RDS НА ОСНОВЕ СЕАНСОВ В WINDOWS SERVER 2012 R2. ЧАСТЬ 2 — СОЗДАНИЕ И НАСТРОЙКА КОЛЛЕКЦИЙ СЕАНСОВ

В прошлой статье (Службы удалённых рабочих столов на основе сеансов. Часть 1 — Развёртывание в домене) довольно детально был рассмотрен процесс развертывания служб RDS на серверы предприятия. Теперь настал черед ознакомиться с определением коллекций сеансов и рассмотреть процесс их создания.

Согласно официальной справке Microsoft, существует такое определение коллекции сеансов:

КОЛЛЕКЦИЯ СЕАНСОВ — ЭТО ГРУППА СЕРВЕРОВ УЗЛОВ СЕАНСОВ УДАЛЕННЫХ РАБОЧИХ СТОЛОВ ДЛЯ КОНКРЕТНОГО СЕАНСА. КОЛЛЕКЦИЯ СЕАНСОВ ИСПОЛЬЗУЕТСЯ ДЛЯ ПУБЛИКАЦИИ РАБОЧИХ СТОЛОВ НА ОСНОВЕ СЕАНСОВ ЛИБО УДАЛЁННЫХ ПРИЛОЖЕНИЙ REMOTEAPP

Если перефразировать эту, довольно расплывчатую, формулировку, то можно сказать, что коллекция сеансов — это сервер или группа серверов, которые предоставляют безопасный и устойчивый доступ к своим ресурсам группе или нескольким группам пользователей. В коллекцию сеансов входят только те сервера, на которых развёрнута роль узла подключений к удалённым рабочим столам.

Какие же преимущества приносит использование коллекций сеансов?

Простое развёртывание. Коллекции сеансов достаточно легко устанавливать и настраивать с помощью соответствующих мастеров.

Простое управление. Серверами в коллекции можно управлять из одной унифицированной консоли.

Корректное распределение ресурсов. Серверы, которые находятся в одной коллекции умеют корректно распределять такие ресурсы как ЦП, диски и сеть, что предотвращает конфликты между сессиями пользователей.

СОЗДАНИЕ КОЛЛЕКЦИИ СЕАНСОВ

Рис.1 — Схема сети

Перед тем как приступить к развёртыванию коллекции сеансов предлагаю ознакомиться с существующей схемой сети. Ферма серверов RDS состоит из четырёх серверов, выполняющих различные роли служб удалённых рабочих столов. Сервер RDCB исполняет роль посредника подключений, сервер RDWH — это узел веб-доступа к удалённым рабочим столам и приложениям RemoteApp, а на серверы RDSH1 и RDSH2 установлена роль узлов сеансов. Кроме роли посредника подключений, сервер RDCB, так же является узлом лицензирования. Помимо фермы серверов RDS в сети присутствует сервер DC1 являющийся контролером домена и рабочие станции пользователей сети — WS101, WS102 и WS103.

Все функции управления коллекциями сеансов в Windows Server 2012 R2 находятся на вкладке Службы удалённых рабочих столов (Remote Desktop Services Manager, RDSM). Добраться до неё можно открыв Диспетчер серверов и выбрав пункт Службы удалённых рабочих столов в панели слева. Для того, чтобы создать новую коллекцию сеансов необходимо выбрать соответствующий пункт в меню Задачи на панели Коллекции.

Рис.2 — Создание коллекции сеансов

Дальше, как обычно, создать новую коллекцию приложений нам поможет мастер создания коллекций. В первом его окне нас ознакомят с тем необходимым минимумом условий который должен быть соблюден при создании новой коллекции сеансов. Читаем, проверяем и жмём Далее.

На втором шаге мастера необходимо указать имя и краткое описание создаваемой коллекции.

Рис.3 — Присвоение имени коллекции

Следующее окно мастера позволяет указать какие именно серверы, имеющие роль узла сеансов удалённых рабочих столов, будут находиться в создаваемой коллекции. Переносим необходимые серверы в колонку Выбрано и нажимаем Далее.

Рис.4 — Добавление серверов в коллекцию сеансов

Далее указываем группу или несколько групп пользователей, которые будут иметь доступ к приложениям новой коллекции сеансов. В данном конкретном случае создаём коллекцию сеансов, подключаться к которой могут все пользователи домена без исключений. Однако, данный шаг мастера позволяет более гибко настраивать доступ пользователей к коллекции, что, конечно же, значительно снижает вероятность несанкционированного доступа.

Рис.5 — Настройка групп пользователей

На следующем шаге, мастер предлагает использовать функцию использования дисков профилей пользователей. Это одно из нововведений появившихся в Windows Server 2012. Если вкратце, то диски профилей пользователей представляют собой виртуальные жёсткие диски в формате vhd и призваны заменить перемещаемые профили пользователей. Более подробно эта функция будет описана в одной из последующих статей. Если мы хотим использовать диски профилей пользователей, то ставим соответствующую галочку, указываем общую папку и максимальный размер, который может занимать один vhd файл. При указании папки, нужно убедиться в том, что серверы узлов сеансов и текущий пользователь имеют права на чтение и запись данных в указываемую папку. Если же использовать данную функцию мы не хотим, то просто снимаем галочку с пункта Включить диски профилей пользователей и жмём Далее.

Рис.6 — Использование дисков профилей

Проверяем правильность указанных данных и подтверждаем выбор нажатием кнопки Создать.

Рис.7 — Окно подтверждения выбора

Затем начнётся непосредственно сам процесс формирования коллекции. После его окончания, если не возникло ошибок, закрываем окно мастера.

Рис.8 — Отображение процесса создания коллекции

После завершения процедуры создания коллекции сеансов на соответствующей вкладке RDSM мы можем видеть название созданной коллекции. Строго говоря, эта вкладка и представляет собой единый центр управления коллекциями. Здесь можно увидеть информацию о том, какие коллекции созданы, сколько присутствует серверов узлов сеансов и какие пользователи подключены к созданным коллекциям.

Рис.9 — Окно управления коллекциями сеансов

КОНФИГУРИРОВАНИЕ КОЛЛЕКЦИИ СЕАНСОВ

Все параметры относящиеся к какой-либо конкретной коллекции, находятся на странице с её названием. В данном конкретном случае переходим на страницу Коллекция сеансов RDS. Здесь мы видим краткие сведения о самой коллекции, список установленных приложений RemoteApp или предложение их опубликовать, список серверов узлов сеансов, обслуживающих эту коллекцию и перечень подключений к ней.

Рис.10 — Окно управление конкретной коллекцией сеансов

Вызвать окно с настройками можно зайдя в меню Задачи на панели Коллекции и выбрав там пункт Изменить свойства.

Рис.11 — Вызов меню свойств коллекции

Это окно открывает доступ ко всем настройкам коллекции сеансов, включая те, которые были заданы при создании самой коллекции. Такие опции рассматривать не будем, а перейдем сразу к тем, которые еще не встречались.

НАСТРОЙКА ПАРАМЕТРОВ СЕАНСОВ

Одними из основных настроек, находящимися в пределах данного окна, являются настройки времени взаимодействия узла сеансов непосредственно с самими сеансами. Среди этих настроек:

Окончание разъединённого сеанса — это время, спустя которое сервер завершит разъединенную сессию пользователя. Говоря иными словами, это количество времени, которое сервер будет хранить временные файлы пользователя. Если пользователь в течение выбранного интервала подключится к службам RDS, то он увидит своё рабочее окружение в том состоянии, что и до разъединения. При этом счётчик времени сбрасывается. Эта опция бывает полезна в случае когда у пользователя нестабильная линия связи с сервером или вы хотите подстраховаться и дать пользователям возможность вернуться к своему сеансу в случае его случайного или же не случайного разъединения.

Ограничение активного сеанса — это время в течение которого пользователю позволено непрерывно находиться на сервере. Эта настройка позволяет экономить ресурсы сервера в случае, когда пользователь открыл сеанс и находится в нём достаточно продолжительное время. Эту опцию можно задать немногим большую чем длина рабочего дня.

Ограничение бездействующего сеанса — это время в течение которого пользователь может оставаться в сеансе и при этом не производить никаких действий. Эта настройка, как и предыдущая, позволяет экономить ресурсы сервера, однако при её использовании нужно быть осторожным, поскольку пользователям обычно не нравится, когда их сеанс закрывается слишком часто.

Так же на этой вкладке можно настроить поведение сервера для ситуации когда достигнуто время ограничения сеанса или соединение было прервано. В этом случае выбор состоит из двух пунктов: отключиться от сеанса и тем самым сохранять некоторое время сеанс пользователя либо насовсем завершить сеанс с удалением всех временных файлов.

Рис .12 — Настройка параметров сеанса

Параметры временной папки позволяют определить использовать ли вообще временные папки при создании сеансов и удалять ли временные папки при выходе пользователя. По умолчанию, оба этих параметра активны и будут применяться.

НАСТРОЙКА ПАРАМЕТРОВ БЕЗОПАСНОСТИ

В этом окне собраны параметры, которые отвечают за безопасный обмен данными между серверами фермы RDS и пользователями коллекции сеансов. К этим настройкам относятся уровень безопасности который устанавливается между клиентами RDS и серверами узлов сеансов. Доступны такие уровни безопасности:

Уровень безопасности RDP. Выбор этой опции означает, что будет использоваться стандартный уровень шифрования, определённый протоколом RDP. В этом случае, сервер узла подключений не устанавливает подлинность клиента пытающегося к нему подключиться. Это наименее безопасный уровень подключения.

SSL (TLS 1.0). Этот вариант означает, что будет использоваться шифрование соответствующими протоколами и проверка подлинности клиентов с помощью цифрового сертификата. Эта опция определяет самый высокий уровень безопасности, однако, не везде можно применить такой уровень безопасности.

Согласование. В этом случае осуществляется попытка применения шифрования уровня TLS, а если клиент его не поддерживает, то будет использовано шифрование протокола RDP.

Рис.13 — Параметры безопасности коллекции сеансов

Кроме уровня безопасности, ещё можно установить уровень шифрования соединения между узлами сеансов и клиентами. Доступны следующие параметры:

Низкий. Шифруется только данные от клиента к серверу. Для этого используется 56-разрядное шифрование.

Высокий. Шифруются данные от клиента к серверу и наоборот. Используется 128-разрядное шифрование.

FIPS-совместимый. Так же как и в случае с высоким уровнем шифрования шифруются данные и от клиента к серверу и от сервера к клиенту, однако при этом используется алгоритм шифрования FIPS 140-1.

Совместимый с клиентом. В этом случае будет использоваться максимально возможный уровень шифрования, который будет поддерживать клиент.

Так же можно включить поддержку проверки клиентов на уровне сети. Если включить эту опцию, то авторизация клиента будет происходить до создания сессии. Это позволяет серьезно повысить уровень безопасности RDS. Однако следует помнить, проверка на уровне сети может быть осуществлена только для клиентов использующих RDC 6.0 и выше и ОС Windows XP SP3 и выше. Следовательно пользователи, чьи рабочие станции не будут удовлетворять данным требованиям не смогут подключиться к службам удаленных рабочих столов. Как включить проверку на уровне сети для Windows XP SP3 доступно описано у Карманова. Там вообще можно много хорошего про безопасность протокола RDP почитать.

НАСТРОЙКА БАЛАНСИРОВКИ НАГРУЗКИ

Параметры балансировки нагрузки позволяют распределить все подключения к узлам сеансов не равномерно, а по усмотрению администратора. Такая необходимость возникает в тех случаях, когда серверы имеют разную аппаратную конфигурацию относительно друг друга. Для настройки доступны два параметра: относительный вес сервера и ограничение сеансов.

Относительный вес определяет значимость выделенного сервера относительно других. Чем больше число в этом поле, тем большее количество подключений будет принимать сервер. Значение можно задать в диапазоне от 1 до 10000.

Ограничение сеансов задает количество пользователей, которые могут одновременно быть подключенными к серверу. Значение может находиться в диапазоне от 1 до 999999.

Рис.14 — Настройка балансировки нагрузки

НАСТРОЙКА ПАРАМЕТРОВ КЛИЕНТОВ УДАЛЁННОГО ДОСТУПА

Переопределить некоторые параметры пользовательского клиента подключений (Remote Desktop Client, RDC) можно на вкладке Настройка параметров клиента.

Рис.15 — Настройка параметров RDC

Здесь можно указать какие устройства и ресурсы будут перенаправлены на сервер и задать политики перенаправления клиентских принтеров и мониторов.

НАСТРОЙКА ДИСКОВ ПРОФИЛЕЙ ПОЛЬЗОВАТЕЛЕЙ

Помимо параметров заданных ещё при создании коллекции сеансов, на вкладке Диски профилей можно довольно гибко настроить то, какие параметры и папки из профиля будут сохраняться, а какие нет. Эта опция позволит сэкономить место на файловом сервере за счет того, что на нем не будут храниться папки с видео или музыкой, которые нужны в производственной среде далеко не всегда. Так же можно отключить хранение данных перемещаемого профиля и реестра пользователей, что позволит создать ситуацию, когда пользователь каждый раз будет входить в свой сеанс как в первый раз.

Рис.16 — Настройка дисков профилей

После внесения всех требуемых изменений в настройки коллекции нажимаем ОК. На этом настройка коллекции средствами RDMS завершена.

ПРОВЕРКА РАБОТОСПОСОБНОСТИ КОЛЛЕКЦИИ

Для того, чтобы убедиться что созданная коллекция сеансов работоспособна и может принимать подключения, на одной из рабочих станций домена попробуем получить доступ к ресурсам RDS посредством веб-доступа. Для этого достаточно открыть браузер и перейти по ссылке для веб-доступа (https://rdwh.domain.local).

Рис.17 — Проверка работоспособности коллекции сеансов

Так как в коллекцию не добавлено ни одного приложения RemoteApp, доступ будет предоставлен ко всему удалённому рабочему столу. Для инициации нового сеанса достаточно кликнуть на иконку с именем коллекции сеансов (в данном случае Коллекция сеансов RDS).

В следующей статье, посвященной теме RDS, будет рассмотрен процесс добавления и настройки приложений RemoteApp.