Роли служб удаленных рабочих столов

В этой статье описываются роли в среде служб удаленных рабочих столов.

Узел сеансов удаленных рабочих столов

Узел сеансов удаленных рабочих столов размещает приложения на основе сеансов и рабочие столы, к которым вы предоставили пользователям общий доступ. Пользователи получают доступ к этим рабочим столам и приложениям посредством одного из клиентов удаленного рабочего стола для Windows, MacOS, iOS или Android. Пользователи также могут подключаться с помощью поддерживаемого браузера благодаря веб-клиенту.

Рабочие столы и приложения можно упорядочить в один сервер узла сеансов удаленных рабочих столов или несколько; это так называемые коллекции. Вы можете настроить эти коллекции для конкретных групп пользователей в рамках каждого клиента. Например, можно создать коллекцию, где определенная группа пользователей имеет доступ к конкретным приложениям, но любой другой пользователь, не входящий в группу, которую вы выделили, не сможет получить доступ к этим приложениям.

Для небольших развертываний можно устанавливать приложения непосредственно на серверах узла сеансов удаленных рабочих столов. Для более крупных развертываний рекомендуется создание базового образа и подготовка виртуальных машин на основе этого образа.

Коллекции можно расширять, добавляя виртуальные машины сервера узла сеансов удаленных рабочих столов в ферму и назначая для каждой виртуальной машины узла в коллекции одну и ту же группу доступности. Это обеспечивает более высокий уровень доступности коллекции и увеличивает ее масштаб для поддержки нескольких пользователей или приложений с большой нагрузкой на ресурсы.

В большинстве случаев несколько пользователей используют один и тот же сервер узла сеансов удаленных рабочих столов, что позволяет наиболее эффективно расходовать ресурсы Azure для решения размещения рабочих столов. В этой конфигурации пользователям необходимо входить в коллекцию с неадминистративными учетными записями. Вы также можете предоставить некоторым пользователям полный административный доступ к их удаленному рабочему столу путем создания коллекций рабочих столов с персональными сеансами.

Для дальнейшей настройки рабочих столов можно создать и отправить виртуальный жесткий диск с ОС Windows Server, который можно использовать как шаблон для создания новых виртуальных машин узла сеансов удаленных рабочих столов.

Дополнительные сведения см. в следующих статьях:

• Службы удаленных рабочих столов — безопасное хранилище данных
• Отправка универсального VHD-диска и его использование для создания новых виртуальных машин в Azure
• Обновление коллекции узла (шаблон ARM)

Посредник подключений к удаленному рабочему столу

Посредник подключений к удаленному рабочему столу управляет входящими подключениями удаленного рабочего стола для ферм серверов узла сеансов удаленных рабочих столов. Посредник подключений к удаленному рабочему столу обрабатывает подключения как к коллекциям полноценных рабочих столов, так и к коллекциям удаленных приложений. Посредник подключений к удаленному рабочему столу может балансировать нагрузку на серверы в коллекции при создании новых подключений. Если брокер подключений к удаленному рабочему столу включен, использование циклического перебора DNS к узлам сеансов удаленных рабочих столов для балансировки серверов не поддерживается. Если сеанс отключается, посредник подключений к удаленному рабочему столу повторно подключит пользователя к правильному серверу узла сеансов удаленных рабочих столов и прерванному сеансу, который по-прежнему будет присутствовать на ферме узла сеансов удаленных рабочих столов.

Необходимо установить соответствующие цифровые сертификаты на сервере посредника подключений к удаленному рабочему столу и на клиенте для поддержки единого входа и публикации приложений. При разработке или тестировании сети можно использовать самостоятельно созданный самозаверяющий сертификат. Тем не менее при выпуске службам требуется сертификат из доверенного корневого центра сертификации. Имя, присвоенное сертификату, должно совпадать с внутренним полным доменным именем (FQDN) виртуальной машины посредника подключений к удаленному рабочему столу.

Посредник подключений к удаленному рабочему столу для Windows Server 2016 можно установить на той же виртуальной машине, что и доменные службы Active Directory, чтобы сократить затраты. Если вам нужно увеличить масштаб для большего числа пользователей, можно также добавить дополнительные виртуальные машины посредника подключений к удаленному рабочему столу в той же группе доступности для создания кластера посредника подключений к удаленному рабочему столу.

Перед созданием кластера посредника подключений к удаленному рабочему столу необходимо развернуть базу данных SQL Azure в среде клиента или создать группу доступности AlwaysOn SQL Server.

Дополнительные сведения см. в следующих статьях:

• Добавление сервера посредника подключений к удаленному рабочему столу в развертывание и настройка высокого уровня доступности
• База данных SQL в службе размещения рабочих столов.

Шлюз удаленных рабочих столов

Шлюз удаленных рабочих столов предоставляет пользователям в общедоступных сетях доступ к рабочим столам и приложениям Windows, размещенным в облачных службах Microsoft Azure.

Компонент шлюза удаленных рабочих столов использует протокол SSL для шифрования канала связи между клиентами и сервером. Виртуальная машина шлюза удаленных рабочих столов должна быть доступна через общедоступный IP-адрес, который разрешает входящие TCP-подключения через порт 443 и входящие UDP-соединения через порт 3391. Это позволяет пользователям подключаться через Интернет с помощью транспортного протокола связи HTTPS и протокола UDP соответственно.

Для правильной работы системы цифровые сертификаты, установленные на сервере и клиенте, должны совпадать. При разработке или тестировании сети можно использовать самостоятельно созданный самозаверяющий сертификат. Тем не менее при выпуске службам требуется сертификат из доверенного корневого центра сертификации. Имя сертификата должно соответствовать полному доменному имени, используемому для доступа к шлюзу удаленных рабочих столов,будь то внешнее DNS-имя общедоступного IP-адреса или запись CNAME DNS, указывающая на общедоступный IP-адрес.

Для клиентов с меньшим числом пользователей роли веб-доступа к удаленным рабочим столам и шлюза удаленных рабочих столов можно сочетать на одной виртуальной машине, чтобы сократить затраты. Также можно добавить дополнительные виртуальные машины шлюза удаленных рабочих столов в ферму шлюза удаленных рабочих столов для повышения доступности служб и масштабирования до большего числа пользователей. Виртуальные машины в больших фермах шлюза удаленных рабочих столов должны быть настроены в наборе с балансировкой нагрузки. Сопоставление IP-адресов не требуется.

Дополнительные сведения см. в следующих статьях:

• Реализация высокой доступности в веб-интерфейсе удаленного рабочего стола и веб-интерфейсе шлюза удаленного рабочего стола
• Службы удаленных рабочих столов — доступ из любого места
• Службы удаленных рабочих столов — многофакторная проверка подлинности
• Настройка роли шлюза удаленных рабочих столов

Веб-доступ к удаленным рабочим столам

Веб-доступ к удаленным рабочим столам дает пользователям доступ к рабочим столам и приложениям через веб-портал, а затем запускает их через собственное клиентское приложение "Удаленный рабочий стол (Майкрософт)" на устройстве. Веб-портал можно использовать для публикации рабочих столов и приложений Windows для клиентских устройств с Windows и другими системами; можно также выборочно публиковать рабочие столы или приложения для конкретных пользователей или групп.

Веб-доступ к удаленным рабочим столам нуждается в службах IIS для правильной работы. Подключение через HTTPS предоставляет канал зашифрованной связи между клиентами и веб-сервером удаленных рабочих столов. Виртуальная машина веб-доступа к удаленным рабочим столам должна быть доступна через общедоступный IP-адрес, который разрешает входящие TCP-подключения через порт 443, чтобы пользователи клиента могли подключаться из Интернета с помощью транспортного протокола связи HTTPS.

На сервере и клиентах должны быть установлены соответствующие сертификаты. При разработке и тестировании это может быть самостоятельно созданный самозаверяющий сертификат. При выпуске службе потребуется сертификат из доверенного корневого центра сертификации. Имя сертификата должно совпадать с полным доменным именем, используемым службой веб-доступа к удаленным рабочим столам. Возможные полные доменные имена — это внешнее DNS-имя для общедоступного IP-адреса и запись CNAME DNS, указывающая на общедоступный IP-адрес.

Для клиентов с меньшим числом пользователей можно сократить расходы, объединив рабочие нагрузки веб-доступа к удаленным рабочим столам и шлюза удаленных рабочих столов в одной виртуальной машине. Также можно добавить дополнительные виртуальные машины для веб-доступа к удаленным рабочим столам в ферму веб-доступа к удаленным рабочим столам для повышения доступности служб и масштабирования до большего числа пользователей. В ферме веб-доступа к удаленным рабочим столам с несколькими виртуальными машинами необходимо настроить виртуальные машины в наборе с балансировкой нагрузки.

Дополнительные сведения о том, как настроить веб-доступ к удаленным рабочим столам, см. в следующих статьях:

• Настройка веб-клиента удаленного рабочего стола для пользователей
• Создание и развертывание коллекции служб удаленных рабочих столов
• Создание коллекции служб удаленных рабочих столов для запуска рабочих столов и приложений

Лицензирование удаленных рабочих столов

Активированные серверы лицензирования удаленных рабочих столов позволяют пользователям подключаться к серверам узла сеансов удаленных рабочих столов, где размещены рабочие столы и приложения клиента. Среды клиентов обычно поставляются с уже установленным сервером лицензирования удаленных рабочих столов, но для размещенных рабочих сред необходимо будет настроить сервер для каждого отдельного пользователя.

Поставщик услуг должен иметь достаточно лицензий RDS на подписчика для охвата всех авторизованных уникальных (не одновременных) пользователей, которые выполняют вход в службу каждый месяц. Поставщики услуг могут приобрести службы инфраструктуры Microsoft Azure напрямую, а лицензии на подписчика — по программе Microsoft Service Provider Licensing Agreement (SPLA). Клиенты, которым нужно решение для размещения рабочих столов, необходимо приобрести полное размещенное решение (Azure и службы удаленных рабочих столов) у поставщика услуг.

Маленькие клиенты могут снизить затраты путем объединения файлового сервера и компонентов лицензирования удаленных рабочих столов на одной виртуальной машине. Чтобы обеспечить высокую доступность службы, клиенты могут развернуть две виртуальные машины сервера лицензирования удаленных рабочих столов в одной группе доступности. Все серверы удаленных рабочих столов в среде клиента связываются с обоими серверами лицензирования удаленных рабочих столов для поддержания возможности подключения пользователей к новым сеансам даже в случае, если один из серверов выйдет из строя.

См. сведения в следующих статьях:

• Лицензирование развертывания служб удаленных рабочих столов с клиентскими лицензиями (CAL)
• Активация сервера лицензирования удаленных рабочих столов
• Отслеживание клиентских лицензий для служб удаленных рабочих столов (RDS CAL)
• Корпоративное лицензирование Майкрософт: варианты для поставщиков услуг лицензирования