Chceli by ste vidieť stránku v inom jazyku?

English
English Español Italiano Português do Brasil Português Français Русский 日本語 Polski 简体中文 繁體中文 Türkçe 한국어 Čeština العربية Bahasa Indonesia Tiếng Việt Nederlands ไทย Magyar Slovenčina Svenska Ελληνικά Română فارسی Dansk Български Suomi Hrvatski Norsk bokmål Bahasa Melayu हिन्दी Tagalog English (UK)
Zmeniť jazyk
Obsah

Úvod

Nasadenie služieb vzdialenej plochy môže vyriešiť vzdialenú prácu, centralizáciu aplikácií a prístup tretích strán na jednej platforme. Avšak, RDS môže rýchlo zlyhať, ak sú licencie, certifikáty alebo bezpečnostné kontroly nesprávne nakonfigurované. Tento článok sa zameriava na jasné rozhodnutia a bezpečné predvolené nastavenia, ktoré môžete okamžite aplikovať. Skončíte s plánom výstavby, ktorý môžete zdokumentovať a podporiť.

TSplus Bezplatná skúšobná verzia vzdialeného prístupu

Konečná alternatíva Citrix/RDS pre prístup k desktopu/aplikáciám. Bezpečné, nákladovo efektívne, na mieste/cloud

Začnite bezplatnú skúšobnú verziu

Čo je server vzdialenej plochy v podmienkach systému Windows?

RDS vs štandardný Remote Desktop

Windows Pro Remote Desktop je funkcia jeden na jedného pre jedno zariadenie. Server vzdialenej plochy je zvyčajne Windows Server Remote Desktop Services (RDS), ktorý podporuje mnoho súbežných používateľov. RDS tiež pridáva centrálne politiky, kontrolu relácií a licencovanie. Tento rozdiel je dôležitý pre podporu a súlad.

RDS úlohy, ktoré sú dôležité

Väčšina skutočných nasadení používa malú sadu rolových služieb:

  • RD Session Host: spravuje používateľské relácie a RemoteApps (publikované aplikácie).
  • RD Connection Broker: sleduje relácie a spoľahlivo znovu pripája používateľov.
  • RD Web Access: poskytuje portál pre aplikácie a pracovné plochy.
  • RD Gateway: obalí RDP vnútri HTTPS pre bezpečnejší prístup na internet.
  • RD Licensing: spravuje licencie na prístup klientov RDS (CALs).

Môžete kombinovať úlohy v malých prostrediach, ale produkčné návrhy zvyčajne oddelujú aspoň hostiteľov relácií a bránu. Oddelenie úloh nie je len o výkonnosti.

Krok 1: Naplánujte si svoj dizajn RDS

Topológia: jeden server vs viacero serverov

Jednoduché nastavenie na jednom serveri môže fungovať pre laboratórium alebo malú kanceláriu s nízkou súbežnosťou. Pre produkciu oddelte úlohy, aby ste znížili výpadky a zjednodušili odstraňovanie problémov. Bežné rozdelenie je jeden server pre Broker, Web a Licencovanie a jeden alebo viac serverov pre Hostiteľa relácií. Ak sa pripoja externí používatelia, umiestnite RD Gateway na samostatný server, ak je to možné.

Veľkosť: CPU, RAM, úložisko, sieť

Plánovanie kapacity je miesto, kde sa vyhráva alebo prehráva používateľská skúsenosť. Interaktívne aplikácie vrcholia počas prihlásenia a spustenia aplikácie, takže veľkosť musí mať praktické priority:

  • CPU: uprednostnite vyššiu frekvenciu hodiniek pre reakčnosť relácie
  • RAM: plán pre maximálnu súbežnosť, aby sa predišlo stránkovaniu
  • Úložisko: SSD na zníženie latencie profilu a aplikácie I/O
  • Sieť: uprednostniť nízku latenciu pred surovou šírkou pásma

Tlak na pamäť spôsobuje pomalé relácie a náhodné zlyhania, preto plánujte na vrcholovú súbežnosť. SSD úložisko znižuje čas načítania profilu a zlepšuje konzistenciu prihlásenia. Cesty s nízkou latenciou zvyčajne zohrávajú väčšiu úlohu ako surová šírka pásma.

Prístupový model: interný, VPN alebo internet

Rozhodnite, ako sa používatelia dostanú k službe pred inštaláciou rolí. Interný prístup je najjednoduchší a znižuje vystavenie. Prístup cez VPN pridáva kontrolnú vrstvu, ale vyžaduje správu klientov. Prístup na internet by mal používať RD Gateway cez HTTPS, aby ste sa vyhli vystaveniu. port 3389 Toto jedno rozhodnutie zabraňuje mnohým bezpečnostným incidentom.

Ak musíte podporovať neadministratívne zariadenia, naplánujte prísnejšie kontroly a jasnejšie hranice. Zaobchádzajte s prístupom na internet ako s produktom, nie ako s zaškrtávacím políčkom, s vlastníctvom identity, certifikátov a monitorovania.

Krok 2: Pripravte server Windows na RDS

Záplata, základná línia a administrátorský prístup

Patchujte Windows Server úplne pred pridaním rolí RDS a udržujte predvídateľný cyklus aktualizácií. Použite jasné administrátorské hranice:

  • Oddelujte privilegované administrátorské účty od bežných používateľských účtov.
  • Admin len z riadeného skokového hostiteľa (nie z koncových bodov)
  • Obmedzte členstvo miestnych administrátorov a pravidelne kontrolujte zmeny.

DNS názvy a postoj firewallu

Vyberte názov DNS, ktorý je viditeľný pre používateľov, vopred a udržujte ho konzistentný naprieč nástrojmi a certifikátmi. Plánujte pravidlá firewallu s prístupom „najmenšieho vystavenia“. Pre nasadenia smerujúce na internet sa snažte vystaviť iba TCP 443 na bránu. Udržujte TCP 3389 uzavreté pred verejným internetom.

Požiadavky na zostavenie: pripojenie k doméne a servisné účty (ak je to potrebné)

Väčšina nasadení RDS v produkcii je pripojená k doméne, pretože prístupové ovládanie na základe skupín a GPO sú kľúčové pre správu. Pripojte servery k správnej doméne AD včas, potom overte synchronizáciu času a rozlíšenie DNS. Ak používate servisné účty pre monitorovacie agentov alebo nástroje na správu, vytvorte ich s minimálnymi oprávneniami a zdokumentujte vlastníctvo.

Krok 3: Nainštalujte úlohy služieb vzdialenej plochy

Štandardné nasadenie s Server Managerom

Použite cestu inštalácie služieb vzdialenej plochy v Správcovi servera pre čistú inštaláciu. Vyberte nasadenie plochy založené na reláciách pre viacužívateľské plochy a RemoteApps. Priraďte služby rolí na základe vášho plánovania topológie, nie pohodlia. Dokumentujte, kde je každá rola nainštalovaná, aby ste zjednodušili budúce aktualizácie.

Pravidlá umiestnenia rolí a oddelenia

Umístění rolí ovplyvňuje výkon a rýchlosť riešenia problémov. Spoločné umiestnenie všetkého môže fungovať, ale tiež skrýva úzke miesta, kým sa nezvýši záťaž používateľov. Oddelenie okrajových rolí od výpočtových rolí uľahčuje izoláciu výpadkov a znižuje bezpečnostné riziko.

  • Ko-lokujte úlohy iba pre laboratórium alebo veľmi malé nasadenia
  • Udržujte RD Gateway vypnutý na hostiteľovi relácie pre prístup z internetu.
  • Pridať hostiteľov relácií horizontálne namiesto zväčšovania jedného hostiteľa
  • Používajte konzistentné pomenovanie serverov, aby boli protokoly ľahko sledovateľné.

Kontrola po inštalácii

Overte platformu pred pridaním používateľov. Potvrďte, že služby bežia a sú nastavené na automatické spúšťanie. Otestujte RD Web Access interne, ak ste ho nasadili. Vytvorte testovacie pripojenie k hostiteľovi relácie a potvrďte, že vytváranie relácií funguje. Opraviť akékoľvek chyby teraz, predtým ako pridáte certifikáty a politiky.

Pridajte krátky kontrolný zoznam na overenie, ktorý môžete opakovať po každej zmene. Mal by obsahovať test pripojenia, test spustenia aplikácie a kontrolu protokolu na nové upozornenia. Opakovanie je to, čo mení RDS z "krehkého" na "predvídateľné."

Krok 4: Konfigurácia RD licencovania

Aktivovať, pridať CAL, nastaviť režim

Nainštalujte úlohu RD Licensing a potom aktivujte licenčný server. Pridajte svoje RDS CALs a vyberte správny licenčný režim: na používateľa alebo na zariadenie. Aplikujte licenčný server a režim na prostredie Session Host. Považujte to za povinný krok, nie za neskoršiu úlohu.

Overte, či je licencia aplikovaná

Licenčné problémy sa často objavujú po období milosti, čo ich robí ťažko sledovateľnými. Skontrolujte Event Viewer na hostiteľskej relácii pre varovania o licencovaní. Potvrďte, že hostiteľská relácia môže dosiahnuť licenčný server cez sieť. Overte, či režim zodpovedá typu CAL, ktorý skutočne vlastníte. Zachyťte snímky obrazovky pre vašu dokumentáciu k verzii.

  • Potvrďte, že licenčný server je prístupný z každého hostiteľa relácie.
  • Potvrďte, že licenčný režim je aplikovaný tam, kde sa relácie vykonávajú.
  • Skontrolujte protokoly súvisiace s RDS na varovania pred onboardovaním používateľa
  • Opätovné testovanie po zmenách GPO, ktoré by mohli prepísať nastavenia RDS

Vzory zlyhania licencovania na včasné zachytenie

Väčšine „prekvapení“ týkajúcich sa licencovania sa dá predísť. Problémy často vznikajú z nesúladného typu CAL a licenčného režimu, licenčného servera, ktorý bol nainštalovaný, ale nikdy nebol aktivovaný, alebo zo Session Host, ktorý nemôže objaviť licenčný server kvôli zmenám v DNS alebo firewalle.

Vytvorte jedno jednoduché pravidlo vo svojom procese: neprechádzajte z pilotnej fázy do produkcie, kým nie sú licenčné záznamy čisté pod zaťažením. Ak vaša zostava prežije vrcholové testy prihlásenia a stále neukazuje žiadne varovania o licencovaní, eliminovali ste hlavnú triedu budúcich výpadkov.

Krok 5: Publikovať pracovné plochy a RemoteApps

Zbierky relácií a používateľské skupiny

Kolekcia relácií je pomenovaná skupina hostiteľov relácií a pravidiel prístupu používateľov. Používajte bezpečnostné skupiny namiesto individuálnych priradení používateľov pre čistú administráciu. Vytvorte samostatné kolekcie, keď sa pracovné zaťaženia líšia, ako napríklad „používatelia kancelárie“ a „používatelia ERP“. To udržuje ladenie výkonu a odstraňovanie problémov predvídateľnejšie.

Pridajte jasné mapovanie medzi kolekciami a obchodnými výsledkami. Keď používatelia vedia, ktorá kolekcia podporuje ktoré aplikácie, tímy technickej podpory môžu rýchlejšie smerovať problémy. Návrh kolekcie je tiež miestom, kde nastavíte konzistentné limity relácií a pravidlá presmerovania.

Základy publikovania RemoteApp

RemoteApps znižujú používateľské trenie tým, že poskytujú iba to, čo potrebujú, a platformy ako TSplus Remote Access môže zjednodušiť publikovanie a webový prístup pre tímy, ktoré chcú menej pohyblivých častí. Taktiež obmedzujú povrch útoku „plnej plochy pracovnej plochy“, keď používatelia potrebujú iba jednu alebo dve aplikácie. Publikovanie je zvyčajne jednoduché, ale spoľahlivosť závisí od testovania ciest spustenia aplikácií a závislostí.

  • Testujte každú RemoteApp so štandardným používateľom, nie s administrátorským účtom.
  • Overte priradenia súborov a požadované pomocné komponenty
  • Potvrďte požiadavky na tlačiareň a schránku pred uplatnením obmedzení
  • Dokumentujte podporované typy a verzie klientov

Základy profilov a rýchlosti prihlásenia

Pomalé prihlásenia často pochádzajú z veľkosti profilu a krokov spracovania profilu. Začnite s jasnou stratégiou profilu a udržujte to jednoduché. Testujte čas prihlásenia s reálnymi používateľskými údajmi, nie s prázdnymi účtami. Sledujte trvanie prihlásenia skoro, aby ste mohli odhaliť regresie po zmenách.

Pridajte ochranné opatrenia predtým, ako začnete škálovať. Definujte limity veľkosti profilu, procesy čistenia dočasných údajov a spôsob, akým spravujete vyrovnané poverenia a stav používateľa. Mnohé incidenty „výkonu“ sú v skutočnosti incidenty „rozšírenia profilu“.

Krok 6: Zabezpečte externý prístup pomocou RD Gateway

Prečo HTTPS poráža vystavené RDP

RD Gateway tunely prenášajú Remote Desktop prevádzku cez HTTPS na porte 443. To znižuje priamu expozíciu RDP a poskytuje vám lepší kontrolný bod. Taktiež zlepšuje kompatibilitu s uzamknutými sieťami, kde je povolený iba HTTPS. Pre väčšinu tímov je to najbezpečnejšia predvolená možnosť pre externý prístup.

Politiky, certifikáty a možnosti MFA

Použite politiky brány na kontrolu toho, kto sa môže pripojiť a čo môžu dosiahnuť. Pripojte certifikát, ktorý zodpovedá vášmu externému názvu DNS a je dôveryhodný pre zariadenia používateľov. Ak je potrebné MFA, vynúťe ho na bráne alebo prostredníctvom cesty vášho poskytovateľa identity. Udržujte pravidlá na báze skupín, aby zostali prehľadné prístupy.

  • Použite politiky CAP/RAP viazané na bezpečnostné skupiny AD
  • Obmedziť prístup k konkrétnym interným zdrojom, nie k celým podsietiam
  • Vynútiť MFA pre externý prístup, keď to odôvodňuje obchodné riziko
  • Zaznamenávanie udalostí autentifikácie a autorizácie pre audity

Zosilnenie brány a okrajovej vrstvy

Spravujte RD Gateway ako aplikáciu servera s prístupom na internet. Udržujte ho aktualizovaný, minimalizujte nainštalované komponenty a obmedzte prístupové cesty pre administrátorov. Zakážte slabé dedičné nastavenia, ktoré nepotrebujete, a monitorujte správanie pri pokusoch o hrubú silu. Ak má vaša organizácia okrajový reverzný proxy alebo WAF stratégia, zosúladiť nasadenie brány s ňou.

Nakoniec si precvičte akcie reakcie na incidenty. Vedzte, ako zablokovať používateľa, rotovať certifikáty a obmedziť prístup počas podozrivého útoku. Tieto akcie sú oveľa jednoduchšie, keď ste ich naplánovali.

Krok 7: Ladění výkonu a spoľahlivosti

Nastavenia GPO, ktoré znižujú zaťaženie relácie

Použite skupinovú politiku na zníženie zbytočnej záťaže bez narušenia pracovných tokov. Obmedzte nečinné relácie a nastavte časové limity na odpojenie, aby ste bezpečne uvoľnili zdroje. Ovládajte presmerovanie schránky a jednotiek na základe citlivosti údajov. Aplikujte zmeny v malých krokoch, aby ste mohli merať dopad.

Sledovanie signálov na sledovanie včasných

Monitorovanie CPU, pamäte a latencie disku na hostiteľoch relácií od prvého dňa. Sledovanie času prihlásenia a trendov počtu relácií počas týždňa. Sledujte zlyhania autentifikácie brány pre vzory hrubej sily. Nastavte upozornenia na saturáciu zdrojov, nielen na udalosti výpadku servera. Dobrý monitoring zabraňuje „prekvapivým pondelkom.“ Začnite s malým základným súborom:

  • Trendy trvania prihlásenia (medián + najhorších 10%)
  • Tlak na pamäť hostiteľa relácie počas špičkových hodín
  • Latencia disku na profilových a aplikačných cestách
  • Zlyhania prihlásenia RD Gateway a nezvyčajné špičky

Prevádzková stabilita: okná opráv a zmena rytmu

Výkon závisí od prevádzkovej disciplíny. Definujte údržbové okná pre hostiteľské relácie a servery brány, a potom ich komunikujte používateľom. Používajte postupné nasadenia, kde sa najprv aktualizuje jeden hostiteľ relácie a potom ostatné. Tento prístup znižuje riziko rozsiahlej poruchy spôsobenej zlým záplatovaním alebo aktualizáciou ovládača.

Definujte, čo znamená „rollback“ vo vašom prostredí. Pre VM môžu snímky pomôcť, ale iba pri opatrnom a krátkom použití. Pre fyzické systémy môže rollback znamenať vrátenie sa k zlatému obrazu alebo odstránenie nedávnej zmeny pomocou automatizácie.

Krok 8: Bežné problémy s zostavením a cesty na opravu

Certifikáty, DNS, firewall a NLA

Chyby certifikátu zvyčajne pochádzajú z nezhôd v názvoch alebo chýbajúcich dôveryhodných reťazcoch. Problémy s DNS sa prejavujú ako „nedá sa nájsť server“ alebo zlyhanie načítania portálu. Chyby vo firewalli často blokujú interný prenos medzi rolami, nielen prenos používateľov. Aktivujte overenie na úrovni siete (NLA), aby ste vyžadovali overenie pred vytvorením relácie. Testujte každú vrstvu v poradí, aby bol proces odstraňovania problémov rýchly.

  • DNS rozlíšenie pre presný názov hostiteľa z pohľadu používateľa
  • TLS zhoda certifikátu + overenie dôveryhodného reťazca
  • Dostupnosť firewallu (443 do brány, povolená interná prevádzka)
  • NLA povolené a autentifikácia úspešná pred vytvorením relácie

Pridajte návyk overovania z pohľadu klienta. Skontrolujte dôveryhodnosť certifikátu na typickom používateľskom zariadení, nielen na serveroch. Overte, či presný názov hostiteľa, ktorý používatelia používajú, zodpovedá certifikátu. Mnohé „náhodné“ zlyhania sú predvídateľné, ak ich reprodukujete z reálneho klienta.

Pomalé relácie a odpojenia

Náhle odpojenia často súvisia s licenciou, zlyhaniami profilu alebo vyčerpaním zdrojov. Pomalé relácie sa bežne spájajú s tlakom na pamäť, latenciou disku alebo ťažkými prihlasovacími skriptami. Skontrolujte Zobrazenie udalostí na hostiteľovi relácií a bráne a korelujte časové pečiatky. Potvrďte, či je problém celopoužívateľský alebo špecifický pre kolekciu pred zmenou nastavení. Použite malé opravy a opätovne otestujte, namiesto veľkých „rekonštrukčných“ krokov.

Tlačiarne, periférie a problémy s presmerovaním

Tlač a presmerovanie periférií vytvárajú veľký podiel RDS tiketov. Príčinou je často nesúlad ovládačov, správanie pri objavovaní starých tlačiarní alebo nadmerné politiky presmerovania. Štandardizujte ovládače tlačiarní, kde je to možné, a testujte s najbežnejšími zariadeniami vopred. Obmedzte funkcie presmerovania, ktoré používatelia nepotrebujú, ale vyhnite sa všeobecným blokom bez zapojenia zainteresovaných strán.

Keď problémy pretrvávajú, izolujte ich vypnutím jednej funkcie presmerovania naraz. Tento prístup zabraňuje „oprave“, ktorá náhodne naruší skenovanie, tlač štítkov alebo podpisové podložky. Zdokumentujte podporované zariadenia, aby mohol helpdesk nastaviť očakávania používateľov.

Ako TSplus zjednodušuje dodávku vzdialeného desktopu?

TSplus Remote Access poskytuje zjednodušený spôsob publikovania Windows desktopov a aplikácií bez potreby vytvárania plného multi-role RDS stacku. Správcovia môžu publikovať aplikácie, priradiť ich používateľom alebo skupinám a poskytovať prístup prostredníctvom prispôsobiteľného webového portálu. Používatelia sa môžu pripojiť z prehliadača pomocou HTML5 alebo z akéhokoľvek klienta kompatibilného s RDP, v závislosti od potrieb zariadenia. Tento prístup znižuje trenie pri nastavení a zároveň udržuje centralizovanú kontrolu nad aplikáciami a reláciami pre efektívne operácie.

Záver

Spoľahlivý server vzdialenej plochy začína jasnými dizajnovými voľbami a bezpečnými predvoľbami. Nastavte hostiteľov relácií na skutočné pracovné zaťaženia, správne nakonfigurujte licencovanie a vyhnite sa verejnému vystaveniu RDP. Použite RD Gateway a čisté certifikáty pre bezpečný externý prístup. S monitorovaním a konzistentnými politikami môže prostredie RDS zostať stabilné, keď sa používanie zvyšuje.

TSplus Bezplatná skúšobná verzia vzdialeného prístupu

Konečná alternatíva Citrix/RDS pre prístup k desktopu/aplikáciám. Bezpečné, nákladovo efektívne, na mieste/cloud

Začnite bezplatnú skúšobnú verziu

Zdieľať:

Facebook Twitter LinkedIn

Váš tím TSplus

Ďalšie čítanie

back to top of the page icon