)
)
บทนำ
การติดตั้งบริการ Remote Desktop สามารถแก้ปัญหาการทำงานจากระยะไกล การรวมศูนย์แอปพลิเคชัน และการเข้าถึงจากบุคคลที่สามในแพลตฟอร์มเดียว อย่างไรก็ตาม RDS อาจล้มเหลวได้อย่างรวดเร็วเมื่อการกำหนดค่าลิขสิทธิ์ ใบรับรอง หรือการควบคุมความปลอดภัยไม่ถูกต้อง บทความนี้มุ่งเน้นไปที่การตัดสินใจที่ชัดเจนและการตั้งค่าเริ่มต้นที่ปลอดภัยที่คุณสามารถนำไปใช้ได้ทันที คุณจะเสร็จสิ้นด้วยแผนการสร้างที่คุณสามารถบันทึกและสนับสนุนได้
TSplus Remote Access ทดลองใช้ฟรี
ทางเลือกที่ดีที่สุดสำหรับ Citrix/RDS สำหรับการเข้าถึงเดสก์ท็อป/แอปพลิเคชัน ปลอดภัย คุ้มค่า ราคา ประจำที่/คลาวด์
Remote Desktop Server คืออะไรในแง่ของ Windows?
RDS กับ Remote Desktop มาตรฐาน
Windows Pro Remote Desktop เป็นฟีเจอร์แบบหนึ่งต่อหนึ่งสำหรับเครื่องเดียว เซิร์ฟเวอร์เดสก์ท็อประยะไกลมักจะเป็น Windows Server Remote Desktop Services (RDS) ซึ่งรองรับผู้ใช้หลายคนพร้อมกัน RDS ยังเพิ่มนโยบายกลาง การควบคุมเซสชัน และการออกใบอนุญาต ความแตกต่างนั้นมีความสำคัญต่อการสนับสนุนและการปฏิบัติตามข้อกำหนด
บทบาท RDS ที่สำคัญ
การติดตั้งจริงส่วนใหญ่ใช้บริการบทบาทชุดเล็ก ๆ :
- โฮสต์เซสชัน RD: รันเซสชันผู้ใช้และ RemoteApps (แอปพลิเคชันที่เผยแพร่)
- RD Connection Broker: ติดตามเซสชันและเชื่อมต่อผู้ใช้ได้อย่างเชื่อถือได้.
- RD Web Access: ให้พอร์ทัลสำหรับแอปและเดสก์ท็อป
- RD Gateway: ห่อหุ้ม RDP ภายใน HTTPS เพื่อการเข้าถึงอินเทอร์เน็ตที่ปลอดภัยยิ่งขึ้น
- การจัดการใบอนุญาตการเข้าถึงลูกค้า RDS (CALs)
คุณสามารถรวมบทบาทในสภาพแวดล้อมขนาดเล็กได้ แต่การออกแบบในสภาพแวดล้อมการผลิตมักจะแยกอย่างน้อยโฮสต์เซสชันและเกตเวย์ การแยกบทบาทไม่ใช่แค่เรื่องของประสิทธิภาพเท่านั้น
ขั้นตอนที่ 1: วางแผนการออกแบบ RDS
Topology: เซิร์ฟเวอร์เดี่ยว vs เซิร์ฟเวอร์หลายเครื่อง
การตั้งค่าเซิร์ฟเวอร์เดียวสามารถทำงานได้สำหรับห้องปฏิบัติการหรือสำนักงานขนาดเล็กที่มีการใช้งานพร้อมกันต่ำ สำหรับการผลิต ควรแยกบทบาทเพื่อลดการหยุดทำงานและทำให้การแก้ไขปัญหาง่ายขึ้น การแบ่งที่พบบ่อยคือเซิร์ฟเวอร์หนึ่งเครื่องสำหรับ Broker, Web และ Licensing และเซิร์ฟเวอร์หนึ่งเครื่องหรือมากกว่าสำหรับ Session Host หากผู้ใช้ภายนอกเชื่อมต่อ ควรวาง RD Gateway บนเซิร์ฟเวอร์ของตนเองเมื่อเป็นไปได้
การกำหนดขนาด: CPU, RAM, ที่เก็บข้อมูล, เครือข่าย
การวางแผนความจุเป็นจุดที่ประสบการณ์ของผู้ใช้จะชนะหรือแพ้ แอปพลิเคชันเชิงโต้ตอบจะมีการใช้งานสูงในระหว่างการเข้าสู่ระบบและการเปิดแอป ดังนั้นการกำหนดขนาดจึงต้องมีลำดับความสำคัญที่เป็นจริง
- CPU: ชื่นชอบความเร็วสัญญาณนาฬิกาที่สูงขึ้นเพื่อความตอบสนองของเซสชัน
- RAM: วางแผนสำหรับความพร้อมเพรียงสูงสุดเพื่อหลีกเลี่ยงการเพจจิ้ง
- การจัดเก็บ: SSD เพื่อลดความล่าช้าของโปรไฟล์และแอป I/O
- เครือข่าย: ให้ความสำคัญกับความหน่วงต่ำมากกว่าความกว้างของแบนด์วิธ
ความกดดันของหน่วยความจำทำให้เซสชันช้าและเกิดความล้มเหลวแบบสุ่ม ดังนั้นควรวางแผนสำหรับการใช้งานพร้อมกันในช่วงสูงสุด การจัดเก็บ SSD ช่วยลดเวลาโหลดโปรไฟล์และปรับปรุงความสอดคล้องในการเข้าสู่ระบบ เส้นทางเครือข่ายที่มีความหน่วงต่ำมักมีความสำคัญมากกว่าความกว้างของแบนด์วิธดิบ
โมเดลการเข้าถึง: ภายใน, VPN, หรืออินเทอร์เน็ต
ตัดสินใจว่าผู้ใช้จะเข้าถึงบริการอย่างไร ก่อนที่คุณจะติดตั้งบทบาท การเข้าถึงเฉพาะภายในเป็นวิธีที่ง่ายที่สุดและลดการเปิดเผย การเข้าถึง VPN จะเพิ่มชั้นการควบคุม แต่ต้องการการจัดการลูกค้า การเข้าถึงอินเทอร์เน็ตควรใช้ RD Gateway ผ่าน HTTPS เพื่อหลีกเลี่ยงการเปิดเผย พอร์ต 3389 การตัดสินใจเพียงครั้งเดียวนี้ช่วยป้องกันเหตุการณ์ด้านความปลอดภัยหลายอย่าง
หากคุณต้องการสนับสนุนอุปกรณ์ที่ไม่ได้จัดการ ให้วางแผนสำหรับการควบคุมที่เข้มงวดและขอบเขตที่ชัดเจน มองว่าการเข้าถึงอินเทอร์เน็ตเป็นผลิตภัณฑ์ ไม่ใช่แค่การทำเครื่องหมายในช่อง โดยมีความรับผิดชอบต่อเอกลักษณ์ ใบรับรอง และการตรวจสอบ.
ขั้นตอนที่ 2: เตรียม Windows Server สำหรับ RDS
แพตช์, พื้นฐาน, และการเข้าถึงผู้ดูแลระบบ
อัปเดต Windows Server ให้สมบูรณ์ก่อนเพิ่มบทบาท RDS และรักษาวงจรการอัปเดตที่คาดการณ์ได้ ใช้มาตรฐานการเสริมความแข็งแกร่งพื้นฐานที่ตรงกับสภาพแวดล้อมของคุณ ใช้ขอบเขตการจัดการที่ชัดเจน
- แยกบัญชีผู้ดูแลระบบที่มีสิทธิพิเศษออกจากบัญชีผู้ใช้ประจำวัน
- เฉพาะผู้ดูแลระบบจากโฮสต์กระโดดที่จัดการ (ไม่จากจุดสิ้นสุด)
- จำกัดการเป็นสมาชิกผู้ดูแลระบบท้องถิ่นและตรวจสอบการเปลี่ยนแปลงอย่างสม่ำเสมอ
ชื่อ DNS และท่าทีไฟร์วอลล์
เลือกชื่อ DNS ที่ผู้ใช้เห็นได้ตั้งแต่ต้นและรักษาความสอดคล้องกันในเครื่องมือและใบรับรอง วางแผนกฎไฟร์วอลล์ด้วยแนวคิด “การเปิดเผยน้อยที่สุด” สำหรับการใช้งานที่เชื่อมต่อกับอินเทอร์เน็ต ให้มุ่งเน้นการเปิดเผยเฉพาะ TCP 443 ไปยังเกตเวย์ รักษา TCP 3389 ไว้ให้ปิดจากอินเทอร์เน็ตสาธารณะ
ข้อกำหนดในการสร้าง: การเข้าร่วมโดเมนและบัญชีบริการ (เมื่อจำเป็น)
การติดตั้ง RDS ส่วนใหญ่ในสภาพแวดล้อมการผลิตจะเข้าร่วมโดเมนเนื่องจากการควบคุมการเข้าถึงตามกลุ่มและ GPO เป็นสิ่งสำคัญต่อการจัดการ เข้าร่วมเซิร์ฟเวอร์กับโดเมน AD ที่ถูกต้องในช่วงแรก จากนั้นตรวจสอบการซิงค์เวลาและการแก้ไข DNS หากคุณใช้บัญชีบริการสำหรับตัวแทนการตรวจสอบหรือเครื่องมือการจัดการ ให้สร้างบัญชีเหล่านั้นด้วยสิทธิ์ขั้นต่ำและบันทึกการเป็นเจ้าของ
ขั้นตอนที่ 3: ติดตั้งบทบาทบริการเดสก์ท็อประยะไกล
การติดตั้งมาตรฐานด้วย Server Manager
ใช้เส้นทางการติดตั้ง Remote Desktop Services ใน Server Manager สำหรับการตั้งค่าใหม่ เลือกการปรับใช้เดสก์ท็อปแบบเซสชันสำหรับเดสก์ท็อปหลายผู้ใช้และ RemoteApps กำหนดบริการบทบาทตามแผนโทโพโลยีของคุณ ไม่ใช่ความสะดวกสบาย บันทึกตำแหน่งที่ติดตั้งแต่ละบทบาทเพื่อทำให้การอัปเกรดในอนาคตง่ายขึ้น
กฎการจัดวางบทบาทและการแยกประเภท
การจัดวางบทบาทมีผลต่อประสิทธิภาพและความเร็วในการแก้ปัญหา การจัดวางทุกอย่างในที่เดียวอาจทำงานได้ แต่ก็ซ่อนจุดคอขวดจนกว่าภาระของผู้ใช้จะเพิ่มขึ้น การแยกบทบาทขอบออกจากบทบาทการคอมพิวเตอร์ทำให้การหยุดทำงานแยกออกได้ง่ายขึ้นและลดความเสี่ยงด้านความปลอดภัย
- จัดกลุ่มบทบาทเฉพาะสำหรับห้องปฏิบัติการหรือการใช้งานขนาดเล็กมาก
- ปิด RD Gateway บน Session Host สำหรับการเข้าถึงที่เชื่อมต่อกับอินเทอร์เน็ต
- เพิ่มโฮสต์เซสชันในแนวนอนแทนการขยายขนาดโฮสต์เดียว
- ใช้การตั้งชื่อเซิร์ฟเวอร์อย่างสม่ำเสมอเพื่อให้บันทึกง่ายต่อการติดตาม
การตรวจสอบหลังการติดตั้ง
ตรวจสอบแพลตฟอร์มก่อนเพิ่มผู้ใช้ ยืนยันว่าบริการกำลังทำงานและตั้งค่าให้เริ่มทำงานโดยอัตโนมัติ ทดสอบ RD Web Access ภายในหากคุณได้ติดตั้งไว้ สร้างการเชื่อมต่อทดสอบไปยัง Session Host และยืนยันว่าการสร้างเซสชันทำงานได้ แก้ไขข้อผิดพลาดใด ๆ ตอนนี้ ก่อนที่คุณจะเพิ่มใบรับรองและนโยบาย
เพิ่มรายการตรวจสอบการตรวจสอบสั้น ๆ ที่คุณสามารถทำซ้ำหลังจากการเปลี่ยนแปลงทุกครั้ง ควรรวมการทดสอบการเชื่อมต่อ การทดสอบการเปิดแอป และการตรวจสอบบันทึกสำหรับคำเตือนใหม่ การทำซ้ำคือสิ่งที่ทำให้ RDS เปลี่ยนจาก "เปราะบาง" เป็น "คาดการณ์ได้"
ขั้นตอนที่ 4: กำหนดค่าการอนุญาต RD
เปิดใช้งาน, เพิ่ม CALs, ตั้งค่าโหมด
ติดตั้งบทบาท RD Licensing จากนั้นเปิดใช้งานเซิร์ฟเวอร์การอนุญาต เพิ่ม RDS CALs ของคุณและเลือกโหมดการอนุญาตที่ถูกต้อง: ต่อผู้ใช้ หรือ ต่ออุปกรณ์ นำเซิร์ฟเวอร์การอนุญาตและโหมดไปใช้กับสภาพแวดล้อม Session Host ถือว่านี่เป็นขั้นตอนที่จำเป็น ไม่ใช่งานในภายหลัง
ตรวจสอบการใช้งานใบอนุญาต
ปัญหาการอนุญาตมักเกิดขึ้นหลังจากช่วงเวลาผ่อนผัน ซึ่งทำให้ติดตามได้ยาก ตรวจสอบ Event Viewer บน Session Host สำหรับคำเตือนการอนุญาต ยืนยันว่า Session Host สามารถเข้าถึงเซิร์ฟเวอร์การอนุญาตผ่านเครือข่ายได้ ตรวจสอบว่าโหมดตรงกับประเภท CAL ที่คุณเป็นเจ้าของจริง ๆ ถ่ายภาพหน้าจอสำหรับเอกสารการสร้างของคุณ
- ยืนยันว่าเซิร์ฟเวอร์การอนุญาตสามารถเข้าถึงได้จากแต่ละโฮสต์เซสชัน
- ยืนยันว่าโหมดการอนุญาตถูกนำไปใช้เมื่อเซสชันทำงาน
- ตรวจสอบบันทึกที่เกี่ยวข้องกับ RDS สำหรับคำเตือนก่อนการเข้าร่วมของผู้ใช้
- ทดสอบใหม่หลังจากการเปลี่ยนแปลง GPO ที่อาจทำให้การตั้งค่า RDS ถูกแทนที่
รูปแบบการล้มเหลวในการอนุญาตที่ต้องจับให้เร็ว
ปัญหาด้านการออกใบอนุญาตส่วนใหญ่สามารถป้องกันได้ ปัญหามักเกิดจากประเภท CAL ที่ไม่ตรงกันและโหมดการออกใบอนุญาต, เซิร์ฟเวอร์การออกใบอนุญาตที่ติดตั้งแต่ไม่เคยเปิดใช้งาน, หรือ Session Host ที่ไม่สามารถค้นหาเซิร์ฟเวอร์การออกใบอนุญาตได้เนื่องจากการเปลี่ยนแปลง DNS หรือไฟร์วอลล์
สร้างกฎง่ายๆ หนึ่งข้อในกระบวนการของคุณ: อย่าย้ายจากการทดลองไปยังการผลิตจนกว่าบันทึกการอนุญาตจะสะอาดภายใต้ภาระงาน หากการสร้างของคุณสามารถผ่านการทดสอบการเข้าสู่ระบบในช่วงพีคและยังคงไม่มีการเตือนเกี่ยวกับการอนุญาต คุณได้กำจัดคลาสหลักของการหยุดทำงานในอนาคตแล้ว
ขั้นตอนที่ 5: เผยแพร่เดสก์ท็อปและแอปพลิเคชันระยะไกล
การเก็บเซสชันและกลุ่มผู้ใช้
การรวบรวมเซสชันคือกลุ่มที่มีชื่อของโฮสต์เซสชันและกฎการเข้าถึงของผู้ใช้ ใช้กลุ่มความปลอดภัยแทนการกำหนดผู้ใช้แต่ละคนเพื่อการบริหารจัดการที่สะอาด สร้างการรวบรวมแยกต่างหากเมื่อภาระงานแตกต่างกัน เช่น “ผู้ใช้สำนักงาน” และ “ผู้ใช้ ERP” ซึ่งจะช่วยให้การปรับแต่งประสิทธิภาพและการแก้ไขปัญหามีความคาดเดาได้มากขึ้น
เพิ่มการแมพที่ชัดเจนระหว่างคอลเลกชันและผลลัพธ์ทางธุรกิจ เมื่อผู้ใช้ทราบว่าคอลเลกชันใดสนับสนุนแอปใด ทีมช่วยเหลือสามารถจัดการปัญหาได้เร็วขึ้น การออกแบบคอลเลกชันยังเป็นที่ที่คุณกำหนดขีดจำกัดเซสชันและกฎการเปลี่ยนเส้นทางอย่างสม่ำเสมอ
พื้นฐานการเผยแพร่ RemoteApp
RemoteApps ช่วยลดความยุ่งยากของผู้ใช้โดยการส่งมอบเฉพาะสิ่งที่พวกเขาต้องการ และแพลตฟอร์มเช่น TSplus Remote Access สามารถทำให้การเผยแพร่และการเข้าถึงเว็บง่ายขึ้นสำหรับทีมที่ต้องการชิ้นส่วนที่เคลื่อนไหวให้น้อยลง นอกจากนี้ยังจำกัดพื้นผิวการโจมตี “เดสก์ท็อปเต็มรูปแบบ” เมื่อผู้ใช้ต้องการเพียงแค่แอปพลิเคชันหนึ่งหรือสองแอป การเผยแพรมักจะตรงไปตรงมา แต่ความน่าเชื่อถือขึ้นอยู่กับการทดสอบเส้นทางการเปิดแอปและความขึ้นอยู่กัน
- ทดสอบแต่ละ RemoteApp ด้วยผู้ใช้มาตรฐาน ไม่ใช่บัญชีผู้ดูแลระบบ
- ตรวจสอบการเชื่อมโยงไฟล์และส่วนประกอบช่วยที่จำเป็น
- ยืนยันความต้องการของเครื่องพิมพ์และคลิปบอร์ดก่อนที่จะบังคับใช้ข้อจำกัด
- บันทึกประเภทและเวอร์ชันของไคลเอนต์ที่รองรับ
พื้นฐานโปรไฟล์และความเร็วในการเข้าสู่ระบบ
การเข้าสู่ระบบที่ช้าเกิดจากขนาดโปรไฟล์และขั้นตอนการประมวลผลโปรไฟล์ เริ่มต้นด้วยกลยุทธ์โปรไฟล์ที่ชัดเจนและทำให้มันเรียบง่าย ทดสอบเวลาการเข้าสู่ระบบด้วยข้อมูลผู้ใช้จริง ไม่ใช่บัญชีที่ว่างเปล่า ติดตามระยะเวลาการเข้าสู่ระบบตั้งแต่เนิ่นๆ เพื่อให้คุณสามารถสังเกตการถดถอยหลังจากการเปลี่ยนแปลง
ก่อนที่คุณจะขยายตัว ให้กำหนดขอบเขต กำหนดขนาดโปรไฟล์สูงสุด กระบวนการทำความสะอาดข้อมูลชั่วคราว และวิธีการจัดการกับข้อมูลรับรองที่เก็บไว้และสถานะผู้ใช้ เหตุการณ์ “ประสิทธิภาพ” หลายเหตุการณ์จริง ๆ แล้วเป็นเหตุการณ์ “การกระจายโปรไฟล์”
ขั้นตอนที่ 6: ป้องกันการเข้าถึงภายนอกด้วย RD Gateway
ทำไม HTTPS ถึงดีกว่า RDP ที่เปิดเผย
RD Gateway สะพานการจราจร Remote Desktop ผ่าน HTTPS บนพอร์ต 443 ซึ่งช่วยลดการเปิดเผย RDP โดยตรงและให้คุณมีจุดควบคุมที่ดีกว่า นอกจากนี้ยังช่วยปรับปรุงความเข้ากันได้กับเครือข่ายที่ถูกล็อคซึ่งอนุญาตเฉพาะ HTTPS สำหรับทีมส่วนใหญ่ นี่คือค่าปริยายที่ปลอดภัยที่สุดสำหรับการเข้าถึงภายนอก
นโยบาย ใบรับรอง และตัวเลือก MFA
ใช้กฎเกณฑ์ของเกตเวย์เพื่อควบคุมว่าใครสามารถเชื่อมต่อและสิ่งที่พวกเขาสามารถเข้าถึงได้ ผูกใบรับรองที่ตรงกับชื่อ DNS ภายนอกของคุณและได้รับความไว้วางใจจากอุปกรณ์ของผู้ใช้ หากต้องการ MFA ให้บังคับใช้ที่เกตเวย์หรือผ่านเส้นทางผู้ให้บริการตัวตนของคุณ รักษากฎให้เป็นกลุ่มเพื่อให้การตรวจสอบการเข้าถึงยังคงจัดการได้ง่าย
- ใช้กฎ CAP/RAP ที่เชื่อมโยงกับกลุ่มความปลอดภัย AD
- จำกัดการเข้าถึงทรัพยากรภายในเฉพาะบางส่วน ไม่ใช่ทั้งซับเน็ต
- บังคับ MFA สำหรับการเข้าถึงภายนอกเมื่อความเสี่ยงทางธุรกิจสมเหตุสมผล
- บันทึกเหตุการณ์การตรวจสอบสิทธิ์และการอนุญาตสำหรับการตรวจสอบ
การเสริมความปลอดภัยของเกตเวย์และชั้นขอบ
จัดการ RD Gateway เหมือนกับเซิร์ฟเวอร์แอปพลิเคชันที่เชื่อมต่อกับอินเทอร์เน็ต รักษาให้มีการอัปเดตแพตช์ ลดส่วนประกอบที่ติดตั้งให้น้อยที่สุด และจำกัดเส้นทางการเข้าถึงของผู้ดูแลระบบ ปิดการตั้งค่าที่อ่อนแอที่ไม่จำเป็นและตรวจสอบพฤติกรรมการโจมตีแบบ brute-force หากองค์กรของคุณมีพร็อกซีย้อนกลับที่ขอบหรือ WAF กลยุทธ์, ปรับการติดตั้งเกตเวย์ให้สอดคล้องกับมัน.
สุดท้าย ให้ฝึกซ้อมการตอบสนองต่อเหตุการณ์ รู้วิธีการบล็อกผู้ใช้ เปลี่ยนใบรับรอง และจำกัดการเข้าถึงในระหว่างการโจมตีที่สงสัย การดำเนินการเหล่านี้จะง่ายกว่ามากเมื่อคุณได้วางแผนไว้แล้ว
ขั้นตอนที่ 7: การปรับแต่งประสิทธิภาพและความเชื่อถือได้
การตั้งค่า GPO ที่ลดภาระเซสชัน
ใช้ Group Policy เพื่อลดภาระที่ไม่จำเป็นโดยไม่ทำให้การทำงานขัดข้อง จำกัดเซสชันที่ไม่ใช้งานและตั้งค่าการหมดเวลาการตัดการเชื่อมต่อเพื่อปล่อยทรัพยากรอย่างปลอดภัย ควบคุมการคัดลอกและการเปลี่ยนเส้นทางไดรฟ์ตามความไวของข้อมูล ใช้การเปลี่ยนแปลงในขั้นตอนเล็ก ๆ เพื่อให้คุณสามารถวัดผลกระทบได้
การติดตามสัญญาณเพื่อติดตามความเร็ว
ตรวจสอบ CPU, หน่วยความจำ และความล่าช้าของดิสก์บน Session Hosts ตั้งแต่วันแรก ติดตามเวลาเข้าสู่ระบบและแนวโน้มจำนวนเซสชันตลอดทั้งสัปดาห์ ดูความล้มเหลวในการตรวจสอบสิทธิ์ของเกตเวย์สำหรับรูปแบบการโจมตีแบบ brute-force ตั้งค่าการแจ้งเตือนสำหรับการใช้ทรัพยากรเกินขีดจำกัด ไม่ใช่แค่เหตุการณ์เซิร์ฟเวอร์ล่ม การตรวจสอบที่ดีช่วยป้องกัน 'วันจันทร์ที่น่าประหลาดใจ' เริ่มต้นด้วยชุดพื้นฐานขนาดเล็ก
- แนวโน้มระยะเวลาเข้าสู่ระบบ (ค่ามัธยฐาน + 10% ที่แย่ที่สุด)
- ความกดดันหน่วยความจำของโฮสต์เซสชันในช่วงเวลาที่มีผู้ใช้สูงสุด
- ความล่าช้าของดิสก์ในโปรไฟล์และเส้นทางแอป
- การเข้าสู่ระบบ RD Gateway ล้มเหลวและการเพิ่มขึ้นที่ไม่ปกติ
ความเสถียรในการดำเนินงาน: แพตช์วินโดว์และเปลี่ยนจังหวะ
ประสิทธิภาพขึ้นอยู่กับวินัยในการปฏิบัติงาน กำหนดช่วงเวลาบำรุงรักษาสำหรับ Session Hosts และเซิร์ฟเวอร์ Gateway จากนั้นสื่อสารให้ผู้ใช้ทราบ ใช้การเปิดตัวแบบแบ่งขั้นตอนโดยที่ Session Host หนึ่งอัปเดตก่อนแล้วจึงอัปเดตที่เหลือ วิธีนี้ช่วยลดความเสี่ยงจากการหยุดชะงักอย่างกว้างขวางจากการแพตช์หรือการอัปเดตไดรเวอร์ที่ไม่ดี
ยังให้กำหนดความหมายของ "rollback" ในสภาพแวดล้อมของคุณด้วย สำหรับ VM การถ่ายภาพสามารถช่วยได้ แต่จะต้องใช้ด้วยความระมัดระวังและในระยะเวลาสั้น ๆ สำหรับระบบทางกายภาพ การ rollback อาจหมายถึงการย้อนกลับไปยังภาพทองคำหรือการลบการเปลี่ยนแปลงล่าสุดผ่านการทำงานอัตโนมัติ
ขั้นตอน 8: ปัญหาการสร้างทั่วไปและเส้นทางการแก้ไข
ใบรับรอง, DNS, ไฟร์วอลล์, และ NLA
ข้อผิดพลาดของใบรับรองมักเกิดจากการไม่ตรงกันของชื่อหรือการขาดหายของโซ่ความเชื่อถือ ปัญหา DNS จะปรากฏเป็น "ไม่สามารถค้นหาเซิร์ฟเวอร์" หรือการโหลดพอร์ทัลล้มเหลว ข้อผิดพลาดของไฟร์วอลล์มักจะบล็อกการรับส่งข้อมูลระหว่างบทบาทภายใน ไม่ใช่แค่การรับส่งข้อมูลของผู้ใช้ เปิดใช้งานการตรวจสอบระดับเครือข่าย (NLA) เพื่อกำหนดให้ต้องมีการตรวจสอบสิทธิ์ก่อนการสร้างเซสชัน ทดสอบแต่ละชั้นตามลำดับเพื่อให้การแก้ไขปัญหาเป็นไปอย่างรวดเร็ว
- การแก้ไข DNS สำหรับชื่อโฮสต์ที่แสดงต่อผู้ใช้ที่แน่นอน
- TLS การจับคู่ใบรับรอง + การตรวจสอบโซ่ความไว้วางใจ
- การเข้าถึงไฟร์วอลล์ (443 ถึง Gateway, อนุญาตให้มีการรับส่งข้อมูลภายใน)
- NLA เปิดใช้งานและการตรวจสอบสิทธิ์สำเร็จก่อนการสร้างเซสชัน
เพิ่มนิสัยในการตรวจสอบจากมุมมองของลูกค้า ตรวจสอบความเชื่อถือได้ของใบรับรองบนอุปกรณ์ของผู้ใช้ทั่วไป ไม่ใช่แค่บนเซิร์ฟเวอร์ ยืนยันว่าโฮสต์เนมที่ผู้ใช้ใช้ตรงกับใบรับรองหรือไม่ ความล้มเหลว “สุ่ม” หลายครั้งสามารถคาดการณ์ได้เมื่อคุณทำซ้ำจากลูกค้าจริง
เซสชันช้าและการตัดการเชื่อมต่อ
การตัดการเชื่อมต่ออย่างกะทันหันมักเกี่ยวข้องกับการอนุญาต, ความล้มเหลวของโปรไฟล์, หรือการใช้ทรัพยากรเกินขีดจำกัด เซสชันที่ช้าโดยทั่วไปจะเกิดจากความกดดันของหน่วยความจำ, ความล่าช้าของดิสก์, หรือสคริปต์การเข้าสู่ระบบที่หนัก ตรวจสอบ Event Viewer บน Session Host และ Gateway และเปรียบเทียบเวลา ยืนยันว่าเป็นปัญหาที่เกิดขึ้นกับผู้ใช้ทั้งหมดหรือเฉพาะกลุ่มก่อนที่จะเปลี่ยนการตั้งค่า ใช้การแก้ไขเล็กน้อยและทดสอบใหม่ แทนที่จะเป็นการย้าย “สร้างใหม่” ขนาดใหญ่
ปัญหาการพิมพ์ อุปกรณ์เสริม และการเปลี่ยนเส้นทาง
การพิมพ์และการเปลี่ยนเส้นทางอุปกรณ์ต่อพ่วงสร้างส่วนแบ่งที่ใหญ่ของตั๋ว RDS สาเหตุมักเกิดจากการไม่ตรงกันของไดรเวอร์ พฤติกรรมการค้นพบเครื่องพิมพ์เก่า หรือ นโยบายการเปลี่ยนเส้นทางที่มากเกินไป ควรทำให้ไดรเวอร์เครื่องพิมพ์เป็นมาตรฐานเมื่อเป็นไปได้และทดสอบกับอุปกรณ์ที่พบบ่อยที่สุดในช่วงแรก จำกัดฟีเจอร์การเปลี่ยนเส้นทางที่ผู้ใช้ไม่ต้องการ แต่หลีกเลี่ยงการบล็อกแบบรวมโดยไม่มีการมีส่วนร่วมจากผู้มีส่วนได้ส่วนเสีย
เมื่อปัญหายังคงมีอยู่ ให้แยกปัญหาโดยการปิดฟีเจอร์การเปลี่ยนเส้นทางทีละฟีเจอร์ วิธีนี้จะป้องกันไม่ให้เกิด "การแก้ไข" ที่ทำให้การสแกน การพิมพ์ฉลาก หรือแผ่นลายเซ็นเกิดข้อผิดพลาด บันทึกอุปกรณ์ที่รองรับเพื่อให้ฝ่ายช่วยเหลือสามารถตั้งความคาดหวังของผู้ใช้ได้
TSplus ทำให้การจัดส่ง Remote Desktop ง่ายขึ้นอย่างไร?
TSplus Remote Access ให้วิธีการที่ราบรื่นในการเผยแพร่เดสก์ท็อปและแอปพลิเคชัน Windows โดยไม่ต้องสร้างสแต็ก RDS หลายบทบาทแบบเต็มรูปแบบ ผู้ดูแลระบบสามารถเผยแพร่แอป กำหนดให้กับผู้ใช้หรือกลุ่ม และให้การเข้าถึงผ่านพอร์ทัลเว็บที่ปรับแต่งได้ ผู้ใช้สามารถเชื่อมต่อจากเบราว์เซอร์โดยใช้ HTML5 หรือจากไคลเอนต์ที่รองรับ RDP ขึ้นอยู่กับความต้องการของอุปกรณ์ วิธีการนี้ช่วยลดความยุ่งยากในการตั้งค่าในขณะที่ยังคงควบคุมศูนย์กลางเกี่ยวกับแอปพลิเคชันและเซสชันสำหรับการดำเนินงานที่มีประสิทธิภาพ
สรุป
เซิร์ฟเวอร์เดสก์ท็อประยะไกลที่เชื่อถือได้เริ่มต้นด้วยการออกแบบที่ชัดเจนและการตั้งค่าเริ่มต้นที่ปลอดภัย กำหนดขนาดของ Session Hosts สำหรับการทำงานจริง กำหนดค่าลิขสิทธิ์ให้ถูกต้อง และหลีกเลี่ยงการเปิดเผย RDP สาธารณะ ใช้ RD Gateway และใบรับรองที่สะอาดสำหรับการเข้าถึงภายนอกที่ปลอดภัย ด้วยการตรวจสอบและนโยบายที่สม่ำเสมอ สภาพแวดล้อม RDS สามารถคงความเสถียรได้เมื่อการใช้งานเพิ่มขึ้น
TSplus Remote Access ทดลองใช้ฟรี
ทางเลือกที่ดีที่สุดสำหรับ Citrix/RDS สำหรับการเข้าถึงเดสก์ท็อป/แอปพลิเคชัน ปลอดภัย คุ้มค่า ราคา ประจำที่/คลาวด์
)
)
)
