Установка службы удаленных рабочих столов (rds) 2019

Шаг 3. Базовые настройки файлового сервера

Это стандартные действия, которые выполняются при настройке обычного файлового сервера.

Установка роли и вспомогательных компонентов

Как правило, данная роль устанавливается вместе с Windows. Остается только это проверить и доустановить компоненты, которые нужны для полноценной эксплуатации сервиса.

Открываем Диспетчер серверов. Он может быть запущен из панели быстрого запуска.

Нажимаем Управление — Добавить роли и компоненты.

В открывшемся окне оставляем Установка ролей и компонентов и нажимаем Далее.

В следующем окне выбираем нужный сервер (выбран по умолчанию, если работаем на сервере, а не через удаленную консоль) и нажимаем Далее.

Среди ролей находим Файловые службы и службы хранилища, раскрываем ее и проверяем, что установлены галочки напротив следующих компонентов:

• Службы хранения;
• Файловый сервер;

Если данные службы не установлены, выбираем их и нажимаем Далее.

В окне Выбор компонентов просто нажимаем Далее.

Откроется окно Подтверждение установки компонентов. Нажимаем Установить и после окончания процесса перезагружаем сервер.

Настройка шары (общей папки)

Создаем первую папку, которую хотим предоставить в общее использование. Затем кликаем по ней правой кнопкой мыши и нажимаем Свойства:

В открывшемся окне переходим на вкладку Доступ и нажимаем Расширенная настройка:

Ставим галочку Открыть общий доступ к этой папке и нажимаем кнопку Разрешения:

Предоставляем полный доступ всем пользователям:

* конечно же, мы не будем давать доступ всем пользователям, но для этого есть вкладка безопасность (см. ниже).

Нажимаем OK и еще раз OK.

Теперь переходим на вкладку Безопасность и нажимаем Дополнительно:

В открывшемся окне нажимаем Отключение наследования и Преобразовать унаследованные разрешения в явные разрешения этого объекта.

Нажимаем OK и Изменить. 

Выставляем необходимые права на папку, например:

Совет: старайтесь управлять правами на ресурсы только при помощи групп. Даже если доступ необходимо предоставить только одному человеку!

Теперь нажимаем OK два раза. Папка настроена для общего использования и в нашем примере доступна по сетевому пути \\fs1\Общая папка.

Проверка загрузки сети и процессора

Так как при создании моей RDS HA фермы я применял концепцию перемещаемых профилей, не буду спорить, хорошо это или плохо, у каждого свое видение. Данная вариация хранит все пользовательские профили на выделенном сервере, в моем случае DFS HA сервера и при подключении пользователя к RDSH хосту идет загрузка этого профиля по сети. У меня это канал 10 ГБ и при нагрузке в 1100 человек я не испытываю проблем в час пик.

В Zabbix я отчетливо видел, что с 9 утра, когда пользователи ринулись на работу, сетевой интерфейс на сервере был забит на 100%

Так же привлекла высокая нагрузка на процессор (CPU), она была под 100%, что очень плохо.

Посмотрев процессы на сервере я увидел старого знакомого, антивирус Касперского, который после обновления агента просто скушал все процессорные мощности, после его деактивации, все пользователи успешно зашли на терминал. Получилось, что после обновления агента Касперского, он начал создавать новый индекс файлов, что есть на сервере, где он установлен. Вот график после его отключения.

• Adobe flash player требует разрешение

    

• Установить 1с на андроид

    

• Как сохранить настройки печатной формы в 1с

    

• Как добавить бота в дискорд с телефона

    

• Трава для фотошопа вид сверху

Получите клиент удаленного рабочего стола и начинайте его использовать

В этом разделе вы узнаете, как скачать и настроить клиент удаленного рабочего стола для iOS.

Загрузите клиент удаленного рабочего стола из iOS Store

Сначала необходимо скачать клиент и настроить компьютер для подключения к удаленным ресурсам.

Чтобы скачать клиент, выполните следующие действия:

1. Скачайте клиент Удаленного рабочего стола (Майкрософт) из iOS App Store или iTunes.
2. .

Добавление компьютера

После того как вы скачали клиент и настроили свой компьютер для приема удаленных подключений, можно добавлять ПК.

Чтобы добавить компьютер:

1. В Центре подключений коснитесь + , а затем — Добавить компьютер.
2. Введите следующие сведения:
   • Имя компьютера — это имя компьютера. Это может быть имя компьютера с Windows, доменное имя в Интернете или IP-адрес. Вы также можете добавить сведения о порте к имени компьютера (например, MyDesktop:3389 или 10.0.0.1:3389).
   • Имя пользователя — это имя пользователя для доступа к удаленному компьютеру. Вы можете использовать следующие форматы: имя_пользователя, домен\имя_пользователя или . Кроме того, можно выбрать параметр Запрашивать при необходимости, чтобы имя пользователя и пароль запрашивались по необходимости.
3. Можно также установить следующие дополнительные параметры:
   • Понятное имя (необязательно)  — легко запоминаемое имя компьютера, к которому вы подключаетесь. Можно использовать любую строку, но если вы не укажете понятное имя, вместо него будет отображаться имя компьютера.
   • Шлюз (необязательно)  — это шлюз удаленных рабочих столов, который вы хотите использовать для подключения к виртуальным рабочим столам, удаленным приложениям RemoteApp и рабочим столам на основе сеансов во внутренней корпоративной сети. Получите сведения о шлюзе от системного администратора.
   • Звук — выберите устройство, которое будет использоваться для воспроизведения аудио во время удаленного сеанса. Вы можете выбрать, воспроизводить ли звук на локальных устройствах, на удаленном устройстве или вообще не воспроизводить его.
   • Переключение кнопки мыши — всегда, когда жест мыши посылает команду левой кнопкой мыши, он посылает ту же команду и правой кнопкой мыши. Переключение кнопки мыши необходимо, если на удаленном компьютере настроен режим мыши для левши.
   • Режим администратора — подключитесь к сеансу администрирования на сервере, который работает на Windows Server 2003 или более поздней версии.
   • Буфер обмена — укажите, следует ли перенаправлять текст и изображения из буфера обмена на компьютер.
   • Хранилище — укажите, следует ли перенаправлять хранилище на компьютер.
4. Выберите Сохранить.

Необходимо изменить эти параметры? Нажмите и удерживайте рабочий стол, который вы хотите отредактировать, а затем нажмите значок параметров.

Добавление рабочей области

Чтобы получить список управляемых ресурсов, к которым можно получить доступ в iOS, добавьте рабочую область, подписавшись на веб-канал, предоставленный администратором.

Чтобы добавить рабочую область:

1. На экране Центра подключений коснитесь + , а затем — Добавить рабочую область.
2. В поле «URL-адрес веб-канала» введите URL-адрес веб-канала, который нужно добавить. Можно указать URL-адрес или адрес электронной почты.
   • В первом случае используйте URL-адрес, предоставленный администратором.
     • Если обращение к ресурсам выполняется из Виртуального рабочего стола Azure или Windows 365, можно использовать один из следующих URL-адресов:
       • Если вы работаете с Виртуальным рабочим столом Azure (классический), используйте .
       • Если вы работаете с Виртуальным рабочим столом Azure, используйте .
       • Если вы работаете с Windows 365, используйте .
   • Во втором случае введите свой адрес электронной почты. При этом клиент будет искать URL-адрес, связанный с вашим адресом электронной почты, если администратор настроил сервер соответствующим образом.
3. Коснитесь Next (Далее).
4. При появлении запроса укажите учетные данные.
   • В поле Имя пользователя укажите имя пользователя учетной записи с разрешением на доступ к ресурсам.
   • В поле Пароль введите пароль для этой учетной записи.
   • Вам также может быть предложено ввести дополнительные сведения в зависимости от параметров, настроенных администратором для проверки подлинности.
5. Выберите Сохранить.

Когда вы выполните эти действия, в Центре подключений должны отобразиться удаленные ресурсы.

Когда вы подпишетесь на веб-канал, его содержимое будет регулярно автоматически обновляться. Ресурсы могут добавляться, изменяться или удаляться в соответствии с изменениями, внесенными администратором.

3 Рекомендации по повышению уровня защищенности RDP

Около 80% взломов связано не с уязвимостями протокола RDP, а с ненадежными паролями. Поэтому в компаниях должна быть принята и закреплена в инфраструктуре политика использования сложных для подбора паролей и обязательной двухфакторной аутентификацией. Пароли пользователям желательно хранить в специальных защищенных менеджерах паролей. Решения по безопасности также должны быть дополнительно защищены паролем, чтобы нельзя было их отключить изнутри при атаке.

3.1 Журналы событий в Windows

Прежде чем переходить к смягчению последствий атак на RDP, нам сначала нужно уметь обнаружить следы атаки. Как и все службы в Windows, удаленный рабочий стол также создает различные журналы, содержащие информацию о пользователях, которые вошли в систему, или время, когда они вошли в систему и вышли из нее, с указанием имени устройства и, в некоторых случаях, IP-адреса подключающегося пользователя.

Существуют различные типы журналов, касающихся службы удаленного рабочего стола. Например: журналы аутентификации, входа в систему, выхода из системы, подключения сеансов. При подключении к клиенту аутентификация может быть успешной или неудачной. Для этих случаев есть различные EventID для распознавания. Журналы аутентификации находятся внутри раздела безопасности. Рассмотрим некоторые из них:

EventID 4624: процесс аутентификации прошел успешно

EventID 4625: процесс аутентификации завершился сбоем

Есть события Logon и Logoff. Вход в систему произойдет после успешной аутентификации. Logoff будет отслеживать, когда пользователь был отключен от системы. Эти конкретные журналы будут расположены по следующему адресу:

Applications and Services Logs > Microsoft > Windows > TerminalServices-LocalSessionManager > Operational.

Event ID 21: Remote Desktop Logon

Event ID 23: Remote Desktop Logoff

Наконец, есть журналы подключения к сеансу. В этой категории больше всего событий, потому что существуют разные причины отключения, и пользователю должно быть понятно на основе конкретного идентификатора события. Эти журналы расположены по следующему адресу:

Applications and Services Logs > Microsoft > Windows > TerminalServices-LocalSessionManager > Operational.

EventID 24: сеанс удаленного рабочего стола отключен

EventID 25: сеанс удаленного рабочего стола переподключен

3.2 Установка ограничения времени активного сеанса

Для смягчения последствий мы также можем установить определенное ограничение по времени для отключенных сеансов, бездействующих служб удаленного рабочего стола, которые могут забивать использование памяти, и других. Эти политики можно найти по адресу:

Administrative Templates > Windows Components > Remote Desktop Services > Remote Desktop Session Host > Session Time Limits.

3.3 Network Level Authentication

NLA обеспечивает более надежную защиту от подмены ключей, требуя аутентификацию до установления сессии и во время сессии. В последние годы именно NLA затрудняла эксплуатацию серьезных уязвимостей в протоколе.

3.4 Ряд других полезных практик:

• Если RDP не используется, то выключите его и отключите на брандмауэре сети внешние соединения с локальными машинами на порту 3389 (TCP/UDP) или любом другом порту RDP.

• Использовать VPN (англ. Virtual Private Network – виртуальная частная сеть).

• Используйте нестандартные ключи, например, PKI (Public Key Infrastructure), а соединения RDP стройте с помощью TLS (Transport Layer Security).

• Постоянно обновляйте все ПО на устройствах сотрудников до актуальных версий. Помните, что 80-90% эксплойтов создано после выхода патча на уязвимость. Узнав, что была уязвимость, атакующие ищут ее именно в старых версиях софта. Это является хорошей практикой корпоративной ИТ-политики. Кроме того, любые незащищенные или устаревшие компьютеры нужно изолировать.

• По возможности используйте шифрование на устройствах, которые используются для решения рабочих задач (например, шифрование диска).

• Сделайте резервные копии ключевых данных. Резервные копии должны быть доступны только администратору или пользователю резервного копирования. Права на папки к файлам резервного копирования также должны быть максимально ограничены.

• Блокировать учетные записи с пустым паролем.

• Использовать двухфакторную аутентификацию.

• Настроить политику блокировки при неудачных попытках ввода пароля. Рекомендуется установить значение блокировки равное 3.

• Ограничить кол-во пользователей, которые могут войти в систему с помощью RDP.

Спасибо за прочтение и уделенное время!

Надеюсь, данный материал был полезен. Будьте бдительны и следите за актуальными уязвимостями, чтобы снизить риски атак на вашу корпоративную инфраструктуру. Благодарю за прочтение!

Добавление ролей и компонентов

Установка самой оси Microsoft Windows Server 2016 в рамках данной статьи рассматриваться не будет, только отдельно сама установка терминального сервера.
На будущем терминальном сервере открываем диспетчер сервера через Панель управления (Win + R Control) — Администрирование — Диспетчер серверов (Server Manager)
или через команду «Выполнить» (Win + R ServerManager). После чего переходим по вкладке Локальный сервер (Local Server)

Открываем мастер добавления ролей и компонентов, жмём далее, в типе установки отмечаем радиокнопкой пункт Установка ролей или компонентов (Role-based or feature-based installation),
выбираем сервер, жмём далее, чекбоксом отмечаем Службы удаленных рабочих столов. В службах ролей отмечаем для установки две службы: Лицензирование удаленных рабочих столов (Remote Desktop Licensing) и Узел сеансов удаленных рабочих столов (Remote Desktop Session Host),
жмём далее и потом установить. Дожидаемся конца установки и перезагружаем сервер, если это не было сделано автоматически по завершению установки.

Удаленный сеанс отключен поскольку отсутствуют клиентские лицензии windows 10

Во всех версиях Windows, начиная с XP, есть стандартный RDP-клиент (Remote Desktop Protocol), который используется для подключения к службе удаленных рабочих столов. Иногда, при подключении к серверу терминалов через клиент удаленного рабочего стола возникает ошибка: «удаленный сеанс отключен поскольку отсутствуют клиентские лицензии».

Это сообщение может возникнуть в двух случаях:

1. На сервере терминалов не настроен сервер лицензирования для службы удаленных рабочих столов.
2. Сервер лицензирования не выделил клиентские лицензии доступа (CAL).

Детальнее рассмотрим оба случая.

Настройка сервера лицензирования

Ошибка чаще возникает через некоторое время в уже настроенных подключениях, спустя 120 или 180 дней. Вероятно, что при создании подключения, клиенту была выдана временная лицензия на данный период времени. Чтобы получить новую временную лицензию, необходимо на клиентской машине удалить сведения о просроченной лицензии из реестра. Для этого:

1. Нажмите Win+R и выполните команду regedit.
2. Сделайте бэкап реестра.
3. Нажмите «Файл» → «Экспорт» → «Диапазон (Весь реестр)» → Присвойте имя файла → «Сохранить».
4. Откройте ветку: HKEY_LOCAL_MACHINESOFTWAREMicrosoftMSLicensing и удалите MSLicensing.
5. Затем откройте подключение к удаленному рабочему столу с правами администратора.

   При открытии, новая лицензия пропишется в реестре.

Проверка CAL — лицензий

Возможен такой вариант событий, что на сервере лицензирования сервера терминалов закончились лицензии. Для этого, просто подождите пока освободится лицензия, либо приобретите и активируйте нужное количество CAL — лицензий.

Чтобы проверить доступные и занятые CAL, воспользуйтесь «Лицензированием сервера терминалов» на серверной Windows:

1. Откройте «Пуск» → «Администрирование» → «Службы удаленных рабочих столов» → «Диспетчер лицензирования удаленных рабочих столов».
2. Выберите свой сервер лицензирования.
3. В открывшемся окне нажмите «Действие» → «Создать отчет».

В отчете будет отображено число клиентских лицензий служб удаленных рабочих столов «на пользователя» которые:

• установлены на сервере лицензирования;
• выданы сервером лицензирования с учетом заданной области отчета.

Источник

RDP Ошибка отсутствия лицензии

Подключение к удалённому рабочему столу

Удалённый сеанс отключен, поскольку для данного компьютера отсутствуют клиентские лицензии удалённого рабочего стола.

Обратитесь к администратору сервера.

Гугление проблемы выдает решение почистить ветку реестра HKLMsoftwaremicrosoftMslicensing с последующим запуском RDP от администратора. Пробовал в различных вариантах — всё без толку.

На удаленной машине 1 общая лицензия. Коллеги подключаются без проблем. На моей машине данная ошибка наблюдается только с данным подключением. К другим машинам по RDP подключаюсь без проблем.

Собственно вопрос: Как исправить проблему с подключением?

4 ответа 4

После удаления ветки HKLMsoftwaremicrosoftMslicensing перезгружались сразу? После перезагрузки не подключаясь, сразу можно зайти в реестр и посмотреть, есть ли эта ветка. ЕЕ там не должно быть до первого подключения к RDP. Возможно она у вас по факту не удаляется.

Так же как вариант можно выполнить reg delete “HKLMSOFTWAREMicrosoftMSLicensingStoreLICENSE000” /f Поправьте ключ под свой номер только.

Ну и стоило бы глянуть, как сервер раздает лицензии, возможно с его стороны какой-то косяк с кешем.

По какой-то, не совсем мне понятной, причине после удаления ветки HKLMsoftwaremicrosoftMslicensing она не восстанавливалась полностью в том виде, в котором была до удаления (не создавалась папка LICENSE000). Любые комбинации перезагрузки/запуска от администратора и тп. результатов не давали.

Что в итоге помогло: поднял виртуалку, на ней РДП подключился без проблем, после скопировал полностью ветку HKLMsoftwaremicrosoftMslicensing с виртуальной машины на рабочую. Далее перезагрузка и запуск RDP от администратора и подключение прошло успешно. Ещё пару запусков не от админстратора вылетала ошибка сертификата, но после повторной перезагрузки и запуска от адм. исчезла.

По поводу 1 общая лицензия: у Вас на сервере лицензирования какая лицензия активирована на пользователя или на устройство, какое количество? Если приобреталась лицензия на устройство, то необходимо проверить в ‘Диспетчер лицензирования удаленных рабочих столов’ к какому ПЭВМ привязана лицензия, с сколько свободных. Лицензия на устройство не может быть использована для подключения к серверу с двух разных ПЭВМ. Ну и как уже говорили, если у Вас отсутствуют права администратора, обратитесь к администратору сервера терминалов. Общие рекомендации:

Источник

Настройка сервера лицензирования для удаленных рабочих столов

Теперь нужно запустить Средство диагностики лицензирования удаленных рабочих столов. Для этого выберите соответствующую команду из меню Средства, Terminal Services Диспетчера серверов.

Рис. 14. Запуск средства диагностики лицензирования удаленных рабочих столов

Средство диагностики сообщит, что доступных лицензий пока нет, поскольку не задан режим лицензирования для сервера узла сеансов удаленных рабочих столов (рис. 15). Также средство диагностики сообщит, что льготный период (по умолчанию 120 дней) еще не истек, но этот сервер еще не настроен на использование хотя бы одного сервера лицензирования.

Рис. 15. Нет доступных лицензий

Относительно льготного периода нужно знать следующее:

• Существует льготный период, в течение которого сервер лицензирования не требуется, однако после его истечения для подключения к серверу клиенты должны использовать действительную клиентскую лицензию служб удаленных рабочих столов, выданную сервером лицензирования.
• Удаленный рабочий стол поддерживает два одновременных подключения для удаленного администрирования компьютера. Для этих подключений сервер лицензирования не требуется.

Другими словами, пока вы еще не купили лицензии для терминального доступа, вы можете воспользоваться льготным периодом. Почему бы не использовать терминальный сервер бесплатно целых 4 месяца? Затем, если вам нужно всего два удаленных подключения, например, у вас есть два удаленных офиса, то сервер лицензирования вообще не требуется, да и конфигурацию виртуального сервера можно упростить — хватит 8 Гб «оперативки».

В Windows Server 2012 сервер лицензирования указывается в локальных групповых политиках, поэтому выполните команду gpedit.msc, чтобы открыть редактор локальной групповой политики.

Перейдите в Конфигурация компьютера, Административные шаблоны, Компоненты Windows, Службы удаленных рабочих столов, Узел сеансов удаленных рабочих столов, Лицензирование (рис. 16).

Рис. 16. Редактор локальной групповой политики

Откройте параметры Использовать указанные серверы лицензирования удаленных рабочих столов — просто дважды щелкните по названию параметра. В появившемся окне установите переключатель в положение Включено и укажите, какой сервер лицензирования использовать. Мы будем использовать этот же сервер (рис. 17). Укажите имя сервера или его IP-адрес и нажмите кнопку OK.

Рис. 17. Параметры сервера лицензирования

Далее откройте параметры Задать режим лицензирования удаленных рабочих столов. Установите переключатель в положение Включено и укажите режим лицензирования сервера узла сеансов удаленных рабочих столов. Возможно два варианта — «На устройство» или «На пользователя». Представим, что у вас есть 10 лицензий. В режиме «На устройство» вы можете создать неограниченное число пользователей на сервере, которые смогут подключаться через удаленный рабочий стол только с 10 компьютеров, на которых установлены эти лицензии. Если выбрать режим «На пользователя», то зайти на сервер смогут только 10 выбранных пользователей, но с любых устройств. Часто режим «На пользователя» более предпочтительный, поэтому его и выбираем.

Рис. 18. Выбор режима лицензирования

В результате у вас должны быть установлены параметры так, как показано на рис. 19. Закройте окно редактора локальной групповой политики.

Рис. 19. Результат установки параметров

Вернитесь в окно средства диагностики лицензирования удаленных рабочих столов и нажмите кнопку Обновить. Вы увидите новую ошибку, которая сообщает нам, что сервер лицензирования не включен (рис. 20).

Рис. 20. Новая ошибка

Чтобы запустить сервер лицензирования, перейдите в Диспетчер лицензирования удаленных рабочих столов — его можно вызвать в меню Средства, Terminal Services. Найдите наш сервер в списке, щелкните по нему правой кнопкой мыши и выберите команду Активировать сервер (рис. 21).

Рис. 21. Диспетчер лицензирования удаленных рабочих столов

Будет открыто окно Мастера активации сервера, в котором нужно нажать кнопку Далее — на первой странице мастера (рис. 22). Выберите метод подключения. Рекомендуется оставить все как есть — Авто (рис. 23).

Рис. 22. Мастер активации сервера

Рис. 23. Выбор метода подключения

Введите сведения об организации и нажмите кнопку Далее. Дополнительные сведения об организации заполнять не рекомендуется, просто нажмите кнопку Далее.

Рис. 24. Ввод сведений об организации

Рис. 25. Дополнительные сведения об организации

Сервер лицензирования успешно активирован. Теперь нужно запустить мастер установки лицензий. Не выключайте флажок Запустить мастер установки лицензий и нажмите кнопку Далее (рис. 26).

Рис. 26. Сервер лицензирования активирован