Меню Рубрики

Установка remote desktop shadow 2012 r2

RDS Shadow – подключаемся к сессии пользователя в Windows 2012 R2

Спешим поделиться хорошей новостью: Microsoft вернула функционал Remote Desktop Shadowing в Windows Server 2012 R2 и Windows 8.1! Напомним, что режим Shadow (теневой сеанс) – может использовать администратором для просмотра и управления активной терминальной сессией любого пользователя. Этот режим работы поддерживается практически с первых версий терминального сервера Microsoft и неожиданно был убран в релизе Windows Server 2012 (связано с переносом стека rdp из режима ядра в пользовательский режим).

Кроме того, у режима RD Shadow и rdp клиента появился ряд новых интересных возможностей. Полный список опций rdp клиента mstsc.exe, определяющих возможность удаленного подключения к сессии конечного пользователя:

Mstsc.exe [/shadow:sessionID [/v:Servername] [/control] [/noConsentPrompt]]

/shadow:ID – подключится к терминальной сессии с указанным ID

/v:servername – имя терминального сервера (если не задано, используется текущий)

/control – возможность взаимодействия с сеансом пользователя (если не указано, используется режим просмотра сессии пользователя).

/noConsentPrompt – не запрашивать у пользователя подтверждение на подключение к сессии

Ограничения теневых сеансов RDS в Windows 2012 R2

  • Подключаться к чужим сессиям может только администратор сервера. Делегировать эти права обычным пользователем нельзя
  • RDS Shadow не будет работать в сетях на базе рабочих групп

Remote Desktop Shadow — работа в GUI

Подключиться к сессии пользователя можно с помощью утилиты mstsc.exe или непосредственно из консоли Server Manager. Для этого в консоли Server Manager откройте коллекцию QuickSessionCollection.

Появится окно параметров теневого подключения. Возможен просмотр (View) и управление (Control) сессией. Кроме того можно включить опцию Prompt for user consent (запросить согласие на подключение у пользователя).

Если выбрана опция «Запросить подтверждение», в сессии у пользователя появится запрос:

Winitpro\administrator is requesting to view your session remotely. Do you accept the request?

Если пользователь подтвердит, подключение, администратор увидит его рабочий стол и сможет взаимодействовать с ним.

Если же пользователь отклонит подключение, появится окно:


Если же попытаться подключится к сессии пользователя без запроса подтверждения, появится ошибка, сообщающая что такое поведение настроено групповой политикой:

Параметры удаленного управлениями терминальными сессиями пользователя настраиваются политиками Set rules for remote control of Remote Desktop Services user sessions, которые находится в разделе Policies -> Administrative Templates -> Windows components -> Remote Desktop Services -> Remote Session Host -> Connections в пользовательской и «компьютерной» секциях GPO.

Этой политикой можно настроить следующие варианты подключения по RD Shadow:

  • No remote contol allowed — удаленное управление запрещено
  • Full Control with users’s permission — полный контроль с разрешения пользователя
  • Full Control without users’s permission — полный контроль без разрешения пользователя
  • View Session with users’s permission – наблюдение за сеансом с подтверждением
  • View Session without users’s permission – наблюдение за сеансом без подтверждения

RDS Shadow из Powershell

Воспользоваться функционалом Remote Desktop Services Shadow можно и из Powershell.

В первую очередь покажем, как получить список сессий на терминальном сервере (сесии пользователей будут сгруппированы в группы в зависимости от их статуса):

На данном сервере мы обнаружили три активных терминальных сессии. Подключимся к сессии пользователя с ID сессии 3:

источник

RDS Shadow – теневое подключение к RDP сессиям пользователей в Windows Server 2016 / 2012 R2

В Windows 2012 R2 и Windows 8.1 Microsoft вернула функционал Remote Desktop Shadowing (теневого подключения). Напомним, что режим Shadow (теневой сеанс) – может использовать администратором для просмотра и управления существующей RDP сессией любого пользователя. Этот режим работы поддерживается практически с первых версий терминального сервера Microsoft и неожиданно был убран в Windows Server 2012 (связано с переносом стека rdp из режима ядра в пользовательский режим). Функционал RDS Shadow работает и в следующих версиях ОС: Windows Server 2016 / Windows 10.

Кроме того, у режима теневого подключения RDS Shadow и RDP клиента появился ряд новых интересных возможностей. Полный список параметров RDPклиента mstsc.exe, определяющих возможность удаленного теневого подключения к сессии конечного пользователя:

/shadow:ID – подключится к RDP сессии с указанным ID.

/v:servername – имяRDP/RDS терминального сервера (если не задано, используется текущий).

/control – возможность взаимодействия с сеансом пользователя (если не указано, используется режим просмотра сессии пользователя).

/noConsentPrompt – не запрашивать у пользователя подтверждение на подключение к сессии.

/prompt –используется для подключения под другими учетными данными. Запрашивается имя и пароль пользователя для подключения к удаленному компьютеру.

Ограничения теневых сеансов RDS в Windows 2012 R2

  • Подключаться к чужим сессиям может только администратор сервера. Делегировать эти права обычным пользователем нельзя
  • RDSShadowне будет работать в сетях на базе рабочих групп

Использование Remote Desktop Shadow из графического GUI

Подключиться к сессии пользователя можно с помощью утилиты mstsc.exe или непосредственно из консоли Server Manager. Для этого в консоли Server Manager откройте коллекцию QuickSessionCollection

Щелкнув по сессии интересующего пользователя, выберите в контекстном меню Shadow (Теневая копия).

Появится окно параметров теневого подключения. Возможен просмотр (View) и управление (Control) сессией. Кроме того, можно включить опцию Prompt for user consent (Запрашивать согласие пользователя на подключение к сессии).

Если выбрана опция «Запрашивать согласие пользователя», в сессии у пользователя появится запрос:

Winitpro\administrator запрашивает удаленный просмотр вашего сеанса. Вы принимаете этот запрос.

Читайте также:  Установка писсуара в квартире

Если пользователь подтвердит, подключение, в режиме просмотра администратор увидит его рабочий стол, но не сможет взаимодействовать с ним.

Если же пользователь отклонит подключение, появится окно:


Если попытаться подключиться к сессии пользователя без запроса подтверждения, появится ошибка, сообщающая, что такое это запрещено групповой политикой:

Параметры удаленного управлениями RDS сессиями пользователя настраиваются политикой Set rules for remote control of Remote Desktop Services user sessions (Установить правила удаленного управления для пользовательских сеансов служб удаленных рабочих столов), которая находится в разделе Policies -> Administrative Templates -> Windows components -> Remote Desktop Services -> Remote Session Host -> Connections (Административные шаблоны –> Компоненты Windows –> Службы удаленных рабочих столов – Узел сеансов удаленных рабочих столов –> Подключения) в пользовательской и «компьютерной» секциях GPO. Данной политике соответствует dword параметр реестра Shadow в ветке HKLM\SOFTWARE\Policies\Microsoft\Windows NT\Terminal Services.

Этой политикой можно настроить следующие варианты теневого подключения через теневое подключение RD Shadow::

  • No remote contol allowed — удаленное управление не разрешено (значение ключа реестра Shadow = 0);
  • Full Control with users’s permission — полный контроль с разрешения пользователя (1);
  • Full Control without users’s permission — полный контроль без разрешения пользователя (2);
  • View Session with users’s permission – наблюдение за сеансом с разрешением пользователя (3);
  • View Session without users’s permission – наблюдение за сеансом без разрешения пользователя (4).

Теневое подключение RDS Shadow из PowerShell

Воспользоваться функционалом теневого подключения к сессии пользователя через теневое подключение Remote Desktop Services можно и из Powershell.

В первую очередь покажем, как получить список сессий на терминальном сервере (сессии пользователей будут сгруппированы в группы в зависимости от их статуса):

На данном сервере мы обнаружили три активных терминальных сессии. Подключимся к сессии пользователя с ID сессии 3:
Mstsc /shadow:3 /control
Также для получения списка всех сессии на сервере можно выполнить команду

На экране отобразится список RDP сессий, их ID и статус: активная сесиия (Active) или отключенная (Disconnected).

Для получения списка сессий на удалённом сервере выполните команду:

query session /server:servername

Для более удобного теневого подключения к сессиям можно использовать следующий скрипт. Скрипт предложит ввести имя удаленного компьютера и выведет список всех сеансов и предложит указать сеанс, к которому нужно подключится:

@echo off
set /P rcomp=»Enter name or IP of a Remote PC: «
query session /server:%rcomp%
set /P r
start mstsc /shadow:%rid% /v:%rcomp% /control

Можно поместить данный файл в каталог %Windir%\System32, в результате для теневого подключения достаточно выполнить команду shadow.

Для подключения к консольной сессии можно использовать такой скрипт:

@echo off
set /P rcomp=»Enter name or IP of a Remote PC: «
for /f «tokens=3 delims= » %%G in (‘query session console /server:%rcomp%’) do set r >start mstsc /shadow:%rid% /v:%rcomp% /control

Как разрешить обычном пользователям использовать теневое подключение

В рассмотренных выше примерах для использования теневого подключения к терминальным сессиям необходимы права локального администратора на RDS сервере. Однако можно разрешить использовать теневое (shadow) подключение для подключения к сессиям пользователей и простым пользователям (не давая им прав локального администратора на сервере).

К примеру, вы хотите разрешить членам группы AllowRDSShadow использовать теневое подключение к сессиям пользователей, выполните команду:

wmic /namespace:\\root\CIMV2\TerminalServices PATH Win32_TSPermissionsSetting WHERE (TerminalName=’RDP-Tcp’) CALL AddAccount ‘corp\AllowRDSShadow’,2

В январе 2018 года после установки обновления KB4056898 (патч Windows против Meltdown и Spectre) пользователи столкнулись, что в Windows Server 2012 R2 перестал работать теневой доступ. При попытке выполнить теневое подключение к чужой сессии появляется сообщение «Неопознанная ошибка» (в логах присутствует ошибка STATUS_BAD_IMPERSONATION_LEVEL). Аналогичная проблема возникала и на RDS ферме на базе Windows Server 2016.

Для решения проблемы нужно установить отдельные обновления:

  • для Windows Server 2016 — KB4057142 (от 17 января 2018)
  • для Windows Server 2012 R2 — KB4057401 (от 17 января 2018)

источник

bearded sysadmin

Архивы

В прошлой статье (Службы удалённых рабочих столов на основе сеансов. Часть 1 — Развёртывание в домене) довольно детально был рассмотрен процесс развертывания служб RDS на серверы предприятия. Теперь настал черед ознакомиться с определением коллекций сеансов и рассмотреть процесс их создания.

Согласно официальной справке Microsoft, существует такое определение коллекции сеансов:

Коллекция сеансов — это группа серверов узлов сеансов удаленных рабочих столов для конкретного сеанса. Коллекция сеансов используется для публикации рабочих столов на основе сеансов либо удалённых приложений RemoteApp
(TechNet)

Если перефразировать эту, довольно расплывчатую, формулировку, то можно сказать, что коллекция сеансов — это сервер или группа серверов, которые предоставляют безопасный и устойчивый доступ к своим ресурсам группе или нескольким группам пользователей. В коллекцию сеансов входят только те сервера, на которых развёрнута роль узла подключений к удалённым рабочим столам.

Какие же преимущества приносит использование коллекций сеансов?

  1. Простое развёртывание. Коллекции сеансов достаточно легко устанавливать и настраивать с помощью соответствующих мастеров.
  2. Простое управление. Серверами в коллекции можно управлять из одной унифицированной консоли.
  3. Корректное распределение ресурсов. Серверы, которые находятся в одной коллекции умеют корректно распределять такие ресурсы как ЦП, диски и сеть, что предотвращает конфликты между сессиями пользователей.

Создание коллекции сеансов

Перед тем как приступить к развёртыванию коллекции сеансов предлагаю ознакомиться с существующей схемой сети. Ферма серверов RDS состоит из четырёх серверов, выполняющих различные роли служб удалённых рабочих столов. Сервер RDCB исполняет роль посредника подключений, сервер RDWH — это узел веб-доступа к удалённым рабочим столам и приложениям RemoteApp, а на серверы RDSH1 и RDSH2 установлена роль узлов сеансов. Кроме роли посредника подключений, сервер RDCB, так же является узлом лицензирования. Помимо фермы серверов RDS в сети присутствует сервер DC1 являющийся контролером домена и рабочие станции пользователей сети — WS101, WS102 и WS103.

Читайте также:  Установка бутана в ташкенте

Все функции управления коллекциями сеансов в Windows Server 2012 R2 находятся на вкладке Службы удалённых рабочих столов (Remote Desktop Services Manager, RDSM). Добраться до неё можно открыв Диспетчер серверов и выбрав пункт Службы удалённых рабочих столов в панели слева. Для того, чтобы создать новую коллекцию сеансов необходимо выбрать соответствующий пункт в меню Задачи на панели Коллекции.

Рис.2 — Создание коллекции сеансов

Дальше, как обычно, создать новую коллекцию приложений нам поможет мастер создания коллекций. В первом его окне нас ознакомят с тем необходимым минимумом условий который должен быть соблюден при создании новой коллекции сеансов. Читаем, проверяем и жмём Далее.

На втором шаге мастера необходимо указать имя и краткое описание создаваемой коллекции.

Рис.3 — Присвоение имени коллекции

Следующее окно мастера позволяет указать какие именно серверы, имеющие роль узла сеансов удалённых рабочих столов, будут находиться в создаваемой коллекции. Переносим необходимые серверы в колонку Выбрано и нажимаем Далее.

Рис.4 — Добавление серверов в коллекцию сеансов

Далее указываем группу или несколько групп пользователей, которые будут иметь доступ к приложениям новой коллекции сеансов. В данном конкретном случае создаём коллекцию сеансов, подключаться к которой могут все пользователи домена без исключений. Однако, данный шаг мастера позволяет более гибко настраивать доступ пользователей к коллекции, что, конечно же, значительно снижает вероятность несанкционированного доступа.

Рис.5 — Настройка групп пользователей

На следующем шаге, мастер предлагает использовать функцию использования дисков профилей пользователей. Это одно из нововведений появившихся в Windows Server 2012. Если вкратце, то диски профилей пользователей представляют собой виртуальные жёсткие диски в формате vhd и призваны заменить перемещаемые профили пользователей. Более подробно эта функция будет описана в одной из последующих статей. Если мы хотим использовать диски профилей пользователей, то ставим соответствующую галочку, указываем общую папку и максимальный размер, который может занимать один vhd файл. При указании папки, нужно убедиться в том, что серверы узлов сеансов и текущий пользователь имеют права на чтение и запись данных в указываемую папку. Если же использовать данную функцию мы не хотим, то просто снимаем галочку с пункта Включить диски профилей пользователей и жмём Далее.

Рис.6 — Использование дисков профилей

Проверяем правильность указанных данных и подтверждаем выбор нажатием кнопки Создать.

Рис.7 — Окно подтверждения выбора

Затем начнётся непосредственно сам процесс формирования коллекции. После его окончания, если не возникло ошибок, закрываем окно мастера.

Рис.8 — Отображение процесса создания коллекции

После завершения процедуры создания коллекции сеансов на соответствующей вкладке RDSM мы можем видеть название созданной коллекции. Строго говоря, эта вкладка и представляет собой единый центр управления коллекциями. Здесь можно увидеть информацию о том, какие коллекции созданы, сколько присутствует серверов узлов сеансов и какие пользователи подключены к созданным коллекциям.

Рис.9 — Окно управления коллекциями сеансов

Конфигурирование коллекции сеансов

Все параметры относящиеся к какой-либо конкретной коллекции, находятся на странице с её названием. В данном конкретном случае переходим на страницу Коллекция сеансов RDS. Здесь мы видим краткие сведения о самой коллекции, список установленных приложений RemoteApp или предложение их опубликовать, список серверов узлов сеансов, обслуживающих эту коллекцию и перечень подключений к ней.

Рис.10 — Окно управление конкретной коллекцией сеансов

Вызвать окно с настройками можно зайдя в меню Задачи на панели Коллекции и выбрав там пункт Изменить свойства.

Рис.11 — Вызов меню свойств коллекции

Это окно открывает доступ ко всем настройкам коллекции сеансов, включая те, которые были заданы при создании самой коллекции. Такие опции рассматривать не будем, а перейдем сразу к тем, которые еще не встречались.

Настройка параметров сеансов

Одними из основных настроек, находящимися в пределах данного окна, являются настройки времени взаимодействия узла сеансов непосредственно с самими сеансами. Среди этих настроек:

  • Окончание разъединённого сеанса — это время, спустя которое сервер завершит разъединенную сессию пользователя. Говоря иными словами, это количество времени, которое сервер будет хранить временные файлы пользователя. Если пользователь в течение выбранного интервала подключится к службам RDS, то он увидит своё рабочее окружение в том состоянии, что и до разъединения. При этом счётчик времени сбрасывается. Эта опция бывает полезна в случае когда у пользователя нестабильная линия связи с сервером или вы хотите подстраховаться и дать пользователям возможность вернуться к своему сеансу в случае его случайного или же не случайного разъединения.
  • Ограничение активного сеанса — это время в течение которого пользователю позволено непрерывно находиться на сервере. Эта настройка позволяет экономить ресурсы сервера в случае, когда пользователь открыл сеанс и находится в нём достаточно продолжительное время. Эту опцию можно задать немногим большую чем длина рабочего дня.
  • Ограничение бездействующего сеанса — это время в течение которого пользователь может оставаться в сеансе и при этом не производить никаких действий. Эта настройка, как и предыдущая, позволяет экономить ресурсы сервера, однако при её использовании нужно быть осторожным, поскольку пользователям обычно не нравится, когда их сеанс закрывается слишком часто.
Читайте также:  Установка заднего парктроника ниссан кашкай

Так же на этой вкладке можно настроить поведение сервера для ситуации когда достигнуто время ограничения сеанса или соединение было прервано. В этом случае выбор состоит из двух пунктов: отключиться от сеанса и тем самым сохранять некоторое время сеанс пользователя либо насовсем завершить сеанс с удалением всех временных файлов.

Рис .12 — Настройка параметров сеанса

Параметры временной папки позволяют определить использовать ли вообще временные папки при создании сеансов и удалять ли временные папки при выходе пользователя. По умолчанию, оба этих параметра активны и будут применяться.

Настройка параметров безопасности

В этом окне собраны параметры, которые отвечают за безопасный обмен данными между серверами фермы RDS и пользователями коллекции сеансов. К этим настройкам относятся уровень безопасности который устанавливается между клиентами RDS и серверами узлов сеансов. Доступны такие уровни безопасности:

  • Уровень безопасности RDP. Выбор этой опции означает, что будет использоваться стандартный уровень шифрования, определённый протоколом RDP. В этом случае, сервер узла подключений не устанавливает подлинность клиента пытающегося к нему подключиться. Это наименее безопасный уровень подключения.
  • SSL (TLS 1.0). Этот вариант означает, что будет использоваться шифрование соответствующими протоколами и проверка подлинности клиентов с помощью цифрового сертификата. Эта опция определяет самый высокий уровень безопасности, однако, не везде можно применить такой уровень безопасности.
  • Согласование. В этом случае осуществляется попытка применения шифрования уровня TLS, а если клиент его не поддерживает, то будет использовано шифрование протокола RDP.

Рис.13 — Параметры безопасности коллекции сеансов

Кроме уровня безопасности, ещё можно установить уровень шифрования соединения между узлами сеансов и клиентами. Доступны следующие параметры:

  • Низкий. Шифруется только данные от клиента к серверу. Для этого используется 56-разрядное шифрование.
  • Высокий. Шифруются данные от клиента к серверу и наоборот. Используется 128-разрядное шифрование.
  • FIPS-совместимый. Так же как и в случае с высоким уровнем шифрования шифруются данные и от клиента к серверу и от сервера к клиенту, однако при этом используется алгоритм шифрования FIPS 140-1.
  • Совместимый с клиентом. В этом случае будет использоваться максимально возможный уровень шифрования, который будет поддерживать клиент.

Так же можно включить поддержку проверки клиентов на уровне сети. Если включить эту опцию, то авторизация клиента будет происходить до создания сессии. Это позволяет серьезно повысить уровень безопасности RDS. Однако следует помнить, проверка на уровне сети может быть осуществлена только для клиентов использующих RDC 6.0 и выше и ОС Windows XP SP3 и выше. Следовательно пользователи, чьи рабочие станции не будут удовлетворять данным требованиям не смогут подключиться к службам удаленных рабочих столов. Как включить проверку на уровне сети для Windows XP SP3 доступно описано у Карманова. Там вообще можно много хорошего про безопасность протокола RDP почитать.

Настройка балансировки нагрузки

Параметры балансировки нагрузки позволяют распределить все подключения к узлам сеансов не равномерно, а по усмотрению администратора. Такая необходимость возникает в тех случаях, когда серверы имеют разную аппаратную конфигурацию относительно друг друга. Для настройки доступны два параметра: относительный вес сервера и ограничение сеансов.

  • Относительный вес определяет значимость выделенного сервера относительно других. Чем больше число в этом поле, тем большее количество подключений будет принимать сервер. Значение можно задать в диапазоне от 1 до 10000.
  • Ограничение сеансов задает количество пользователей, которые могут одновременно быть подключенными к серверу. Значение может находиться в диапазоне от 1 до 999999.

Рис.14 — Настройка балансировки нагрузки

Настройка параметров клиентов удалённого доступа

Переопределить некоторые параметры пользовательского клиента подключений (Remote Desktop Client, RDC) можно на вкладке Настройка параметров клиента.

Рис.15 — Настройка параметров RDC

Здесь можно указать какие устройства и ресурсы будут перенаправлены на сервер и задать политики перенаправления клиентских принтеров и мониторов.

Настройка дисков профилей пользователей

Помимо параметров заданных ещё при создании коллекции сеансов, на вкладке Диски профилей можно довольно гибко настроить то, какие параметры и папки из профиля будут сохраняться, а какие нет. Эта опция позволит сэкономить место на файловом сервере за счет того, что на нем не будут храниться папки с видео или музыкой, которые нужны в производственной среде далеко не всегда. Так же можно отключить хранение данных перемещаемого профиля и реестра пользователей, что позволит создать ситуацию, когда пользователь каждый раз будет входить в свой сеанс как в первый раз.

Рис.16 — Настройка дисков профилей

После внесения всех требуемых изменений в настройки коллекции нажимаем ОК. На этом настройка коллекции средствами RDMS завершена.

Проверка работоспособности коллекции

Для того, чтобы убедиться что созданная коллекция сеансов работоспособна и может принимать подключения, на одной из рабочих станций домена попробуем получить доступ к ресурсам RDS посредством веб-доступа. Для этого достаточно открыть браузер и перейти по ссылке для веб-доступа (https://rdwh.domain.local).

Рис.17 — Проверка работоспособности коллекции сеансов

Так как в коллекцию не добавлено ни одного приложения RemoteApp, доступ будет предоставлен ко всему удалённому рабочему столу. Для инициации нового сеанса достаточно кликнуть на иконку с именем коллекции сеансов (в данном случае Коллекция сеансов RDS).

В следующей статье, посвященной теме RDS, будет рассмотрен процесс добавления и настройки приложений RemoteApp.

источник

Добавить комментарий

Adblock
detector