Avage RDP-ühendus. RDP tihendamise optimeerimine. Kuidas lubada optimaalset tihendamist RDP-s

Kaugtöölaua protokoll RDP (Kaugtöölaua protokoll) pakub kaugjuurdepääsu võrgu kaudu Windowsi operatsioonisüsteemi kasutavate arvutite töölauale. Kasutatakse õhukeste klientide ühendamisel Windowsi terminaliserveriga, kus töötab Microsoft Terminal Services. Välja töötanud Microsoft.

Ametlik tugi RDP sisaldub Windows Server 2008, Windows Server 2003, Windows Home Server, Windows XP Professional, Windows XP Media Center, tahvelarvutiväljaanded, Windows Vista Ultimate, Enterprise ja Business väljaanded. Kõik windowsi versioonid XP ja Vista sisaldavad klienti kaugrakendus Töölauaühendus (RDC).

RDP-protokolli põhijooned

  • Toetab RC-4 krüptimist 128 või 56-bitise võtmepikkusega
  • Toetab TLS (Transport Layer Security) protokolle
  • Kasutaja autentimine kiipkaartide abil (serveris Microsofti terminaliteenuste kaudu)
  • Kohalik arvuti heli tugi terminaliserveri rakendustele
  • Failisüsteemi ümbersuunamine - võimaldab teil töötada kaugterminali serveris asuva kohaliku arvuti failidega
  • Printeri ümbersuunamine - võimaldab printida kohaliku arvuti printerisse kaugterminaliserveris töötavatest rakendustest
  • Pordi ümbersuunamine - avab juurdepääsu kaugarvutites töötavate rakenduste jaoks kohaliku arvuti jada- ja paralleelportidele
  • Lõikepuhvri jagamine nii kohalikus arvutis kui ka kaugterminali serveris
  • Ekraani värvi sügavus: 24, 16, 15 või 8 bitti

Hoolimata asjaolust, et RDP-protokolli pakette edastatakse võrgu kaudu krüpteeritud kujul, võib terminaliseanss ise olla avatud rünnakule Man In The Middle, kuna ei serveri- ega kliendipool ei edasta edastatud ja vastuvõetud vastastikust autentimist. andmepaketid. Seetõttu peate täielikult turvaliste lahenduste loomiseks kasutama Windows Server 2003 Service Pack 1 sisse viidud RDP SSL-kaitset.

RDP kuuenda versiooni uued funktsioonid

  • Kaugrakendused. Rakenduste otsene käivitamine serveris spetsiaalses terminaliseansis ilma terminaliseansi akent avamata. Toetus kohaliku arvuti failiühendustele - võimalus käivitada serveris olevaid rakendusi, et avada kohalikus arvutis dokument vastavalt failinime laiendusele.
  • Õmblusteta Windows. Kohaliku arvuti akna jäljendamine koos rakenduse käivitamisega terminaliserveris. Automaatne autentimine serveris koos kasutajakonto üksikasjadega. Vastava terminaliseansi automaatne lõpetamine rakenduse lõppemisel.
  • Terminali serveri lüüs. Toetab RDP-ühendusi IIS-i lüüsiserveri kaudu, kasutades https-protokolli. Tagab turvalise ühenduse ettevõtte kohalikus võrgus ISS-i taga asuva terminaliserveriga.
  • Windowsi Aero Glass. Windowsi Aero Glassi tugi, sealhulgas ClearType fondi silumine.
  • Windowsi esitluste sihtasutus. Toetatakse kõiki kliente, kellele on installitud .NET Framework 3.0.
  • Täielikult kohandatavad terminaliteenused, sealhulgas skripti tugi, kasutades Windowsi haldusinstrumente.
  • Täiustatud ribalaiuse haldamine RDP klientidele.
  • Mitme monitori tugi. Terminali seansi ekraani jagamine mitmel monitoril. Töötab ainult Windows Vista süsteemidega.
  • Ekraani värvi sügavus: 32, 24, 16, 15 või 8 bitti

Iga süsteemiadministraator teab seda kaasaegsetes arvutivõrkudes laialt kasutatavat protokolli. Selle abil saate luua ühenduse kaugmasinaga, milles töötab Microsofti operatsioonisüsteem. Teil on juurdepääs töölauale, failisüsteemile ja nii edasi. Seega on võimalik põhiosa seadetest ja ennetusmeetmetest läbi viia, ilma et oleks vaja füüsilist kohalolekut kaugarvuti ekraani taga.

Seetõttu on RDP protokoll tehniliste spetsialistide arsenalis üks peamisi komponente. Töökohalt lahkumata saate hallata kõiki võrgus olevaid arvuteid ja probleemide tõrkeotsingut.

Välimuse ajalugu

Kaugtöölaua protokoll, mida lühend RDP tähistab, ilmus juba 1998. aastal. Sel ajal oli see varalise rakenduse taseme protokoll osa Windows NT 4.0 Terminal Serveri operatsioonisüsteemist ja võimaldas rakendada kliendi-serveri rakenduste kaugtöö ideed. Nagu aru saate, pole alati võimalik kõiki töökohti pakkuda võimsate arvutitega ja isegi neil kaugetel aastatel jättis jõudlus palju soovida.

Selle probleemi lahenduseks on järgmine ehitus: võimas server (või serverite klaster) täidab suurema osa arvutustoimingutest ning väikese energiatarbega klientarvutid / rakendused ühendavad sellega RDP-protokolli abil ja täidavad nende ülesandeid. Nii sai ka piiratud ressurssidega võimalik töötada lõppkasutaja sõlmedes keeruliste rakenduste ja programmidega - lõppkokkuvõttes langes põhikoormus serverisse ja klientarvuti sai monitoril ainult operatsiooni põhitulemuse.

RDP protokolli kirjeldus

  • Vaikimisi kasutatakse ühenduse loomiseks TCP-porti 3389
  • Nagu eespool mainitud, on ühenduse loomisel võimalik töötada kaugmasinas olevate failidega.
  • Turvalisuse huvides rakendatakse krüptimist 56- ja 128-bitiste võtmetega
  • Ka turvafunktsioonide jaoks kasutatakse TLS-protokollide võimalusi
  • Jagatud lõikelauale - saate andmeid kopeerida kaugarvutist ja kleepida kohalikku arvutisse.
  • Rakendas võimalust ühendada kohalikud ressursid kaugarvutiga.
  • RDP võimaldab juurdepääsu kohalikele arvutipordidele (järjestikused ja paralleelsed)

Toimimispõhimõte

RDP põhineb TCP protokollivirna funktsionaalsusel. Kõigepealt luuakse ühendus kliendi ja serveri vahel transporditasandil. Seejärel algatatakse RDP seanss - selles etapis lepitakse kokku peamised parameetrid: krüptimine, ühendatud seadmed, graafikaseaded jne.

Kui kõik on konfigureeritud, on RDP-seanss täielikult minekuks valmis. Kliendi arvuti saab serverilt graafilise pildi (operatsioonide tulemus), mis ilmneb klaviatuurilt või hiirelt käskude saatmise tulemusena.

Autentimine

Kui RDP turvalisus on konfigureeritud, toimub autentimine järgmiselt:

  1. Ühenduse initsialiseerimisel luuakse paar RSA võtit
  2. Järgmisena luuakse spetsiaalne avaliku võtme sertifikaat
  3. Operatsioonisüsteem viib RSA sertifikaadi allkirjastamise võtmega
  4. Järgmisena loob klient ühenduse serveriga, saab sellest sertifikaadi ja kui see kontrolli läbib, lähtestatakse kaugjuhtimisseanss

Kuidas alustada

IN opsüsteemidnagu Windows XP, Vista, Seven, on kaugtöölaua ühenduse klienditarkvara vaikimisi lubatud. Selle käivitamiseks peate vajutama klaviatuuri otseteed Win + R, helistage mstsc ja vajutage Sisenema.

See artikkel avab artiklite seeria, mis on pühendatud RDP protokolli struktuurile ja turvalisusele. Selle seeria esimene artikkel analüüsib protokolli kujundust, kasutamist ja põhitehnoloogiaid.

See artikkel avab artiklite seeria, mis on pühendatud RDP protokolli struktuurile ja turvalisusele. Selle seeria esimene artikkel analüüsib protokolli kujundust, kasutamist ja põhitehnoloogiaid.

Järgmistes artiklites käsitletakse üksikasjalikult järgmisi teemasid:

  • Kaugtöölaua turvasüsteemide töö
  • Teenuse teabevahetuse formaat RDP-s
  • Terminaliserveri nõrkused ja õiguskaitsevahendid
  • Kasutajakontode valik RDP-protokolli abil (selle valdkonna välja töötanud Positive Technologies)

RDP ajalugu

Kaugtöölaua protokolli lõi Microsoft, et pakkuda kaugjuurdepääsu Windowsi serveritele ja tööjaamadele. RDP on loodud paljude vähem võimsate tööjaamadega suure jõudlusega terminaliserveri ressursside ärakasutamiseks. Terminaliserver (versioon 4.0) ilmus esmakordselt 1998. aastal Windows NT 4.0 terminaliserveri osana, selle kirjutamise ajal (jaanuar 2009) uusim versioon Terminal Server on versioon 6.1, sisaldub Windows 2008 Serveri ja Windows Vista SP1 distributsioonides. Praegu on RDP Windowsi perekonna süsteemide peamine kaugjuurdepääsuprotokoll ja kliendirakendused on olemas nii Microsofti kui ka Linuxi, FreeBSD, MAC OS X jne jaoks.

RDP ilmumise ajaloost rääkides ei saa mainimata jätta Citrixit. 1990-ndatel spetsialiseerus Citrix Systems mitmeotstarbelistele süsteemidele ja kaugjuurdepääsu tehnoloogiatele. Pärast Windows NT 3.51 lähtekoodi litsentsi omandamist 1995. aastal andis ettevõte välja Windows NT mitme kasutaja versiooni, mida nimetatakse WinFrame'iks. 1997. aastal sõlmisid Citrix Systems ja Microsoft lepingu, mis põhineb Citrixi tehnoloogial põhineval Windows NT 4.0 mitme kasutaja keskkonnas. Omakorda keeldus Citrix Systems täieõigusliku operatsioonisüsteemi levitamisest ning sai õiguse Microsofti toodete laiendusi välja töötada ja juurutada. Neid laiendeid nimetati algselt MetaFrame'iks. Õigused õhukeste klientide ja Citrixi rakendusserveriga suhtlemiseks mõeldud rakenduseprotokollile ICA (Independent Computing Architecture) jäid Citrix Systemsile ning Microsofti RDP-protokoll põhines ITU T.120-l.

Praegu käib Citrixi ja Microsofti peamine konkurents väikeste ja keskmise suurusega ettevõtete rakendusserverite valdkonnas. Traditsiooniliselt võidavad terminaliteenustel põhinevad lahendused süsteemides, kus on vähe sarnaseid servereid ja sarnaseid konfiguratsioone, samas kui Citrix Systems on end keerukate ja suure jõudlusega süsteemide turul kindlalt sisse seadnud. Konkurentsi soodustab väikeste süsteemide kergekaaluliste lahenduste väljaandmine Citrixilt ja terminaliteenuste funktsionaalsuse pidev laiendamine Microsofti poolt.

Mõelgem nende lahenduste eelistele.

Terminaliteenuste tugevused:

  • Lihtsalt installitavad rakendused rakendusserveri kliendipoolele
  • Kasutajate seansside tsentraliseeritud hooldus
  • Nõuab litsentsi ainult terminaliteenuste jaoks

Citrixi lahenduste tugevused:

  • Lihtne skaleerida
  • Mugav manustamine ja jälgimine
  • Juurdepääsukontrolli poliitika
  • Kolmandate osapoolte ettevõttetoodete tugi (IBM WebSphere, BEA WebLogic)

Terminaliteenuseid kasutav võrguseade

Microsoft soovitab RDP kasutamiseks kahte režiimi:

  • haldamiseks (kaughalduse režiim)
  • rakendusserverile juurdepääsuks (terminaliserveri režiim)

RDP administraatori režiimis


Seda tüüpi ühendust kasutavad kõik kaasaegsed Microsofti operatsioonisüsteemid. Windowsi serveriversioonid toetavad samaaegselt kahte kaugühendust ja ühte kohalikku sisselogimist, samas kui kliendiversioonid toetavad ainult ühte (kohalikku või kaug) sisselogimist. Loa saamiseks kaugühendused peate lubama tööjaama atribuutides kaugjuurdepääsu töölauale.

RDP terminaliserveri juurdepääsurežiimis


See režiim on saadaval ainult Windowsi serveriversioonides. Sel juhul pole kaugühenduste arv piiratud, kuid peate seadistama litsentsiserveri ja seejärel selle aktiveerima. Litsentsiserveri saab installida kas terminaliserverisse või eraldi võrgusõlmesse. Kaugjuurdepääs terminaliserverile on saadaval alles pärast asjakohaste litsentside installimist litsentsiserverisse.

Terminaliserverite klastri ja koormuse tasakaalustamise kasutamisel on vaja spetsiaalset ühendusserverit (Session Directory Service). See server indekseerib kasutaja seansse, võimaldades sisselogimist kui ka uuesti sisselogimist hajutatud keskkonnas töötavatesse terminaliserveritesse.

Kuidas RDP töötab


Kaugtöölaud on TCP-põhine rakendusprotokoll. Pärast ühenduse loomist transporditasandil alustatakse RDP seanssi, mille käigus lepitakse kokku erinevate andmeedastusparameetritega. Initsialiseerimise edukal lõppemisel hakkab terminaliserver kliendile graafikaväljundit saatma ja ootab klaviatuurilt ja hiirelt sisendit. Graafiline väljund võib olla graafilise ekraani täpne koopia, mis on edastatud pildina, ja käsud graafiliste primitiivide (ristkülik, joon, ellips, tekst jne) joonistamiseks. Väljundi edastamine primitiivide abil on RDP-protokolli prioriteet, kuna see säästab oluliselt liiklust; ja pilt edastatakse ainult siis, kui muul põhjusel on mingil põhjusel võimatu (RDP-seansi installimisel ei olnud võimalik primitiivide edastamise parameetrites kokku leppida). RDP klient töötleb vastuvõetud käske ja kuvab pilte oma graafika alamsüsteemi abil. Vaikimisi edastatakse kasutaja sisend klaviatuuriskoodide abil. Signaal klahvi vajutamiseks ja vabastamiseks edastatakse spetsiaalse lipu abil eraldi.

RDP toetab ühes ühenduses mitut virtuaalset kanalit, mida saab kasutada täiendavate funktsioonide pakkumiseks:

  • printeri või jadapordi abil
  • failisüsteemi ümbersuunamine
  • tugi lõikelauale töötamiseks
  • heli alamsüsteemi kasutamine

Virtuaalkanalite omadused lepitakse kokku ühenduse seadistamise etapis.

RDP kindlustamine


RDP-protokolli spetsifikatsioon näeb ette ühe kahest turvalisusest:

  • Standard RDP Security (sisseehitatud turvaalamsüsteem)
  • Tõhustatud RDP turvalisus (välise turvalisuse alamsüsteem)

Standard RDP turvalisus

Selle lähenemisviisi abil rakendatakse autentimist, krüpteerimist ja terviklikkust RDP-protokolli abil.

Autentimine

Serveri autentimine toimub järgmiselt:

  1. Kui süsteem käivitub, luuakse paar RSA võtit
  2. Luuakse avaliku võtme varaline sertifikaat
  3. Sertifikaat on allkirjastatud operatsioonisüsteemi manustatud RSA-võtmega (mis tahes RDP-klient sisaldab selle sisseehitatud RSA-võtme avalikku võtit).
  4. Klient loob ühenduse terminaliserveriga ja saab varalise sertifikaadi
  5. Klient kontrollib sertifikaati ja võtab vastu serveri avaliku võtme (seda võtit kasutatakse hiljem krüptimisparameetrite üle läbirääkimistel)

Kliendi autentimine toimub kasutajanime ja parooli sisestamisega.

Krüpteerimine

Krüptimisalgoritmiks on valitud voo šifr RC4. Sõltuvalt opsüsteemi versioonist on saadaval erinevad võtmepikkused vahemikus 40 kuni 168 bitti.

Maksimaalne võtmepikkus Winodwsi opsüsteemides:

  • Windows 2000 Server - 56-bitine
  • Windows XP, Windows 2003 Server - 128-bitine
  • Windows Vista, Windows 2008 Server - 168-bitine

Ühenduse loomisel genereeritakse pärast pikkuse läbirääkimisi kaks erinevat võtit: andmete krüptimiseks kliendilt ja serverilt.

Ausus

Sõnumi terviklikkus saavutatakse MD5 ja SHA1 algoritmidel põhineva sõnumi autentimiskoodi (MAC) genereerimise algoritmi abil.

Alates Windows 2003 Serverist on föderaalse teabetöötlusstandardi (FIPS) 140-1 järgimiseks võimalik 3DES-i kasutada sõnumite krüptimiseks ja MAC-i genereerimise algoritmiks, kasutades terviklikkuse tagamiseks ainult SHA1.

Tõhustatud RDP turvalisus

See lähenemine kasutab väliseid turvamooduleid:

  • TLS 1.0
  • CredSSP

TLS-i saab kasutada alates Windows 2003 Serverist, kuid ainult siis, kui RDP-klient seda toetab. TLS-tugi on lisatud alates RDP kliendi versioonist 6.0.

TLS-i kasutamisel saab serverisertifikaadi luua Terminal Sercivesi abil või saate Windowsi poest valida olemasoleva sertifikaadi.

CredSSP-protokoll on TLS-i, Kerberose ja NTLM-i funktsioonide kombinatsioon.

Mõelgem CredSSP protokolli peamistele eelistele:

  • Kaugsüsteemi sisselogimise loa kontrollimine enne täieõigusliku RDP-ühenduse loomist, mis säästab suure hulga ühendustega terminaliserveri ressursse
  • Tugev autentimine ja TLS-krüptimine
  • Kerberose või NTLM-i abil ühekordse sisselogimise kasutamine

CredSSP funktsioone saab kasutada ainult operatsioonisüsteemides Windows Vista ja Windows 2008 Server. Selle protokolli lubab terminaliserveri sätetes (Windows 2008 Server) või kaugjuurdepääsu seadetes (Windows Vista) lipp Kasutage võrgutaseme autentimist.

Terminaliteenuste litsentsimisskeem

Kui kasutate RDP-d rakendustele juurdepääsuks õhukese kliendi režiimis, tuleb konfigureerida spetsiaalne litsentsiserver.


Püsikliendilitsentse saab serverisse installida alles pärast aktiveerimisprotseduuri lõppu, enne selle läbimist on võimalik välja anda piiratud kehtivusajaga ajutisi litsentse. Pärast aktiveerimist antakse litsentsiserverile digitaalne sertifikaat, mis kinnitab selle omandiõigust ja autentsust. Selle sertifikaadi abil saab litsentsiserver teha järgmisi tehinguid Microsoft Clearinghouse'i andmebaasiga ja aktsepteerida terminaliserveri alalisi CAL-e.

Kliendilitsentside tüübid:

  • ajutine litsents (ajutise terminaliserveri CAL)
  • seadme litsents (seadme terminaliserveri CAL)
  • kasutaja litsents (kasutajaterminali serveri CAL)
  • väliste kasutajate litsents (väline terminaliserveri pistik)

Ajutine litsents

Seda tüüpi litsents väljastatakse kliendile pärast esimest ühendust terminaliserveriga, litsents kehtib 90 päeva. Eduka sisselogimise korral töötab klient ajutise litsentsiga edasi ja järgmisel korral, kui terminal ühendub, üritab terminaliserver ajutist litsentsi asendada püsilitsentsiga, kui see on poes saadaval.

Seadme litsents

See litsents antakse välja igale füüsilisele seadmele, mis ühendub rakendusserveriga. Litsentsi kehtivusaeg määratakse juhuslikult vahemikku 52 kuni 89 päeva. 7 päeva enne aegumiskuupäeva proovib terminaliserver litsentsiserverilt litsentsi uuendada iga kord, kui klient loob ühenduse.

Kasutaja litsents

Kasutaja kohta annab litsentsimine täiendavat paindlikkust, võimaldades kasutajatel ühenduse luua mitmesugustest seadmetest. Terminaliteenuste praeguses rakenduses puudub kontroll kasutajalitsentside kasutamise üle, s.t. uute kasutajate ühenduse loomisel ei vähene litsentsiserveris saadaolevate litsentside arv. Ebapiisava arvu CAL-litsentside kasutamine rikub Microsofti litsentsilepingut. Seadme CAL-ide ja kasutaja CAL-ide samaaegseks kasutamiseks samas terminaliserveris peab server olema konfigureeritud kasutaja litsentsimisrežiimi jaoks.

Välise kasutaja litsents

See on spetsiaalne litsentsitüüp väliste kasutajate ühendamiseks ettevõtte terminaliserveriga. See litsents ei kehtesta ühenduste arvule piiranguid, kuid vastavalt kasutajalepingule (EULA) peab väliste ühenduste terminaliserver olema pühendatud, mis ei võimalda seda kasutada ärikasutajate seansside teenindamiseks. Kõrge hinna tõttu ei kasutatud seda tüüpi litsentse laialdaselt.

Litsentsiserveri jaoks saab installida ühe kahest rollist:

  • Domeeni või töörühma litsentsiserver
  • Kogu ettevõtte litsentsiserver

Rollid erinevad litsentsiserveri leidmise viisi poolest: ettevõtte rolli kasutamisel otsib terminaliserver Active Directory litsentsiserverit, vastasel juhul tehakse otsing NetBIOS-i levitaotluse abil. Iga leitud serveri õigsust kontrollitakse RPC-päringu abil.

Advanced Technologies terminaliteenused

Rakendusserverite lahendusi propageerib Microsoft aktiivselt, funktsionaalsus laieneb, juurutatakse täiendavaid mooduleid. Kõige arenenumad on need tehnoloogiad, mis lihtsustavad terminaliserveri töö eest vastutavate rakenduste ja komponentide installimist ülemaailmsetes võrkudes.

Terminal Services for Windows 2008 Server tutvustab järgmisi võimalusi.

RDP on mugav, tõhus ja praktiline tööriist kaugjuurdepääs nii asjaajamise kui ka igapäevatöö jaoks.


Arvestades, et selle rakendused on peaaegu kõikjal (erinevad platvormid ja operatsioonisüsteemid) ning neid on palju, peate selle võimalustest hästi aru saama.

Vähemalt on see vajalik mitmel põhjusel:

  • Sageli kasutatakse RDP asemel muud lahendust (VNC, Citrix ICA) lihtsal põhjusel - eeldatakse, et "sisseehitatud RDP on minimaalne ja ei saa midagi teha".
  • Paljudes nüüd moes olevate pilvetehnoloogiatega seotud lahendustes (kontorite üleviimine õhukestele klientidele ja lihtsalt terminaliserverite korraldamine) on arvamusel, et "RDP on halb, kuna see on sisse ehitatud".
  • On levinud müüt selle kohta, et „RDP-d ei saa väljaspool VPN-i, väljasuremist väljas paljastada“ (müüdil on õigustus, kuid see on juba ammu aegunud).
  • Noh, kuna me räägime müütidest, siis on olemas arvamus, et "pärast RDP-lt Citrixile üleminekut langeb liiklus paar korda". Lõppude lõpuks on citrix kallis, seega vähemalt 157% jahedam.

Kõik need müüdid on jama ja segu aegunud "headest nõuannetest", mis olid aktuaalsed NT 4.0 päevil, samuti otsestest väljamõeldistest, millel pole põhjust eksisteerida. Kuna IT on täppisteadus, peate selle välja mõtlema. Uute versioonide korralikult häälestatud RDP-protokoll, võttes arvesse kõiki uusi funktsioone, on kaugjuurdepääsu korraldamiseks üsna hea ja usaldusväärne tööriist.

Seetõttu tegeleme järgmisega:

  • Lühike mainimine RDP versioonist
  • RDP seansi kaitserežiimi konfigureerimine
  • Krüptimise konfigureerimine RDP jaoks
  • Kindla adapteri ja pordiga sidumine
    • Muutke standardport soovitud porti
    • Mitme võrguadapteri jaoks eraldi RDP-sätete tegemine
  • NLA lubamine
    • NLA ja Windows XP
    • Kuidas lubada CredSSP XP-s
  • RDP jaoks õige sertifikaadi valimine
  • RDP-ühenduste blokeerimine tühja parooliga kontodel
  • RDP kiiruse optimeerimine
  • RDP tihendamise optimeerimine
    • Üldise RDP tihenduse konfigureerimine
    • RDP heli tihendamise seadistamine
  • RDP andmevoogude suhte optimeerimine
  • Võimaldab nõuda RDP jaoks turvalist RPC-sidet

Alustame.

RDP-protokolli versioonid

Protokollil on üsna pikk ajalugu, alustades NT 4.0-st. Jätame ajaloolised üksikasjad kõrvale lihtsal põhjusel - praegu on mõttekas rääkida ainult RDP 7.0 versioonist, mis on Windows Vista SP1 / Windows Server 2008 versioonis ja lisatakse Windows XP-le tasuta, installides SP3 ja uuendatud RDP klient (asub lingi juures failile KB 969084). Eeldan, et teil on vähemalt Windows XP ja et teil on / saate installida uusima hoolduspaketi ja ärge raisake oma aega arutamaks Windows 2000 SP2 RDP eeliseid NT 4.0 SP5 ees.

RDP seansikaitse režiimi konfigureerimine

Põhimõtteliselt on see ülesande kõige lihtsam osa. Alumine rida on järgmine. RDP erinevates versioonides kasutatakse seansi kindlustamiseks kahte peamist mehhanismi - sisseehitatud RDP ja seansi "mähkimine" TLS-i. Sisseehitatud seade pole piisavalt turvaline ja sellega on seotud soovitus „RDP saab olla väljaspool ainult VPN-i”. Seetõttu lubage alati TLS-tugi. See on miinimum, millest peaksite alustama. Ainsad piirangud on see, et serveri versioon ei ole madalam kui Windows Server 2003 SP1 ja RDP klient 5.2 ja uuem, kuid arvan, et 2011. aasta lõpus saab selle lahendada.

RDP lubamine TLS-i kaudu

Nagu alati, on mitu võimalust. Esimene on lubamine grupipoliitika kaudu. Selleks minge sihtrühma poliitikaobjektile (noh, või käivitage gpedit.msc lokaalselt oma koduses tööjaamas) ja valige „Computer Configuration” -\u003e „Administrative Templates” -\u003e „Windows Components” -\u003e „Remote Desktop Session Host ”-\u003e„ Turvalisus ”ja lubage seal nõuda konkreetse turbekihi kasutamist kaugühenduste parameetri jaoks, valides ainult SSL (TLS 1.0). Võite valida ka pehmema läbirääkimise, kuid ma ei soovitaks seda, sest Praegu on see lubatust madalamal tasemel. Inimesena, kes lõi piisavalt kõrge turvalisuse tasemega privaatsed pilved, võin öelda, et eriti väärtuslike andmete Londoni lähedale andmekeskusesse toomise ja sinna vaikimisi RDP-ga mineku mõte on null ja see on probleemide otsimine.

See on lihtsam ja lihtsam - avage kaugtöölaua seansi hosti seadistamise lisandmoodul (leitud mmc-s või valmis menüüs Administratiivsed tööriistad -\u003e Kaugtöölaua ühendused), valige loendist Ühendused soovitud ühendus (tavaliselt on see üks ja seda nimetatakse RDP-Tcp-ks) ning avage Atribuudid, seejärel vahekaart Üldine ja valige seal soovitud turbekiht.

TLS-i toimimiseks on vaja digitaalset sertifikaati (vähemalt serveri poolelt). Tavaliselt on see juba olemas (genereeritakse automaatselt), veenduge, et see oleks olemas, räägime sellest, kuidas seda hiljem hea teha. Praegu vajate seda lihtsalt, muidu ei saa te ühendust.

Krüptimise konfigureerimine RDP jaoks

Konfigureerimiseks on saadaval 4 krüptimisvalikut. Vaatleme neid kõiki.

RDP madala krüptimisrežiim

Kõige "ei" režiim. Kohutavate aegade ja RDP 5.x versioonide pärand. Oskab pidada läbirääkimisi 56-bitise DES või 40-bitise RC2 krüptimise üle, mis pole praegu tõsine. Pole vajalik ja ohtlik. Näiteks kui lubate selle, siis TLS-i ei lubata, kuna TLS keeldub juba läbirääkimistest selle võimaluse pakutavate nõrkade šifrite üle.

RDP kliendi ühilduv krüptimisrežiim

Teine "ei" režiim. Kohutavate aegade ja RDP 5.x versioonide pärand. Proovib kuni 128-bitist RC4, kuid nõustub kohe DES / RC2-ga. Pole vajalik ja ohtlik. Samuti ei ühildu TLS-iga.

RDP kõrge krüptimisrežiim

Minimaalne lubatud režiim. Nõuab vähemalt 128-bitist RC4. Töötab kõigi serveritega alates Windows 2000 Serverist ja HEP-ist.

RDP FIPS140-1 krüptimisrežiim

Täpselt seda, mida vaja on. Toetab tänapäevaseid sümmeetrilisi algoritme ega toeta selgesõnaliselt RC2, RC4, ühte DES-i ning sunnib sõnumite autentimiskoodi (MAC) terviklikkuse arvutamisel kasutama pigem SHA-1 kui MD5. Lubage see valik alati, serveri leidmine, mis ei saa 3DES, AES või SHA-1, on peaaegu võimatu.

Kus see seade on tehtud? Avage kaugtöölaua seansi hosti seadistamise lisandmoodul (leitud mmc-s või valmis menüüs Administratiivsed tööriistad -\u003e Kaugtöölaua ühendused), valige loendist Ühendused soovitud ühendus (tavaliselt on see üks ja seda nimetatakse RDP-Tcp-ks) ja avage Atribuudid, seejärel vahekaart Üldine ja valige vajalik krüptimistase.

Seostage RDP konkreetse adapteri ja pordiga

Selleks, et server töötaks ohutult ja prognoositavalt (näiteks ei alusta ühenduste vastuvõtmist uuelt värskelt lisatud võrguadapterilt), tuleb selgesõnaliselt näidata, millistel liidestel peaks RDP-serveriteenus ühendusi vastu võtma. Lisaks on sageli kasulik vahetada porti, millel server ühendusi kuulab. Muidugi saate seda teha avaldades RDP-ga serveri mõne lüüsi kaudu, kuid saate seda teha ka ilma selleta. Sellised esmapilgul näivad põhitoimingud vähendavad oluliselt idiootide-scriptkiddide protsenti, kes kasutavad mõnda muud „võimsat tööriista” tuntud pordide kontrollimiseks.

Kuidas siduda RDP-teenus konkreetse võrguadapteriga või teha mitu RDP-d erinevate seadistustega erinevate adapterite jaoks

Avage kaugtöölaua seansi hosti seadistamise lisandmoodul (leitud mmc-s või valmis menüüs Administratiivsed tööriistad -\u003e Kaugtöölaua ühendused), valige loendist Ühendused soovitud ühendus (tavaliselt on see üks ja seda nimetatakse RDP-Tcp-ks) ja avage Atribuudid, seejärel vahekaart Võrguliidesed ... Selles saate valida ühe konkreetse liidese, kus ühendust oodata, pluss piirata paralleelsete seansside arvu.

Kui teil on palju liideseid ja peate ütlema, et saaksite ühendada 2-st viiest saadaolevast, peate seoma vaikimisi RDP-Tcp ühe adapteriga, seejärel minge menüüsse Toiming ja valige Loo uus Ühendus seal. Ühendus võib kuulata kas kõigil liidestel või ühel ja juhul, kui on vaja kuulata N-liidesel, peate looma N-ühendust.

Vastavalt sellele, kui teil on ülesanne „Nii et RDP kuulab ühte liidest ühes pordis ja teist - teises”, saab selle lahendada samamoodi - vabastate RDP-Tcp vaikimisi kõikidest adapteritest ja seondute konkreetne, pärast seda - loo uus RDP-ühendus ja seo ka soovitud võrguliidesega.

Kuidas siduda RDP-teenus mitte-vaikepordiga

Vaikimisi port on 3389 TCP. Muide, ärge unustage seda oma pakettfiltris lubada. Noh, kui soovite midagi muud, peate minema registrivõtme juurde

HKEY_LOCAL_MACHINE \\ System \\ CurrentControlSet \\ Control \\ Terminal Server \\ WinStations \\ RDP-Tcp

ja parandage selles olev väärtus PortNumber. Pidage meeles, et sadamate hõivamisega seotud konfliktide jälgimine on teie südametunnistusel. Ta ise, olles avastanud, et teie määratud sadam on hõivatud, ei saa kuhugi hüpata.

Lülitage sisse NLA - võrgutaseme autentimine

NLA-funktsioon ilmus NT 6.0-s ja lisas hiljem võimaluse seda osaliselt kasutada OS-i eelmises versioonis, installides SP3 XP-le.
Selle funktsiooni olemus on üsna lihtne. RDP versioonides kuni 6.0, kui see on ühendatud RDP klient enne autentimist peate kuvama sisselogimisakna - st. esimene saade ja siis proovib ta süsteemi siseneda. See loob lihtsa haavatavuse - serveri saab üle koormata hulga „lubage mul proovida uue seansi algust“ taotlustega ja see on sunnitud vastama kõikidele taotlustele seansi loomisega ja ootama kasutaja sisselogimist. Tegelikult on see DoS-võime. Kuidas saate sellega toime tulla? On loogiline, et peame välja mõtlema skeemi, mille eesmärk on võimalikult varakult kliendilt mandaatide küsimine. Optimaalne - midagi sellist nagu kerberod domeenis. See sai tehtud. NLA-l on kaks eesmärki:

  • Klient autentitakse enne terminaliseansi algatamist.
  • Võimalikuks on kohaliku kliendi SSP andmete edastamine serverisse, s.t. Ühekordne sisselogimine hakkab tööle.

Seda rakendatakse uue turvapakkuja - CredSSP kaudu. Selle tehnilise kirjelduse saate lugeda, lihtsustatult öeldes, peate selle funktsiooni alati lubama. Muidugi, arvestades, et tema töö jaoks on vajalik, et:

  • Kliendi OS (see, millega ühendus luuakse) oli Windows XP SP3 või uuem.
  • Serveri OS (see, millega ühendus luuakse) oli Windows Server 2008 ja uuem.

Märkus. Kuigi Windows Server 2003 kernel on uuem kui XP (5.2 vs. 5.1), on Windows XP jaoks olemas värskendus, mis lisab NLA tuge, kuid mitte Windows Server 2003 jaoks. See tähendab, et isegi kui ühendate kõige ligipääsetavamast versioonist - Windows Server 2003 R2 hoolduspaketi SP2 koos kõigi plaastritega, ei saa te ühendust luua serveriga, mis vajab NLA-d, ja olla NLA-d toetav server. Paraku.

Kuidas NLA on RDP-serveri poolel lubatud

Parim on lubada NLA kõigis serverites läbi rühmapoliitika. Selleks minge sihtrühma poliitikaobjektile ja valige „Computer Configuration” -\u003e „Administrative Templates” -\u003e „Windows Components” -\u003e „Remote Desktop Session Host” -\u003e „Security” ja lubage seal nõuda kasutaja autentimist parameetri kaugühendused võrgukihi autentimise abil.

Saate selle lubada ka kohapeal. Selleks helistage alammenüüsse Atribuudid (tavaline arvuti alammenüü Arvuti) ja valige seal vahekaart Kaug, kus saab valida kolm võimalust - keelata ühendused RDP kaudu selle hostiga, lubada ühendusi mis tahes RDP kaudu, lubada ainult NLA-ga. Luba alati NLA valik, see kaitseb peamiselt serverit.

NLA ja Windows XP

Kui teil on Windows XP, saate ka seda funktsiooni kasutada. Levinud väide „NLA vajab vähemalt vilet, Microsoft tegi seda uuendamiseks” on vale. Service Pack 3 lisab CredSSP-i rakenduse, et delegeerida serverisse kohaliku SSP-s olevad kliendimandaadid. St lihtsamalt öeldes tehti see spetsiaalselt nii, et Windows XP-st oli võimalik ühendada süsteemidega, millel oli NT 6.0+. Selle funktsiooniga ei saa te ühenduse luua Windows XP hoolduspaketiga SP3, NLA tugi on osaline (seetõttu ei saa RDP-serverit, mis toetab Windows XP-st NLA-d kasutavate klientide ühendamist, tavaliste meetoditega, Windows XP on ainult NLA-ga ühilduv klient).

Märkus: NLA on olnud kasutusel alates NT 6.0-st ja on osa tehnoloogiast, mida nimetatakse RDP 6.0-ks. XP hoolduspaketi 3. hoolduspakett toob kaasa mitte ainult RDP 6.0, vaid ka võime installida RDP 7.0, mis on üsna positiivne (näiteks RDP 7.0-s on erinevalt 6.0-st EasyDPrint, kahesuunaline heli ja mõned muud asjad, mis muudavad RDP-kliendi Windows XP-s koos kõigi pakenditega üsna praktilisse süsteemi). See on muide halva Microsofti kohta, mis sundis kõiki nii kohutavalt Windows XP-lt üle minema halva, halva viksina, et isegi 2001. aasta toote tasuta hoolduspaketis õmblesin ma uuema RDP-alamsüsteemi kui see, mis sisse tuli mis tuli välja 2006. aastal.

See funktsioon on vaja selgesõnaliselt lubada, kuna hoolimata asjaolust, et hoolduspakett Service Pack 3 lisab uue krüptograafiateenuse pakkuja, ei sisalda see seda.

Kuidas lubada CredSSP XP-s

Veelkord - see toiming viiakse läbi rangelt pärast hoolduspaketi Service Pack 3 installimist Windows XP-sse ja meie vestluse kontekstis on see vajalik selleks, et saaksime NLA kaudu RDP 6.1 kaudu teiste serveritega ühendust luua.

Esimene samm - turbepakettide loendi laiendamine.
Selleks avame registrivõtme

HKEY_LOCAL_MACHINE \\ SYSTEM \\ CurrentControlSet \\ Control \\ Lsa

ja leidke selles turvapakettide väärtus. Paremklõpsake ja valige „Muuda“ (mitte Muuda binaarandmeid, lihtsalt Muuda). Seal on nimekiri nagu "paketi nimi igal real". Peame sinna lisama tspkg. Ülejäänud tuleb jätta. Lisamise koht pole kriitiline.

Teine samm on raamatukogu ühendamine.
Võti on erinev:

HKEY_LOCAL_MACHINE \\ SYSTEM \\ CurrentControlSet \\ Control \\ SecurityProviders

Selles peate leidma väärtuse SecurityProviders (pange tähele, nagu ka eelmisel juhul, see pole alamvõti, vaid väärtus) ja muutke seda analoogia põhjal, lisades ainult credssp.dll. Ülejäänud loendit jällegi pole vaja puudutada.

Nüüd saate registriredaktori sulgeda. Pärast neid toiminguid tuleb süsteem taaskäivitada. Krüptopakkujad on asi, mida liikvel kindlasti ei võta ja see on pigem hea kui halb.

RDP jaoks õige sertifikaadi valimine

Kui teil on võimalus RDP jaoks kasutada mitte-vaikesertifikaati, siis on parem seda kasutada. See ei mõjuta seansi turvalisust kui sellist, kuid mõjutab ühenduse turvalisust ja kasutatavust. Kõige paremini kasutatav sertifikaat peaks sisaldama järgmisi punkte:

  • Nimi (teemas või SAN-is), mis ühtib serveriga ühenduse loomise kliendi sisestatud nimega märkide kaupa.
  • Tavaline CDP laiendus, mis osutab toimivale CRL-ile (eelistatavalt vähemalt kaks - OCSP ja staatiline).
  • Soovitav võtme suurus on 2048 bitti. Veel on võimalik, kuid pidage meeles XP / 2003 CAPI2 piiranguid.
  • Kui vajate XP / 2003 külgühendusi, ärge katsetage signatuuri / räsimisalgoritmidega. Ühesõnaga, vali SHA-1, sellest piisab.

Peatun veel veidi RDP-serveri spetsiaalse sertifikaadi väljaandmisel.

Spetsiaalne sertifikaadi mall RDP-serverite jaoks

See on ideaalne, kui RDP-sertifikaat ei põhine tavalisel mallil (näiteks veebiserver) ja väljal Rakenduspoliitika (mida sertifikaadis nimetatakse sagedamini laiendatud võtmekasutuseks - EKU) standardne kliendi autentimine ja Serveri autentimise väärtused, kuid lisage oma mall, milles on üks, spetsiaalne, standardmeetoditega lisamata rakenduseväärtus - kaugtöölaua autentimine. See rakenduspoliitika väärtus tuleb luua käsitsi, selle OID on 1.3.6.1.4.1.311.54.1.2, noh, pärast seda saate juba luua uue sertifikaadi malli, mille põhjal väljastatakse sertifikaat, mis on suunatud RDP-serverile.

Selle toimingu täielikuks automatiseerimiseks andke uuele mallile ennustatav nimi - näiteks “RDPServerCert” - ja minge rühmapoliitika objektile ning avage seal Arvuti konfiguratsioon -\u003e Poliitikad -\u003e Haldusmallid -\u003e Windowsi komponendid -\u003e Kaugtöölaua teenused -\u003e Kaugtöölaua seansi hosti -\u003e Turvalisus. Valige parameeter Serveri autentimissertifikaadi mall ja lubage see ning sisestage väärtuse väljale nimi - tegime RDPServerCert. Kui RDP on neil lubatud, lähevad kõik selle reegli alla kuuluvad domeenihostid ise sertifitseerimisasutusse, taotlevad määratud malli põhjal sertifikaati, kui neil pole sertifikaati, ja muudavad selle RDP-ühenduste kaitsmiseks vaikimisi . Lihtne, mugav, tõhus.

Blokeerige tühja parooliga ühendused RDP-kontode kaudu

Pisiasi, kuid te ei pea seda unustama.
Paroolideta kontode ühenduse RDP-ga blokeerimiseks minge grupipoliitika objekti sätetele: Arvuti konfiguratsioon -\u003e Windowsi seaded -\u003e Turvaseaded -\u003e Kohalikud reeglid -\u003e Turvalisused ja määrake „Kontod: kohaliku konto kasutamise piiramine tühi paroolid ainult konsooli sisselogimiseks “To Enabled. Võtke aega, et kontrollida, kas see on nii.

ACL-i konfigureerimine RDP-ühenduse jaoks

Vaikimisi peab RDP-serveriga ühenduse loomiseks olema selgesõnaline kasutaja- või külastusjuurdepääsu luba.
See luba on kohalikel administraatoritel ja kaugtöölaua kasutajate rühmadel. RDP-serverile juurdepääsu kontrollimiseks on kõige parem kasutada kaugtöölaua kasutajate rühma, lisades sellele vajalikud domeenirühmad, mitte üksikud kasutajad. RDP-Tcp atribuutide sätete vahekaardi Turvalisus sisu muutmine ainult viimase abinõuna, kõige parem lisades rühma „RDP blokeeritud hostinimi”, millele on selgesõnaliselt keelatud RDP juurdepääs määratud hostile.

RDP kiiruse optimeerimine

RDP kiiruse optimeerimine on üsna ulatuslik teema, nii et jaotan selle osadeks. See hõlmab neid meetodeid, mis vähendavad protokolli koormust enne tihendamist ja enne võrgukihi optimeerimist.

Chroma (biti sügavus)

RDP 7.0 ja uuemates versioonides on saadaval 32, 16 ja 8-bitised valikud. Kui räägime tööst, siis piisab selle jaoks 16 bitist. See vähendab oluliselt kanali koormust, pealegi mõnikord üle 2 korra, mis on üllatav, kuid tõsi. Muidugi on ka 8-bitine võimalik, kuid see näeb välja valusalt õudne. 16 bitti on täiesti vastuvõetavad.

Märkus. 8-bitised ühendused pole Windows Server 2008 R2-s enam saadaval.

Lubage serveris parameetri Limit Maximum Color Depth parameeter või tehke sama RDP-kliendi sätetes.

Keela ClearType

Kui olete ClearType'i keelanud, ei edasta RDP-protokoll mitte pilti, vaid käske märkide joonistamiseks. Kui see on lubatud, renderdatakse see serveripoolne pilt, tihendatakse see ja saadetakse kliendile. See on garanteeritud mitu korda vähem efektiivne, nii et ClearType'i keelamine kiirendab tööprotsessi oluliselt ja lühendab reageerimisaega. Sa ise oled üllatunud, kui palju.

Seda saab teha nii kliendiseadete tasemel kui ka serveri poolel (parameeter Ära luba fondi silumist parameetri jaotises Kaugse seansi keskkond jaotises Arvuti konfiguratsioon -\u003e Poliitikad -\u003e Haldusmallid -\u003e Windowsi komponendid -\u003e Kaugtöölaua teenused -\u003e Kaugtöölaua seansi hosti).

Eemalda tapeet

Parameetri RD Taustpilt eemaldamise sundimine jaotises Kaugse seansi keskkond jaotises Arvuti konfiguratsioon -\u003e Poliitikad -\u003e Haldusmallid -\u003e Windowsi komponendid -\u003e Kaugtöölaua teenused -\u003e Kaugtöölaua seansi hosti parandab terminali seansi ekraani ümberjoonistamine olukorda dramaatiliselt. Kasutajad, kellel pole töölaual kasse, jäävad tavaliselt ellu, seda kontrollitakse.

Lülitage sisse ja konfigureerige piltide vahemällu salvestamine

Kui kliendil on piisavalt muutmälu, on mõttekas lubada ja konfigureerida bittikaardi vahemälu. See võidab kuni 20-50% ribalaiusest. Installimiseks peate sisestama võtme

HKEY_CURRENT_USER \\ SOFTWARE \\ Microsoft \\ Terminal Server Client \\

ja looge seal BitmapPersistCacheSize ja BitmapCacheSize parameetrid, mõlemad DWORD 32 tüübid.
Parameeter BitmapPersistCacheSize määrab ketta vahemälu suuruse kilobaitides. Vaikimisi on 10. Mõistlik on seda parameetrit suurendada vähemalt 1000-ni.
Parameeter BitmapCacheSize määrab RAM-i vahemälu suuruse kilobaitides. Vaikeväärtus on 1500. Mõistlik on suurendada seda parameetrit vähemalt 5000-ni. See on ainult 5 megabaiti kliendiseansi kohta. Kaasaegse RAM-skaalaga on see ebaoluline ja isegi kui see toob kaasa 10% -lise jõudluse kasvu, on see ära maksma. Muide, sama parameetrit saab parandada .rdp-failis; kui salvestate RDP-ühenduse ja seejärel avate faili notepadiga, saate parameetrite hulka lisada midagi sellist nagu bitmapcacheize: i: 5000, kus 5000 on 5 MB vahemälu.

Keela töölaua koosseis

Töölauakompositsioon toob kaasa kõikvõimalikke "toredusi" nagu Aero ja tema sõbrad ning sööb märgatavalt ribalaiust. See on töö jaoks ebavajalik ja kahjulik. Parameetri Luba töölaua kompositsioon RDP seanssidele jaotises Kaugse seansi keskkond jaotises Arvuti konfiguratsioon -\u003e Poliitikad -\u003e Haldusmallid -\u003e Windowsi komponendid -\u003e Kaugtöölaua teenused -\u003e Kaugtöölaua seansi hosti peab olema Keelatud.

Töölaua aknahalduri sätete optimeerimine

Parameetrid, mis on jaotises Remote Session Enviroment jaotises Computer Configuration -\u003e Policies -\u003e Administrative Templates -\u003e Windowsi komponendid -\u003e Desktop Window Manager - kontrollivad sujuvalt libisevate menüüde jms kuvamist. Neid on kolm - Ärge lubage aknaanimatsioone, Ärge lubage töölaua kompositsioone ja Ärge lubage Flip3D kutsumist. Kõik need tuleb lülitada režiimile Enabled, st. tegelikult - keelake kõik need funktsioonid.

Keelake kasutamata seadmete ümbersuunamine

Kui te ei plaani ühendada teatud klasside seadmeid (näiteks COM- ja LPT-pordid) või heli, on mõttekas keelata võimalus neid serveripoolelt ümber suunata. Nii et RDP-kliendi vaikeseadetega kliendid ei raiska ühenduse aega kasutamata funktsionaalsuste üle läbirääkimistele. Seda tehakse samas kohas kui ülejäänud serveri seaded, vahekaardil Kliendi sätted (RDP-Tcp atribuudid) (samas kohas, kus värvisügavusega sätted tegime), jaotises Suunamine.

Visuaalsete andmete RDP optimeerimise üldise loogika seadistamine

Valik nimega Optimeeri RDP-seansside visuaalne kogemus, mis on leitud jaotisest Seansi kaugkeskkond jaotises Arvuti konfiguratsioon -\u003e Poliitikad -\u003e Haldusmallid -\u003e Windowsi komponendid -\u003e Kaugtöölaua teenused -\u003e Kaugtöölaua seansi hosti -\u003e Seansi kaugkeskkond - kontrollib seda, kuidas RDP tajub visuaalseid andmeid - multimeediumina või tekstina. See on jämedalt öeldes vihje tihendusalgoritmile, kuidas pädevamalt käituda. Seetõttu peate töö jaoks määrama selle parameetri väärtuseks Tekst ja kui soovite palju ilusaid välklibereid, HTML5-d ja videolõike, on parem valik Multimeedia.

RDP tihendamise optimeerimine

MAKis on kokkusurumine läinud kaugele. Alates RDP 5.2-st (kaasa arvatud) oli pakendamise alamsüsteem („kompressor”) sisemise nimega „Versioon 1” - kliendi protsessori koormuse osas kõige lihtsam ja lihtsam variant, kuid võrguliikluse koormuse osas halvim. RDP 6.0 tegi “versiooni 2”, mida küll veidi parandati, kuid kokkusurumise efektiivsuse osas paranes. Meid huvitab versioon 3, mis töötab ainult siis, kui olete ühendatud Windows Server 2008 ja uuemate serveritega. See tihendab paremini kui keegi teine \u200b\u200bja protsessori ajakulu on tähtsusetu, võttes arvesse tänapäevaste arvutite võimsust.

Võimendus V3 sisselülitamisel võib testide põhjal otsustada, et see ulatub 60% -ni ja üldiselt on isegi testideta silmale märgatav.

Kuidas lubada optimaalset tihendamist RDP-s

See on kliendi seade. Avage soovitud rühmapoliitika objektis Arvuti konfiguratsioon -\u003e Poliitikad -\u003e Haldusmallid -\u003e Windowsi komponendid -\u003e Kaugtöölauateenused -\u003e Kaugtöölaua seansi hosti -\u003e Seansi kaugkeskkond, valige RDP-andmete parameetri jaoks pakkimise algoritmi määramine, lubage see ja valige Optimeeri, et kasutada vähem võrgu ribalaiust.

Märkus. Paljud inimesed imestavad, miks on loendis valik „blokeerida tihendamine”. See on vajalik juhul, kui teie RDP-seansid tihendatakse välisseadmega, mis optimeerib WAN-ühendusi, näiteks Cisco WAAS. Muudel juhtudel pole muidugi mõtet tihendamist keelata.

Helivoo tihenduse määramine

RDP 7.0 annab suurepärase võimaluse reguleerida sissetuleva helivoo tihendamise kvaliteeti (st heli, mis läheb serverist kliendini). See on üsna kasulik - näiteks kui töötate terminaliserveris, siis lisaks kõigile teenusele kõlab nagu “ICQ-sse on saabunud sõnum”, pole teised eriti planeeritud. Ei ole mõtet serverist tihendamata CD-kvaliteediga heli edastada, kui te seda töö jaoks ei vaja. Vastavalt sellele peate reguleerima helivoo tihendustaset.
Seda parameetrit nimetatakse heli taasesituse kvaliteedi piiramiseks ja see asub jaotises Seadmete ja ressursside ümbersuunamine jaotises Arvuti seadistamine -\u003e Poliitikad -\u003e Haldusmallid -\u003e Windowsi komponendid -\u003e Kaugtöölaua teenused -\u003e Kaugtöölaua seansi hosti. Valikuid on kolm:

  • Kõrge - heli jääb tihendamata. Üleüldse. See tähendab, et see kuulub RDP-protokolli üldise tihendamise alla, kuid spetsiifilist (kadudega) heli tihendamist ei tehta.
  • Keskmine - tihendamine kohandub kanaliga, et mitte suurendada andmeedastuse viivitust.
  • Dünaamiline - tihendamine kohandub dünaamiliselt kanaliga, nii et viivitus ei ületa 150 ms.

Valige sobiv. Nagu näete, on kontoritöö jaoks parem valida Dynamic.

Andmevoogude suhte optimeerimine RDP-s

RDP seansi liiklus ei ole monoliitne. Vastupidi, see on üsna selgelt jagatud ümbersuunatud seadmete andmevoogudeks (näiteks faili kopeerimine kohalikust hostist terminaliserverisse), helivooguks, renderdamise primitiivseks käsuvooguks (RDP üritab edastada primitiivide renderdamiseks käske) ja edastab bittkaarte viimase võimalusena) ning seadme voogesituse (hiir ja klaviatuur).

Mõjutada saab nende voogude vastastikust suhet ja selle (seose) arvutamise loogikat (mingi kohalik QoS). Selleks minge serveripoolsest registrivõtmest

HKEY_LOCAL_MACHINE \\ SYSTEM \\ CurrentControlSet \\ Services \\ TermDD

ja looge alustuseks neli võtit (kui neid pole):

  • FlowControlDisable
  • FlowControlDisplayBandwidth
  • FlowControlChannelBandwidth
  • FlowControlChargePostCompression

Tüüp kõigile - DWORD 32. Klahvide funktsionaalsus on järgmine.
Võti FlowControlDisable määrab, kas prioriseerimist üldse kasutatakse. Kui määrate ühe, keelatakse prioriseerimine, kui null on lubatud. Lülita sisse.
Klahvid FlowControlDisplayBandwidth ja FlowControlChannelBandwidth määravad suhe kahe andmevoo vahel:

  • Kasutaja suhtlusvoog (pilt + sisendseadmed)
  • Muud andmed (blokeerige seadmed, lõikelauale ja kõik muu)

Nende võtmete väärtused ise ei ole kriitilised; kuidas nad on seotud, on kriitiline. See tähendab, et kui määrate FlowControlDisplayBandwidth võrdseks ühe ja FlowControlChannelBandwidth neljaks, siis suhe on 1: 4 ja 20% ribalaiusest eraldatakse kasutaja suhtlemisvoogu ja ülejäänud 80%. Kui teete 15 ja 60, on tulemus identne, kuna suhe on sama.
FlowControlChargePostCompression võti määrab, millal see suhe arvutatakse - enne või pärast tihendamist. Null on enne kokkusurumist, üks on pärast.

Suhte 1: 1 määramiseks ja pärast tihendamist lugemiseks soovitan kasutada vormi "meie kaugserver on kaugel ja kõik ühenduvad sellega RDP kaudu ning kontoris ja 1C töötab". Kogemuste põhjal võib see tõepoolest aidata olukorras, kus „suur dokument trükitakse terminaliserverist kohalikku printerisse“. Kuid see pole dogma - proovige seda, peamine tööriist - teadmine, kuidas see loeb ja töötab - teil juba on.

Luba RDP jaoks nõuda turvalist RPC-sidet

See seade töötab sarnaselt Secure RPC sätetega, mis on jaotises Turvalisus jaotises Turvalisus ja kehtivad kogu süsteemile, ainult et seda on lihtsam konfigureerida. Selle parameetri lubamisega muudate krüptimise kohustuslikuks kõigi klientide RPC-päringute jaoks (sõltuvalt süsteemi seadetest on krüptimise "alumine riba" erinev - RC4 / DES või kui FIPS-140 on lubatud, 3DES / AES) ja kasutage kaugprotseduurikõne autentimiseks vähemalt NTLMv2. Lubage see valik alati. On olemas müüt, et see ei tööta domeenivälises keskkonnas. See pole nii ja RPC turvalisuse karastamine ei tee kellelegi haiget.

See on serveri seade. Avage soovitud GPO-s Arvuti konfiguratsioon -\u003e Poliitikad -\u003e Haldusmallid -\u003e Windowsi komponendid -\u003e Kaugtöölaua teenused -\u003e Kaugtöölaua seansi hosti -\u003e Turvalisus, valige seal Nõua turvalist RPC-sideparameetrit ja lubage see.



Soovitame lugeda