Рдп что это
Рдп что это
Общие сведения о протоколе удаленного рабочего стола (RDP)
В этой статье содержатся сведения о протоколе удаленного рабочего стола (RDP), используемого для обмена данными между сервером терминалов и клиентом сервера терминалов. Протокол RDP инкапсулируется и шифруется в TCP.
Применяется к: Windows Server 2012 R2
Оригинальный номер базы знаний: 186607
Сводка
Протокол RDP основан на семействе стандартов протокола T-120 и является его расширением. Протокол, поддерживающий несколько каналов, позволяет использовать отдельные виртуальные каналы для передачи следующих сведений:
RDP — это расширение основного протокола T.Share. Некоторые другие возможности сохраняются как часть RDP, например, архитектурные особенности, необходимые для поддержки многоточечных (многосторонних) сеансов. Доставка данных из нескольких точек позволяет в реальном времени доставлять данные из приложения нескольким сторонам, таким как виртуальные доски. Не требуется отправлять одинаковые данные в каждый сеанс по отдельности.
В этом первом выпуске Windows Terminal Server мы будем концентрироваться на обеспечении надежного и быстрого обмена данными «точка–точка» (один сеанс). В первоначальном выпуске Terminal Server 4.0 используется только один канал данных. Однако гибкость протокола RDP предоставляет достаточно места для функциональных возможностей в будущих продуктах.
Одна из причин, по которой корпорация Майкрософт решила реализовать RDP в целях подключения в Windows NT Terminal Server, заключается в том, что он предоставляет расширяемую базу для создания множества дополнительных возможностей. RDP предоставляет 64 000 отдельных каналов для передачи данных. Однако в настоящее время для передачи данных используется только один канал (для клавиатуры, мыши и данных презентации).
Протокол RDP предназначен для поддержки различных типов сетевых топологий, таких как ISDN и POTS. Протокол RDP также предназначен для поддержки многих протоколов локальной сети, таких как IPX, NetBIOS и TCP/IP. Текущая версия RDP будет работать только по протоколу TCP/IP. Благодаря отзывам клиентов в будущих версиях может быть добавлена поддержка других протоколов.
Действия, связанные с отправкой и получением данных через стек RDP, по сути, аналогичны стандартам семиуровневой модели OSI для распространенных сегодня сетей LAN. Данные от приложения или службы, которые необходимо передать, передаются через стеки протоколов. Они разделяются, направляются в канал (через MCS), шифруются, структурируются и упаковываются в сетевой протокол и, наконец, обрабатываются и отправляются клиенту по сети. Возвращение данных выполняется так же, только в обратном направлении. Пакет удаляется из адреса, а затем распаковывается, расшифровывается и т. д. Наконец, данные представляются приложению для использования. Основные части изменений стека протокола происходят между четвертым и седьмом уровнями, где данные являются:
Одним из ключевых моментов для разработчиков приложений является то, что при использовании RDP корпорация Майкрософт абстрагируется от сложностей работы со стеком протоколов. Это позволяет им создавать 32-разрядные продуманные, корректно написанные приложения. Затем стек RDP, реализованный сервером терминалов и его клиентскими подключениями, берет на себя остальные операции.
Дополнительные сведения о взаимодействии приложений на сервере терминалов и о том, что необходимо знать при разработке приложений для инфраструктуры Windows Terminal Server, см. в следующем техническом документе:
Оптимизация приложений для Windows NT Server 4.0, Terminal Server Edition
В составе стека RDP стоит рассмотреть четыре компонента:
MCSmux и GCC являются частью семейства T.120 Международного союза электросвязи (ITU). MCS состоит из двух стандартов:
По сути, MCSMux объединяет несколько стеков RDP в единую сущность с точки зрения GCC. GCC отвечает за управление этими каналами. GCC позволяет создавать и удалять сеансы подключения и управляет ресурсами, предоставляемыми MCS. Для каждого протокола сервера терминалов (в настоящее время поддерживаются только ICA Citrix и RDP) будет загружен экземпляр стека протоколов (стек прослушивателя, ожидающий запроса на подключение). Драйвер устройства сервера терминалов координирует действия протокола RDP и управляет ими. Он состоит из более мелких компонентов:
Протокол RDP был разработан для полной независимости от базового транспортного стека, в данном случае TCP/IP. Это обеспечивает возможность добавлять другие транспортные драйверы для других сетевых протоколов, которые по мере их роста могут понадобиться клиентам, без внесения значительных изменений в основные части протокола. Они являются ключевыми элементами производительности и расширяемости RDP в сети.
Протокол удаленного рабочего стола
Протокол Удаленный рабочий стол (Майкрософт) (RDP) предоставляет возможности удаленного отображения и ввода через сетевые подключения для приложений на основе Windows, работающих на сервере. Протокол RDP предназначен для поддержки различных типов сетевых топологий и нескольких протоколов локальной сети.
Этот раздел предназначен для разработчиков программного обеспечения. Если вы ищете сведения о пользователе для удаленного рабочего стола, см. раздел Windows поддержки. Если вы ищете информацию для ИТ-специалистов для удаленного рабочего стола, см. статью «Службы удаленных рабочих столов» в TechNet.
Базовая архитектура
Протоколы RDP основаны на семействе протоколов ITU T.120. RDP — это протокол с поддержкой нескольких каналов, который позволяет использовать отдельные виртуальные каналы для передачи данных об обмене данными об устройстве и презентации с сервера, а также зашифрованных данных клиентской мыши и клавиатуры. RDP предоставляет расширяемую базу и поддерживает до 64 000 отдельных каналов для передачи данных и подготовки для многоточечных передач.
На сервере RDP использует собственный видеодрайвер для отрисовки выходных данных, создав сведения о отрисовке в сетевые пакеты с помощью протокола RDP и отправив их по сети клиенту. На клиенте RDP получает данные отрисовки и интерпретирует пакеты в соответствующие вызовы API графического устройства Microsoft Windows (GDI). Для пути ввода события мыши и клавиатуры клиента перенаправляются с клиента на сервер. На сервере RDP использует собственную клавиатуру и драйвер мыши для получения этих событий клавиатуры и мыши.
В сеансе удаленного рабочего стола все переменные среды ( например, переменные, определяющие глубину цвета и фоновые рисунки, включение и отключение), определяются параметрами подключения RCP-Tcp. Это относится ко всем функциям и методам, которые задают переменные среды в справочнике по веб-подключению к удаленному рабочему столу и интерфейсе поставщика WMI служб удаленных рабочих столов.
Компоненты
Microsoft RDP включает следующие функции и возможности:
RDP использует шифр RC4 безопасности RSA, шифр потока, предназначенный для эффективного шифрования небольших объемов данных. RC4 предназначен для безопасного обмена данными по сетям. Администраторы могут шифровать данные с помощью 56-разрядного или 128-разрядного ключа.
Функции сокращения пропускной способности
RDP поддерживает различные механизмы для уменьшения объема данных, передаваемых по сетевому подключению. Механизмы включают сжатие данных, постоянное кэширование растровых изображений и кэширование глифов и фрагментов в ОЗУ. Постоянный кэш растровых изображений может существенно повысить производительность по сравнению с подключениями с низкой пропускной способностью, особенно при выполнении приложений, использующих большие растровые изображения.
Пользователь может вручную отключиться от сеанса удаленного рабочего стола без выхода из системы. Пользователь автоматически повторно подключается к отключенному сеансу, когда он входит в систему либо с того же устройства, либо с другого устройства. Если сеанс пользователя неожиданно завершается сбоем сети или клиента, пользователь отключается, но не выключается.
Сопоставление буфера обмена
Пользователи могут удалять, копировать и вставлять текст и графику между приложениями, работающими на локальном компьютере, и теми, которые выполняются в сеансе удаленного рабочего стола, а также между сеансами.
Приложения, работающие в сеансе удаленного рабочего стола, могут печатать на принтере, подключенном к клиентскому устройству.
Используя архитектуру виртуального канала RDP, существующие приложения можно дополнить, а новые приложения можно разрабатывать для добавления функций, требующих взаимодействия между клиентским устройством и приложением, работающим в сеансе удаленного рабочего стола.
Сотрудники службы поддержки компьютеров могут просматривать сеанс удаленного рабочего стола и управлять ими. Совместное использование входных данных и отображение графики между двумя сеансами удаленного рабочего стола позволяет пользователю поддержки диагностировать и устранять проблемы удаленно.
Балансировка сетевой нагрузки
RDP использует преимущества балансировки сетевой нагрузки (NLB), где это доступно.
Кроме того, RDP содержит следующие функции:
Протокол Remote Desktop. Архитектура и возможности
Данная статья открывает цикл статей, посвященных устройству и безопасности протокола RDP. В первой статье этого цикла анализируется устройство, использование и основные технологии, заложенные в данный протокол.
Автор: Сергей Рублев
Эксперт по информационной безопасности «Positive Technologies»
Данная статья открывает цикл статей, посвященных устройству и безопасности протокола RDP. В первой статье этого цикла анализируется устройство, использование и основные технологии, заложенные в данный протокол.
В следующих статьях будут подробно рассмотрены следующие вопросы:
История появления RDP
Протокол Remote Desktop создан компанией Microsoft для обеспечения удаленного доступа к серверам и рабочим станциям Windows. Протокол RDP рассчитан на использование ресурсов высокопроизводительного сервера терминалов многими менее производительными рабочими станциями. Впервые сервер терминалов (версия 4.0) появился в 1998 году в составе Windows NT 4.0 Terminal Server, на момент написания статьи (январь 2009 года) последней версией терминального сервера является версия 6.1, включенная в дистрибутивы Windows 2008 Server и Windows Vista SP1. В настоящее время RDP является основным протоколом удаленного доступа для систем семейства Windows, а клиентские приложения существуют как для OC от Microsoft, так и для Linux, FreeBSD, MAC OS X и др.
Говоря об истории появления RDP, нельзя не упомянуть компанию Citrix. Citrix Systems в 1990-х годах специализировалась на многопользовательских системах и технологиях удаленного доступа. После приобретения лицензии на исходные коды Windows NT 3.51 в 1995 году эта компания выпустила многопользовательскую версию Windows NT, известную как WinFrame. В 1997 году Citrix Systems и Microsoft заключили договор, по которому многопользовательская среда Windows NT 4.0 базировалась на технологических разработках Citrix. В свою очередь Citrix Systems отказалась от распространения полноценной операционной системы и получала право на разработку и реализацию расширений для продуктов Microsoft. Данные расширения изначально назывались MetaFrame. Права на ICA (Independent Computing Architecture), прикладной протокол взаимодействия тонких клиентов с сервером приложений Citrix, остались за Citrix Systems, а протокол Microsoft RDP строился на базе ITU T.120.
В настоящее время основная конкурентная борьба между Citrix и Microsoft разгорелась в области серверов приложений для малого и среднего бизнеса. Традиционно решения на базе Terminal Services выигрывают в системах с не очень большим количеством однотипных серверов и схожих конфигураций, в то время как Citrix Systems прочно обосновалась на рынке сложных и высокопроизводительных систем. Конкуренция подогревается выпуском облегченных решений для небольших систем компанией Citrix и постоянным расширением функционала Terminal Services со стороны Microsoft. [11]
Рассмотрим преимущества этих решений.
Сильные стороны Terminal Services:
Сильные стороны решений Citrix:
Устройство сети, использующей Terminal Services
Microsoft предполагает два режима использования протокола RDP:
RDP в режиме администрирования
RDP в режиме доступа к серверу терминалов
Данный режим доступен только в серверных версиях Windows. Количество удаленных подключений в данном случае не лимитируется, но требуется настройка сервера лицензий (License server) и его последующая активация. Сервер лицензий может быть установлен как на сервер терминалов, так и на отдельный сетевой узел. Возможность удаленного доступа к серверу терминалов открывается только после установки соответствующих лицензий на License server.
При использовании кластера терминальных серверов и балансировки нагрузки требуется установка специализированного сервера подключений (Session Directory Service). Данный сервер индексирует пользовательские сессии, что позволяет выполнять вход, а также повторный вход на терминальные серверы, работающие в распределенной среде. [5]
Принцип работы RDP
RDP поддерживает несколько виртуальных каналов в рамках одного соединения, которые могут использоваться для обеспечения дополнительного функционала:
Характеристики виртуальных каналов согласуются на этапе установки соединения.
Обеспечение безопасности при использовании RDP
Спецификация протокола RDP предусматривает использование одного из двух подходов к обеспечению безопасности:
Standard RDP Security
При данном подходе аутентификация, шифрование и обеспечение целостности реализуется средствами, заложенными в RDP- протокол. [1]
Аутентификация
Аутентификация сервера выполняется следующим образом:
Аутентификация клиента проводится при вводе имени пользователя и пароля.
Шифрование
В качестве алгоритма шифрования выбран потоковый шифр RC4. В зависимости от версии операционной системы доступны различные длины ключа от 40 до 168 бит.
Максимальная длина ключа для операционных систем Winodws:
При установке соединения после согласования длины генерируется два различных ключа: для шифрования данных от клиента и от сервера.
Целостность
Целостность сообщения достигается применением алгоритма генерации MAC (Message Authentication Code) на базе алгоритмов MD5 и SHA1.
Начиная с Windows 2003 Server, для обеспечения совместимости с требованиями стандарта FIPS (Federal Information Processing Standard) 140-1 возможно использование алгоритма 3DES для шифрования сообщений и алгоритма генерации MAC, использующего только SHA1, для обеспечения целостности. [15]
Enhanced RDP Security
В данном подходе используются внешние модули обеспечения безопасности:
При использовании TLS сертификат сервера можно генерировать средствами Terminal Sercives или выбирать существующий сертификат из хранилища Windows. [13][16]
Протокол CredSSP представляет собой совмещение функционала TLS, Kerberos и NTLM.
Рассмотрим основные достоинства протокола CredSSP:
Возможности CredSSP можно использовать только в операционных системах Windows Vista и Windows 2008 Server. Данный протокол включается флагом Use Network Level Authentication в настройках сервера терминалов (Windows 2008 Server) или в настройках удаленного доступа (Windows Vista). [14]
Схема лицензирования Terminal Services
При использовании RDP для доступа к приложениям в режиме тонкого клиента требуется настройка специализированного сервера лицензий.
Постоянные клиентские лицензии могут быть установлены на сервер только после прохождения процедуры активации, до ее прохождения возможна выдача временных лицензий, лимитированных по сроку действия. После прохождения активации серверу лицензий предоставляется цифровой сертификат, подтверждающий его принадлежность и подлинность. Используя этот сертификат, сервер лицензий может осуществлять последующие транзакции с базой данных Microsoft Clearinghouse и принимать постоянные клиентские лицензии для сервера терминалов. [6]
Виды клиентских лицензий:
Временная лицензия
Данный вид лицензии выдается клиенту при первом подключении к серверу терминалов, срок действия лицензии 90 дней. При успешном входе клиент продолжает работать с временной лицензией, а при следующем подключении сервер терминалов пробует заменить временную лицензию постоянной, при ее наличии в хранилище.
Лицензия «на устройство»
Эта лицензия выдается для каждого физического устройства, подключающегося к серверу приложения. Срок действия лицензии устанавливается случайным образом в промежутке от 52 до 89 дней. За 7 дней до окончания срока действия сервер терминалов пытается обновить лицензию с сервера лицензий при каждом новом подключении клиента.
Лицензия «на пользователя»
Лицензирование «на пользователя» обеспечивает дополнительную гибкость, позволяя пользователям подключаться с различных устройств. В текущей реализации Terminal Services нет средств контроля использования пользовательские лицензий, т.е. количество доступных лицензий на сервере лицензий не уменьшается при подключении новых пользователей. Использование недостаточного количества лицензий для клиентских подключений нарушает лицензионное соглашение с компанией Microsoft. Чтобы одновременно использовать на одном сервере терминалов клиентские лицензии для устройств и для пользователей, сервер должен быть настроен для работы в режиме лицензирования «на пользователя».
Лицензия для внешних пользователей
Это специальный вид лицензии, предназначенный для подключения внешних пользователей к корпоративному серверу терминалов. Данная лицензия не налагает ограничений на количество подключений, однако, согласно пользовательскому соглашению (EULA), сервер терминалов для внешних подключений должен быть выделенным, что не допускает его использования для обслуживания сессий от корпоративных пользователей. Из-за высокой цены данный вид лицензии не получил широкого распространения.
Для сервера лицензий может быть установлена одна из двух ролей:
Перспективные технологии Terminal Services
Решения для серверов приложений активно продвигаются компанией Microsoft, расширяется функционал, вводятся дополнительные модули. Наибольшее развитие получили технологии, упрощающие установку приложений и компоненты, отвечающие за работу сервера терминалов в глобальных сетях. [5]
В Terminal Services для Windows 2008 Server введены следующие возможности:
Литература
Об авторе:
Сергей Рублев закончил МГТУ им. Баумана. Эксперт в области криптографии и протоколов защищенного обмена данными. В компании Positive Technologies специализируется на анилизе уязвимостей в сетевых службах и разработке расширений к сканерам XSpider и MaxPatrol 8.
Что такое удаленный рабочий стол
Удалённый рабочий стол — это технология, позволяющая на расстоянии управлять ПК или сервером через интернет. Принцип работы заключается в предоставлении административных прав одному устройству (клиенту) для управления другим (сервером).
Для установки соединения с сервером можно использовать практически любое устройство – компьютер, ноутбук, планшет или даже смартфон. Возможность подключения практически с любого девайса доступна, благодаря работе всех процессов на удаленной станции, которые не нагружают устройство клиента. При этом пользователь получает изображение с подключенного ПК и свободно управляет системой.
При работе на удалённом компьютере любая информация не выходит за пределы подключенного сервера и не сохраняется на пользовательском устройстве, что снижает риск кражи данных до минимума. Эта технология также незаменима для тех, кто работает вдали от офиса, так как исключает вероятность утраты информации, в случае повреждения или потери оборудования.
О том, что представляет собой технология удаленного рабочего стола, как она реализуется практически, расскажем в этой статье.
Инфраструктура удаленных рабочих столов
Соединение с удаленным компьютером выполняется при помощи технологии RDP (Remote Desktop Protocol, «Протокол удаленного рабочего стола»), разработанный компанией Microsoft. По умолчанию для работы задействован 3389 порт TCP или UDP, который пользователь может изменить при настройке ПО.
Комплект программ для RDP
Начиная с Windows XP, RDP сервер установлен в систему по умолчанию. В качестве RDP клиента для ОС Windows рекомендуется использовать встроенную бесплатную утилиту Windows Remote Desktop Connection.
Во время подключения к удаленному рабочему столу пользовательское устройство работает в режиме «тонкого клиента». Экран девайса играет роль «телевизора» и передаёт картинку с удаленного компьютера. При этом RDP сервер принимает нажатия клавиш клавиатуры и движение мышью, что позволяет пользователю полноценно работать с системой.
Аналоги для Unix систем
Для удаленного доступа к ОС на базе Unix/Linux рекомендуется использовать систему VNC (Virtual Network Computing), работающую через клиент-серверный протокол RFB (Remote Framebuffer).
Если предпочтение отдается именно протоколу RDP, то можно воспользоваться аналогичным RDP сервером для Linux – XRDP.
Примечание. Не рекомендуется устанавливать соединение через протокол RDP с операционной системы Linux для подключения к Windows и наоборот. Это грозит потерей производительности и может стать причиной возникновения визуальных ошибок (изменение фона рабочего стола или неправильное отображение шрифтов).
Также для удаленного управления системой можно использовать программу TeamViewer с бесплатной лицензией для некоммерческого использования. Программа доступна для большинства ОС, включая Windows, Linux и MacOS.
Как организовать удаленные рабочие столы
Основной протокол для управления удаленным рабочим столом RDP может быть реализован с помощью двух решений:
Терминальный сервер (RDS)
RDS (Remote Desktop Services) – служба удаленного управления терминальным сервером, позволяющая подключится сразу нескольким пользователям к удаленному устройству. Служба RDS разработана компанией Microsoft и по умолчанию установлена на системах Windows Server 2003 и новее.
Для создания удаленного рабочего стола на Linux системе, можно использовать аналог RDS – LTSP.
Преимущества RDS
Недостатки RDS
Отдельная виртуальная машина (VDI)
VDI (Virtual Desktop Infrastructure – «инфраструктура виртуальных рабочих столов») – технология, применяющаяся для создания удалённого рабочего места под одного пользователя. В итоге пользователь получает полноценную систему с правами администратора и полным контролем файлов.
При настройке удаленного рабочего стола, сервер VDI может быть установлен как поверх основной операционной системы, так и на «чистой» виртуальной машине (Hyper-V, VMware Workstation и др.). Последний вариант подразумевает размещение нескольких пользователей на одном мощном сервере.
Чаще всего инфраструктуру VDI выбирают компании, благодаря высокой безопасности при работе с финансовыми и личными данными.
Преимущества VDI
Недостатки VDI
Способы реализации удаленных рабочих столов
Рабочий стол как услуга (DaaS)
Это полностью готовый к работе мощный виртуальный компьютер, развернутый на терминальном сервере. Система поставляется со всем необходимым ПО для начала работы. Чтобы арендовать удаленный рабочий стол нужно воспользоваться услугами, которые предоставляет облачный провайдер, работающий по модели DaaS (Desktop as a Service – «рабочий стол как услуга»).
Для управления рабочим местом человек может подключиться к серверу через интернет и управлять системой как обычным компьютером. При работе на виртуальном рабочем столе, все данные размещаются на удаленном хранилище и многократно резервируются.
Преимущества
Недостатки
Организация удаленной работы
Виртуальный рабочий стол – готовая услуга, поставляемая по модели DaaS. Многие провайдеры, работающие с этой структурой, предоставляют пробный период, в течение которого пользователь может испытать весь функционал.
Арендуя виртуальный рабочий стол, не придется беспокоиться об активации ПО, так как провайдер предоставляет лицензии для предустановленных программ и системы Windows. Перед арендой указывается периодичность резервного копирования данных для восстановления информации в случае сбоя системы.
Рекомендуется предварительно собрать подробную информацию о нескольких провайдерах DaaS на рынке и выбрать подходящего по соответствующим критериям. Важные моменты, требующие внимания при выборе поставщика услуги DaaS будут рассмотрены далее.
Как выбрать DaaS-провайдера
При выборе провайдера DaaS нужно обратить внимание на ряд важных моментов.
Нужен надежный поставщик услуги DaaS? Выбирайте сервис нашего партнера — Deskon. Мощное и безопасное удаленное рабочее место станет залогом продуктивной работы для любого сотрудника «на удаленке».
Собственный сервер
Выделение ПК или сервера для дальнейшего использования в качестве удаленного рабочего стола. Важно понимать, что придется тратить значительное количество времени на правильную настройку и обновления операционной системы.
Чаще всего локальная сеть на предприятии создается на базе физических серверов. Это позволяет организовать связь между рабочими машинами сотрудников без интернета.
Преимущества
Недостатки
Как организовать удаленный рабочий стол самостоятельно
В приведенном ниже примере рассмотрим наиболее популярный вариант ПО для создания удаленных рабочих столов — Windows Server и RDP (RDS).
Запуск RDP сервера
Запустить службу RDP на операционной системе Windows Server можно, следуя следующему алгоритму.
Примечание. После включения функции компьютер становится доступен в сети по IP адресу. Для аутентификации используется имя и пароль пользователя на сервере, поэтому рекомендуется заранее установить надежные аутентификационные данные, обезопасив систему от несанкционированного проникновения.
Инструкция рассмотрена на примере Windows Server 2012. Для других версий ОС действия строятся по аналогичному алгоритму.
Подключение к удаленному рабочему столу
Для подключения к созданному рабочему месту всех ОС Windows можно пользоваться следующим алгоритмом:
Если все предыдущие действия были выполнены правильно, на экране появится рабочий стол удаленного компьютера. Для подключения с устройств на базе Linux, MacOS или Android потребуется скачать аналогичный RDP-клиент.
Сфера применения
Компании
Частные пользователи
Заключение
Удаленный рабочий стол стал важнейшим инструментом технического обеспечения для предприятий практически любой сферы и размера. Это наиболее эффективное и безопасное средство создание удаленного рабочего места для отдельного сотрудника или коллектива в целом.
Сегодня все больше компаний выбирают реализацию удаленного рабочего стола как услуги «под ключ». Это позволяет оперативно обеспечить сотрудников производительными ПК без капитальных вложений в собственную IT-инфраструктуру. Провайдер, поставляющий виртуальные рабочие столы по модели DaaS, сам решает вопросы с обслуживанием и безопасностью рабочего оборудования.
Что такое RDP
RDP (Remote Desktop Protocol) это протокол удалённого рабочего стола, развиваемый Microsoft, используется для удаленной работы с компьютером. Несмотря на то, что традиционно в продуктах Microsoft регулярно находят уязвимости, а серверы Windows редко подключают на публично доступные из интернет адреса, RDP используется повсеместно, негативных отзывов мало. В целом, RDP крайне удобный инструмент для периодической или регулярной работы на удаленных компьютерах.
RDP позволяет работать с удаленным компьютером, почти как с локальным. Двигать мышкой, открывать файлы, диски, документы, программы, печатать с удаленного комьютера, без проблем использует буфер обмена (Ctrl+C, Ctrl+V ;)) не только для текста, но и для файлов. Причем если у вас открыто больше одного окна RDP, можно скопировать файл в одном окне RDP и вставить его в другом окне RDP. Отлично работает передача сочетаний клавиш, переключения языков.
Плюсы
Минусы
Как видно, плюсы и минусы во многом перекрываются, в зависимости от того, что вам нужно, что-то может быть как минуом, так и плюсом.
Как подключиться к компьютеру по RDP?
Стандартно, сервер RDP работает на порте 3389. Соотвественно, чтобы подключиться к удаленному компьютеру, вам нужно знать его IP-адрес. Если удаленный компьютер в одной с вами сети, то вероятно, доступ к 3389 порту RDP у вас будет сразу. Но если нет, надо разрешить на удаленном компьтере входящие соединения на порт 3389.
Разрешить подключаться по RDP к компьютеру:
В Windows 7: Пуск > Настройка > Панель управления > Система и безопасность > Система > Настройка удаленного доступа. Выбрать, каким пользователям можно подключаться к вашему компьютеру.
В Windows 10: Пуск > Параметры > Система > Удаленный рабочий стол. Включить и выбрать пользователей.
Или Win+R > SystemPropertiesRemote
Нужны права администратора!
Если удаленный компьютер не в вашей сети, то скорее всего доступ к порту 3389 будет закрыт. Если сервер RDP находится в другой сети за маршрутизатором, надо сделать проброс (переадресацию) портов на машрутизаторе (пример настроки проброса RDP на mikrotik), если сервер подключен к интернет на публичном IP-адресе, то надо разрешить входящие подключения на порт 3389.
Если после разрешения доступа к RDP вы все еще не можете подключиться, попробуйте временно отключить firewall Windows:
> NetSh Advfirewall set allprofiles state off
ВНИМАНИЕ! Вы должны десять раз подумать, перед тем, как открывать доступ к RDP (и вообще, к любым службам) в интернет. Вероятность, что именно вас ищут хакеры, минимальная. Но постоянно идет автоматическое сканирование всех доступных в интернет адресов по принципу «а вдруг повезет». А когда открытый порт RDP «засветится», то вот здесь уже могут попытаться подобрать пароль или использовать уязвимость в сервере RDP. Если вы, как клиент RDP, знаете свой публичный IP-адрес, может быть очень хорошей идеей разрешить на сервере подключения к 3389 только с вашего IP-адреса. Впрочем, вопросы защиты RDP в этой статье не рассматриваются, поэтому просто имейте ввиду, что если ваш товарищ попросил вас открыть для него RDP доступ к вашему компьютеру, вы должны продумать свою безопасность.
Клиент RDP
В MacOS это программа Microsoft Remote Desktop, работает вполне достойно.
Ускорить RDP
При желании или необходимости, можно пробовать немного ускорить работу по RDP. Например, настроив размер окна tcp-соединения на сервере. Если кратно, то чем больше размер окна, тем быстрее передаются файлы, зато если размер окна меньше, то увеличивается скорость реакции на движения мыши, отклик удаленной машины лучше.
Как настроить удалённый доступ через RDP
Что такое RDP?
Наверняка, многие из вас уже слышали и видели эту аббревиатуру – дословно переводится она, как Протокол удалённого рабочего стола (Remote Desktop Protocol). Если кого-то интересуют технические тонкости работы этого протокола прикладного уровня – могут почитать литературу, начиная с той же самой википедии. Мы же рассмотрим чисто практические аспекты. А именно тот, что данный протокол позволяет удалённо подключаться к компьютерам, под управлением Windows различных версий с использованием встроенного в Windows инструмента «Подключение к удалённому рабочему столу».
Какие плюсы и минусы в использовании протокола RDP?
Начнём с приятного – с плюсов. Плюс состоит в том, что этот инструмент, который правильней называть Клиентом RDP, доступен любому пользователю Windows как на компьютере, с которого предстоит управлять удалённым, так и тому, кто хочет к своему компьютеру удалённый доступ открыть.
Через подключение к удалённому рабочему столу возможно не только видеть удалённый рабочий стол и пользоваться ресурсами удалённого компьютера, так и подключать к нему локальные диски, принтеры, смарткарты и т.п. Конечно, если вы захотите посмотреть видео или послушать музыку через RDP – вряд ли этот процесс доставит вам удовольствие, т.к. в большинстве случаев вы увидите слайд шоу, и звук скорей всего будет прерываться. Но, не под эти задачи разрабатывалась служба RDP.
Ещё одним несомненным плюсом является то, что подключение к компьютеру осуществляется безо всяких дополнительных программок, которые в большинстве своём платные, хотя и имеют свои достоинства. Время доступа к RDP-серверу (которым и является ваш удалённый компьютер) ограничивается лишь вашим желанием.
Минусов всего два. Один существенный, другой – не очень. Первый и существенный – для работы с RDP компьютер, к которому осуществляется подключение, должен иметь белый (внешний) IP, либо на этот компьютер должна быть возможность «пробросить» порт с маршрутизатора, который опять же должен иметь внешний IP. Статическим он будет или динамическим – значения не имеет, но он должен быть.
Второй минус – не такой существенный – последние версии клиента перестали поддерживать 16-цветную цветовую схему. Минимум – 15бит. Это сильно замедляет работу по RDP, когда вы подключаетесь по чахлому-дохлому интернету со скоростью, не превышающей 64 килобита в секунду.
Для чего можно использовать удалённый доступ по RDP?
Организации, как правило, используют RDP-сервера для совместной работы в программе 1С. А некоторые, даже, разворачивают на них рабочие места пользователей. Таким образом, пользователь, особенно, если у него разъездная работа, может при наличии 3G интернета или отельного/кафешного Wi-Fi – подключаться к своему рабочему месту удалённо и решать все вопросы.
В некоторых случаях домашние пользователи могут использовать удалённый доступ к своему домашнему компьютеру, чтобы получить какие-то данные с домашних ресурсов. В принципе, служба удалённого рабочего стола позволяет полноценно работать с текстовыми, инженерными и графическими приложениями. С обработкой видео и звука по вышеприведённым причинам – работать не получится, но всё равно – это очень существенный плюс. А ещё можно на работе просматривать закрытые политикой компании ресурсы, подключившись к домашнему компьютеру безо всяких анонимайзеров, vpn и прочей нечисти.
Подготавливаем интернет
В предыдущем разделе мы говорили о том, что для обеспечения возможности удалённого доступа по протоколу RDP нам необходим внешний IP-адрес. Этот сервис может обеспечить провайдер, поэтому звоним или пишем, или заходим в личный кабинет и организовываем предоставление этого адреса. В идеале он должен быть статический, но и с динамическим, в принципе, можно жить.
Если кому-то не понятна терминология, то статический адрес – это постоянный, а динамический – время от времени меняется. Для того, чтобы полноценно работать с динамическими IP-адресами придумали различные сервисы, которые обеспечивают привязку динамического домена. Что и как, скоро будет статья на эту тему.
Подготавливаем роутер
Подготавливаем компьютер
Для того, чтобы создать возможность удалённого подключения к компьютеру, необходимо сделать ровно две вещи:
— разрешить подключение в Свойствах Системы;
— задать пароль для текущего пользователя (если он не имеет пароля), либо создать нового пользователя с паролем специально для подключения по RDP.
Как поступать с пользователем – решайте сами. Однако, имейте ввиду, что штатно не серверные операционные системы не поддерживают множественный вход. Т.е. если вы залогинились под собой локально (консольно), а потом зайдёте под тем же пользователем удалённо – локальный экран заблокируется и сеанс на том же самом месте откроется в окне Подключения к удалённому рабочему столу. Введёте пароль локально, не выйдя из RDP – вас выкинет из удалённого доступа, и вы увидите текущий экран на своём локальном мониторе. Тоже самое вас ждёт, если вы зайдёте консольно под одним пользователем, а удалённо попытаетесь зайти под другим. В этом случае система предложит завершить сеанс локального пользователя, что не всегда может быть удобно.
Итак, заходим в Пуск, щёлкаем правой кнопкой по меню Компьютер и нажимаем Свойства.
В свойствах Системы выбираем Дополнительные параметры системы
В открывшемся окне переходим на вкладку Удалённый доступ…
И ставим единственную галку на этой странице.
Это «домашняя» версия Windows 7 – у кого Pro и выше, будет больше флажков и возможно сделать разграничение доступа.
Нажимаем ОК везде.
Теперь, вы можете зайти в Подключение к удалённому рабочему столу (Пуск>Все программы>Стандартные), вбить туда IP-адрес компьютера, либо имя, если хотите подключиться к нему из своей домашней сети и пользоваться всеми ресурсами.
Вот так. В принципе, всё просто. Если вдруг будут какие-то вопросы или что-то останется непонятным – добро пожаловать в комментарии.
Протокол Remote Desktop. Архитектура и возможности
Данная статья открывает цикл статей, посвященных устройству и безопасности протокола RDP. В первой статье этого цикла анализируется устройство, использование и основные технологии, заложенные в данный протокол.
Автор: Сергей Рублев
Эксперт по информационной безопасности «Positive Technologies»
Данная статья открывает цикл статей, посвященных устройству и безопасности протокола RDP. В первой статье этого цикла анализируется устройство, использование и основные технологии, заложенные в данный протокол.
В следующих статьях будут подробно рассмотрены следующие вопросы:
История появления RDP
Протокол Remote Desktop создан компанией Microsoft для обеспечения удаленного доступа к серверам и рабочим станциям Windows. Протокол RDP рассчитан на использование ресурсов высокопроизводительного сервера терминалов многими менее производительными рабочими станциями. Впервые сервер терминалов (версия 4.0) появился в 1998 году в составе Windows NT 4.0 Terminal Server, на момент написания статьи (январь 2009 года) последней версией терминального сервера является версия 6.1, включенная в дистрибутивы Windows 2008 Server и Windows Vista SP1. В настоящее время RDP является основным протоколом удаленного доступа для систем семейства Windows, а клиентские приложения существуют как для OC от Microsoft, так и для Linux, FreeBSD, MAC OS X и др.
Говоря об истории появления RDP, нельзя не упомянуть компанию Citrix. Citrix Systems в 1990-х годах специализировалась на многопользовательских системах и технологиях удаленного доступа. После приобретения лицензии на исходные коды Windows NT 3.51 в 1995 году эта компания выпустила многопользовательскую версию Windows NT, известную как WinFrame. В 1997 году Citrix Systems и Microsoft заключили договор, по которому многопользовательская среда Windows NT 4.0 базировалась на технологических разработках Citrix. В свою очередь Citrix Systems отказалась от распространения полноценной операционной системы и получала право на разработку и реализацию расширений для продуктов Microsoft. Данные расширения изначально назывались MetaFrame. Права на ICA (Independent Computing Architecture), прикладной протокол взаимодействия тонких клиентов с сервером приложений Citrix, остались за Citrix Systems, а протокол Microsoft RDP строился на базе ITU T.120.
В настоящее время основная конкурентная борьба между Citrix и Microsoft разгорелась в области серверов приложений для малого и среднего бизнеса. Традиционно решения на базе Terminal Services выигрывают в системах с не очень большим количеством однотипных серверов и схожих конфигураций, в то время как Citrix Systems прочно обосновалась на рынке сложных и высокопроизводительных систем. Конкуренция подогревается выпуском облегченных решений для небольших систем компанией Citrix и постоянным расширением функционала Terminal Services со стороны Microsoft. [11]
Рассмотрим преимущества этих решений.
Сильные стороны Terminal Services:
Сильные стороны решений Citrix:
Устройство сети, использующей Terminal Services
Microsoft предполагает два режима использования протокола RDP:
RDP в режиме администрирования
RDP в режиме доступа к серверу терминалов
Данный режим доступен только в серверных версиях Windows. Количество удаленных подключений в данном случае не лимитируется, но требуется настройка сервера лицензий (License server) и его последующая активация. Сервер лицензий может быть установлен как на сервер терминалов, так и на отдельный сетевой узел. Возможность удаленного доступа к серверу терминалов открывается только после установки соответствующих лицензий на License server.
При использовании кластера терминальных серверов и балансировки нагрузки требуется установка специализированного сервера подключений (Session Directory Service). Данный сервер индексирует пользовательские сессии, что позволяет выполнять вход, а также повторный вход на терминальные серверы, работающие в распределенной среде. [5]
Принцип работы RDP
RDP поддерживает несколько виртуальных каналов в рамках одного соединения, которые могут использоваться для обеспечения дополнительного функционала:
Характеристики виртуальных каналов согласуются на этапе установки соединения.
Обеспечение безопасности при использовании RDP
Спецификация протокола RDP предусматривает использование одного из двух подходов к обеспечению безопасности:
Standard RDP Security
При данном подходе аутентификация, шифрование и обеспечение целостности реализуется средствами, заложенными в RDP- протокол. [1]
Аутентификация
Аутентификация сервера выполняется следующим образом:
Аутентификация клиента проводится при вводе имени пользователя и пароля.
Шифрование
В качестве алгоритма шифрования выбран потоковый шифр RC4. В зависимости от версии операционной системы доступны различные длины ключа от 40 до 168 бит.
Максимальная длина ключа для операционных систем Winodws:
При установке соединения после согласования длины генерируется два различных ключа: для шифрования данных от клиента и от сервера.
Целостность
Целостность сообщения достигается применением алгоритма генерации MAC (Message Authentication Code) на базе алгоритмов MD5 и SHA1.
Начиная с Windows 2003 Server, для обеспечения совместимости с требованиями стандарта FIPS (Federal Information Processing Standard) 140-1 возможно использование алгоритма 3DES для шифрования сообщений и алгоритма генерации MAC, использующего только SHA1, для обеспечения целостности. [15]
Enhanced RDP Security
В данном подходе используются внешние модули обеспечения безопасности:
При использовании TLS сертификат сервера можно генерировать средствами Terminal Sercives или выбирать существующий сертификат из хранилища Windows. [13][16]
Протокол CredSSP представляет собой совмещение функционала TLS, Kerberos и NTLM.
Рассмотрим основные достоинства протокола CredSSP:
Возможности CredSSP можно использовать только в операционных системах Windows Vista и Windows 2008 Server. Данный протокол включается флагом Use Network Level Authentication в настройках сервера терминалов (Windows 2008 Server) или в настройках удаленного доступа (Windows Vista). [14]
Схема лицензирования Terminal Services
При использовании RDP для доступа к приложениям в режиме тонкого клиента требуется настройка специализированного сервера лицензий.
Постоянные клиентские лицензии могут быть установлены на сервер только после прохождения процедуры активации, до ее прохождения возможна выдача временных лицензий, лимитированных по сроку действия. После прохождения активации серверу лицензий предоставляется цифровой сертификат, подтверждающий его принадлежность и подлинность. Используя этот сертификат, сервер лицензий может осуществлять последующие транзакции с базой данных Microsoft Clearinghouse и принимать постоянные клиентские лицензии для сервера терминалов. [6]
Виды клиентских лицензий:
Временная лицензия
Данный вид лицензии выдается клиенту при первом подключении к серверу терминалов, срок действия лицензии 90 дней. При успешном входе клиент продолжает работать с временной лицензией, а при следующем подключении сервер терминалов пробует заменить временную лицензию постоянной, при ее наличии в хранилище.
Лицензия «на устройство»
Эта лицензия выдается для каждого физического устройства, подключающегося к серверу приложения. Срок действия лицензии устанавливается случайным образом в промежутке от 52 до 89 дней. За 7 дней до окончания срока действия сервер терминалов пытается обновить лицензию с сервера лицензий при каждом новом подключении клиента.
Лицензия «на пользователя»
Лицензирование «на пользователя» обеспечивает дополнительную гибкость, позволяя пользователям подключаться с различных устройств. В текущей реализации Terminal Services нет средств контроля использования пользовательские лицензий, т.е. количество доступных лицензий на сервере лицензий не уменьшается при подключении новых пользователей. Использование недостаточного количества лицензий для клиентских подключений нарушает лицензионное соглашение с компанией Microsoft. Чтобы одновременно использовать на одном сервере терминалов клиентские лицензии для устройств и для пользователей, сервер должен быть настроен для работы в режиме лицензирования «на пользователя».
Лицензия для внешних пользователей
Это специальный вид лицензии, предназначенный для подключения внешних пользователей к корпоративному серверу терминалов. Данная лицензия не налагает ограничений на количество подключений, однако, согласно пользовательскому соглашению (EULA), сервер терминалов для внешних подключений должен быть выделенным, что не допускает его использования для обслуживания сессий от корпоративных пользователей. Из-за высокой цены данный вид лицензии не получил широкого распространения.
Для сервера лицензий может быть установлена одна из двух ролей:
Перспективные технологии Terminal Services
Решения для серверов приложений активно продвигаются компанией Microsoft, расширяется функционал, вводятся дополнительные модули. Наибольшее развитие получили технологии, упрощающие установку приложений и компоненты, отвечающие за работу сервера терминалов в глобальных сетях. [5]
В Terminal Services для Windows 2008 Server введены следующие возможности:
Литература
Об авторе:
Сергей Рублев закончил МГТУ им. Баумана. Эксперт в области криптографии и протоколов защищенного обмена данными. В компании Positive Technologies специализируется на анилизе уязвимостей в сетевых службах и разработке расширений к сканерам XSpider и MaxPatrol 8.
Национальная библиотека им. Н. Э. Баумана
Bauman National Library
Персональные инструменты
RDP (Remote Desktop Protocol)
RDP (англ. Remote Desktop Protocol ) предоставляет возможности удаленного отображения и ввода через сетевые соединения для приложений на базе Microsoft Windows, работающих на сервере. RDP предназначен для поддержки различных типов сетевых топологий и множества протоколов локальных сетей.
Содержание
Базовая архитектура
Особенности
Microsoft RDP включает в себя следующие особенности и возможности:
Шифрование
RDP использует RC4 шифр RSA Security, потоковый шифр, предназначенный для эффективного шифрования небольших объемов данных. RC4 предназначен для безопасной связи в сетях. Администраторы могут выбрать для шифрования данных 56- или 128-битный ключ.
Функции уменьшения полосы пропускания
RDP поддерживает различные механизмы, позволяющие уменьшить объем данных, передаваемых по сети. Механизмы включают в себя сжатие данных, постоянное кэширование растровых изображений, и кэширование пиктограмм и фрагментов в оперативной памяти. Постоянный кэш растрового изображения может обеспечить существенное улучшение производительности в условиях низкой пропускной способности, особенно при запуске приложений, которым необходимо широкое использование больших растровых изображений.
Отключение
Пользователь может вручную отключиться от сеанса удаленного рабочего стола без выхода из системы. Пользователь автоматически переподключается к отключенному сеансу, когда он снова входит в систему, либо из того же самого устройства или из другого устройства. Когда сеанс пользователя неожиданно завершается сбоем сети или клиента, пользователь отключается, но выход из системы не происходит.
Использование буфера обмена
Пользователи могут удалять, копировать и вставлять текст и графику между приложениями, запущенными на локальном компьютере, работающими в удаленном сеансе рабочего стола, и находящимися в разных сессиях.
Перенаправление печати
Приложения, работающие в рамках сеанса удаленного рабочего стола, могут использовать для печати принтер, подключенный к устройству клиента.
Виртуальные каналы
Используя RDP архитектуру виртуального канала, уже существующие приложения могут быть дополнены и новые приложения могут быть разработаны таким образом, чтобы было возможно добавлять новые функции, которые требуют обмена данными между клиентским устройством и приложением, работающим в удаленном сеансе рабочего стола.
Удаленное управление
Персонал службы поддержки может просматривать и управлять сеансом удаленного рабочего стола. Совместное использование ввода и отображения графики между двумя сеансами удаленного рабочего стола дает службе поддержки способность диагностировать и решать проблемы удаленно.
Балансировка сетевой нагрузки
RDP использует преимущества балансировки сетевой нагрузки (NLB), если таковые имеются.
Кроме того, RDP содержит следующие функции:
Конфигурирование RDP
Windows
Remote Desktop Connection
Доступны три опции под пунктом «Удаленный рабочий стол»:
Теперь можно нажать «ОК», и клиенты смогут войти в ваш компьютер через Remote Desktop Connection, используя учетные данные для пользователей группы администраторов.
Если служба ролей узла сеанса удаленного рабочего стола не установлена на компьютере, количество подключений ограничено максимум двумя одновременными подключениями к этому компьютеру.
Windows Server
Remote Desktop Services
Установка RDS (Remote Desktop Services; пошаговая установка):
Remote Desktop Licensing (RD Licensing), бывший Terminal Services Licensing (TS Licensing), управляет лицензиями доступа клиентов служб удаленного рабочего стола (RDS CAL), которые необходимы для каждого устройства или пользователя для подключения к серверу узла сеанса удаленного рабочего стола (RD Session Host). RD Licensing используется для установки, выпуска и отслеживания доступности лицензий RDS CAL на сервере лицензий удаленного рабочего стола.
Когда клиент — либо пользователь, либо устройство — подключается к серверу узла сеанса удаленного рабочего стола, сервер определяет, нужна ли лицензия RDS CAL. Сервер узла сеанса удаленного рабочего стола затем запрашивает RDS CAL из сервера лицензий удаленного рабочего стола от имени клиента, пытающегося подключиться к серверу узла сеанса удаленного рабочего стола. Если подходящая RDS CAL доступна на сервере лицензий, RDS CAL выдается клиенту, и клиент может подключаться к серверу узла сеанса удаленного рабочего стола.
Чтобы изменить число одновременных удаленных соединений разрешенный для подключения:
Если опция максимума соединений выбрана и отображается серым цветом, значит включена установка групповой политики лимита подключений и применена на сервере узла сеанса удаленного рабочего стола. Вы можете также установить максимальное число разрешенных одновременных подключений, применяя установку групповой политики лимита числа подключений. Эта установка групповой политики находится в Конфигурация компьютера\Политики\Административные шаблоны\Компоненты Windows\Службы удаленного рабочего стола\Узел сеанса удаленного рабочего стола\Соединения и может быть изменена с помощью редактора локальных групповых политик или консоли управления групповыми политиками (GPMC). Установка групповой политики имеет преимущество над установкой, примененной в конфигурации узла сеанса удаленного рабочего стола.
Что такое RDP (протокол удаленного рабочего стола) и как его использовать
RDP, что означает протокол удаленного рабочего стола, — это протокол, разработанный Microsoft, целью которого является предоставление конечным пользователям графического интерфейса пользователя (GUI), который помогает им подключаться к другим компьютерам или устройствам по сети.
Сервер RDP должен быть развернут на устройстве, к которому необходимо получить доступ, в то время как часть контроллера должна использовать клиент RDP, соответствующий серверу. В то время как клиентские приложения более разнообразны и бывают разных видов, серверы RDP имеют немного более строгие ограничения.
Что такое RDP?
У RDP было (и есть) много имен, но по сути это одно и то же. Пользователи могут использовать его для управления удаленным компьютером на расстоянии через Интернет-соединение, используя свои физические устройства ввода, которые используются совместно с удаленным компьютером.
Краткая история RDP
В Windows NT 4.0 Terminal Server Edition была предпринята первая попытка доступа к удаленному рабочему столу, когда функция Terminal Server была реализована в этой редакции операционной системы NT 4.0.
Windows 2000 ознаменовала момент, когда служба была переименована в Terminal Services и стала необязательным компонентом в семействе ОС Windows NT. Функция служб терминалов была окончательно переименована в службы удаленных рабочих столов (RDS) в 2009 году с Windows Server 2008 R2.
Однако клиент подключения к удаленному рабочему столу начал включаться по умолчанию в операционные системы намного раньше, чем в 2009 году. Начиная с Windows XP (2001), каждая редакция Windows включала предустановленный клиент RDP.
В настоящее время RDP прошел долгий путь и предоставляет нам беспрепятственный доступ к удаленному рабочему столу, повышенную безопасность и многочисленные функции, связанные с доступностью, производительностью и совместимостью.
Как использовать RDP в Windows?
Как мы уже упоминали ранее, Windows имеет встроенные функции RDP. Однако это не означает, что функции удаленного доступа к рабочему столу включены по умолчанию, поскольку они также могут представлять угрозу безопасности, учитывая, что их неправильная настройка может предоставить злоумышленникам доступ к вашей системе.
Имея это в виду, ознакомьтесь с приведенными ниже шагами и узнайте, как включить RDP на вашем ПК с Windows:
Нажмите клавишу Win на клавиатуре
Нажмите кнопку в виде шестеренки в меню «Пуск».
Выберите категорию системы
Прокрутите вниз (при необходимости) на левой панели
Нажмите кнопку удаленного рабочего стола.
Установите переключатель Включить удаленный рабочий стол в положение Вкл.
Завершите процесс включения RDP, нажав кнопку «Подтвердить».
Поздравляем, теперь у вас должен быть RDP-доступ к вашему компьютеру. Однако обратите внимание, что описанные выше шаги должны обеспечивать удаленный доступ только в локальной сети.
Следовательно, если вы хотите предоставить другим право взаимодействовать с вашим ПК на расстоянии, вам необходимо выполнить ряд дополнительных шагов по настройке.
Предполагая, что вы уже включили RDP-доступ к своему компьютеру, щелкните гиперссылку «Выбрать пользователей, которые могут удаленно обращаться к этому компьютеру» в том же окне, которое мы описали выше.
Теперь вы должны увидеть пустой список с быстрой проверкой статуса, сообщающий вам, что ваша текущая учетная запись уже имеет доступ к удаленному рабочему столу. Вы можете нажать кнопку «Добавить» и найти на своем компьютере других пользователей, которым вы хотите предоставить права RDP.
Обратите внимание: если на ПК есть только одна учетная запись (ваша) и вы хотите предоставить доступ другим, вам придется либо создать новые учетные записи пользователей для использования RDP, либо поделиться своими учетными данными с другими, что не рекомендуется.
Как включить RDP через Интернет
Использование брандмауэра Windows
Нажмите клавишу Win на клавиатуре
Тип брандмауэра
Выберите брандмауэр Защитника Windows в режиме повышенной безопасности.
Перейдите в раздел Правила для входящих подключений
Прокрутите вниз и найдите Remote Desktop — User Mode (TCP-In).
Щелкните его правой кнопкой мыши и выберите Свойства.
Установите флажок Включено
Нажмите кнопку ОК
Использование переадресации портов
Запустите ваш веб-браузер
Направляйтесь к шлюзу вашего роутера (обычно это http://192.168.0.1/ или же http://192.168.1.1/ )
Зайдите в раздел Port Forwarding (некоторые маршрутизаторы называют это NAT forwarding)
Создайте новое правило переадресации портов для TCP-порта 3389
Привяжите правило к внутреннему IP-адресу вашего ПК (введите ipconfig в CMD, чтобы найти свой внутренний IP-адрес)
Обратите внимание, что если у вас динамический IP-адрес, он будет постоянно меняться, а это значит, что вам придется каждый раз менять настройки переадресации портов на вашем маршрутизаторе.
Однако вы также можете использовать динамические службы DNS, которые предоставят вам домен, автоматически обнаружат любое изменение IP-адреса в вашей системе и привяжут IP-адрес (независимо от того, сколько раз он меняется) с этим доменом.
Как подключиться к машине RDP в Windows
Нажмите клавишу Win на клавиатуре
Тип удаленный
Выберите подключение к удаленному рабочему столу
Введите имя хоста или IP-адрес компьютера в предназначенное для этого поле.
Нажмите Подключиться
Введите имя пользователя, которое вы хотите использовать в своем RDP-соединении.
При появлении запроса примите сертификаты и введите свой пароль.
Если все сделано правильно, вы должны войти в удаленную систему. Обратите внимание, что перед входом в систему вы также можете нажать кнопку «Показать параметры» и настроить дополнительные параметры, касающиеся отображения, локальных ресурсов, производительности, аутентификации сервера и шлюза удаленных рабочих столов (RDG).
Как безопасно использовать RDP
С другой стороны, если вы готовы рискнуть, мы мало что можем сделать, чтобы вас остановить. Тем не менее, мы можем научить вас некоторым полезным практическим советам, которые вы можете применить, чтобы снизить риски, связанные с доступом к удаленному рабочему столу.
Отключите RDP, когда он вам не нужен
Настраивайте сложные пароли, которые трудно угадать
По возможности старайтесь не использовать RDP через Интернет.
Включите аутентификацию на уровне сети (после включения удаленного рабочего стола нажмите кнопку Advanced Settings и включите NLA)
Попробуйте разрешить удаленный доступ к вашему компьютеру только учетным записям без прав администратора
Создайте VPN вместо того, чтобы разрешать RDP через Интернет
Выберите наивысший уровень шифрования при настройке параметров RDP (по умолчанию включено)
Старайтесь избегать отрывочных сторонних инструментов, если вы не уверены в них.
Альтернативы RDP
Конечно же, вы слышали о сторонних инструментах, которые позволяют вам получать доступ к вашему ПК и даже управлять им, и большинство из них практически не требуют настройки. Вы просто устанавливаете их на обоих концах, указываете друг на друга, и все.
Хотя мы уже упоминали, что некоторые сторонние инструменты удаленного доступа могут быть отрывочными и нанести вред вашему ПК, к счастью, не все из них такие. Фактически, мы составили список отличные инструменты удаленного доступа к ПК можно смело пользоваться.
RDP может быть опасным в чужих руках
В общем, вы можете понять, почему RDP по-прежнему популярен среди пользователей ПК и как он может помочь вам выполнять широкий спектр задач на ПК, даже не находясь рядом с ним. Учитывая текущую ситуацию и растущий спрос на работу на дому, можно сказать, что это настоящий спаситель.
Однако мы не можем игнорировать риски неправильного обращения с инструментами RDP, поскольку они также могут способствовать нежелательному доступу, взломам, краже данных и даже полноценным кибератакам.
В конце концов, неважно, предпочитаете ли вы использовать встроенный клиент удаленного рабочего стола Windows или обратиться к стороннему решению, если вы практикуете полезные советы по безопасности.
Что такое RDP и как подключиться к серверу
RDP — это протокол для подключения к удаленному рабочему столу. Для его настройки не требуются специальные знания. Если вы пользуетесь Windows, то у вас уже есть все необходимые инструменты, чтобы установить соединение с удаленной машиной. В этой статье вы узнаете, как настроить подключение, на каких портах работает сервис ( rdp ports ) и какие есть особенности у протокола RDP.
«Купи мне истребитель». Сбор средств для Воздушных Сил ВСУ
Что такое RDP
Remote Desktop Protocol — протокол удаленного рабочего стола от Microsoft. С его помощью вы можете установить соединение с удаленным компьютером и управлять его операционной системой, используя графический интерфейс.
RDP можно использовать не только на Windows. Для macOS, Android и iOS есть официальное приложение, на Ubuntu и Debian можно установить сторонние клиенты.
Режим подключений
Есть два режима, в которых применяется протокол:
В режиме администрирования RDP есть во всех версиях Windows. На серверных версиях доступны два подключения и один локальный вход, на клиентских версиях — один вход.
Для подключения к серверу протокол можно использовать только в серверных версиях Windows. На количество подключений лимита нет. Но для работы нужен активированный сервер лицензий.
Принцип работы
RDPl основан на протоколе TCP. Порядок его работы в общих чертах выглядит так:
Приоритетный способ — передача вывода графическими примитивами: прямоугольниками, линиями, текстами, эллипсами и так далее. Это позволяет экономить трафик. Если договориться о параметрах передачи примитивов не удалось, то клиенту передается изображение графического экрана.
RDP-клиент обрабатывает команды от сервера терминалов и использует собственную графическую подсистему для для вывода изображения. Пользовательский ввод передается благодаря скан-кодам. Сигналы нажатий и отпусканий кнопок передаются отдельно с помощью специального флага.
Remote Desktop Protocol поддерживает несколько виртуальных каналов внутри одной сессии. Это дает доступ к дополнительным возможностям для управления. Можно использовать принтер или порты, перенаправлять файловую систему, работать с единым буфером, использовать подсистему аудио для передачи звука.
Безопасность RDP
RDP такой же безопасный, как и другие протоколы удаленного доступа. Но для сохранения конфиденциальности его надо правильно настроить.
Учитывая эти уязвимости и другие возможные направления атак, посмотрим, как повысить уровень безопасности.
Шифрование
Эта настройка просто включает шифрование. Теперь нужно выбрать, какой алгоритм будет применяться.
Напоследок нужно установить такие же высокие требования безопасности ко всем клиентам, которые будут подключаться к удаленному серверу.
Смена порта
По умолчанию в RDP ports установлен порт 3389. Оставлять его небезопасно. Изменить порт можно через редактор реестра.
Теперь для подключения к этому компьютеру нужно будет указывать другой порт, который вы указали в реестре, а не 3389.
Кроме того, не следует открывать доступ к указанному порту за пределами своей сети. Используйте брандмауэр для ограничения. Если нужно открыть порт за пределами сети, используйте VPN в качестве альтернативы.
Изменение имени администратора
Создайте уникальное имя для учетной записи, с помощью которой вы будете подключаться к удаленному рабочему столу.
Чтобы переименовать учетную запись:
Используйте для удаленного подключения имя учетной записи, которую вы переименовали.
Блокировка подключений учетных записей с пустыми паролями
Для усиления безопасности можно также запретить подключаться учетным записям с пустым паролем.
Аутентификация на уровне сети
По умолчанию можно подключаться через RDP без ввода логина и пароля. Пользователь видит экран удаленного десктопа, где ему предлагают залогиниться. Это тоже небезопасно, так как открывает возможности для DDoS-атак. Исправим недостаток:
Теперь никто не будет видеть экран удаленного рабочего стола, пока не введет логин и пароль.
Есть ограничение на количество одновременных сессий. В одно время работать может только один удаленный пользователь. При попытке установить второе соединение появится сообщение о том, что необходимо завершить первый сеанс.
Администратор первого сеанса может принять решение: завершить свой сеанс и пустить нового пользователя или отказать в доступе и продолжить пользоваться подключением.
Система может отвергать подключения с учетными данными пользователя, если у него нет прав администратора. Чтобы исправить эту ошибку, нужно либо дать пользователю права администратора, либо подключаться с учетной записью, у которой уже есть права администратора.
Подключение на Windows
На всех версиях Windows доступны для использования клиент и сервер RDP. Для запуска клиента дополнительная настройка не требуется. На сервере протокол может быть отключен, а доступ к порту ограничен или заблокирован.
Запуск протокола на сервере
Через окно «Выполнить»:
Можно указать конкретных пользователей, которым доступ разрешен. Чтобы сделать это, нажмите «Выбрать пользователей». Пользователи, которые входят в группу «Администраторы», могут подключаться по умолчанию. Вы можете добавить других пользователей. Укажите их имена и нажмите на кнопку «Проверить имена». После успешной проверки нажмите «ОК» для добавления указанных пользователей.
Через графический интерфейс (на примере Windows 10):
После включения удаленного рабочего стола появятся дополнительные настройки. Вы можете оставлять компьютер в режиме бодрствования для подключения, когда он подключен к электросети. Также можно сделать так, чтобы компьютер был доступен для обнаружения в частных сетях.
Ссылка «Дополнительные параметры» ведет к настройкам безопасности, про которые мы говорили выше. Здесь можно включить аутентификацию на уровне сети и посмотреть, какой порт используется для подключения.
Настройка клиента RDP на Windows
В запущенном окне пропишите IP-адрес сервера с настроенным RDP. Если у хоста настроено несколько IP-адресов, используйте для соединения любой. Чтобы установить связь, нажмите «Подключить». Укажите имя учетной записи и пароль пользователя.
При попытке установить соединение может появиться уведомление о недоверенном сертификате. Поставьте галочку возле опции «Больше не выводить…» и нажмите на кнопку «Да». После успешного подключения на экране появится окно, внутри которого будет удаленный рабочий стол.
Клиент mstsc также имеет дополнительные параметры. С их помощью можно, например, использовать общие принтер, диски, буфер обмена. Это удобно для обмена информацией. Допустим, вы можете копировать фрагмент текста на удаленном компьютере, а затем вставлять его в документ на локальной машине. Эти настройки выставляются до подключения на вкладке «Локальные ресурсы».
На других вкладках тоже есть полезные параметры. На пример, в разделе «Экран» вы можете настроить размер удаленного рабочего стола. Если нужен полноэкранный режиме, передвиньте ползунок в крайнюю правую позицию.
Здесь также можно включить использование всех мониторов для удаленного сеанса, указать глубину цвета и включить/выключить отображение панели управления в полноэкранном режиме. С ее помощью можно:
Этих возможностей достаточно для базового управления подключением.
Во вкладке «Взаимодействие» доступны настройки для оптимизации соединения. По умолчанию качество соединения определяется автоматически. Но вы можете его повысить или понизить и гибко настроить используемые функции вроде фона рабочего стола и сглаживания шрифтов. Для оптимизации работы также можно включить постоянное кэширование точечных рисунков и автоматическое восстановление подключения при разрыве.
Во вкладке «Дополнительно» скрываются настройки безопасности. Здесь можно включить/выключить предупреждение о том, что подлинность удаленного сервера не удается подтвердить. Можно подключаться без предупреждения или не соединять при обнаружении проблем.
Подключение через графический интерфейс
Если вы предпочитаете все делать через консоль, то используйте утилиту mstsc без графического интерфейса. Для гибкой настройки соединения можно использовать опции, описанные в таблице ниже.
Опция | Результат |
“файл подключения” | Имя RDP-файла, нужно для установки соединения |
/v: | Адрес удаленной машины, к которой подключаемся |
/g: | Сервер шлюза удаленных десктопов. Опция используется только в том случае, если удаленный компьютер конечной точки указан с использованием /v. |
/admin | Подключение к сеансу администрирования. |
/f | Запуск в полноэкранном режиме. |
/w: | Установка ширины экрана удаленного рабочего стола. |
/h: | Установка высоты экрана удаленного рабочего стола. |
/public | Запуск удаленного десктопа в публичном режиме. |
/span | Сравнивает ширину и высоту удаленного десктопа с параметрами локального виртуального рабочего стола. При необходимости развертывает изображения на несколько мониторов, если они размещены так, что образуют прямоугольник. |
/multimon | Располагает элементы на рабочем столе так, чтобы они соответствовали текущей конфигурации на стороне клиента. |
/edit | Открывает RDP-файл для изменения. |
/restrictedAdmin | Подключает в режиме ограниченного администрирования*. |
/remoteGuard | Подключает с помощью Remote Guard**. |
/prompt | Запрос данных пользователя при подключении к удаленной машине. |
/shadow: | Определение сеанса, которому требуется теневое управление. |
/control | Управление сеансом при теневом управлении. |
/noConsentPrompt | Теневое управление, не требуется согласие пользователя. |
* Ограниченное администрирование — в этом режиме учетные данные не отправляются на удаленную машину. Благодаря этому повышается безопасность даже при подключение к компьютеру, который был скомпрометирован.В то же время такие подключения могут не проходить проверку подлинности со стороны других компьютеров, что может влиять на функциональность.
** Remote Guard — инструмент предотвращает отправку учетных данных на удаленный компьютер. В отличие от ограниченного администрирования, здесь поддерживается соединение с удаленного компьютера (все запросы перенаправляются обратно на устройство).
Подключение на macОS
Для macOS Microsoft выпустила официальный клиент для подключения к серверу по RDP. Он называется Microsoft Remote Desktop и доступен для скачивания в App Store.
Подключение настраивается так же просто, как на Windows.
После завершения настройки новое подключение сохранится в списке. Чтобы запустить его, кликните дважды левой кнопкой. После запуска появится уведомление о недоверенном сертификате. Это не страшно. Нажмите на кнопку «Показать сертификат» и отметьте опцию «Всегда доверять … при подключении к …».
После принятия самоподписанного сертификата вы увидите в отдельном окне рабочий стол удаленного компьютера.
Подключение на Ubuntu
В отличие от Windows и macOS на Ubuntu нет официального клиента для подключения к серверу по RDP. Однако это не проблема. Зато разработаны неофициальные приложения. Многие хостеры в своих базах знаний советуют использовать для подключения программу Remmina.
Для установки Remmina запустите терминал и выполните три команды.
Установите пакет Remmina:
sudo apt-add-repository ppa:remmina-ppa-team/remmina-next
sudo apt-get update
sudo apt-get install remmina remmina-plugin-rdp libfreerdp-plugins-standard
Если ранее вы устанавливали и запускали Remmina, нужно перезапустить программу. Для этого убейте процесс:
sudo killall remmina
Если эта команда вернет ошибку с сообщением о том, что ничего похожего в списке запущенных процессов нет, то это тоже хорошие новости — значит можно запускать программу.
Все соединения сохраняются в одном списке. Выберите нужное подключение. При первой попытке установить соединение появится сообщение о недоверенном сертификате. Чтобы использовать его, нажмите «ОК». После успешного соединения вы увидите рабочий стол удаленного компьютера.
Альтернативные клиенты на Ubuntu
Если приложение Remmina работает нестабильно, попробуйте другие клиенты для подключения по RDP:
sudo apt install freerdp2-x11 freerdp2-shadow-x11
Для подключения к удаленному компьютеру используйте команду
xfreerdp /f /u:ИМЯ-ПОЛЬЗОВАТЕЛЯ /p:ПАРОЛЬ /v:ХОСТ[:ПОРТ]
Клиент rdesktop устанавливается командой:
sudo apt install rdesktop
Для подключения к удаленному рабочему столу используйте команду
При первом подключении появится предупреждение о недоверенном сертификате. Введите с клавиатуры yes, чтобы принять его.
Для работы с rdesktop на сервере должны быть настроена аутентификация на уровне сети. Иначе при подключении будет вылетать ошибка. О настройках аутентификации на уровне сети мы говорили в разделе «Безопасность».
Подключение на Debian
На Debian для соединения с сервером через RDP тоже можно взять приложение Remmina. Чтобы его установить:
Все сохраненные подключения хранятся в одном списке. Найдите нужное и нажмите на него для старта. На экране появится предупреждение о недоверенном сертификате. Щелкните «Ок» или «Принять». После удачного соединения вы попадете на рабочий стол удаленного хоста.
На Debian тоже можно использовать клиенты freerdp и rdesktop вместо Remmina. Устанавливаются они теми же командами, что и на Ubuntu. Процесс настройки соединений также не отличается.
Подключение со смартфона
Для соединения с удаленными хостами по RDP Microsoft выпустила приложения для двух основных мобильных ОС:
Подключение в этих приложениях настраиваются по одному принципу. Сначала вам нужно добавить новое соединение:
Итоги
RDP — удобный инструмент для создания удаленного подключения. Он позволяет быстро и гибко настроить соединение в локальной сети или через интернет. Невзирая на то, что протокол разработан корпорацией Microsoft, использовать его можно и на других платформах: macOS, Ubuntu, Debian, Android, iOS.
Чтобы еще раз повторить, как настраивается подключение в среде Windows, посмотрите это видео. Оно на английском, но каждый шаг очень наглядно продемонстрирован:
А из этого видео вы узнаете, как настроить RDP на мобильном устройстве и управлять с него компьютером:
Remote Desktop Protocol
RDP (англ. Remote Desktop Protocol — протокол удалённого рабочего стола) — проприетарный протокол прикладного уровня, купленный Microsoft у Citrix, использующийся для обеспечения удалённой работы пользователя с сервером, на котором запущен сервис терминальных подключений. Клиенты существуют практически для всех версий Windows (включая Windows CE и Mobile), Linux, FreeBSD, Mac OS X, Android, Symbian. По умолчанию используется порт TCP 3389. Официальное название Майкрософт для клиентского ПО — Remote Desktop Connection или Terminal Services Client (TSC), в частности, клиент в Windows 2k/XP/2003/Vista/2008/7 называется mstsc.exe.
Особенности версии 5.2, используемой в Windows Server 2003 SP2 и в Windows XP SP3:
В Windows Vista используется версия 6 протокола RDP, в Windows Server 2008 — версия 6.1, в Windows 7 — версия 7.
Так как RDP по умолчанию создаёт виртуальные консоли, то для подключения не к ним, а непосредственно к консоли 0 (основная консоль-мышь/клавиатура) нужно запустить RDP-клиент с параметром console.
Национальная библиотека им. Н. Э. Баумана
Bauman National Library
Персональные инструменты
RDP (Remote Desktop Protocol)
RDP (англ. Remote Desktop Protocol ) предоставляет возможности удаленного отображения и ввода через сетевые соединения для приложений на базе Microsoft Windows, работающих на сервере. RDP предназначен для поддержки различных типов сетевых топологий и множества протоколов локальных сетей.
Содержание
Базовая архитектура
Особенности
Microsoft RDP включает в себя следующие особенности и возможности:
Шифрование
RDP использует RC4 шифр RSA Security, потоковый шифр, предназначенный для эффективного шифрования небольших объемов данных. RC4 предназначен для безопасной связи в сетях. Администраторы могут выбрать для шифрования данных 56- или 128-битный ключ.
Функции уменьшения полосы пропускания
RDP поддерживает различные механизмы, позволяющие уменьшить объем данных, передаваемых по сети. Механизмы включают в себя сжатие данных, постоянное кэширование растровых изображений, и кэширование пиктограмм и фрагментов в оперативной памяти. Постоянный кэш растрового изображения может обеспечить существенное улучшение производительности в условиях низкой пропускной способности, особенно при запуске приложений, которым необходимо широкое использование больших растровых изображений.
Отключение
Пользователь может вручную отключиться от сеанса удаленного рабочего стола без выхода из системы. Пользователь автоматически переподключается к отключенному сеансу, когда он снова входит в систему, либо из того же самого устройства или из другого устройства. Когда сеанс пользователя неожиданно завершается сбоем сети или клиента, пользователь отключается, но выход из системы не происходит.
Использование буфера обмена
Пользователи могут удалять, копировать и вставлять текст и графику между приложениями, запущенными на локальном компьютере, работающими в удаленном сеансе рабочего стола, и находящимися в разных сессиях.
Перенаправление печати
Приложения, работающие в рамках сеанса удаленного рабочего стола, могут использовать для печати принтер, подключенный к устройству клиента.
Виртуальные каналы
Используя RDP архитектуру виртуального канала, уже существующие приложения могут быть дополнены и новые приложения могут быть разработаны таким образом, чтобы было возможно добавлять новые функции, которые требуют обмена данными между клиентским устройством и приложением, работающим в удаленном сеансе рабочего стола.
Удаленное управление
Персонал службы поддержки может просматривать и управлять сеансом удаленного рабочего стола. Совместное использование ввода и отображения графики между двумя сеансами удаленного рабочего стола дает службе поддержки способность диагностировать и решать проблемы удаленно.
Балансировка сетевой нагрузки
RDP использует преимущества балансировки сетевой нагрузки (NLB), если таковые имеются.
Кроме того, RDP содержит следующие функции:
Конфигурирование RDP
Windows
Remote Desktop Connection
Доступны три опции под пунктом «Удаленный рабочий стол»:
Теперь можно нажать «ОК», и клиенты смогут войти в ваш компьютер через Remote Desktop Connection, используя учетные данные для пользователей группы администраторов.
Если служба ролей узла сеанса удаленного рабочего стола не установлена на компьютере, количество подключений ограничено максимум двумя одновременными подключениями к этому компьютеру.
Windows Server
Remote Desktop Services
Установка RDS (Remote Desktop Services; пошаговая установка):
Remote Desktop Licensing (RD Licensing), бывший Terminal Services Licensing (TS Licensing), управляет лицензиями доступа клиентов служб удаленного рабочего стола (RDS CAL), которые необходимы для каждого устройства или пользователя для подключения к серверу узла сеанса удаленного рабочего стола (RD Session Host). RD Licensing используется для установки, выпуска и отслеживания доступности лицензий RDS CAL на сервере лицензий удаленного рабочего стола.
Когда клиент — либо пользователь, либо устройство — подключается к серверу узла сеанса удаленного рабочего стола, сервер определяет, нужна ли лицензия RDS CAL. Сервер узла сеанса удаленного рабочего стола затем запрашивает RDS CAL из сервера лицензий удаленного рабочего стола от имени клиента, пытающегося подключиться к серверу узла сеанса удаленного рабочего стола. Если подходящая RDS CAL доступна на сервере лицензий, RDS CAL выдается клиенту, и клиент может подключаться к серверу узла сеанса удаленного рабочего стола.
Чтобы изменить число одновременных удаленных соединений разрешенный для подключения:
Если опция максимума соединений выбрана и отображается серым цветом, значит включена установка групповой политики лимита подключений и применена на сервере узла сеанса удаленного рабочего стола. Вы можете также установить максимальное число разрешенных одновременных подключений, применяя установку групповой политики лимита числа подключений. Эта установка групповой политики находится в Конфигурация компьютера\Политики\Административные шаблоны\Компоненты Windows\Службы удаленного рабочего стола\Узел сеанса удаленного рабочего стола\Соединения и может быть изменена с помощью редактора локальных групповых политик или консоли управления групповыми политиками (GPMC). Установка групповой политики имеет преимущество над установкой, примененной в конфигурации узла сеанса удаленного рабочего стола.
VDI и RDS: какая между ними разница и в чем преимущества
VDI и RDS – это альтернативные технологии виртуализации рабочих мест. Виртуализация рабочего стола – это передовая технология, способная обеспечить высокую производительность, высокий уровень безопасности и универсальность для всех компаний.
Обе технологии имеют как сходства, так и отличия, свои сильные стороны и свои недостатки.
В сегодняшней действительности, требующей удаленной работы, тысячи компаний ищут способы как предоставить своим сотрудникам удаленные рабочие места. Большинству из них приходится делать выбор между инфраструктурой виртуальных рабочих столов (VDI) и службами удалённого рабочего стола (RDS).
Между этими двумя способами существует много различий.
Кроме того, существует много вопросов по поводу их стоимости и сложности инфраструктурной среды виртуальных рабочих столов, не говоря уже о фактической производительности сети. Если пользователю будет сложно ориентироваться в виртуальном рабочем столе, не будет иметь значения, сколько стоит внедрение и поддержка такого рабочего стола.
Протоколу удаленного рабочего стола (RDP) от Microsoft уже более двадцати лет, но даже опытные пользователи все еще имеют смутное представление об этой концепции и ее реализации. Для обычных пользователей различие между VDI и рабочим столом RDS может быть минимальным, но ИТ-специалистам крайне необходимо знать, как правильно разместить определенные виртуальные рабочие столы.
Содержание
Что такое виртуализация рабочего стола
Виртуализация рабочих столов – это условный перенос компьютера, рабочего стола, ОС и установленного ПО в виртуальное пространство. Это технология, отделяющая среду виртуальных рабочих мест от оборудования, которое используется для доступа к ней.
Традиционно обычные пользователи и компании для работы закупают физические машины (системный блок, сервер или ноутбук). Физический компьютер используется всеми пользователями для отправки и получения почты, создания отчетов, таблиц и т.п.
У компаний также могут быть центральные физические серверы, на которых будут размещаться файловые системы, службы обмена электронной почтой и резервного копирования. Все это физические машины, используемые для одной или нескольких целей.
Виртуализация рабочих столов – это основная функция цифровых рабочих пространств, основанная на виртуализации приложений. Виртуальные компьютеры и серверы размещаются на одном и том же компьютерном оборудовании, но у каждого из них своя собственная операционная система (ОС) и установленное программное обеспечение для выполнения своей предполагаемой работы или функции.
Таким образом, на одном физическом сервере можно разместить несколько виртуальных машин. Виртуальная машина может быть виртуальным рабочим столом или виртуальным сервером. Удаленный рабочий стол во многом аналогичен виртуальному рабочему столу и часто используется в качестве замены.
Виртуализацию рабочих столов можно осуществить несколькими способами, но два наиболее известных метода виртуализации рабочих столов сосредоточены на том, является ли операционная система локальной или удаленной.
В случае локальной виртуализации рабочего стола операционная система работает на сетевом компьютере, используя аппаратную виртуализацию. Все процессы происходят на локальном оборудовании.
Этот метод виртуализации рабочего стола лучше всего работает, когда пользователям не требуется постоянное сетевое соединение, и их потребности могут быть удовлетворены с помощью локальных машинных ресурсов. Поскольку процессы обработки информации происходят локально, вы не сможете использовать виртуализацию локального рабочего стола для совместного использования ресурсов по сети с низкопроизводительными компьютерами или мобильными устройствами.
«Виртуализация удаленных рабочих столов» – это еще одно приложение виртуализации. В основном оно используется в вычислительной среде клиент/сервер. Эта модель помогает пользователям запускать операционные системы и программы с сервера внутри центра обработки данных, в то время как все действия пользователя происходят на клиентском компьютере.
Такой клиентский компьютер может быть ноутбуком, компьютером с «тонким клиентом» или смартфоном. В результате ИТ-подразделения имеют более унифицированный контроль над программным обеспечением и настольными компьютерами и могут оптимизировать вложения в ИТ-оборудование за счет удаленного доступа к общим вычислительным ресурсам.
Что такое VDI и как это работает?
Инфраструктура виртуальных рабочих столов (VDI) – это стандартный метод виртуализации рабочего стола. VDI – это разновидность виртуализации рабочего стола по модели клиент – сервер, которая предлагает удаленный доступ к виртуальному рабочему месту на централизованном сервере. Такая модель гарантирует, что все пользователи имеют доступ к одинаковому программному обеспечению, предоставленному администратором.
Говоря другими словами, VDI – это комбинация оборудования, ПО и конфигурации сети, которая позволяет распределять виртуальные рабочие столы и виртуальные серверы среди конечных пользователей. Они могут получить доступ к своей виртуальной машине из любой точки сети.
С помощью VDI пользователи могут запускать полную операционную систему рабочего стола на выделенной виртуальной машине (ВМ), размещенной на физическом сервере. Каждой виртуальной машине будут выделены ресурсы для повышения эффективности и защиты соединения. Несколько экземпляров виртуальных машин могут сосуществовать на одном сервере или на виртуальном сервере, который представляет собой кластер из нескольких серверов.
Виртуальные машины VDI могут быть «постоянными» или «непостоянными». Постоянные рабочие столы можно настроить для разных пользователей с уникальными приложениями и информацией профиля пользователя. Пользователи также могут устанавливать свои собственные приложения, если у них есть права администратора. В случае же с непостоянными рабочими столами, пользователям случайным образом выделяется виртуальная машина из существующего пула виртуальных машин.
Стандартное применение этой модели –внутри обширной частной сети, например в большой организации или больнице, где многие сотрудники могут получить доступ к интерфейсу своего рабочего стола, выполнив вход на устройство в частной компьютерной сети.
VDI обеспечивает пользователям бесперебойную работу на нескольких устройствах и повышает производительность. Этот подход хорошо зарекомендовал себя и будет работать еще много лет. VMWare и Citrix – лидеры отрасли в этой области.
Стоит отметить, что структура VDI не проста; настроить ее довольно сложно. Обычно для развертывания и обслуживания требуются высококвалифицированные ИТ-специалисты. Поэтому, как показывает практика, это дорогое удовольствие.
Высокие накладные расходы связаны с дополнительными аппаратными ресурсами, лицензиями на несколько сервисов продуктов VDI и операционными системами Windows на устройство, а также ежегодным доступом к виртуальному рабочему столу (VDA).
В чем преимущества VDI?
Что такое протокол удаленного рабочего стола (RDP)?
RDP (англ. Remote Desktop Protocol – протокол удаленного рабочего стола) – это протокол сетевой связи, разработанный Microsoft, который позволяет сетевым администраторам и пользователям удаленно взаимодействовать с другим устройством. Это расширение протоколов T.120, которые являются стандартами ITU (англ. International Telecommunication Union – Международный союз электросвязи).
Microsoft разработала протокол удаленного рабочего стола (RDP), чтобы выявлять и исправлять ошибки, а также управлять несколькими серверами, расположенными на большом участке или в обширной сети в разных местах. Используя сервер RDP, конечный пользователь может входить в более продвинутые системы на большом расстоянии, а несколько пользователей могут делать это из разных мест. Многие операционные системы Windows предоставляют функции RDP.
Что такое RDS? И как это работает?
RDS (Remote Desktop Services – службы удалённого рабочего стола) – это ИТ-концепция для функций сервера Microsoft Windows, которая позволяет пользователям получать удаленный доступ к виртуальной машине (ВМ) или операционной системе через графический пользовательский интерфейс. ИТ-администраторы создают на сервере изображение рабочего стола, которое затем отображается пользователю со всеми программами и данными, связанными с их учетными данными.
Клиентскому устройству требуется клиент RDS, а серверу RDS требуется операционная система Windows Server для удаленного подключения к одному или нескольким серверам терминалов. (Ранее RDS назывался «терминальным сервером».) Все операции выполняются на сервере, а не на пользовательской машине.
В RDS пользователи совместно используют операционную среду хоста, программы и аппаратные ресурсы. Приложения и данные унифицированы, что упрощает мониторинг, установку, настройку и обновление для конечных пользователей.
Самое главное преимущество этой технологии заключается в том, что ресурсы вашей инфраструктуры будут использоваться совместно. RDS можно использовать для доступа как к полным рабочим столам, так и к отдельным приложениям. RemoteApp – это технология, которая дает конечному пользователю доступ только к одному приложению, например Microsoft Excel, без операционной системы, стоящей за ним.
RemoteApp доступен только в Windows Server 2008 R2. С технической точки зрения, технология RDS также может использоваться для подключения к рабочим столам на основе VDI. Это означает, что вы можете подключиться через RDP к VDI напрямую или через RDP к VDI через платформу RDS.
В RDS, поскольку все пользователи имеют доступ к одной и той же операционной системе и программному обеспечению во время сеансов рабочего стола, настройки рабочего стола и устройства ограничены. Кроме того, совместное использование аппаратных и программных ресурсов сервера приведет к конфликтам и проблемам с производительностью. Некоторые программы не настроены для многопользовательского доступа на основе сеанса.
В чем преимущества RDS?
В чем разница между VDI и RDS?
Большинство ИТ-специалистов считают, что внедрения на основе RDS невероятно хорошо показывают себя в случае корпоративного использования. Доступ на основе RDS также имеет существенное преимущество в том, что он намного экономичнее и проще в использовании.
VDI встроена в ОС Windows 10, Windows Client. RDS встроена в операционную систему Windows Server. В RDS все пользователи входят в один и тот же пользовательские интерфейсс. Хотя некоторые конфигурации можно настраивать.
Каждый компьютер функционирует независимо от других, что может быть необходимо для строго контролируемых или защищенных сред. Пользователи будут видеть не типичные интерфейсы Windows 10 или 7, а скорее рабочий стол, подобный Windows server.
Используя VDI, все пользователи имеют специальную платформу, которую они могут изменять. Администратор может определить регламент, чтобы решить, что может быть изменено и что является общим для различных виртуальных систем. Пользователи будут иметь более привычную среду Microsoft Windows 10.
Как правило, RDS лучше всего подходит для организаций с несколькими пользователями, нуждающимися в одинаковом количестве приложений и служб. RDS проще реализовать и управлять, чем VDI, хотя и немного не хватает настройки. Совместное использование ресурсов сервера несколькими пользователями сводит к минимуму накладные расходы, но способствует возникновению проблем с приложениями. VDI станет более безопасным выбором для более сложных реализаций нескольких пользовательских форм и предоставляет виртуальные рабочие столы и программное обеспечение независимо друг от друга, чтобы предотвратить проблемы совместимости. Однако следует обратить внимание на высокую стоимость и сложность внедрения и технического обслуживания.
VDI против RDS: сравнение затрат
Windows 10 поддерживает только одного пользователя на каждый экземпляр операционной системы. Это означает, что если вам нужно поддерживать 4 пользователей, вам понадобятся 4 экземпляра виртуальных машин под управлением Windows 10. В облачной системе вам потребуются четыре разных виртуальных машины. Это означает, что вам придется оплатить стоимость 4 виртуальных машин и стоимость лицензирования Windows 10 для 4 экземпляров Windows 10.
Система VDI обычно является самой дорогой, поскольку для управления ею требуется дополнительное программное обеспечение. Это делает RDS более рентабельной альтернативой.
Оба варианта немного дороже, чем большинство других вариантов, и вам придется инвестировать в инфраструктуру. VDI больше подходит для удаленных сотрудников, предприятий с более высокими требованиями к ресурсам и обработке, а также для сотрудников в строго контролируемых или уязвимых средах.
Вывод
VDI и RDS имеют функции, которые отвечают различным потребностям компании, но выбрать одну из них может быть непросто. Они помогут компаниям преуспеть за счет централизованного управления, соблюдения законодательства и повышения согласованности инфраструктуры.
Правильный подход – это сосредоточение внимания на потребностях, финансах и других деловых критериях каждой компании. VDI идеально подходит для более широкого круга сотрудников. RDS – это просто и экономично. Прежде чем остановиться на одной платформе, подумайте о своем бюджете, намерениях удаленной работы, характере выполняемой работы и кривой обучения для вас и ваших удаленных команд.