Установка и настройка терминального сервера на windows server

Практическое применение

AVMA на узлах виртуализации включает несколько преимуществ.

Диспетчеры центра обработки данных сервера могут использовать AVMA для выполнения следующих действий:

• Активация виртуальных машин в удаленных расположениях
• Активация виртуальных машин с подключением к Интернету или без него
• Отслеживание данных об использовании и лицензиях виртуальных машин с узла виртуализации без прав доступа к виртуализованным системам

Партнеры с лицензионным соглашением с поставщиком услуг (SPLA) и другие поставщики услуг размещения не обязаны предоставлять ключи продукта арендаторам или активировать виртуальные машины арендаторов. С помощью AVMA клиенты могут легко активировать виртуальные машины. Поставщики услуг размещения могут использовать журналы сервера для проверки соответствия лицензии и отслеживания хронологии использования клиента.

Конфигурирование RDP

Windows

Remote Desktop Connection

Откройте Панель Управления и перейдите в Система и Безопасность -> Система

Панель Управления

System properties

Доступны три опции под пунктом «Удаленный рабочий стол»:

• Не разрешать удаленные подключения к этому компьютеру» — Эта опция предотвращает пользователей от подключений к их компьютерам с использованием Remote Desktop Connection или RemoteApp. RemoteApp подключение отличается тем, что соединение происходит к одному приложению.
• «Разрешить удаленные подключение к этому компьютеру» (Windows 10 и Windows 8.1) или «Разрешать подключения от компьютеров с любой версией удаленного рабочего стола» (в Windows 7) — это позволит пользователям, использующим любую версию RemoteApp или Remote Desktop Connection, подключаться к вашему компьютеру. Используйте этот режим, если вы не уверены, какую версию удаленного рабочего стола клиент будет использовать, или если они используют стороннее приложение Remote Desktop Connection. Например, клиентам Ubuntu вероятно потребуется вторая опция.
• «Разрешать подключения только от компьютеров с удаленным рабочим столом с сетевой проверкой подлинности» — эта опция ограничивает Remote Desktop Connections до использования версий, которые имеют Network Level Authentication. Network Level Authentication была введена в Remote Desktop Client 6.0. Если компьютер клиента запущен под управлением Windows 10, Windows 8.1, Windows 7 или он недавно скачал клиент Remote Desktop Connection, то используйте эту опцию, так как этот режим более защищенный.

Теперь можно нажать «ОК», и клиенты смогут войти в ваш компьютер через Remote Desktop Connection, используя учетные данные для пользователей группы администраторов.

Если служба ролей узла сеанса удаленного рабочего стола не установлена на компьютере, количество подключений ограничено максимум двумя одновременными подключениями к этому компьютеру.

Windows Server

Remote Desktop Services

Установка RDS

Установка RDS

Remote Desktop Licensing (RD Licensing), бывший Terminal Services Licensing (TS Licensing), управляет лицензиями доступа клиентов служб удаленного рабочего стола (RDS CAL), которые необходимы для каждого устройства или пользователя для подключения к серверу узла сеанса удаленного рабочего стола (RD Session Host). RD Licensing используется для установки, выпуска и отслеживания доступности лицензий RDS CAL на сервере лицензий удаленного рабочего стола.

Когда клиент — либо пользователь, либо устройство — подключается к серверу узла сеанса удаленного рабочего стола, сервер определяет, нужна ли лицензия RDS CAL. Сервер узла сеанса удаленного рабочего стола затем запрашивает RDS CAL из сервера лицензий удаленного рабочего стола от имени клиента, пытающегося подключиться к серверу узла сеанса удаленного рабочего стола. Если подходящая RDS CAL доступна на сервере лицензий, RDS CAL выдается клиенту, и клиент может подключаться к серверу узла сеанса удаленного рабочего стола.

Чтобы изменить число одновременных удаленных соединений разрешенный для подключения:

1. На сервере узла сеанса удаленного рабочего стола откройте конфигурацию узла сеанса удаленного рабочего стола. Чтобы это сделать, кликнете Пуск, затем Административные Инструменты, потом Службы удаленного рабочего стола, и наконец конфигурация узла сеанса удаленного рабочего стола.
2. Под «Подключения» кликнете правой кнопкой на имя подключения и нажмите свойства.
3. В диалоговом окне «Свойства» на вкладке «Сетевой адаптер» выберите «Максимум подключений», теперь введите требуемое число подключений и нажмите «ОК».

Если опция максимума соединений выбрана и отображается серым цветом, значит включена установка групповой политики лимита подключений и применена на сервере узла сеанса удаленного рабочего стола. Вы можете также установить максимальное число разрешенных одновременных подключений, применяя установку групповой политики лимита числа подключений. Эта установка групповой политики находится в и может быть изменена с помощью редактора локальных групповых политик или консоли управления групповыми политиками (GPMC). Установка групповой политики имеет преимущество над установкой, примененной в конфигурации узла сеанса удаленного рабочего стола.

Архитектура и особенности службы KMS активации Microsoft

Инфраструктура KMS состоит из KMS-сервера, который активируется в Microsoft (эта операция выполняется один раз по телефону или онлайн) и клиентов KMS, отправляющих запросы на активацию на KMS сервер. В качестве клиентов KMS сервера могут выступать пользовательские и серверные ОС Windowsи MS Office.

Сам KMS сервер активируется с помощью специального корпоративного CSVLK ключа (KMS host key), получить который может каждый корпоративный клиент Microsoft в личном кабинете на сайте корпоративного лицензирования VLSC (https://www.microsoft.com/Licensing/servicecenter/default.aspx — Microsoft Volume Licensing Service Center –> License -> Relationship Summary -> Product Keys -> скопируйте ключ для Windows Srv 2019 DataCtr/Std KMS). Ключ CSVLK указывается на KMS сервере и выполняется активация KMS сервера в интернете на серверах Microsoft. KMS сервер нужно активировать только один раз (вам понадобится переактивировать KMS сервер, если вы хотите активировать новый CSVLK ключ с поддержкой свежих версий Windows).

Один KMS сервер может активировать неограниченное число KMS клиентов. Например, даже несмотря на то, что в вашем соглашении указано, что вы приобрели корпоративную лицензии на 100 компьютеров, теоретически вы можете активировать тысячи компьютеров (конечно, это будет нарушением лиц. соглашения, но технически KMS сервер вас в этом не ограничивает). Также отметим, что информация о проведенных активациях и их количестве не передается KMS севером за пределы организации.

KMS сервер может активировать клиентов в разных доменах, а также клиенты в рабочих группах. Один KMS сервер может одновременно активировать и десктопные редакции Windows, и Windows Server и продукты из пакета Microsoft Office.

При установке KMS сервера в DNS регистрируется специальная SRV (_VLMCS) запись. По этой DNS записи любой клиент может найти имя KMS сервера в домене. Например, чтобы найти KMS сервер в вашем домене corp.winitpro.ru, выполните команду:

nslookup -type=srv _vlmcs._tcp.corp.winitpro.ru

В этом примере видно, что служба KMS развернута на сервере msk-man01 и отвечает по порту TCP 1688.

Для активации KMS клиента (Windows или Office) на нем должен быть указан специальный публичный ключ KMS, который называется GVLK ключом (Generic Volume License Key- универсальный ключ многократной установки). После указания GVLK ключа, клиент KMS пытается сам найти в DNS SRV запись, указывающую на сервер KMS и пытается произвести активацию.

Список универсальный KMS (GVLK) ключей для актуальных продуктов Microsoft:

KMS сервер, активированный более новым ключом KMS host key, может активировать все предыдущие версии Windows, но не наоборот. Например, KMS сервер, актвированый ключом Windows Srv 2012 R2 DataCtr/Std KMS не сможет активировать компьютеры Windows 10 или Windows Server 2016/2019. Для подержки современных версий Windows вам нужно получить новый CSVLK ключ и активировать его на KMS сервере.

Установка роли

Открываем Диспетчер серверов:

Переходим в Управление — Добавить роли и компоненты:

При появлении окна приветствия нажимаем Далее (при желании, можно поставить галочку Пропускать эту страницу по умолчанию):

На страницы выбора типа установки оставляем выбор на Установка ролей или компонентов:

Выбираем целевой сервер — если установка выполняется на сервере локально, то мы должны увидеть один сервер для выбора:

Ставим галочку Службы удаленных рабочих столов:

Дополнительные компоненты нам не нужны:

… просто нажимаем Далее.

На странице служб удаленных рабочих столов идем дальше:

Выбираем конкретные роли — нам нужен Шлюз удаленных рабочих столов. После установки галочки появится предупреждение о необходимости поставить дополнительные пакеты — кликаем по Добавить компоненты: 

Откроется окно для настроек политик:

… нажимаем Далее.

Откроется окно роли IIS:

… также нажимаем Далее.

При выборе служб ролей веб-сервера ничего не меняем:

… и идем дальше.

В последнем окне ставим галочку Автоматический перезапуск конечного сервера, если требуется:

Нажимаем Установить:

Дожидаемся окончания установки роли:

Сервер может уйти в перезагрузку.

Установка RDCM 2.7

Установка данного программного обеспечения не должна у вас вызвать каких либо проблем, так как она тривиальна. Я лишь приведу ее для целостности статьи. Устанавливать Remote Desktop Connection Manager я буду в операционной системе Windows 10 1803, на рабочем месте у меня стоит именно она.

Кстати отличным аналогом RDCM можно назвать утилиту mRemoteNG, которая по мимо Windows платформ, поддерживает в себе еще и ssh и telnet соединения, с которыми дружит больше, а вот большое количество RDP соединений она тянет хуже

Запускаем установку, для этого открываем файл rdcman.msi. У вас откроется мастер инсталляции, на первом шаге вы просто нажимаете «Next».

Далее вы принимаете лицензионное соглашение, через пункт «I accept the terms in the license agreement» и нажимаете «Next».

Далее вы задаете каталог установки, по умолчанию, это папка в C:\Program Files (x86)\Microsoft\Remote Desktop Connection Manager\

Ну и последний шаг, это нажатие кнопки установить (install)

Через пару мгновений вы увидите, что все успешно установлено, вы можете посмотреть лог при желании, нажимаем кнопку «Finish.»

Установка клиентских лицензий RDS CAL в Windows Server 2019/2016

Теперь на сервер лицензирования нужно установить приобретенный пакет терминальных лицензий (RDS CAL).

В консоли Remote Desktop Licensing Manager щелкните ПКМ по серверу и выберите Install Licenses.

Выберите способ активации (автоматически, через веб или по телефону) и программу лицензирования (в нашем случае Enterprise Agreement).

В сеть утекло уже довольно много enterprise agreement номеров для RDS (4965437). Найти номера думаю, не составит проблемы. Обычно даже не нужно искать кряки или активаторы.

Следующие шаги мастера зависят от того, какой тип лицензирования выбран. В случае Enterprise Agreement нужно указать его номер. Если выбран тип лицензирования License Pack (Retail Purchase), нужно будет указать 25-символьный ключ продукта, полученный от Microsoft или партнера.

Укажите тип продукта (Windows Server 2016 или 2019), тип лицензии (RDS Per User CAL) и количество терминальных лицензий, которые нужно установить на сервере.

После этого, сервер может выдавать лицензии (RDS CAL) клиентам.

Вы можете сконвертировать RDS лицензии User CAL в Device CAL (и наоборот) с помощью контекстного меню Convert Licenses в консоли RD Licensing Manager.

Если у вас закончились свободные лицензии, вы можете отозвать ранее выданные лицензии RDS Device CAL для неактивных компьютеров с помощью следующего скрипта PowerShell:

Можно отозвать до 20% Per-Device RDS CALs. Per-User CALs отозвать нельзя.

Настройка групп RDP серверов в RDCMan

Запускаем RDCMan.exe и видим пустую консоль. Сначала нужно создать файл конфигурации, в котором будут хранится ваши настройки, нажав Ctrl+N или через меню “File” – “New”. Задаем имя файла *.rdg (по сути это текстовый XML файл, которые можно отредактировать вручную). В одном файле конфигурации можно сохранить любое количество RDP подключений к вашим удаленным серверам. Утилита позволяет структурировать RDP подключения по удобному вам признаку: пользуйтесь этим и создавайте группы.

Например, вы можете создать группу с серверами 1C и группу с контроллерами доменов. Вы можете сгруппировать удаленные сервера по местоположению, ролям или по заказчику.

Вы можете сохранить учетные данные RDP пользователя для подключения к серверам в этой группе. В свойствах группы находим вкладку «Logon Credentials» и вводим свои учетные данные. Все серверы в этой группе наследуют настройки группы. Чтобы изменить какой-либо параметр сервера, отличный от заданных настроек группы, снимите галочку в чек-боксе “Inherit from parent” и задайте персональные настройки.

Не забудьте нажать “Save”.

Внимание! Пароли для RDP подключения в RDCMan хранятся не в Windows Credential Manager, а прямо в RDG файле в зашифрованном виде (не зависит от доменных политик, запрещающих сохранять пароли для RDP подключений). Однако алгоритм шифрования нестойкий и есть множество утилит, которыми можно расшифровать RDG файл и получить пароль для RDP подключения в открытом виде (желательно зашифровать файл конфигурации RDCMan  при помощи, например BitLocker или TrueCrypt)

Типы клиентских терминальных лицензий (RDS CAL)

Каждый пользователь или устройство, которое подключается к серверам Remote Desktop Session Host, должно иметь клиентскую лицензию (CAL — client access license). Есть два типа терминальных CAL.

• На устройство (Per Device CAL) – это постоянный тип лицензии, назначающийся компьютеру или устройству, которое подключается к RDS серверу более одного раза (при первом подключении устройства ему выдается временная лицензия). Данные лицензии не являются конкурентными, т.е. если у вас 10 лицензий Per Device, то к вашему RDS серверу смогут подключится всего 10 компьютеров. Актуальная OVL лицензия называется так:
• На пользователя (Per User CAL) – такой тип лицензии позволяет одному пользователю подключиться к серверу RDS с любого количества компьютеров/устройств. Данный тип лицензий привязывается к учетной записи пользователя в Active Directory, но выдается не навсегда, а на определенный период времени. Лицензия выдается на срок от 52 до 89 дней (случайное число). Актуальная Open Value лицензия этого типа называется так:
  .

  Если вы попытаетесь использовать RDS CAL Per User 2019 в рабочей группе (не в домене), то RDSH сервер будет каждые 60 минут принудительно завершать сеанс пользователей с сообщением: “Проблема с лицензией удаленных рабочих столов и ваш сеанс будет завершен через 60 мин / There is a problem with your Remote Desktop license, and your session will be disconnected in 60 minutes ”. Поэтому для RDS серверов в среде workgroup нужно использовать только лицензирование на устройство — Per Device RDS CAL.

Примечание. Отметим, что 2016 RDS CAL можно установить только на сервере лицензирования под управлением Windows Server 2016 или 2019. Установка RDS CALs для более новые версий Windows Server на предыдущие версии Windows не поддерживается. Т.е. вы не сможете установить 2016 RDS CAL на хост лицензирования Windows Server 2012 R2.

При попытке добавить новые RDS CAL 2019 на Windows Server 2016 появится ошибка:

RD Licensing Manager
The license code is not recognized. Ensure that you have entered the correct license code.

Активация сервера лицензий RDS в Windows Server

Чтобы сервер лицензирования RDS мог выдавать лицензии клиентам, его необходимо активировать. Для этого, откройте консоль Remote Desktop Licensing Manager (licmgr.exe), щелкните ПКМ по имени вашего сервера и выберите пункт меню Activate Server.

Запустится мастер активации сервера лицензирования RDS, в котором нужно будет выбрать желаемый метод активации. Если ваш сервер имеет доступ в Интернет, он может автоматически подключиться к серверам Microsoft. Если доступа в интернет с сервера нет, можно активировать сервер через веб браузер или по телефону.

Далее нужно будет заполнить ряд информации о вашей организации (часть полей является обязательными).

Осталось нажать кнопку Finish.

Щелкните в консоли по имени сервера правой клавишей и выбрать пункт Review Configuration. Здесь можно убедиться, что данный сервер лицензий RDS является активированным и может быть использован для активации RDS клиентов в домене.

• This license server is a member of the Terminal Server License Servers group in Active Directory. This license server will be able to issue RDS Per User CALs to users in the domain, and you will be able to track the usage of RDS Per User CALs.
• This license server is registered as a service connection point (SCP) in Active Directory Domain Services.

Заключение

В статье рассмотрена технология прозрачной авторизации на терминальных серверах Single Sign-On. Её использование позволяет сократить время, затрачиваемое пользователем для входа на терминальный сервер и запуск удаленных приложений. Кроме того, с её помощью достаточно единожды вводить учетные данные при входе на локальный компьютер и затем использовать их при соединении с терминальными серверами домена. Механизм передачи учетных данных достаточно безопасен, а настройка серверной и клиентской части предельно проста.

Бывает такие случаи, когда при использовании RDP (Remote Desktop Protocol — протокол удалённого рабочего стола), не видно программ, которые установленные в системном трее, или ошибки и уведомления просто не отображаются. Для того, чтобы решить данную проблему, к терминальному северу можно подключиться в консольном режиме через тот же RDP.

Удаленный рабочий стол (Remote Desktop Protocol) или RDP — это технология дистанционного подключения к компьютеру (серверу), для непосредственного управлению им через локальную сеть или интернет. Я уже рассказывал о данной технологии в видеоуроке «Подключение к компьютеру через удаленный рабочий стол ».

Использование, каких-либо программ удаленного администрирования для подключения к рабочему столу напрямую не всегда удобно, например, при нестабильной связи или ограничении времени сеанса. Так вот в данной статье мы расскажем, о нехитрой вещи, которую некоторые коллеги возможно не знали.

При использовании клиента удаленного рабочего стола (RDP) Windows, в качестве средства подключения к компьютеру с Windows Server 2003/2008/2012 с запущенной службой сервера терминалов, у вас есть возможность подключения на консоль сервера. Используя эту опцию, вы можете войти на сервер, так, как если бы вы сидели прямо перед ним, а не создавать новые сессии через сетевое подключение. Дело в том, что при удаленной установке некоторых программ, могут возникнуть проблемы, которые не позволят вам сделать это из терминальной сессии, поэтому вам понадобиться войти на сервер через консоль.

Включение удаленного доступа на своем компьютере.

Для того, чтобы настроить удаленный доступ на целевом компьютере, владелец или администратор должен выполнить следующие действия (Мой компьютер \ Свойства \ Настройка удаленного доступа \ Удаленный доступ \ Разрешить подключение от компьютеров с любой версией удаленного рабочего стола
).

Если хотите пускать в свой компьютер только определённых пользователей или группы пользователей вашей сети, то необходимо поставить галочку «Разрешить подключение с компьютеров, на которых работает удаленный рабочий стол с проверкой подлинности на уровне сети (рекомендуется)».

Как же подключиться к удаленному рабочему столу?

Это конечно же стандартными средствами Windows (Пуск \ Все программы \ Стандартные \ Подключение к удалённому рабочему столу
)

Или через команду Выполнить
(Win
+
R
)
и вводим команду mstsc
. Это более быстрый способ и его используют в основном админы и разработчики программ, т.к. часто приходится подключаться к удаленным рабочим столам серверов.

Как же подключиться к консоли удаленного рабочего стола?

Для этого в появившемся окне вбиваем команду:

Windows Server 2003 и Windows XP: mstsc /console

Windows Server 2008/2012 и Windows 7/8/8.1: mstsc /admin

Вводим имя терминального севера или компьютера.

И вводим учетные данные пользователя имеющего права для удаленного подключения.

Так как RDP по умолчанию создаёт виртуальную консоль, то подключение происходит не к самой сессии, а непосредственно к консоли (основная консоль-мышь/клавиатура).

Какая разница между простым подключением к удаленному рабочему столу и подключением к консоли?

Подключение через консоль — доступно только администраторам и фактически приравнивается к обыкновенному входу в систему. Тогда как простое подключение по rdp — это терминальная сессия, соответственно то программное обеспечение, которое сопротивляется запуску под терминальной сессией, под консолью может вполне успешно работать.

В первом случае создается новая сессия (mstsc), параллельная с существующей. Во втором случае подключение осуществляется к своему рабочему столу (в рамках лицензий на терминал).