Chtěli byste vidět stránku v jiném jazyce?

English
English Español Italiano Português do Brasil Português Français Русский 日本語 Polski 简体中文 繁體中文 Türkçe 한국어 Čeština العربية Bahasa Indonesia Tiếng Việt Nederlands ไทย Magyar Slovenčina Svenska Ελληνικά Română فارسی Dansk Български Suomi Hrvatski Norsk bokmål Bahasa Melayu हिन्दी Tagalog English (UK)
Změnit jazyk
Obsah

Úvod

Nasazení služeb vzdálené plochy může vyřešit vzdálenou práci, centralizaci aplikací a přístup třetích stran na jedné platformě. Nicméně, RDS může rychle selhat, pokud jsou licence, certifikáty nebo bezpečnostní kontroly nesprávně nakonfigurovány. Tento článek se zaměřuje na jasná rozhodnutí a bezpečné výchozí hodnoty, které můžete okamžitě aplikovat. Dokončíte s plánem výstavby, který můžete zdokumentovat a podpořit.

TSplus Bezplatná zkušební verze vzdáleného přístupu

Ultimativní alternativa Citrix/RDS pro přístup k desktopu/aplikacím. Bezpečné, nákladově efektivní, on-premises/cloud

Začněte bezplatnou zkušební verzi.

Co je server vzdálené plochy v termínech Windows?

RDS vs standardní Remote Desktop

Windows Pro Remote Desktop je funkce pro jednoho uživatele na jednom zařízení. Server vzdálené plochy je obvykle Windows Server Remote Desktop Services (RDS), který podporuje mnoho současných uživatelů. RDS také přidává centrální politiky, kontrolu relací a licencování. Tento rozdíl je důležitý pro podporu a shodu.

RDS role, které mají význam

Většina skutečných nasazení používá malou sadu rolových služeb:

  • RD Session Host: spouští uživatelské relace a RemoteApps (publikované aplikace).
  • RD Connection Broker: sleduje relace a spolehlivě znovu připojuje uživatele.
  • RD Web Access: poskytuje portál pro aplikace a pracovní plochy.
  • RD Gateway: obaluje RDP uvnitř HTTPS pro bezpečnější přístup k internetu.
  • RD Licensing: spravuje RDS klientské přístupové licence (CAL).

Role lze kombinovat v malých prostředích, ale produkční návrhy obvykle oddělují alespoň hostitele relací a bránu. Oddělení rolí není pouze o výkonu.

Krok 1: Naplánujte svůj návrh RDS

Topologie: jeden server vs více serverů

Jednoduchá konfigurace na jednom serveru může fungovat pro laboratoř nebo malou kancelář s nízkou souběžností. Pro produkci oddělte role, abyste snížili výpadky a zjednodušili odstraňování problémů. Běžné rozdělení je jeden server pro Broker, Web a Licencování a jeden nebo více serverů pro Hostitele relací. Pokud se připojují externí uživatelé, umístěte RD Gateway na samostatný server, pokud je to možné.

Velikost: CPU, RAM, úložiště, síť

Plánování kapacity je místo, kde se vyhrává nebo prohrává uživatelská zkušenost. Interaktivní aplikace mají špičky během přihlášení a spuštění aplikace, takže velikost potřebuje praktické priority:

  • CPU: upřednostněte vyšší taktovací frekvenci pro odezvu relace
  • RAM: plán pro maximální souběžnost, aby se předešlo stránkování
  • Úložiště: SSD pro snížení latence profilu a I/O aplikací
  • Síť: upřednostňujte nízkou latenci před hrubou šířkou pásma

Tlak na paměť způsobuje pomalé relace a náhodné selhání, proto plánujte pro maximální souběžnost. SSD úložiště snižuje čas načítání profilu a zlepšuje konzistenci přihlášení. Cesty s nízkou latencí obvykle hrají větší roli než hrubá šířka pásma.

Model přístupu: interní, VPN nebo internet

Rozhodněte, jak se uživatelé dostanou k službě, než nainstalujete role. Přístup pouze pro interní uživatele je nejjednodušší a snižuje vystavení. Přístup přes VPN přidává kontrolní vrstvu, ale vyžaduje správu klientů. Přístup přes internet by měl používat RD Gateway přes HTTPS, abyste se vyhnuli vystavení. port 3389 Toto jedno rozhodnutí zabraňuje mnoha bezpečnostním incidentům.

Pokud musíte podporovat neřízená zařízení, naplánujte přísnější kontroly a jasnější hranice. Zacházejte s přístupem k internetu jako s produktem, nikoli jako s zaškrtávacím políčkem, s odpovědností za identitu, certifikáty a monitorování.

Krok 2: Připravte Windows Server pro RDS

Záplata, základní linie a administrátorský přístup

Opravit Windows Server úplně před přidáním rolí RDS a udržovat předvídatelný cyklus aktualizací. Použijte standard základního zpevnění, který odpovídá vašemu prostředí. Používejte jasné administrativní hranice:

  • Oddělte privilegované administrátorské účty od běžných uživatelských účtů.
  • Admin pouze z řízeného skokového hostitele (ne z koncových bodů)
  • Omezte členství místních administrátorů a pravidelně auditujte změny.

DNS názvy a postavení firewallu

Vyberte uživatelsky orientovaný DNS název brzy a udržujte ho konzistentní napříč nástroji a certifikáty. Plánujte pravidla firewallu s myšlenkou „nejmenšího vystavení“. U nasazení směřujících na internet se snažte vystavit pouze TCP 443 na bránu. Udržujte TCP 3389 uzavřené od veřejného internetu.

Požadavky na sestavení: připojení k doméně a servisní účty (pokud je to potřeba)

Většina nasazení RDS ve výrobě je připojena k doméně, protože řízení přístupu na základě skupin a GPO jsou klíčové pro správu. Připojte servery k správné doméně AD co nejdříve, poté ověřte synchronizaci času a rozlišení DNS. Pokud používáte servisní účty pro monitorovací agenty nebo nástroje pro správu, vytvořte je s minimálními oprávněními a zdokumentujte vlastnictví.

Krok 3: Nainstalujte role služeb vzdálené plochy

Standardní nasazení s Server Managerem

Použijte cestu instalace Služeb vzdálené plochy v Server Manageru pro čistou instalaci. Vyberte nasazení plochy založené na relacích pro vícero uživatelských ploch a RemoteApps. Přiřaďte role služby na základě vašeho plánování topologie, nikoli podle pohodlí. Dokumentujte, kde je každá role nainstalována, abyste usnadnili budoucí aktualizace.

Pravidla umístění rolí a oddělení

Umístění rolí ovlivňuje výkon a rychlost odstraňování problémů. Ko-lokace všeho může fungovat, ale také skrývá úzká místa, dokud nezvýší zátěž uživatelů. Oddělení okrajových rolí od výpočetních rolí usnadňuje izolaci výpadků a snižuje bezpečnostní riziko.

  • Ko-lokace rolí pouze pro laboratoř nebo velmi malé nasazení
  • Udržujte RD Gateway vypnutý na hostiteli relace pro přístup z internetu.
  • Přidat hostitele relací horizontálně místo zvětšování jednoho hostitele
  • Používejte konzistentní pojmenování serverů, aby byly protokoly snadno sledovatelné.

Kontrola po instalaci

Ověřte platformu před přidáním uživatelů. Potvrďte, že služby běží a jsou nastaveny na automatické spuštění. Otestujte RD Web Access interně, pokud jste jej nasadili. Proveďte testovací připojení k hostiteli relace a potvrďte, že vytváření relací funguje. Opraveněte jakékoli chyby nyní, než přidáte certifikáty a politiky.

Přidejte krátký kontrolní seznam validace, který můžete opakovat po každé změně. Měl by zahrnovat test připojení, test spuštění aplikace a kontrolu protokolu na nové varování. Opakování je to, co mění RDS z "křehkého" na "předvídatelného."

Krok 4: Nakonfigurujte RD licenci

Aktivovat, přidat CAL, nastavit režim

Nainstalujte roli RD Licensing a poté aktivujte licenční server. Přidejte své RDS CALs a vyberte správný licenční režim: Na uživatele nebo Na zařízení. Aplikujte licenční server a režim na prostředí hostitele relací. Považujte to za nezbytný krok, nikoli za pozdější úkol.

Ověřte, že je licence aplikována

Licenční problémy se často objevují po období milosti, což je činí obtížně sledovatelnými. Zkontrolujte Prohlížeč událostí na hostiteli relace pro varování o licencích. Potvrďte, že hostitel relace může dosáhnout licenčního serveru přes síť. Ověřte, že režim odpovídá typu CAL, který skutečně vlastníte. Pořiďte snímky obrazovky pro vaši dokumentaci k verzi.

  • Potvrďte, že je licenční server dostupný z každého hostitele relace.
  • Potvrďte, že je aplikován licenční režim, ve kterém se relace spouštějí.
  • Zkontrolujte protokoly související s RDS na varování před onboardováním uživatelů.
  • Znovu otestujte po změnách GPO, které by mohly přepsat nastavení RDS.

Vzory selhání licencí k včasnému zachycení

Většina „překvapení“ ohledně licencí je preventabilní. Problémy často vyplývají z nesouladu typu CAL a licenčního režimu, licenčního serveru, který byl nainstalován, ale nikdy neaktivován, nebo z Hostitele relace, který nemůže najít licenční server kvůli změnám v DNS nebo firewallu.

Vytvořte do svého procesu jedno jednoduché pravidlo: nepřecházejte z pilotního provozu do produkce, dokud nejsou licenční protokoly čisté pod zátěží. Pokud vaše sestavení přežije testy maximálního přihlášení a stále neukazuje žádná varování o licenci, eliminovali jste hlavní třídu budoucích výpadků.

Krok 5: Publikovat Desktopy a RemoteApps

Sběr relací a uživatelské skupiny

Kolekce relací je pojmenovaná skupina hostitelů relací a pravidel přístupu uživatelů. Používejte bezpečnostní skupiny místo individuálních přiřazení uživatelů pro čistou správu. Vytvářejte samostatné kolekce, když se pracovní zátěže liší, například „Uživatelé kanceláře“ a „Uživatelé ERP“. To udržuje ladění výkonu a odstraňování problémů předvídatelnější.

Přidejte jasné mapování mezi kolekcemi a obchodními výsledky. Když uživatelé vědí, která kolekce podporuje které aplikace, mohou týmy technické podpory rychleji směrovat problémy. Návrh kolekce je také místem, kde nastavujete konzistentní limity relací a pravidla přesměrování.

Základy publikování RemoteApp

RemoteApps snižují frustraci uživatelů tím, že poskytují pouze to, co potřebují, a platformy jako TSplus Remote Access může zjednodušit publikaci a webový přístup pro týmy, které chtějí méně pohyblivých částí. Také omezují „útočnou plochu plné plochy“, když uživatelé potřebují pouze jednu nebo dvě aplikace. Publikování je obvykle jednoduché, ale spolehlivost závisí na testování cest spuštění aplikací a závislostí.

  • Testujte každou RemoteApp se standardním uživatelským účtem, nikoli s administrátorským účtem.
  • Ověřte asociace souborů a požadované pomocné komponenty
  • Potvrďte požadavky na tiskárnu a schránku před uplatněním omezení
  • Dokumentujte podporované typy a verze klientů

Základy profilů a rychlosti přihlášení

Pomalé přihlašování často vyplývá z velikosti profilu a kroků zpracování profilu. Začněte jasnou strategií profilu a udržujte ji jednoduchou. Testujte čas přihlášení s reálnými uživatelskými daty, nikoli s prázdnými účty. Sledujte dobu přihlášení brzy, abyste mohli zaznamenat regresi po změnách.

Přidejte ochranné prvky před tím, než začnete škálovat. Definujte limity velikosti profilu, procesy úklidu pro dočasná data a jak zacházíte s uloženými přihlašovacími údaji a stavem uživatele. Mnoho incidentů „výkonu“ je ve skutečnosti incidenty „rozšíření profilu“.

Krok 6: Zabezpečte externí přístup pomocí RD Gateway

Proč HTTPS poráží vystavené RDP

RD Gateway tunely přenášejí provoz Remote Desktop přes HTTPS na portu 443. To snižuje přímou expozici RDP a poskytuje vám lepší kontrolní bod. Také to zlepšuje kompatibilitu s uzamčenými sítěmi, kde je povoleno pouze HTTPS. Pro většinu týmů je to nejbezpečnější výchozí nastavení pro externí přístup.

Politiky, certifikáty a možnosti MFA

Použijte politiky brány k řízení toho, kdo se může připojit a k čemu mají přístup. Přiřaďte certifikát, který odpovídá vašemu externímu názvu DNS a je důvěryhodný pro uživatelská zařízení. Pokud je vyžadováno MFA, vynucujte ho na bráně nebo prostřednictvím cesty vašeho poskytovatele identity. Udržujte pravidla na základě skupin, aby zůstaly přehledné přístupy.

  • Použijte politiky CAP/RAP vázané na bezpečnostní skupiny AD
  • Omezení přístupu k určitým interním zdrojům, nikoli k celým podsítím
  • Vynutit MFA pro externí přístup, když to odůvodňuje obchodní riziko
  • Zaznamenávejte události autentizace a autorizace pro audity

Zpevnění brány a okrajové vrstvy

Zacházejte s RD Gateway jako s aplikací serveru s přístupem k internetu. Udržujte jej aktualizovaný, minimalizujte nainstalované komponenty a omezte cesty pro administrátorský přístup. Deaktivujte slabá stará nastavení, která nepotřebujete, a monitorujte chování související s útoky hrubou silou. Pokud má vaše organizace okrajový reverzní proxy nebo WAF strategie, sladit nasazení brány s ní.

Nakonec si procvičte akce reakce na incidenty. Vězte, jak zablokovat uživatele, rotovat certifikáty a omezit přístup během podezřelého útoku. Tyto akce jsou mnohem snazší, když jste je naplánovali.

Krok 7: Ladění výkonu a spolehlivosti

Nastavení GPO, která snižují zátěž relace

Použijte skupinovou politiku k omezení zbytečného zatížení bez narušení pracovních toků. Omezte nečinné relace a nastavte časové limity pro odpojení, abyste bezpečně uvolnili zdroje. Řiďte přesměrování schránky a jednotek na základě citlivosti dat. Aplikujte změny v malých krocích, abyste mohli měřit dopad.

Sledování signálů pro včasné sledování

Monitorujte CPU, paměť a latenci disku na hostitelích relací od prvního dne. Sledujte trendy doby přihlášení a počtu relací během týdne. Sledujte selhání autentizace brány pro vzory hrubé síly. Nastavte upozornění na saturaci zdrojů, nejen na události výpadku serveru. Dobré monitorování zabraňuje „překvapením v pondělí.“ Začněte s malou základní sadou:

  • Trendy doby přihlášení (medián + nejhorších 10 %)
  • Tlak na paměť hostitele relace během špičkových hodin
  • Latence disku na profilech a cestách aplikací
  • Selhání přihlášení RD Gateway a neobvyklé výkyvy

Operační stabilita: okna oprav a změna kadence

Výkon závisí na provozní disciplíně. Definujte údržbové okna pro servery Session Host a Gateway, a poté je komunikujte uživatelům. Používejte postupné nasazení, kdy se nejprve aktualizuje jeden Session Host a poté ostatní. Tento přístup snižuje riziko rozsáhlého narušení způsobeného špatnou opravou nebo aktualizací ovladače.

Také definujte, co „rollback“ znamená ve vašem prostředí. Pro VM mohou snímky pomoci, ale pouze pokud jsou používány opatrně a krátce. Pro fyzické systémy může rollback znamenat vrácení zlatého obrazu nebo odstranění nedávné změny pomocí automatizace.

Krok 8: Běžné problémy s vytvářením a cesty k opravám

Certifikáty, DNS, firewall a NLA

Chyby certifikátu obvykle pocházejí z nesouladu názvů nebo chybějících důvěryhodných řetězců. Problémy s DNS se projevují jako „nelze najít server“ nebo selhání načítání portálu. Chyby firewallu často blokují interní provoz mezi rolemi, nejen uživatelský provoz. Aktivujte ověřování na úrovni sítě (NLA), abyste vyžadovali ověření před vytvořením relace. Testujte každou vrstvu v pořadí, aby bylo odstraňování problémů rychlé.

  • DNS rozlišení pro přesný název hostitele, který vidí uživatel
  • TLS shoda certifikátu + ověření důvěryhodného řetězce
  • Dostupnost firewallu (443 do brány, povolený interní provoz)
  • NLA povoleno a ověřování úspěšné před vytvořením relace

Přidejte zvyk ověřování z pohledu klienta. Zkontrolujte důvěru certifikátu na typickém uživatelském zařízení, nejen na serverech. Ověřte, že přesný název hostitele, který uživatelé používají, odpovídá certifikátu. Mnoho "náhodných" selhání je předvídatelných, jakmile je reprodukujete z reálného klienta.

Pomalé relace a odpojení

Náhlé odpojení často souvisí s licencováním, selháním profilu nebo vyčerpáním zdrojů. Pomalé relace obvykle souvisejí s tlakem na paměť, latencí disku nebo těžkými přihlašovacími skripty. Zkontrolujte Prohlížeč událostí na hostiteli relace a bráně a porovnejte časové razítka. Potvrďte, že problém je celkový pro uživatele nebo specifický pro kolekci, než změníte nastavení. Používejte malé opravy a znovu testujte, spíše než velké „přestavovací“ kroky.

Tiskárna, periferie a problémy s přesměrováním

Tisk a přesměrování periferií vytváří velký podíl tiketů RDS. Příčinou je často nesoulad ovladačů, chování objevování zastaralých tiskáren nebo nadměrné politiky přesměrování. Standardizujte ovladače tiskáren, kde je to možné, a testujte s nejběžnějšími zařízeními co nejdříve. Omezte funkce přesměrování, které uživatelé nepotřebují, ale vyhněte se plošným blokacím bez zapojení zúčastněných stran.

Když problémy přetrvávají, izolujte je tím, že postupně deaktivujete jednu funkci přesměrování. Tento přístup zabraňuje „opravam“, které náhodně narušují skenování, tisk štítků nebo podpisové podložky. Dokumentujte podporovaná zařízení, aby mohl helpdesk nastavit očekávání uživatelů.

Jak TSplus zjednodušuje doručování vzdálené plochy?

TSplus Remote Access poskytuje zjednodušený způsob, jak publikovat Windows desktopy a aplikace, aniž by bylo nutné vytvářet plnou multi-role RDS infrastrukturu. Správci mohou publikovat aplikace, přiřazovat je uživatelům nebo skupinám a poskytovat přístup prostřednictvím přizpůsobitelného webového portálu. Uživatelé se mohou připojit z prohlížeče pomocí HTML5 nebo z jakéhokoli klienta kompatibilního s RDP, v závislosti na potřebách zařízení. Tento přístup snižuje tření při nastavení a zároveň udržuje centralizovanou kontrolu nad aplikacemi a relacemi pro efektivní provoz.

Závěr

Spolehlivý server vzdálené plochy začíná jasnými designovými volbami a bezpečnými výchozími nastaveními. Velikost hostitelů relací přizpůsobte skutečným pracovním zátěžím, správně nakonfigurujte licencování a vyhněte se veřejnému vystavení RDP. Použijte RD Gateway a čisté certifikáty pro bezpečný externí přístup. S monitorováním a konzistentními politikami může prostředí RDS zůstat stabilní, jak se používání zvyšuje.

TSplus Bezplatná zkušební verze vzdáleného přístupu

Ultimativní alternativa Citrix/RDS pro přístup k desktopu/aplikacím. Bezpečné, nákladově efektivní, on-premises/cloud

Začněte bezplatnou zkušební verzi.

Sdílet:

Facebook Twitter LinkedIn

Váš tým TSplus

Další čtení

back to top of the page icon