Примечание.
Для доступа к этой странице требуется авторизация. Вы можете попробовать войти или изменить каталоги.
Для доступа к этой странице требуется авторизация. Вы можете попробовать изменить каталоги.
Службы удаленных рабочих столов (RDS) в Windows Server — это встроенная платформа для безопасной доставки управляемых рабочих столов и приложений пользователям, будь то в офисе, работа из дома или подключение из филиалов и партнерских расположений. Централизованная обработка в центре обработки данных и удаленное отображение только пользовательского интерфейса помогают службам удаленных рабочих столов сократить затраты на управление, повысить безопасность и обеспечить пользователям последовательный и производительный доступ к нужным ресурсам.
Службы удалённых рабочих столов поддерживают серверные виртуальные рабочие столы с несколькими сеансами и односеансовые (или общие/личные) виртуальные рабочие столы, а также публикацию отдельных приложений (RemoteApp). Вы выбираете правильный набор моделей для оптимизации затрат, производительности и взаимодействия с пользователем.
Подсказка
Если вы хотите оценить более широкое облачное классическое решение, см. статью "Виртуальный рабочий стол Azure". Вы даже можете расширить виртуальный рабочий стол Azure в локальном центре обработки данных с помощью Локального центра обработки данных Azure.
Что такое службы удаленных рабочих столов?
Службы удаленных рабочих столов — это инфраструктура на основе ролей в Windows Server, которая позволяет авторизованным пользователям подключаться к сети:
- Полноценный рабочий стол (основанный на сеансах или виртуальной машине).
- Определенные приложения (программы RemoteApp), которые отображаются и ведут себя как локально установленные приложения.
Вместо установки и исправления приложений на многих отдельных конечных точках вы управляете ими один раз на централизованных узлах. Конечные точки просто представляют удаленный пользовательский интерфейс с помощью протокола удаленного рабочего стола (RDP).
Ключевые преимущества
Службы удаленных рабочих столов централизованно распределяют управление приложениями и рабочими столами, поэтому вы исправляете и защищаете ресурсы один раз, а не во многих конечных точках. Плотность нескольких сеансов снижает затраты на пользователя, а сочетание узлов сеансов и VDI обеспечивает гибкость в производительности или совместимости. Данные остаются в центре обработки данных; Зашифрованный удаленный доступ, MFA и аудит могут укрепить состояние соответствия требованиям. Пользователи остаются продуктивными, так как окна RemoteApp ведут себя как локальные приложения, поддерживая закрепление панели задач, рабочие процессы с несколькими мониторами и стандартные элементы управления окнами. Платформа легко расширяется с помощью управления профилями, печати, мониторинга, ускорения GPU и широкой автоматизации с помощью PowerShell.
Основные роли и компоненты служб удаленных рабочих столов
Службы удаленных рабочих столов включают несколько ролей, которые можно распространять и масштабировать:
| Role | Цель |
|---|---|
| Узел сеанса удаленных рабочих стола (RDSH) | Запускает сеансовые пользовательские рабочие столы и программы RemoteApp на Windows Server для повышения эффективности работы в многосеансовой среде. |
| Узел виртуализации удаленных рабочих машин | Размещает коллекции инфраструктуры виртуальных рабочих столов (виртуальные машины клиента Windows в пуле или личные). Интегрируется с Hyper-V для развертывания. |
| Брокер подключений к удаленным рабочим столам | Поддерживает сеансы пользователей, балансирует нагрузку подключения, повторно подключает пользователей к существующим сеансам, управляет коллекциями (сеансами и VDI). Поддерживает высокий уровень доступности. |
| RD Web Access | Предоставляет веб-портал и ленты (веб-доступ, RemoteApp и подключения к рабочему столу), перечисляющие рабочие столы и приложения, которые пользователи могут использовать. |
| Шлюз RD | Обеспечивает безопасный, зашифрованный доступ по протоколу HTTPS (TCP 443) из внешних сетей без открытия внутренних портов RDP. Поддерживает MFA и условные политики. |
| Лицензирование RD | Выдает и отслеживает клиентские лицензии служб удаленного рабочего стола (RDS CAL), необходимые для легального использования (по пользователю или устройству). |
Вспомогательные компоненты часто включают в себя файловые службы для профилей пользователей, служб сертификатов для TLS и решений мониторинга.
Модели развертывания
Вы можете комбинировать модели в зависимости от пользовательских персон и технических требований.
| Модель | Description | Стандартные сценарии использования | Стоимость и плотность |
|---|---|---|---|
| На основе сеансов (RDSH) | Несколько пользователей совместно используют экземпляр Windows Server; каждый получает изолированный сеанс. | Исполнители задач, отраслевые бизнес-приложения, сезонные пользователи. | Высокая плотность пользователей, низкая стоимость на пользователя. |
| VDI пул | Пользователи подключаются к виртуальной машине Windows, динамически назначенной из пула. Непостоянное или сбрасываемое состояние. | Специалисты, работающие с информацией, нуждающиеся в клиентской совместимости с Windows и изоляции приложений. | Средняя плотность и стоимость. |
| Личное VDI | Каждому пользователю назначается выделенная клиентская виртуальная машина Windows, которая сохраняет изменения. | Разработчики, опытные пользователи, приложения с высокой нагрузкой на настройку. | Низкая плотность, высокая гибкость. |
| Гибрид | Объедините RDSH для базовых приложений и VDI для специализированных потребностей. | Среды смешанной личности. | Оптимизированный баланс. |
Расположения размещения
Службы удаленных рабочих столов можно развернуть в разных средах:
- Локальная среда: полный контроль над оборудованием, сетями и локальными данными.
- Инфраструктура Azure (IaaS): развертывание ролей служб удаленных рабочих столов на виртуальных машинах Azure для эластичной емкости и упрощенного глобального доступа.
Распространенные сценарии
Организации используют службы удаленных рабочих столов для стандартизации доставки приложений в филиалы, обеспечения безопасного доступа для подрядчиков или партнеров без широкого раскрытия внутренних сетей, быстрого подключения сезонных или временных сотрудников, а также размещения устаревших или специализированных приложений Windows, развертывание которых на многих устройствах является непрактичным. Это также распространено в регулируемых секторах (финансах, здравоохранении), где место расположения данных и возможность аудита имеет значение, а также для ИТ-администраторов, которым нужен доступ к удаленному рабочему столу с ограниченными привилегиями, а не полные VPN-туннели.
Параметры публикации
Вы можете публиковать полные рабочие столы (на основе сеансов или на основе виртуальных машин), которые представляют курируемый набор приложений или предоставлять отдельные программы RemoteApp, которые интегрируются в меню "Пуск" пользователя и панель задач, могут охватывать несколько мониторов и отображаться и вести себя как локально установленное программное обеспечение.
Безопасность и соответствие требованиям
Службы удаленных рабочих столов создаются на основе безопасности Windows: TLS защищает трафик RDP (развертывает допустимые сертификаты для шлюза, брокера и веб-доступа), а шлюз удаленных рабочих столов инкапсулирует RDP в HTTPS, чтобы свести к минимуму доступные порты при включении интеграции условного доступа и MFA. Коллекции и группы безопасности помогают обеспечить сегментацию с наименьшими привилегиями; централизованное выполнение гарантирует, что данные остаются в центре обработки данных, так что только поток пользовательского интерфейса выходит за его пределы. Журналы событий и система аудита Windows, а также решения SIEM для мониторинга на предмет соответствия и расследовательского анализа.
Рекомендации по планированию
Эффективное планирование начинается с создания пользовательских персон: оценка профилей процессора, памяти, операций ввода-вывода хранилища для типовых пользователей, пользователей, работающих с информацией, и мощных пользователей. Определение емкости модели для сеансов на каждом узле сеансов удаленного рабочего стола и размер пула или личного VDI при проектировании высокой доступности брокера подключений. Стратегия профиля (роуминговые профили, перенаправление папок или управление профилями сторонних производителей) влияет на производительность входа и разрастание дискового пространства; избегайте неконтролируемого расползания профилей на хостах. Если пользователям требуется трехмерный или широкий объем мультимедиа, планируйте ресурсы GPU (DDA Hyper-V или поддерживаемые технологии виртуализации). Топология сети и задержка влияют на удобство работы пользователей, поэтому размещайте шлюз RD Gateway так, чтобы свести к минимуму время задержки и обеспечить достаточную пропускную способность для максимальной параллельности. Проверьте поведение многосессионных приложений на ранних стадиях, чтобы выявить допущения о путях на компьютере или разделах реестра, а также развертывание, масштабирование и обслуживание с помощью скриптов на PowerShell, чтобы сократить усилия вручную.
Управление и мониторинг
Ежедневные операции смешивают графический интерфейс и автоматизацию: диспетчер серверов и PowerShell обрабатывают установку ролей, создание коллекции и публикацию приложений; Брокер подключений управляет балансировкой нагрузки и назначением пользователей между узлами. Отслеживайте сеансы и потребление ресурсов (ЦП, память, диск, ГП) и просматривайте события аутентификации или отключения для выявления тенденций. Сохраняйте пользовательские образы для пула VDI и выполняйте поэтапное обновление узлов сеансов, чтобы сохранить доступные ресурсы. Запланированные скрипты упрощают продление сертификатов, обновление изображений и расширение и уменьшение масштабирования.
Дальнейшие шаги
Чтобы приступить к работе со службами удаленных рабочих столов, ознакомьтесь со следующими статьями:
- Поддерживаемые конфигурации
- Планирование и проектирование емкости, высокой отказоустойчивости, многофакторной аутентификации и сертификатов
- Модели архитектуры