Установка и настройка терминального сервера на Windows Server

Инструкция разбита на 6 шагов. Первых 3 представляют стандартные действия для настройки терминального сервера. Остальные являются профессиональными советами, которые помогут создать надежную и профессиональную инфраструктуру для сервера терминалов.

В качестве операционной системы используется Windows Server 2012 R2 / 2016.

Шаг 1. Выбор оборудования и подготовка сервера к работе

Выбор оборудования

Выбирая оборудование для данного типа серверов, необходимо опираться на требования приложений, которые будут запускаться пользователями и количество последних. Например, если устанавливается терминальный сервер для программы 1С, а количество одновременно работающих сотрудников равно 20, получим следующие характеристики (приблизительно):

1. Процессор от Xeon E5.
2. Памяти не менее 28 Гб (по 1 Гб на каждого пользователя + 4 для операционной системы + 4 запас — это чуть меньше 20%).
3. Дисковую систему лучше построить на базе дисков SAS. Объем необходимо учесть индивидуально, так как это зависит от характера задач и методов их решения.

Также предлагаю для чтения статью Как выбрать сервер.

Подготовка сервера

Прежде чем начать установку операционной системы выполните следующее:

1. Настройте отказоустойчивый RAID-массив (уровни 1, 5, 6 или 10, а также их комбинации). Данная настройка выполняется во встроенной утилите контроллера. Для ее запуска следуйте подсказкам на экране во время загрузки сервера.
2. Подключите сервер к источнику бесперебойного питания (ИБП). Проверьте, что он работает. Отключите подачу питания на ИБП и убедитесь, что сервер продолжает работать.

Шаг 2. Установка Windows Server и базовая настройка системы

Установка системы

Во время установки системы важно учесть только один нюанс — дисковую систему необходимо разбить на два логических раздела. Первый (малый, 70 – 120 Гб) выделить для системных файлов, второй — под пользовательские данные.

На это есть две основные причины:

1. Системный диск малого размера быстрее работает и обслуживается (проверка, дефрагментация, антивирусное сканирование и так далее)
2. Пользователи не должны иметь возможность хранить свою информацию на системном разделе. В противно случае, возможно переполнение диска и, как результат, медленная и нестабильная работа сервера.

Базовая настройка Windows Server

• Проверяем правильность настройки времени и часового пояса;
• Задаем понятное имя для сервера и, при необходимости, вводим его в домен;
• Настраиваем статический IP-адрес;
• Если сервер не подключен напрямую к сети Интернет, стоит отключить брандмауэр;
• Для удаленного администрирования, включаем удаленный рабочий стол;
• Устанавливаем все обновления системы.

Шаг 3. Установка и настройка терминального сервера

Подготовка системы

Начиная с Windows 2012 терминальный сервер должен работать в среде Active Directory.

Если в вашей IT-среде есть контроллер домена, просто присоединяем к нему наш сервер. В противном случае, устанавливаем на наш сервер роль контроллера.

Установка роли и компонентов

В панели быстрого запуска открываем Диспетчер серверов:

Кликаем Управление — Добавить роли и компоненты:

Нажимаем Далее до «Выбор типа установки». Оставляем Установка ролей и компонентов и нажимаем Далее дважды:

В окне «Выбор ролей сервера» выбираем Службы удаленных рабочих столов:

Кликаем Далее, пока не появится окно «Выбор служб ролей» и выбираем следующие:

• Лицензирование удаленных рабочих столов
• Узел сеансов удаленных рабочих столов

* при появлении запроса на установку дополнительных компонентов соглашаемся.

При необходимости, также выставляем остальные галочки:

• Веб-доступ — возможность выбора терминальных приложений в браузере
• Посредник подключений — для кластера терминальных серверов посредник контролирует нагрузку каждой ноды и распределяет ее.
• Узел виртуализации — для виртуализации приложений и запуска их через терминал.
• Шлюз — центральный сервер для проверки подлинности подключения и шифрования трафика. Позволяет настроить RDP внутри HTTPS.

Нажимаем Далее и в следующем окне Установить. Дожидаемся окончания процесса установки и перезагружаем сервер.

Установка служб удаленных рабочих столов

После перезагрузки открываем Диспетчер серверов и нажимаем Управление — Добавить роли и компоненты:

В окне «Выбор типа установки» выбираем Установка служб удаленных рабочих столов и нажимаем Далее:

В окне «Выбор типа развертывания» выбираем Быстрый запуск и нажимаем Далее:

В «Выбор сценария развертывания» — Развертывание рабочих столов на основе сеансов — Далее:

Еще раз Далее — при необходимости, ставим галочку «Автоматически перезапускать конечный сервер, если это потребуется» и кликаем по Развернуть.

Настройка лицензирования удаленных рабочих столов

Для корректной работы сервера, необходимо настроить службу лицензирования. Для этого открываем диспетчер серверов и кликаем по Средства — Terminal Services — Диспетчер лицензирования удаленных рабочих столов:

В открывшемся окне кликаем правой кнопкой мыши по нашему серверу и выбираем Активировать сервер:

В открывшемся окне дважды кликаем Далее — заполняем форму — Далее — Далее — Снимаем галочку «Запустить мастер установки лицензий» — Готово.

Снова открываем диспетчер серверов и переходим в «Службы удаленных рабочих столов»:

В «Обзоре развертывания» кликаем по Задачи — Изменить свойства развертывания:

В открывшемся окне переходим в Лицензирование — Выбираем тип лицензий — прописываем имя сервера лицензирования (в данном случае локальный сервер) и наживаем Добавить:

Применяем настройки, нажав OK.

Добавление лицензий

Открываем диспетчер серверов и кликаем по Средства — Terminal Services — Диспетчер лицензирования удаленных рабочих столов:

В открывшемся окне кликаем правой кнопкой мыши по нашему серверу и выбираем Установить лицензии:

В открывшемся окне нажимаем Далее — выбираем программу, по которой куплены лицензии, например, Enterprise Agreement — Далее — вводим номер соглашения и данные лицензии — выбираем версию продукта, тип лицензии и их количество — Далее — Готово.

Проверить статус лицензирования можно в диспетчере серверов: Средства — Terminal Services — Средство диагностики лицензирования удаленных рабочих столов.

Шаг 4. Тюнинг терминального сервера

Ограничение сессий

По умолчанию, пользователи удаленных рабочих столов могут находиться в системе в активном состоянии без ограничения. Это может привести к зависаниям или проблемам при повторном подключении. Для решения возможных проблем установите ограничения на терминальные сессии.

Анализатор соответствия рекомендациям

Для некоторых серверных ролей Windows (в частности, терминальных) существует база успешных конфигураций. Придерживаясь советам данной базы можно повысить надежность и стабильность системы.

Для сервера удаленных рабочих столов, как правило, необходимо выполнить следующие рекомендации:

1. Файл Srv.sys должен быть настроен на запуск по требованию.

В командной строке от имени администратора вводим:

sc config srv start= demand

2. Создание коротких имен файлов должно быть отключено.

В командной строке от имени администратора вводим:

fsutil 8dot3name set 1

Теневые копии

Если подразумевается хранение ценной информации на терминальном сервере, стоит настроить возможность восстановления предыдущих версий файлов.

Как настроить и пользоваться данной возможностью, читайте подробнее в инструкции Как включить и настроить теневые копии.

Ошибка 36888 (Source: schannel)

В журнале Windows может появляться ошибка «Возникло следующее неустранимое предупреждение: 10. Внутреннее состояние ошибки: 1203.» от источника Schannel и кодом 36888. Ее причину, однозначно, определить мне не удалось. Во многих информационных источниках пишут, что это давно известная проблема и списывают на ошибку самой операционной системы.

Точного решения найти не удалось, но можно отключить ведение лога для Schannel. Для этого в редакторе реестра находим ветку HKLM\SYSTEM\CurrentControlSet\Control\SecurityProviders\Schannel — в ней параметр EventLogging и меняем его значение на 0. Команда для редактирования реестра:

reg add «HKLM\SYSTEM\CurrentControlSet\Control\SecurityProviders\Schannel» /v EventLogging /t REG_DWORD /d 0 /f

* данную команду необходимо выполнить из командной строки, запущенной от администратора.

Шаг 5. Настройка средств обслуживания

Основные средства, помогающие полноценно обслуживать сервер — мониторинг и резервное копирование.

Резервное копирование

Для терминального сервера необходимо резервировать все рабочие каталоги пользователей. Если на самом сервере организована общий каталог для обмена и хранения важной информации, копируем и его. Лучшим решением будет ежедневное копирование новых данных, и с определенной периодичностью (например, раз в месяц), создание полного архива.

Мониторинг

1. Сетевую доступность сервера;
2. Свободное дисковое пространство.

Шаг 6. Тестирование

Тестирование состоит из 3-х основных действий:

1. Проверить журналы Windows и убедиться в отсутствие ошибок. В случае их обнаружения, необходимо устранить все проблемы.
2. Выполнить действия анализатора соответствий рекомендациям.
3. Провести живой тест работы сервиса с компьютера пользователя.

Особый порт для подключения

По умолчанию, для подключения к терминальному серверу по RDP используется порт 3389. Если необходимо, чтобы сервер слушал на другом порту, открываем реестр, и переходим в ветку:

HKEY_LOCAL_MACHINE\System\CurrentControlSet\Control\Terminal Server\WinStations\RDP-Tcp

Находим ключ PortNumber и задаем ему значение в десятично представлении, равное нужному номеру порта:

Также можно применить команду:

reg add «HKLM\System\CurrentControlSet\Control\Terminal Server\WinStations\RDP-Tcp» /v PortNumber /t REG_DWORD /d 3388 /f

* где 3388 — номер порта, на котором будет принимать запросы терминальный сервер.

Поное руководство по серверу терминалов: запуск, подключение и приложение

В этой статье описывается процесс инициализации сервера терминалов и описывается, что происходит, когда пользователь подключается к серверу и запускает приложение.

Исходная версия продукта: Windows Server 2012 R2
Исходный номер КБ: 186572

Инициализация сервера терминалов Windows

По мере загрузки и загрузки операционной системы Windows Terminal Server служба сервера терминалов (Termsrv.exe) запущена и создает стеки прослушивания (по одному на протокол и на транспортную пару), которые прослушивают входящие подключения. Каждому подключению предоставляется уникальный идентификатор сеанса или sessionID для представления отдельного сеанса серверу терминалов. Каждый процесс, созданный в сеансе, «помечен» связанным sessionID, чтобы отличать пространство имен от любого другого пространства имен подключения.

Консоль (клавиатура сервера терминалов, мышь и видео) всегда загружается первым и рассматривается как подключение клиента в особом случае и назначенное sessionID. Сеанс консоли начинается как обычный сеанс Windows NT с настроенным Windows NT дисплеем, мышью и драйверами клавиатуры.

Затем служба сервера терминалов вызывает диспетчер сеансов Windows NT (Smss.exe), чтобы создать два (по умолчанию = 2) бездействия клиентских сеансов (после создания сеанса консоли), ожидающим клиентских подключений. Чтобы создать сеансы бездействия, диспетчер сеансов выполняет процесс Windows NT подсистемы клиента или сервера (Csrss.exe), и этому процессу назначен новый sessionID. Процесс CSRSS также вызывает процесс Winlogon (Winlogon.exe) и модуль ядра Win32k.sys (Window Manager и интерфейс графического устройства — GDI) в новом связанном sessionID. Измененный загрузчик Windows NT распознает этот Win32k.sys как загружаемый образ SessionSpace по предопределенным битам, установленным в заголке изображения. Затем кодовая часть изображения будет переместиться в физическую память с указателями из виртуального адресного пространства ядра для этого сеанса, если Win32k.sys еще не загружен. По дизайну он всегда присоединяется к ранее загруженным коду изображения (Win32k.sys), если он уже существует в памяти. Например, из любого активного приложения или сеанса.

Затем раздел данных (или не общий) этого изображения будет выделен для нового сеанса из созданного раздела памяти ядра SessionSpace, доступного для страниц. В отличие от сеанса консоли, сеансы клиента сервера терминалов настроены для загрузки отдельных драйверов для дисплея, клавиатуры и мыши.

Новым драйвером дисплея является устройство RDP, Tsharedd.dll. Драйверы мыши и клавиатуры взаимодействуют с стеком через диспетчер стека нескольких экземпляров, termdd.sys. Termdd.sys отправит сообщения о действиях с помощью мыши и клавиатуры драйверу RDP, Wdtshare.sys. Эти драйверы позволяют удаленно и интерактивно использовать клиентский сеанс RDP. Наконец, сервер терминалов также вызывает поток прослушиватель подключения для протокола RDP, который снова управляется диспетчером стека нескольких экземпляров (Termdd.sys), который прослушивает подключения клиентов RDP по номеру порта TCP 3389.

На этом этапе процесс CSRSS существует под собственным пространством имен SessionID, и при необходимости для каждого процесса для каждого процесса будут сданы его данные. Все процессы, созданные в рамках этого SessionID, будут автоматически выполняться в sessionSpace процесса CSRSS. Это предотвращает доступ процессов с разными sessionID к данным другого сеанса.

Подключение клиента

Клиент RDP можно установить и запустить на любом терминале под управлением Windows (на основе WinCE), Windows для workgroups 3.11 с TCP/IP-32b или платформе на основе API Microsoft Win32. Надстройка citrix Metaframe поддерживает клиенты не из Windows. Размер исполняемого файла клиента RDP для Windows для рабочих групп составляет примерно 70 КБ, используется рабочий набор размером 300 КБ и 100 КБ для отображения данных. Размер клиента на основе Win32 составляет примерно 130 КБ, для отображения данных используется рабочий набор размером 300 КБ и 100 КБ.

Клиент инициирует подключение к серверу терминалов через TCP-порт 3389. Поток прослушиватель RDP сервера терминалов обнаружит запрос сеанса и создаст новый экземпляр Стека RDP для обработки нового запроса сеанса. Поток прослушиватель передает входящий сеанс новому экземпляру стека RDP и продолжает прослушивать TCP-порт 3389 для дальнейших попыток подключения. Каждый стек RDP создается по мере подключения клиентских сеансов для обработки согласования сведений о конфигурации сеанса. В первую очередь необходимо установить уровень шифрования для сеанса. Сервер терминалов изначально поддерживает три уровня шифрования: низкий, средний и высокий.

Низкое шифрование шифрует только пакеты, от отправленные клиентом на сервер терминалов. Это «только входное» шифрование используется для защиты ввода конфиденциальных данных, таких как пароль пользователя. Среднее шифрование шифрует исходяющие пакеты от клиента так же, как и низкоуровневый шифрование, но также шифрует все отображаемого пакета, возвращаемого клиенту с сервера терминалов. Этот метод шифрования обеспечивает защиту конфиденциальных данных, так как они по сети отображаются на удаленном экране. Как низкое, так и среднее шифрование используют алгоритм Microsoft-RC4 (измененный алгоритм RC4 с улучшенной производительностью) с 40-битным ключом. При высоком шифровании пакеты шифруются в обоих направлениях, в клиенте и из клиента, но будут использовать стандартный алгоритм шифрования RC4 с 40-битным ключом. Неэкспортируемая версия Windows NT Terminal Server будет обеспечивать 128-битное шифрование RC4 высокого уровня.

Между клиентом и сервером будет происходить обмен шрифтами, чтобы определить, какие распространенные системные шрифты установлены. Клиент уведомит сервер терминалов о всех установленных системных шрифтах, чтобы ускорить отрисовку текста во время сеанса RDP. Когда сервер терминалов знает, какие шрифты доступны клиенту, вы можете сэкономить пропускную способность сети, передав в клиент сжатые шрифты и строки символов Юникода, а не большие растры.

По умолчанию все клиенты резервируют 1,5 МБ памяти для кэша точечек, который используется для кэширования точек-карт, таких как значки, панели инструментов, курсоры и так далее, но не используется для удержания строк Юникода. Кэш не удается (с помощью ключа реестра) и перезаписывается с помощью алгоритма LRU. Сервер терминалов также содержит буферы, позволяющие управлять потоком передачи обновлений экрана клиентам, а не постоянному потоку. Когда взаимодействие с пользователем в клиенте высоко, буфер очищается приблизительно 20 раз в секунду. Во время простоя или при бездействии пользователя буфер сбрасывается только 10 раз в секунду. Вы можете настроить все эти номера с помощью реестра.

После согласования сведений о сеансе экземпляр стека RDP сервера для этого подключения будет соединен с существующим бездействующим сеансом пользователя Win32k, и пользователю будет предложено Windows NT экрана для Windows NT. Если автономная настройка настроена, зашифрованное имя пользователя и пароль будут переданы серверу терминалов и продолжится процесс логин. Если в настоящее время не существует бездействующим сеансов Win32k, служба сервера терминалов будет вызывать диспетчер сеансов (SMSS), чтобы создать новое пространство пользователей для нового сеанса. Большая часть сеанса пользователя Win32k использует общий код и загружается значительно быстрее после загрузки одного экземпляра.

После вводить имя пользователя и пароль пакеты отправляются на сервер терминалов. Затем процесс Winlogon выполняет необходимую проверку подлинности учетной записи, чтобы убедиться, что пользователь имеет привилегии для входа в систему и передает домен и имя пользователя службе сервера терминалов, которая поддерживает список SessionID домена или имени пользователя. Если с этим пользователем уже связан SessionID (например, отключенный сеанс), текущий активный стек сеанса присоединяется к старому сеансу. Затем удаляется временный сеанс Win32, используемый для первоначального сеанса. В противном случае подключение переходит в обычное состояние, и служба сервера терминалов создает новое сопоставление sessionID домен/имя пользователя. Если по какой-либо причине для этого пользователя активно несколько сеансов, отображается список сеансов, и пользователь решает, какой из них выбрать для повторного подключения.

Запуск приложения

После этого для пользователя отображается рабочий стол (или приложение, если в режиме с одним приложением). Когда пользователь выбирает 32-битное приложение для запуска, команды мыши передаются на сервер терминалов, который запускает выбранное приложение в новое виртуальное пространство памяти (2 ГБ приложения, ядро 2 ГБ). Все процессы на сервере терминалов будут совместно работать с кодом в режимах ядра и пользователя, где это возможно. Чтобы обеспечить общий доступ к коду между процессами, Windows NT виртуальной памяти (VM) использует защиту страниц при копировании при записи. Если нескольким процессам необходимо считывать и записывать одно и то же содержимое памяти, диспетчер ВМ назначит область памяти защиту страниц при копировании при записи. Процессы (сеансы) будут использовать то же содержимое памяти, пока не будет выполнена операция записи, после чего диспетчер виртуальной системы скопирует физический фрейм страницы в другое расположение, обновает виртуальный адрес процесса, указав на новое расположение страницы, а затем пометит страницу как чтение и записи. Копирование при записи удобно и эффективно для приложений, работающих на сервере терминалов.

Когда приложение на основе Win32, например Microsoft Word, загружается в физическую память одним процессом (сеансом), оно помечается как копирование при записи. Когда новые процессы (сеансы) также вызывают Word, загрузчик изображений просто будет указать новые процессы (сеансы) на существующую копию, так как приложение уже загружено в память. Если требуются буферы и пользовательские данные (например, сохранение в файл), необходимые страницы будут скопированы в новое физическое расположение памяти и помечены как чтение и записи для отдельного процесса (сеанса). Диспетчер ВМ защищает это пространство памяти от других процессов. Однако большая часть приложения является кодом для совместной работы и будет иметь только один экземпляр кода в физической памяти независимо от того, сколько раз оно будет запускаться.

Предпочтительно (хотя и необязательно) запускать 32-битные приложения в среде сервера терминалов. 32-bit applications (Win32) will allow sharing of code and run more efficiently in multi-user sessions. Windows NT позволяет запускать 16-битные приложения (Win16) в среде Win32 путем создания виртуального компьютера на основе MS-DOS (VDM) для каждого приложения Win16. Все 16-битные выходные данные преобразуются в вызовы Win32, которые выполняют необходимые действия. Так как приложения Win16 выполняются в своей собственной VDM, код нельзя совместно использовать между приложениями в нескольких сеансах. Для перевода между вызовами Win16 и Win32 также необходимы системные ресурсы. Запуск приложений Win16 в среде сервера терминалов потенциально может потреблять вдвое больше ресурсов, чем в сравнимом приложении на основе Win32.

Отключение сеанса и отключение пользователя

Отключение сеанса

Если пользователь решит отключить сеанс, процессы и все пространство виртуальной памяти останутся на физическом диске, если для других процессов требуется физическая память. Так как сервер терминалов сохраняет сопоставление домена/имени пользователя и связанного с ним sessionID, при повторном подсоединение одного и того же пользователя существующий сеанс будет загружен и снова доступен. Дополнительное преимущество RDP состоит в возможности изменения разрешений экрана сеанса в зависимости от того, что пользователь запрашивает для сеанса. Например, предположим, что пользователь ранее подключился к сеансу сервера терминалов с разрешением 800 x 600 и отключил его. Если пользователь переходит на другой компьютер, который поддерживает разрешение только 640 x 480, и повторно подключен к существующему сеансу, рабочий стол будет перерисован для поддержки нового разрешения.

Вход пользователя

Как правило, выйдите из нее просто. После выхода пользователя из сеанса все процессы, связанные с SessionID, будут завершены, а память, выделенная для сеанса, будет отпущена. Если пользователь работает с 32-битным приложением, например Microsoft Word, и выходит из сеанса, код самого приложения остается в памяти, пока последний пользователь не выйдет из приложения.