомендовал, т.к. на данный момент это банально ниже приемлемого уровня безопасности. Как человек, создававший private cloud’ы с достаточно высоким уровнем безопасности, я могу сказать, что смысл выносить особо ценные данные в датацентр под Лондоном и ходить туда дефолтным RDP – нулевой и является поиском неприятностей.

Можно и проще – откройте оснастку (найдёте в mmc или готовую в меню ), выберите из списка нужное подключение (обычно оно одно и называется RDP-Tcp), и откройте , после – вкладку и там выбрать нужный .

Для работы TLS необходим цифровой сертификат (как минимум – со стороны сервера). Обычно он уже есть (генерится автоматически), убедитесь в его наличии, про то, как сделать его хорошим, поговорим после. Пока надо, чтобы он просто был, иначе подключиться не получится.

Настройка Active Directory

Сервер удаленного доступа и клиентские компьютеры DirectAccess должны принадлежать домену Active Directory. Клиентские компьютеры DirectAccess должны быть членом домена одного из следующих типов:

• Домены, принадлежащие к одному лесу с сервером удаленного доступа.

• Домены, принадлежащие к лесам, имеющим двустороннее доверие с лесом сервера удаленного доступа.

• Домены, имеющие двустороннее доверие с доменом сервера удаленного доступа.

Присоединение клиентских компьютеров к домену

1. На начальном экране введите explorer.exe и нажмите клавишу ВВОД.

2. Щелкните правой кнопкой значок компьютера и выберите Свойства.

3. На странице Система щелкните Дополнительные параметры системы.

4. В диалоговом окне Свойства системы на вкладке Имя компьютера щелкните Изменить.

5. В поле имя компьютера введите имя компьютера, если вы также изменяете имя компьютера при присоединении сервера к домену. В разделе Член групп выберите Домен и введите имя домена, к которому нужно присоединить сервер, например corp.contoso.com, а затем нажмите ОК.

6. При появлении запроса на ввод имени пользователя и пароля введите имя пользователя и пароль пользователя с разрешениями на присоединение компьютеров к домену, а затем нажмите кнопку ОК.

7. При появлении диалогового окна с приветствием домена нажмите кнопку «OK».

8. При появлении запроса на перезагрузку компьютера нажмите кнопку ОК.

9. В диалоговом окне Свойства системы нажмите кнопку Закрыть.

10. Щелкните Перезагрузить сейчас, когда появится сообщение о необходимости перезагрузки.

Windows PowerShell эквивалентные команды

Следующие командлеты Windows PowerShell выполняют ту же функцию, что и предыдущая процедура. Вводите каждый командлет в одной строке, несмотря на то, что здесь они могут отображаться разбитыми на несколько строк из-за ограничений форматирования.

Примечание

При вводе следующей команды необходимо указать учетные данные домена.

Установка службы удаленных рабочих столов

Запускаем Диспетчер серверов. Его можно запустить с ярлыка на панели задач, или же выполнив команду servermanager.exe (Для этого необходимо нажать комбинацию клавиш Win+R, в появившемся окне в поле «Открыть» (Open) написать имя команды и нажать «ОК»).

В меню, в верхнем правом углу, выбираем «Управление» (Manage) — «Добавить роли и компоненты» (Add Roles and Features).

Запустится «Мастер добавления ролей и компонентов» (Add Roles and Features Wizard). Нажимаем «Далее» (Next) на начальной странице.

Оставляем переключатель на «Установка ролей и компонентов» (Role-based or features-based installation) и снова жмем «Далее» (Next).

Выбираем тот сервер из пула серверов, на который будет установлена служба терминалов. В моем примере это данный локальный сервер. Нажимаем «Далее» (Next).

Отмечаем роль «Службы удаленных рабочих столов» (Remote Desktop Services) в списке ролей и жмем «Далее» (Next).

Компоненты оставляем в том виде, в котором они есть. Ничего не отмечая жмем «Далее» (Next).

Читаем описание службы удаленных рабочих столов и нажимаем «Далее» (Next).

Теперь необходимо выбрать устанавливаемые службы ролей. Как минимум нам пригодится «Лицензирование удаленных рабочих столов» (Remote Desktop Licensing) (также соглашаемся на установку дополнительных компонент нажав  на «Добавить компоненты» (Add Features) в появившемся мастере)

и «Узел сеансов удаленных рабочих столов» (Remote Desktop Session Host) (опять соглашаемся на установку дополнительных компонент нажав на «Добавить компоненты» (Add Features) в открывшемся окне). Отметив необходимы службы ролей, нажимаем «Далее» (Next).

Все параметры установки роли определены. На последней странице установим флаг «Автоматический перезапуск конечного сервера, если требуется» (Restart the destination server automatically if required) , подтвердим выбор нажав «Да» (Yes) в появившемся окне и нажмем «Установить» (Install) для запуска установки службы.

Если все прошло хорошо, после перезагрузки, увидим сообщение об успешной установке всех выбранных служб и компонент. Нажимаем «Закрыть» (Close) для завершения работы мастера.

Привязываем RDP к конкретному адаптеру и порту

Для того, чтобы сервер работал безопасно и предсказуемо (например, не начинал принимать подключения с нового, свежедобавленного сетевого адаптера), необходимо в явном виде указать, на каких интерфейсах служба RDP-сервера должна принимать подключения. Плюс, достаточно часто бывает полезным переключить порт, на котором сервер слушает подключения. Конечно, можно это сделать и публикуя сервер с RDP через какой-нибудь шлюз, но можно и без этого. Такие, казалось бы, базовые действия в реальности ощутимо снизят процент дураков-скрипткиддисов, которые очередной “мощной тулзой” проверяют wellknown-порты.

Откройте оснастку Remote Desktop Session Host Configuration (найдёте в mmc или готовую в меню Administrative Tools → Remote Desktop Connections), выберите из списка Connections нужное подключение (обычно оно одно и называется RDP-Tcp), и откройте Properties, после – вкладку Network Interfaces. В ней Вы сможете выбрать один конкретный интерфейс, на котором надо ожидать подключения, плюс ограничить количество параллельных сессий.

Если у Вас много интерфейсов, и Вам надо, допустим, чтобы можно было подключаться через 2 из 5 доступных, то Вам надо будет привязать существующий по-умолчанию RDP-Tcp к одному адаптеру, после зайти в меню Action и там выбрать Create New Connection. Подключение может слушать либо на всех интерфейсах, либо на одном, и в случае, когда надо, чтобы оно слушало на N интерфейсах, придётся создать N подключений.

Соответственно, если у Вас есть задача «Чтобы на одном интерфейсе RDP слушал на одном порту, а на другом – на другом», она решаема так же – отвязываете дефолтный от всех адаптеров и привязываете к конкретному, после – создаёте новое RDP-подключение и тоже привязываете к нужному сетевому интерфейсу.

Как привязать службу RDP к не-дефолтному порту

Порт по умолчанию – 3389 TCP. Кстати, не забудьте разрешить его в пакетном фильтре. Ну а если хотите другой – надо зайти в ключ реестра

и поправить в нём значение . Учитывайте, что отслеживание конфликтов в плане занятости портов – на Вашей совести, сам он, обнаружив, что назначенный Вами порт занят, “перепрыгнуть” никуда не сможет.

#######

Верификация службы удаленных рабочих столов

По умолчанию после установки создается QuickSessionCollection, куда входят Calculator, WordPad и Paint в качестве удаленных приложений. Мы можем использовать это для тестирования установки RDP.

2. Подключитесь к сеансу IIS RDS с помощью доменной учетной записи.

3. Запустите удаленное соединение: то, которое вы сконфигурировали, или удаленное приложение по умолчанию.

Установка службы удаленных рабочих столов может состоять из многих шагов, но после изначальной настройки ее легко конфигурировать и использовать. Удаленные приложения обеспечивают значительную гибкость, как и возможность настраивать коллекции RDP-подключений для предложения их пользователям.