Haluaisitko nähdä sivuston eri kielellä?

English
English Español Italiano Português do Brasil Português Français Русский 日本語 Polski 简体中文 繁體中文 Türkçe 한국어 Čeština العربية Bahasa Indonesia Tiếng Việt Nederlands ไทย Magyar Slovenčina Svenska Ελληνικά Română فارسی Dansk Български Suomi Hrvatski Norsk bokmål Bahasa Melayu हिन्दी Tagalog English (UK)
Vaihda kieltä
Sisällysluettelo

Johdanto

Etätyöpöytäpalveluiden käyttöönotto voi ratkaista etätyön, sovellusten keskittämisen ja kolmansien osapuolten pääsyn yhdellä alustalla. Kuitenkin RDS voi epäonnistua nopeasti, jos lisenssit, sertifikaatit tai turvallisuusasetukset on konfiguroitu väärin. Tämä artikkeli keskittyy selkeisiin päätöksiin ja turvallisiin oletusasetuksiin, joita voit soveltaa heti. Pääset lopuksi rakentamissuunnitelmaan, jonka voit dokumentoida ja tukea.

TSplus Etäkäyttö Ilmainen Kokeilu

Viimeisin Citrix/RDS-vaihtoehto työpöytä/sovelluskäyttöön. Turvallinen, kustannustehokas, paikallinen/pilvi

Aloita ilmainen kokeilu

Mikä etätyöpöytäpalvelin on Windowsin termeissä?

RDS vs standard Remote Desktop

Windows Pro Remote Desktop on yksi-yhteen ominaisuus yhdelle koneelle. Etätyöpöytäpalvelin on tyypillisesti Windows Server Remote Desktop Services (RDS), joka tukee monia samanaikaisia käyttäjiä. RDS lisää myös keskitettyjä käytäntöjä, istunnon hallintaa ja lisensointia. Tämä ero on tärkeä tukikelpoisuuden ja vaatimustenmukaisuuden kannalta.

RDS-roolit, jotka ovat tärkeitä

Useimmat todelliset käyttöönotot käyttävät pientä joukkoa roolipalveluja:

  • RD Session Host: suorittaa käyttäjäistuntoja ja RemoteApp-sovelluksia (julkaistuja sovelluksia).
  • RD Connection Broker: seuraa istuntoja ja yhdistää käyttäjät luotettavasti.
  • RD Web Access: tarjoaa portaalin sovelluksille ja työpöydille.
  • RD Gateway: kääreet RDP HTTPS:n sisällä turvallisempaa internet-yhteyttä varten.
  • RD-lisensointi: hallinnoi RDS-asiakaslupia (CAL).

Voit yhdistää rooleja pienissä ympäristöissä, mutta tuotantosuunnitelmissa roolit eristetään yleensä vähintään istuntoisäntien ja portaalin osalta. Roolien erottaminen ei koske vain suorituskykyä.

Vaihe 1: Suunnittele RDS-suunnitelmasi

Topologia: yksittäinen palvelin vs monipalvelin

Yksittäinen palvelinasetus voi toimia laboratoriossa tai pienessä toimistossa, jossa on alhainen samanaikaisuus. Tuotannossa on suositeltavaa jakaa roolit katkosten vähentämiseksi ja vianetsinnän yksinkertaistamiseksi. Yleinen jako on yksi palvelin Brokerille, Webille ja Lisensoinnille, ja yksi tai useampi palvelin Istuntopalvelimelle. Jos ulkoiset käyttäjät yhdistävät, aseta RD Gateway omalle palvelimelleen, kun se on mahdollista.

Kokoaminen: CPU, RAM, tallennus, verkko

Kapasiteetin suunnittelu on se, missä käyttäjäkokemus voitetaan tai hävitään. Interaktiiviset sovellukset huipentuvat kirjautumisen ja sovelluksen käynnistämisen aikana, joten koon määrittämisessä on käytettävä käytännön prioriteetteja:

  • CPU: suosita korkeampaa kellotaajuutta istunnon reagointikyvyn parantamiseksi
  • RAM: suunnittele huippukuormituksen varalta, jotta vältät sivunvaihdon
  • Tallennus: SSD-profiilin ja sovelluksen I/O-viiveen vähentämiseksi
  • Verkko: priorisoi alhainen viive raakaan kaistanleveyteen nähden

Muistipaine aiheuttaa hitaita istuntoja ja satunnaisia vikoja, joten suunnittele huipputiheys. SSD-tallennus vähentää profiilin latausaikaa ja parantaa kirjautumisen johdonmukaisuutta. Alhaisen viiveen verkkopolut ovat yleensä tärkeämpiä kuin raaka kaistanleveys.

Pääsytapa: sisäinen, VPN tai internet

Päätä, miten käyttäjät pääsevät palveluun ennen roolien asentamista. Vain sisäinen pääsy on yksinkertaisinta ja vähentää altistumista. VPN-pääsy lisää hallintakerroksen, mutta vaatii asiakashallintaa. Internet-pääsy tulisi käyttää RD Gatewayn kautta HTTPS:llä, jotta vältät altistumisen. portti 3389 Tämä yksi päätös estää monia turvallisuusongelmia.

Jos sinun on tuettava hallitsemattomia laitteita, suunnittele tiukempia valvontakäytäntöjä ja selkeämpiä rajoja. Käsittele internet-yhteyttä tuotteena, ei vain rastina, omistaen identiteetti, sertifikaatit ja valvonta.

Vaihe 2: Valmistele Windows Server RDS:ää varten

Päivitys, peruslinja ja ylläpito-oikeus

Päivitä Windows Server täysin ennen RDS-roolien lisäämistä ja pidä ennakoitava päivityssykli. Käytä ympäristöösi sopivaa perusvahvistusstandardia. Käytä selkeitä ylläpitorajoja:

  • Erota etuoikeutetut ylläpito-tilit päivittäisistä käyttäjätilistä.
  • Vain ylläpitäjille hallitusta hyppäysisännästä (ei päätelaitteista)
  • Rajoita paikallista ylläpitäjäjäsenyyttä ja tarkista muutokset säännöllisesti

DNS-nimet ja palomuurin asento

Valitse käyttäjille näkyvä DNS-nimi aikaisin ja pidä se johdonmukaisena eri työkaluissa ja sertifikaateissa. Suunnittele palomuurisäännöt "vähimmäisaltistus" -ajattelutavalla. Internetiin kohdistuvissa käyttöönottoissa pyri altistamaan vain TCP 443 portti portaalille. Pidä TCP 3389 suljettuna julkiselta internetiltä.

Rakennusvaatimukset: verkkotunnuksen liittäminen ja palvelutilit (tarvittaessa)

Useimmat tuotannon RDS-implementoinnit ovat liittyneet verkkotunnukseen, koska ryhmäpohjainen pääsynhallinta ja GPO ovat keskeisiä hallinnassa. Liitä palvelimet oikeaan AD-verkkotunnukseen aikaisin, varmista sitten aikasyntynkronointi ja DNS-nimipalvelun ratkaisu. Jos käytät palvelutiliä valvontajärjestelmille tai hallintatyökaluille, luo ne vähimmällä käyttöoikeudella ja dokumentoi omistus.

Vaihe 3: Asenna etätyöpöytäpalveluiden roolit

Vakiokäyttö Server Managerilla

Käytä Remote Desktop Services -asennuspolkua Server Managerissa puhdasta asennusta varten. Valitse istuntopohjainen työpöytäasennus monikäyttäjätyöpöydille ja RemoteApp-sovelluksille. Määritä roolipalvelut topologiasuunnitelmasi mukaan, ei mukavuuden perusteella. Dokumentoi, mihin kukin rooli on asennettu, jotta tulevat päivitykset ovat helpompia.

Roolin sijoittamisen ja erottamisen nyrkkisäännöt

Roolin sijoittaminen vaikuttaa suorituskykyyn ja vianetsintänopeuteen. Kaiken sijoittaminen samaan paikkaan voi toimia, mutta se myös piilottaa pullonkauloja, kun käyttäjakuormitus kasvaa. Reunaroolejen erottaminen laskentarooleista helpottaa katkosten eristämistä ja vähentää turvallisuusriskiä.

  • Vain laboratorio- tai erittäin pienille käyttöönottoille tarkoitettujen roolien yhteensijoittaminen
  • Pidä RD Gateway poissa istuntoisäntästä internet-yhteyksien varalta.
  • Lisää istuntopalvelimia vaakasuoraan sen sijaan, että suurentaisit yhtä isäntää.
  • Käytä johdonmukaista palvelimen nimeämistä, jotta lokit ovat helppoja seurata.

Asennuksen jälkeiset tarkistukset

Vahvista alusta ennen käyttäjien lisäämistä. Varmista, että palvelut ovat käynnissä ja asetettu käynnistymään automaattisesti. Testaa RD Web Accessia sisäisesti, jos olet ottanut sen käyttöön. Tee testiyhteys Session Hostiin ja varmista, että istunnon luonti toimii. Korjaa kaikki virheet nyt, ennen kuin lisäät sertifikaatit ja politiikat.

Lisää lyhyt tarkistuslista, jonka voit toistaa jokaisen muutoksen jälkeen. Sen tulisi sisältää yhteystesti, sovelluksen käynnistystesti ja lokitarkistus uusille varoituksille. Toistaminen on se, mikä muuttaa RDS:n "hauraasta" "ennakoitavaksi".

Vaihe 4: Määritä RD-lisensointi

Aktivoi, lisää CAL:it, aseta tila

Asenna RD-lisensointirooli ja aktivoi lisensointipalvelin. Lisää RDS CAL:si ja valitse oikea lisensointitila: Per käyttäjä tai Per laite. Sovella lisensointipalvelinta ja -tilaa Istuntopalvelinympäristöön. Käsittele tätä vaadittuna vaiheena, ei myöhempänä tehtävänä.

Varmista, että lisensointi on voimassa

Lisensointiongelmat ilmenevät usein armonaikojen jälkeen, mikä tekee niistä vaikeita jäljittää. Tarkista Tapahtumien katseluohjelma istuntopalvelimella lisenssivaroituksia varten. Varmista, että istuntopalvelin voi tavoittaa lisenssipalvelimen verkon yli. Varmista, että tila vastaa omistamaasi CAL-tyyppiä. Ota näyttökuvia rakennusdokumentaatiotasi varten.

  • Varmista, että lisensointipalvelin on saavutettavissa jokaiselta istuntopalvelimelta.
  • Varmista, että lisensointitila on käytössä, kun istunnot toimivat.
  • Tarkista RDS:ään liittyvät lokit varoitusten varalta ennen käyttäjän käyttöönottoa
  • Testaa uudelleen GPO-muutosten jälkeen, jotka voivat ohittaa RDS-asetukset.

Lisensointivirheiden mallit varhaiseen tunnistamiseen

Useimmille lisenssiyllätyksille voidaan estää. Ongelmat johtuvat usein yhteensopimattomasta CAL-tyypistä ja lisensointitilasta, lisensointipalvelimesta, joka on asennettu mutta ei koskaan aktivoitu, tai Istuntopalvelimesta, joka ei voi löytää lisensointipalvelinta DNS- tai palomuurimuutosten vuoksi.

Rakenna yksi yksinkertainen sääntö prosessiisi: älä siirry pilottivaiheesta tuotantoon ennen kuin lisenssikirjanpidot ovat puhtaat kuormituksen alla. Jos rakennuksesi kestää huippukäynnistystestit eikä silti näytä lisenssihälytyksiä, olet eliminoinut merkittävän luokan tulevista katkoista.

Vaihe 5: Julkaise työpöydät ja RemoteAppit

Istuntojen kokoelmat ja käyttäjäryhmät

Istuntojen kokoelma on nimetty ryhmä Istuntoisäntiä ja käyttäjäkäyttöoikeussääntöjä. Käytä turvallisuusryhmiä yksittäisten käyttäjäoikeuksien sijaan siistin hallinnan vuoksi. Luo erillisiä kokoelmia, kun työkuormat eroavat, kuten "Toimistokäyttäjät" ja "ERP-käyttäjät". Tämä pitää suorituskyvyn säätämisen ja vianetsinnän ennakoitavampana.

Lisää selkeä kartoitus kokoelmien ja liiketoimintatulosten välille. Kun käyttäjät tietävät, mikä kokoelma tukee mitä sovelluksia, tukitiimit voivat ohjata ongelmat nopeammin. Kokoelman suunnittelu on myös paikka, jossa asetat johdonmukaiset istuntorajat ja uudelleenohjaussäännöt.

RemoteApp-julkaisun perusteet

RemoteApps vähentävät käyttäjien kitkaa tarjoamalla vain sen, mitä he tarvitsevat, ja alustat kuten TSplus Etäyhteys voi yksinkertaistaa julkaisua ja verkkopääsyä tiimeille, jotka haluavat vähemmän liikkuvia osia. Ne rajoittavat myös "kokonaisen työpöydän" hyökkäyspintaa, kun käyttäjät tarvitsevat vain yhden tai kaksi sovellusta. Julkaiseminen on yleensä suoraviivaista, mutta luotettavuus riippuu sovelluksen käynnistysreittien ja riippuvuuksien testaamisesta.

  • Testaa jokainen RemoteApp tavallisella käyttäjällä, ei järjestelmänvalvojan tilillä.
  • Vahvista tiedostoyhdistykset ja vaaditut apukomponentit
  • Vahvista tulostimen ja leikepöydän vaatimukset ennen rajoitusten täytäntöönpanoa
  • Dokumentoi tuetut asiakastyypit ja versiot

Profiilit ja kirjautumisnopeuden perusteet

Hitaat kirjautumiset johtuvat usein profiilikoon ja profiilinkäsittelyvaiheiden pituudesta. Aloita selkeällä profiilistrategialla ja pidä se yksinkertaisena. Testaa kirjautumisaika oikeilla käyttäjätiedoilla, ei tyhjillä tileillä. Seuraa kirjautumisen kestoa aikaisin, jotta voit havaita regressiot muutosten jälkeen.

Lisää turvatoimia ennen skaalaamista. Määritä profiilikoon rajoitukset, puhdistusprosessit tilapäisille tiedoille ja miten käsittelet välimuistissa olevia tunnistetietoja ja käyttäjätilaa. Monet "suorituskyky" tapaukset ovat todellisuudessa "profiililevittäytymistä" koskevia tapauksia.

Vaihe 6: Varmista ulkoinen pääsy RD Gatewayn avulla

Miksi HTTPS voittaa altistetun RDP:n

RD Gateway tunneloi Remote Desktop -liikennettä yli HTTPS portilla 443. Tämä vähentää RDP:n suoraa altistumista ja antaa sinulle paremman hallintapisteen. Se parantaa myös yhteensopivuutta suljetuilla verkoilla, joissa vain HTTPS on sallittu. Useimmille tiimeille se on turvallisin oletus ulkoiseen pääsyyn.

Politiikat, sertifikaatit ja MFA-vaihtoehdot

Käytä porttipolitiikkoja hallitaksesi, kuka voi muodostaa yhteyden ja mihin he voivat päästä. Liitä sertifikaatti, joka vastaa ulkoista DNS-nimeäsi ja jota käyttäjälaitteet luottavat. Jos MFA on vaadittu, pakota se portin kautta tai identiteettipalveluntarjoajasi polun kautta. Pidä säännöt ryhmäpohjaisina, jotta pääsyn tarkastukset pysyvät hallittavina.

  • Käytä CAP/RAP -käytäntöjä, jotka on liitetty AD-turvaryhmiin.
  • Rajoita pääsyä tiettyihin sisäisiin resursseihin, ei koko aliverkkoihin.
  • Pakota MFA ulkoiseen pääsyyn, kun liiketoimintariski sitä oikeuttaa.
  • Kirjaa todennus- ja valtuutustapahtumat tarkastuksia varten

Portin ja reunakerroksen koventaminen

Käsittele RD Gatewayia kuin internetiin kohdistuvaa sovelluspalvelinta. Pidä se päivitettynä, minimoi asennetut komponentit ja rajoita ylläpito-oikeuksien polkuja. Poista käytöstä heikot vanhat asetukset, joita et tarvitse, ja valvo bruteforce-käyttäytymistä. Jos organisaatiollasi on reunakäänteinen välityspalvelin tai WAF strategia, sovita porttipalvelun käyttöönotto sen kanssa.

Lopuksi, harjoittele tapahtumavasteen toimia. Tiedä, miten estää käyttäjä, kiertää sertifikaatit ja rajoittaa pääsyä epäillyn hyökkäyksen aikana. Nämä toimet ovat paljon helpompia, kun olet suunnitellut ne etukäteen.

Vaihe 7: Suorituskyvyn ja luotettavuuden säätö

GPO-asetukset, jotka vähentävät istunnon kuormitusta

Käytä ryhmäkäytäntöä vähentääksesi tarpeetonta ylikuormitusta rikkomatta työnkulkuja. Rajoita käyttämättömiä istuntoja ja aseta katkaisuajastimia vapauttaaksesi resursseja turvallisesti. Hallitse leikepöydän ja levyn uudelleenohjausta tietojen herkkyyden perusteella. Tee muutoksia pienin askelin, jotta voit mitata vaikutusta.

Seurantasignaalit varhaisen seurannan tueksi

Seuraa CPU:ta, muistia ja levyn viivettä istuntopalvelimilla alusta alkaen. Seuraa kirjautumisaikaa ja istuntamääriä viikon aikana. Tarkkaile portin todennuksen epäonnistumisia bruteforce-malleja varten. Aseta hälytyksiä resurssien ylikuormituksesta, ei vain palvelimen kaatumistapahtumista. Hyvä valvonta estää "yllättäviä maanantaita." Aloita pienellä perusasetuksella:

  • Kirjautumisen kesto trendit (mediaani + huonoin 10%)
  • Huipputuntien aikana istunnon isäntämuistin kuormitus
  • Levyn viive profiili- ja sovellusteillä
  • RD Gatewayin epäonnistuneet kirjautumiset ja epätavalliset huiput

Toiminnallinen vakaus: korjausikkunat ja muutoksen rytmi

Suorituskyky riippuu toimintakuriista. Määritä huoltovälinet Session Hosteille ja Gateway-palvelimille, ja viesti ne sitten käyttäjille. Käytä vaiheittaisia käyttöönottoja, joissa yksi Session Host päivitetään ensin, sitten loput. Tämä lähestymistapa vähentää laajamittaisen häiriön riskiä huonosta päivityksestä tai ohjaimesta.

Määrittele myös, mitä "palautus" tarkoittaa ympäristössäsi. Virtuaalikoneiden osalta tilannekuvat voivat auttaa, mutta vain kun niitä käytetään huolellisesti ja lyhyesti. Fyysisten järjestelmien osalta palautus voi tarkoittaa kultakuvan palauttamista tai äskettäisen muutoksen poistamista automaation avulla.

Vaihe 8: Yleisimmät rakennusongelmat ja korjauspolut

Sertifikaatit, DNS, palomuuri ja NLA

Todistushäiriöt johtuvat yleensä nimen yhteensopimattomuuksista tai puuttuvista luottoketjuista. DNS-ongelmat ilmenevät "palvelinta ei löydy" tai epäonnistuneina portaali latauksina. Palomuurivirheet estävät usein sisäisen roolista rooliin liikenteen, eivät vain käyttäjäliikenteen. Ota käyttöön verkon tason todennus (NLA) vaatiaksesi todennusta ennen istunnon luomista. Testaa jokainen kerros järjestyksessä, jotta vianetsintä pysyy nopeana.

  • DNS-resoluutio tarkalle käyttäjälle näkyvälle isäntänimelle
  • TLS sertifikaatin vastaavuus + luottoketjun vahvistus
  • Palomuurin saavutettavuus (443 Gatewaylle, sisäisen roolin liikenne sallittu)
  • NLA käytössä ja todennus onnistuu ennen istunnon luomista

Lisää tapa validoida asiakasperspektiivistä. Tarkista sertifikaatin luottamus tyypillisellä käyttäjälaitteella, ei vain palvelimilla. Varmista, että käyttäjien käyttämä tarkka isäntänimi vastaa sertifikaattia. Monet "satunnaiset" epäonnistumiset ovat ennakoitavissa, kun toistat ne todelliselta asiakkaalta.

Hitaat istunnot ja katkokset

Yhtäkkiä tapahtuvat katkokset liittyvät usein lisensointiin, profiilivirheisiin tai resurssien loppumiseen. Hitaita istuntoja johtavat yleensä muistin paine, levyn viive tai raskaat kirjautumisskriptit. Tarkista tapahtumien katseluohjelma istuntopalvelimella ja portaalilla ja vertaa aikaleimoja. Varmista, että ongelma koskee kaikkia käyttäjiä tai on kokoelman erityinen ennen asetusten muuttamista. Käytä pieniä korjauksia ja testaa uudelleen sen sijaan, että tekisit suuria "uudelleenrakentamis" liikkeitä.

Tulostin, oheislaitteet ja uudelleenohjausongelmat

Tulostaminen ja oheislaitteiden uudelleenohjaus luovat suuren osan RDS-tiketeistä. Syynä on usein ajuriyhteensopimattomuus, vanhentunut tulostimen löytämiskäyttäytyminen tai liialliset uudelleenohjauskäytännöt. Standardoi tulostinajurit, kun se on mahdollista, ja testaa yleisimmillä laitteilla aikaisessa vaiheessa. Rajoita uudelleenohjausominaisuuksia, joita käyttäjät eivät tarvitse, mutta vältä kattavia estoja ilman sidosryhmien panosta.

Kun ongelmat jatkuvat, eristä ongelma poistamalla käytöstä yksi uudelleenohjausominaisuus kerrallaan. Tämä lähestymistapa estää "korjauksia", jotka vahingossa rikkovat skannausta, tarratulostusta tai allekirjoituspintoja. Dokumentoi tuetut laitteet, jotta tukipalvelu voi asettaa käyttäjien odotukset.

Miten TSplus yksinkertaistaa etätyöpöydän toimitusta?

TSplus Etäyhteys tarjoaa sujuvan tavan julkaista Windows-työpöytiä ja sovelluksia ilman, että tarvitsee rakentaa täydellistä monikäyttöistä RDS-pinoa. Järjestelmänvalvojat voivat julkaista sovelluksia, määrittää ne käyttäjille tai ryhmille ja toimittaa pääsyn mukautettavan verkkoportaalin kautta. Käyttäjät voivat yhdistää selaimen kautta HTML5:llä tai mistä tahansa RDP-yhteensopivasta asiakkaasta, riippuen laitevaatimuksista. Tämä lähestymistapa vähentää asennusvaikeuksia samalla, kun säilytetään keskitetty hallinta sovelluksista ja istunnoista tehokasta toimintaa varten.

Päätelmä

Luotettava etätyöpöytäpalvelin alkaa selkeistä suunnittelupäätöksistä ja turvallisista oletusasetuksista. Kokoa istuntoisäntien koko todellisiin kuormituksiin, määritä lisensointi oikein ja vältä julkista RDP-altistumista. Käytä RD Gatewayta ja puhtaita sertifikaatteja turvalliseen ulkoiseen pääsyyn. Seurannan ja johdonmukaisten käytäntöjen avulla RDS-ympäristö voi pysyä vakaana käytön kasvaessa.

TSplus Etäkäyttö Ilmainen Kokeilu

Viimeisin Citrix/RDS-vaihtoehto työpöytä/sovelluskäyttöön. Turvallinen, kustannustehokas, paikallinen/pilvi

Aloita ilmainen kokeilu

Jaa:

Facebook Twitter LinkedIn

Sinun TSplus tiimisi

Lisätietoja

back to top of the page icon