Bạn có muốn xem trang web bằng một ngôn ngữ khác không?

English
English Español Italiano Português do Brasil Português Français Русский 日本語 Polski 简体中文 繁體中文 Türkçe 한국어 Čeština العربية Bahasa Indonesia Tiếng Việt Nederlands ไทย Magyar Slovenčina Svenska Ελληνικά Română فارسی Dansk Български Suomi Hrvatski Norsk bokmål Bahasa Melayu हिन्दी Tagalog English (UK)
Thay đổi ngôn ngữ
Mục lục

Giới thiệu

Một triển khai Dịch vụ Máy tính Từ xa có thể giải quyết công việc từ xa, tập trung ứng dụng và truy cập của bên thứ ba trên một nền tảng. Tuy nhiên, RDS có thể gặp sự cố nhanh chóng khi giấy phép, chứng chỉ hoặc các biện pháp kiểm soát an ninh bị cấu hình sai. Bài viết này tập trung vào các quyết định rõ ràng và các mặc định an toàn mà bạn có thể áp dụng ngay lập tức. Bạn sẽ hoàn thành với một kế hoạch xây dựng mà bạn có thể tài liệu hóa và hỗ trợ.

Bản dùng thử miễn phí của TSplus Remote Access

Giải pháp thay thế Citrix/RDS tối ưu cho truy cập desktop/ứng dụng. An toàn, tiết kiệm chi phí, tại chỗ/cloud

Bắt đầu một Thử nghiệm Miễn phí

Máy chủ Remote Desktop là gì theo thuật ngữ Windows?

RDS so với Remote Desktop tiêu chuẩn

Windows Pro Remote Desktop là một tính năng một-một cho một máy tính đơn lẻ. Một máy chủ desktop từ xa thường là Windows Server Remote Desktop Services (RDS), hỗ trợ nhiều người dùng đồng thời. RDS cũng thêm các chính sách trung tâm, kiểm soát phiên và cấp phép. Sự khác biệt đó quan trọng cho khả năng hỗ trợ và tuân thủ.

Các vai trò RDS quan trọng

Hầu hết các triển khai thực tế sử dụng một tập hợp nhỏ các dịch vụ vai trò:

  • RD Session Host: chạy các phiên người dùng và RemoteApps (các ứng dụng đã xuất bản).
  • RD Connection Broker: theo dõi các phiên và kết nối lại người dùng một cách đáng tin cậy.
  • RD Web Access: cung cấp một cổng cho các ứng dụng và máy tính để bàn.
  • RD Gateway: wraps RDP bên trong HTTPS để truy cập internet an toàn hơn.
  • RD Licensing: quản lý Giấy phép Truy cập Khách hàng RDS (CALs).

Bạn có thể kết hợp các vai trò trong các môi trường nhỏ, nhưng các thiết kế sản xuất thường tách biệt ít nhất các máy chủ phiên và cổng. Việc tách biệt vai trò không chỉ liên quan đến hiệu suất.

Bước 1: Lập kế hoạch thiết kế RDS

Topology: máy chủ đơn vs máy chủ đa

Một cấu hình máy chủ đơn có thể hoạt động cho một phòng thí nghiệm hoặc một văn phòng nhỏ với mức độ đồng thời thấp. Đối với sản xuất, hãy tách các vai trò để giảm thiểu thời gian ngừng hoạt động và đơn giản hóa việc khắc phục sự cố. Một phân chia phổ biến là một máy chủ cho Broker, Web và Licensing, và một hoặc nhiều máy chủ cho Session Host. Nếu người dùng bên ngoài kết nối, hãy đặt RD Gateway trên một máy chủ riêng khi có thể.

Kích thước: CPU, RAM, lưu trữ, mạng

Lập kế hoạch năng lực là nơi trải nghiệm người dùng được giành chiến thắng hoặc mất mát. Các ứng dụng tương tác tăng cao trong quá trình đăng nhập và khởi động ứng dụng, vì vậy việc định kích thước cần có các ưu tiên thực tiễn:

  • CPU: ưu tiên tốc độ xung nhịp cao hơn để tăng cường khả năng phản hồi của phiên làm việc
  • RAM: lập kế hoạch cho độ đồng thời cao nhất để tránh phân trang
  • Lưu trữ: SSD để giảm độ trễ I/O của hồ sơ và ứng dụng
  • Mạng: ưu tiên độ trễ thấp hơn băng thông thô

Áp lực bộ nhớ gây ra các phiên làm việc chậm và lỗi ngẫu nhiên, vì vậy hãy lên kế hoạch cho sự đồng thời cao nhất. Lưu trữ SSD giảm thời gian tải hồ sơ và cải thiện tính nhất quán khi đăng nhập. Các đường truyền mạng độ trễ thấp thường quan trọng hơn băng thông thô.

Mô hình truy cập: nội bộ, VPN hoặc internet

Quyết định cách người dùng sẽ truy cập dịch vụ trước khi bạn cài đặt các vai trò. Truy cập chỉ nội bộ là đơn giản nhất và giảm thiểu rủi ro. Truy cập VPN thêm một lớp kiểm soát nhưng cần quản lý khách hàng. Truy cập Internet nên sử dụng RD Gateway qua HTTPS, để bạn tránh việc lộ ra. cổng 3389 Quyết định này ngăn chặn nhiều sự cố bảo mật.

Nếu bạn phải hỗ trợ các thiết bị không được quản lý, hãy lên kế hoạch cho các biện pháp kiểm soát nghiêm ngặt hơn và ranh giới rõ ràng hơn. Hãy coi quyền truy cập internet như một sản phẩm, không chỉ là một ô kiểm, với trách nhiệm về danh tính, chứng chỉ và giám sát.

Bước 2: Chuẩn bị Windows Server cho RDS

Bản vá, cơ sở, và quyền truy cập quản trị

Cập nhật đầy đủ Windows Server trước khi thêm vai trò RDS và duy trì chu kỳ cập nhật có thể dự đoán. Áp dụng một tiêu chuẩn tăng cường cơ bản phù hợp với môi trường của bạn. Sử dụng ranh giới quản trị rõ ràng:

  • Tách biệt tài khoản quản trị đặc quyền khỏi tài khoản người dùng hàng ngày
  • Chỉ quản trị viên từ một máy chủ nhảy được quản lý (không từ các điểm cuối)
  • Hạn chế quyền truy cập của quản trị viên cục bộ và kiểm tra các thay đổi thường xuyên

Tên miền DNS và tư thế tường lửa

Chọn tên DNS hiển thị cho người dùng sớm và giữ cho nó nhất quán trên các công cụ và chứng chỉ. Lập kế hoạch các quy tắc tường lửa với tư duy "tiếp xúc tối thiểu". Đối với các triển khai hướng ra internet, hãy nhằm mục tiêu chỉ mở TCP 443 cho cổng. Giữ TCP 3389 đóng từ internet công cộng.

Yêu cầu xây dựng: tham gia miền và tài khoản dịch vụ (khi cần)

Hầu hết các triển khai RDS sản xuất đều được tham gia miền vì kiểm soát truy cập dựa trên nhóm và GPO là trung tâm cho việc quản lý. Tham gia các máy chủ vào miền AD đúng cách sớm, sau đó xác thực đồng bộ thời gian và phân giải DNS. Nếu bạn sử dụng tài khoản dịch vụ cho các tác nhân giám sát hoặc công cụ quản lý, hãy tạo chúng với quyền tối thiểu và ghi lại quyền sở hữu.

Bước 3: Cài đặt các vai trò Dịch vụ Máy tính từ xa

Triển khai tiêu chuẩn với Trình quản lý máy chủ

Sử dụng đường dẫn cài đặt Dịch vụ Máy tính từ xa trong Trình quản lý Máy chủ để thiết lập sạch. Chọn triển khai máy tính để bàn dựa trên phiên cho máy tính để bàn đa người dùng và RemoteApps. Gán các dịch vụ vai trò dựa trên kế hoạch cấu trúc của bạn, không phải sự tiện lợi. Tài liệu nơi mỗi vai trò được cài đặt để đơn giản hóa việc nâng cấp trong tương lai.

Quy tắc phân bổ và tách biệt vai trò

Sự phân bổ vai trò ảnh hưởng đến hiệu suất và tốc độ khắc phục sự cố. Việc đặt mọi thứ cùng nhau có thể hoạt động, nhưng nó cũng che giấu các điểm nghẽn cho đến khi tải người dùng tăng lên. Tách biệt các vai trò biên khỏi các vai trò tính toán giúp dễ dàng xác định các sự cố và giảm thiểu rủi ro bảo mật.

  • Chỉ định vai trò chỉ cho phòng thí nghiệm hoặc triển khai rất nhỏ
  • Giữ RD Gateway tắt trên Session Host cho truy cập từ internet.
  • Thêm các máy chủ phiên theo chiều ngang thay vì phóng to một máy chủ.
  • Sử dụng tên máy chủ nhất quán để các bản ghi dễ theo dõi.

Kiểm tra sau cài đặt

Xác thực nền tảng trước khi thêm người dùng. Xác nhận các dịch vụ đang chạy và được thiết lập để khởi động tự động. Kiểm tra RD Web Access nội bộ nếu bạn đã triển khai nó. Thực hiện một kết nối thử nghiệm đến Session Host và xác nhận việc tạo phiên làm việc. Sửa bất kỳ lỗi nào ngay bây giờ, trước khi bạn thêm chứng chỉ và chính sách.

Thêm một danh sách kiểm tra xác thực ngắn mà bạn có thể lặp lại sau mỗi thay đổi. Nó nên bao gồm một bài kiểm tra kết nối, một bài kiểm tra khởi động ứng dụng và một bài kiểm tra nhật ký để kiểm tra các cảnh báo mới. Sự lặp lại là điều biến RDS từ “mong manh” thành “dự đoán được.”

Bước 4: Cấu hình Giấy phép RD

Kích hoạt, thêm CALs, đặt chế độ

Cài đặt vai trò Cấp phép RD, sau đó kích hoạt máy chủ cấp phép. Thêm các CAL RDS của bạn và chọn chế độ cấp phép đúng: Theo Người dùng hoặc Theo Thiết bị. Áp dụng máy chủ cấp phép và chế độ cho môi trường Máy chủ Phiên. Xem đây như một bước cần thiết, không phải là một nhiệm vụ sau này.

Xác minh giấy phép đã được áp dụng

Vấn đề cấp phép thường xuất hiện sau một khoảng thời gian ân hạn, điều này khiến chúng khó theo dõi. Kiểm tra Trình xem sự kiện trên máy chủ phiên cho các cảnh báo cấp phép. Xác nhận máy chủ phiên có thể kết nối với máy chủ cấp phép qua mạng. Xác minh chế độ khớp với loại CAL mà bạn thực sự sở hữu. Chụp ảnh màn hình cho tài liệu xây dựng của bạn.

  • Xác nhận rằng máy chủ cấp phép có thể truy cập từ mỗi Máy chủ Phiên.
  • Xác nhận chế độ cấp phép được áp dụng nơi các phiên chạy.
  • Xem xét các nhật ký liên quan đến RDS để tìm cảnh báo trước khi người dùng tham gia.
  • Kiểm tra lại sau khi thay đổi GPO có thể ghi đè cài đặt RDS

Mô hình lỗi cấp phép để phát hiện sớm

Hầu hết các "bất ngờ" về giấy phép đều có thể phòng ngừa. Vấn đề thường phát sinh từ loại CAL không khớp và chế độ cấp phép, một máy chủ cấp phép đã được cài đặt nhưng chưa bao giờ được kích hoạt, hoặc một Session Host không thể phát hiện máy chủ cấp phép do thay đổi DNS hoặc tường lửa.

Xây dựng một quy tắc đơn giản vào quy trình của bạn: không chuyển từ giai đoạn thử nghiệm sang sản xuất cho đến khi các nhật ký cấp phép sạch sẽ dưới tải. Nếu bản dựng của bạn vượt qua các bài kiểm tra đăng nhập cao điểm và vẫn không hiển thị cảnh báo cấp phép, bạn đã loại bỏ một loại sự cố lớn trong tương lai.

Bước 5: Xuất bản Màn hình và Ứng dụng từ xa

Bộ sưu tập phiên và nhóm người dùng

Một Bộ Sưu Tập Phiên là một nhóm được đặt tên của các Máy Chủ Phiên và các quy tắc truy cập người dùng. Sử dụng các nhóm bảo mật thay vì phân công người dùng cá nhân để quản lý sạch sẽ. Tạo các bộ sưu tập riêng biệt khi khối lượng công việc khác nhau, chẳng hạn như "người dùng văn phòng" và "người dùng ERP." Điều này giúp việc tối ưu hóa hiệu suất và khắc phục sự cố trở nên dễ dự đoán hơn.

Thêm một bản đồ rõ ràng giữa các bộ sưu tập và kết quả kinh doanh. Khi người dùng biết bộ sưu tập nào hỗ trợ ứng dụng nào, các nhóm hỗ trợ có thể chuyển hướng các vấn đề nhanh hơn. Thiết kế bộ sưu tập cũng là nơi bạn đặt giới hạn phiên nhất quán và quy tắc chuyển hướng.

Cơ bản về xuất bản RemoteApp

RemoteApps giảm bớt sự cản trở của người dùng bằng cách chỉ cung cấp những gì họ cần, và các nền tảng như TSplus Remote Access có thể đơn giản hóa việc xuất bản và truy cập web cho các nhóm muốn ít phần di động hơn. Họ cũng giới hạn bề mặt tấn công “máy tính để bàn đầy đủ” khi người dùng chỉ yêu cầu một hoặc hai ứng dụng. Việc xuất bản thường đơn giản, nhưng độ tin cậy phụ thuộc vào việc kiểm tra các đường dẫn khởi động ứng dụng và các phụ thuộc.

  • Kiểm tra từng RemoteApp với một người dùng tiêu chuẩn, không phải tài khoản quản trị.
  • Xác thực các liên kết tệp và các thành phần trợ giúp cần thiết
  • Xác nhận yêu cầu về máy in và clipboard trước khi áp dụng các hạn chế
  • Tài liệu các loại và phiên bản khách hàng được hỗ trợ

Cơ bản về hồ sơ và tốc độ đăng nhập

Đăng nhập chậm thường xuất phát từ kích thước hồ sơ và các bước xử lý hồ sơ. Bắt đầu với một chiến lược hồ sơ rõ ràng và giữ cho nó đơn giản. Kiểm tra thời gian đăng nhập với dữ liệu người dùng thực, không phải tài khoản trống. Theo dõi thời gian đăng nhập sớm để bạn có thể phát hiện sự suy giảm sau các thay đổi.

Thêm các biện pháp bảo vệ trước khi bạn mở rộng. Định nghĩa giới hạn kích thước hồ sơ, quy trình dọn dẹp cho dữ liệu tạm thời và cách bạn xử lý thông tin xác thực đã lưu và trạng thái người dùng. Nhiều sự cố "hiệu suất" thực ra là sự cố "mở rộng hồ sơ".

Bước 6: Bảo mật Truy cập Ngoài với RD Gateway

Tại sao HTTPS vượt trội hơn RDP bị lộ

RD Gateway truyền tải lưu lượng Remote Desktop qua HTTPS trên cổng 443. Điều này giảm thiểu sự tiếp xúc trực tiếp của RDP và cung cấp cho bạn một điểm kiểm soát tốt hơn. Nó cũng cải thiện khả năng tương thích với các mạng bị khóa, nơi chỉ cho phép HTTPS. Đối với hầu hết các nhóm, đây là mặc định an toàn nhất cho việc truy cập bên ngoài.

Chính sách, chứng chỉ và tùy chọn MFA

Sử dụng chính sách cổng để kiểm soát ai có thể kết nối và những gì họ có thể truy cập. Ràng buộc một chứng chỉ phù hợp với tên DNS bên ngoài của bạn và được các thiết bị người dùng tin cậy. Nếu MFA được yêu cầu, hãy thực thi nó tại cổng hoặc thông qua đường dẫn nhà cung cấp danh tính của bạn. Giữ các quy tắc theo nhóm để việc xem xét quyền truy cập vẫn có thể quản lý được.

  • Sử dụng chính sách CAP/RAP liên kết với các nhóm bảo mật AD
  • Hạn chế truy cập vào các tài nguyên nội bộ cụ thể, không phải toàn bộ subnet.
  • Thực thi MFA cho truy cập bên ngoài khi rủi ro kinh doanh biện minh cho điều đó
  • Ghi lại các sự kiện xác thực và ủy quyền cho các cuộc kiểm toán

Củng cố cổng và lớp biên

Xử lý RD Gateway như một máy chủ ứng dụng tiếp xúc với internet. Giữ cho nó được cập nhật, giảm thiểu các thành phần đã cài đặt và hạn chế các đường dẫn truy cập của quản trị viên. Vô hiệu hóa các cài đặt cũ yếu mà bạn không cần và theo dõi hành vi tấn công brute-force. Nếu tổ chức của bạn có một proxy đảo ngược biên hoặc WAF chiến lược, căn chỉnh việc triển khai cổng với nó.

Cuối cùng, hãy luyện tập các hành động phản ứng sự cố. Biết cách chặn một người dùng, xoay vòng chứng chỉ và hạn chế quyền truy cập trong trường hợp nghi ngờ tấn công. Những hành động này dễ dàng hơn nhiều khi bạn đã lên kế hoạch cho chúng.

Bước 7: Tinh chỉnh Hiệu suất và Độ tin cậy

Cài đặt GPO giúp giảm tải phiên làm việc

Sử dụng Chính sách Nhóm để giảm thiểu chi phí không cần thiết mà không làm gián đoạn quy trình làm việc. Giới hạn các phiên không hoạt động và đặt thời gian ngắt kết nối để giải phóng tài nguyên một cách an toàn. Kiểm soát việc sao chép và chuyển hướng ổ đĩa dựa trên độ nhạy của dữ liệu. Áp dụng các thay đổi từng bước nhỏ để bạn có thể đo lường tác động.

Theo dõi tín hiệu để phát hiện sớm

Giám sát CPU, bộ nhớ và độ trễ đĩa trên các Máy chủ Phiên từ ngày đầu tiên. Theo dõi thời gian đăng nhập và xu hướng số phiên trong suốt tuần. Theo dõi các lỗi xác thực cổng cho các mẫu tấn công brute-force. Đặt cảnh báo cho sự bão hòa tài nguyên, không chỉ cho các sự kiện máy chủ ngừng hoạt động. Giám sát tốt ngăn chặn 'những ngày thứ Hai bất ngờ.' Bắt đầu với một tập cơ sở nhỏ.

  • Xu hướng thời gian đăng nhập (trung vị + 10% tồi tệ nhất)
  • Áp lực bộ nhớ của máy chủ phiên trong giờ cao điểm
  • Độ trễ đĩa trên các đường dẫn hồ sơ và ứng dụng
  • RD Gateway thất bại đăng nhập và các đỉnh bất thường

Ổn định hoạt động: cửa sổ vá lỗi và thay đổi nhịp độ

Hiệu suất phụ thuộc vào kỷ luật vận hành. Định nghĩa các khoảng thời gian bảo trì cho các máy chủ Session Hosts và Gateway, sau đó thông báo cho người dùng. Sử dụng triển khai theo giai đoạn, trong đó một Session Host được cập nhật trước, sau đó là các máy chủ còn lại. Cách tiếp cận này giảm thiểu rủi ro gây gián đoạn rộng rãi do một bản vá hoặc cập nhật trình điều khiển không tốt.

Cũng hãy định nghĩa "rollback" có nghĩa là gì trong môi trường của bạn. Đối với các VM, các snapshot có thể giúp ích, nhưng chỉ khi được sử dụng cẩn thận và trong thời gian ngắn. Đối với các hệ thống vật lý, rollback có thể có nghĩa là khôi phục một hình ảnh vàng hoặc loại bỏ một thay đổi gần đây thông qua tự động hóa.

Bước 8: Các vấn đề xây dựng phổ biến và cách khắc phục

Chứng chỉ, DNS, tường lửa và NLA

Lỗi chứng chỉ thường xuất phát từ sự không khớp tên hoặc chuỗi tin cậy bị thiếu. Các vấn đề DNS xuất hiện dưới dạng "không thể tìm thấy máy chủ" hoặc tải cổng thất bại. Những sai sót của tường lửa thường chặn lưu lượng nội bộ giữa các vai trò, không chỉ lưu lượng người dùng. Bật Xác thực Cấp Mạng (NLA) để yêu cầu xác thực trước khi tạo phiên. Kiểm tra từng lớp theo thứ tự để việc khắc phục sự cố diễn ra nhanh chóng.

  • Giải quyết DNS cho tên máy chủ chính xác mà người dùng thấy
  • TLS khớp chứng chỉ + xác thực chuỗi tin cậy
  • Khả năng tiếp cận tường lửa (443 đến Gateway, cho phép lưu lượng nội bộ)
  • NLA được kích hoạt và xác thực thành công trước khi tạo phiên

Thêm thói quen xác thực từ góc độ của khách hàng. Kiểm tra độ tin cậy của chứng chỉ trên một thiết bị người dùng điển hình, không chỉ trên các máy chủ. Xác minh rằng tên máy chủ chính xác mà người dùng sử dụng khớp với chứng chỉ. Nhiều lỗi "ngẫu nhiên" có thể dự đoán được khi bạn tái tạo chúng từ một khách hàng thực.

Phiên làm việc chậm và ngắt kết nối

Ngắt kết nối đột ngột thường liên quan đến cấp phép, lỗi hồ sơ hoặc cạn kiệt tài nguyên. Các phiên chậm thường do áp lực bộ nhớ, độ trễ đĩa hoặc các kịch bản đăng nhập nặng. Kiểm tra Event Viewer trên Session Host và Gateway và đối chiếu thời gian. Xác nhận vấn đề là rộng rãi cho người dùng hay cụ thể cho bộ sưu tập trước khi thay đổi cài đặt. Sử dụng các sửa chữa nhỏ và kiểm tra lại, thay vì các bước "xây dựng lại" lớn.

Máy in, thiết bị ngoại vi và các điểm gặp sự cố chuyển hướng

In ấn và chuyển hướng thiết bị ngoại vi tạo ra một phần lớn các vé RDS. Nguyên nhân thường là do sự không tương thích của trình điều khiển, hành vi phát hiện máy in cũ, hoặc các chính sách chuyển hướng quá mức. Chuẩn hóa trình điều khiển máy in khi có thể và thử nghiệm với các thiết bị phổ biến nhất sớm. Hạn chế các tính năng chuyển hướng mà người dùng không cần nhưng tránh chặn toàn bộ mà không có ý kiến từ các bên liên quan.

Khi các vấn đề vẫn tiếp diễn, hãy cô lập bằng cách vô hiệu hóa một tính năng chuyển hướng đỏ tại một thời điểm. Cách tiếp cận này ngăn chặn các "sửa chữa" vô tình làm hỏng việc quét, in nhãn hoặc bảng ký. Ghi lại các thiết bị được hỗ trợ để bộ phận hỗ trợ có thể thiết lập kỳ vọng của người dùng.

Làm thế nào TSplus đơn giản hóa việc cung cấp Remote Desktop?

TSplus Remote Access cung cấp một cách đơn giản để xuất bản các máy tính để bàn và ứng dụng Windows mà không cần xây dựng một ngăn xếp RDS đa vai trò đầy đủ. Các quản trị viên có thể xuất bản ứng dụng, gán chúng cho người dùng hoặc nhóm, và cung cấp quyền truy cập thông qua một cổng web tùy chỉnh. Người dùng có thể kết nối từ trình duyệt sử dụng HTML5 hoặc từ bất kỳ khách hàng tương thích RDP nào, tùy thuộc vào nhu cầu thiết bị. Cách tiếp cận này giảm thiểu sự phức tạp trong việc thiết lập trong khi vẫn giữ được quyền kiểm soát tập trung đối với các ứng dụng và phiên làm việc cho các hoạt động tinh gọn.

Kết luận

Một máy chủ desktop từ xa đáng tin cậy bắt đầu với các lựa chọn thiết kế rõ ràng và các mặc định an toàn. Kích thước các Session Hosts cho các khối lượng công việc thực tế, cấu hình giấy phép đúng cách và tránh tiếp xúc RDP công khai. Sử dụng RD Gateway và các chứng chỉ sạch cho việc truy cập bên ngoài an toàn. Với việc giám sát và các chính sách nhất quán, một môi trường RDS có thể duy trì ổn định khi mức sử dụng tăng lên.

Bản dùng thử miễn phí của TSplus Remote Access

Giải pháp thay thế Citrix/RDS tối ưu cho truy cập desktop/ứng dụng. An toàn, tiết kiệm chi phí, tại chỗ/cloud

Bắt đầu một Thử nghiệm Miễn phí

Chia sẻ:

Facebook Twitter LinkedIn

Nhóm của bạn TSplus

Đọc thêm

back to top of the page icon