Что лучше rdp или remoteapp
Про 1С как RemoteApp или как не потерять базы 1С из-за шифровальщиков.
Приходит как то больше года назад владелица бухгалтерской фирмы в офис, а там:
Системный администратор фирмы (он скорее 1С-ник) начал говорить какие то довольно странные вещи и я, пользуясь определенным доверием со стороны руководства, решил возглавить процесс поиска решения. Доверием же я был не обделен по причине того, что сам был когда то давно там первым сисадмином.
Довольно быстро мы пришли к выводу, что быстрее и проще всего решить проблему «разорвав» доступные пользователю (с его вирусами) и системе 1С файловые пространства реализовав это через запуск 1С как удаленного приложения.
Собственно это предисловие 🙂
Системный администратор категорично заявил, что для решения вопроса нужно:
1. Выделенный сервер
2. Серверная операционная система
.
х-2. Развертывание чуть ли не 5 ролей с их настройкой
х-1. 3 дня работы как минимум
х. Профит!
О_О
В итоге вопрос был решен в течении двух часов так:
— Windows 10 LTSB 1607 на виртуалке с установленным RDP-Wrapper в качестве сервера терминалов с установленной 1С
— вызов с клиентских машин программы 1С скриптом в виде текстового файла с расширением *.rdp
Содержимое файла:
——————————————-
full address:s:192.168.0.хххremoteapplicationmode:i:1disableremoteappcapscheck:i:1alternate shell:s:rdpinit.exeprompt for credentials on client:i:1remoteapplicationname:s: >>>remoteapplicationprogram:s:»C:\Program Files (x86)\1cv8\common\1cestart.exe»redirectclipboard:i:1redirectposdevices:i:0————————————————
Всё чудесным образом заработало и больше вообще ни чего опасного в защищенную зону предприятия с тех пор не попадало. Прошло больше года. Вирусы бухгалтера у себя на компах локально получали и запускали.
Плюсы:
— сейчас вообще всё равно, что там установлено и как работает на компьютерах бухгалтеров, главное, чтоб «Подключение к удаленному рабочему столу» запускалось
— принтер настроен на виртуалке и печать работает стабильно и не зависимо от состояния дел на не особенно новых клиентских машинах сотрудников
— администрирование доступа к базам предельно упрощено для администратора
— стал возможен бэкап не только баз 1С, но и всей виртуальной машины
— 1С-ник утверждает, что 1С сейчас работает гораздо стабильнее и до этого ОНО так хорошо ни когда не работало
Минусы:
— новые бухгалтеры по началу путаются в файловых пространствах и забывают, что диски и папки в 1С к их компьютеру отношения не имеют. Пугаются, Впадают в панику 🙂
——————————
Написать этот опус меня сподвиг аналогичный случай, произошедший недавно в подобной конторе и растерянность специалиста по 1С при решении простой проблемы.
А, тут, собственно, «три кнопки нажать» 🙂
Какая технология удаленного рабочего лучше Citrix VS или Microsoft RDP
Многие организации используют облака для решения своих бизнес-задач в области ИТ. Для этой цели обычно используются два варианта виртуализации рабочих столов: протокол удаленного рабочего стола Microsoft (RDP) и Citrix XenDesktop. Какой из них будет наиболее подходящим для вашей работы?
Ключевые выводы
Службы удаленных рабочих столов (RDS), ранее известные как «Службы терминалов», представляют собой технологию, разработанная Microsoft для тонких клиентов. Используя протокол удаленного рабочего стола Microsoft (RDP), RDS позволяет пользователям подключаться к серверным приложениям или виртуальным рабочим столам.
Фактически, Citrix написала исходный код RDS и передала его Microsoft по лицензии. Инструменты централизованного управления Citrix делают расширение и мониторинг инфраструктуры проще, чем когда-либо прежде.
Лидерами отрасли для приложений тонких клиентов являются Citrix Systems иMicrosoft Corporation. В этом посте рассказывается о сходствах и различиях между решениями для удаленного рабочего стола
Виртуализация рабочего стола
В результате ИТ-подразделения контролируют программное обеспечениие и настольные компьютеры и могут оптимизировать свои вложения в ИТ-оборудование за счет удаленного доступа к общим вычислительным ресурсам. Виртуализация настольных компьютеров позволяет пользователям одновременно работать с различными операционными системами на одном физическом ПК.
Что такое удаленный рабочий стол?
Под виртуальным (удалённым) рабочим столом понимают виртуальное рабочее место с необходимыми приложениями, которое доступно пользователю в любое время и из любой точки мира. Удаленный рабочий стол позволяет пользователям подключиться к удаленной машине и получить доступ к приложениям или всему рабочему столу. Доступ к удаленному рабочему столу обычно осуществляется через порт 3389.
Для чего используется удаленный рабочий стол?
Это метод, с помощью которого сотрудники могут использовать один сервер для просмотра своих индивидуальных учетных записей пользователей в сеансах удаленных клиентов. Он является удаленным, потому что вычислительная мощность приложения, с которым вы имеете дело, не находится в том же месте, что и вы.
Сеанс создается, когда вы инициируете подключение к удаленному рабочему столу, и заканчивается, когда вы выходите из системы.
В типичных настольных компьютерах вся вычислительная мощность сосредоточена внутри ПК, где находится все оборудование, операционная система и программное обеспечение. Вы взаимодействуете с ним с помощью мыши и клавиатуры, а компьютер взаимодействует с вами через экран.
Удаленный настольный компьютер находится далеко. Вы подключаетесь к нему с помощью определенных протоколов через безопасные соединения.
В современном технологическом мире удаленные рабочие столы дают людям свободу удаленной работы.
Технология тонких клиентов
Но когда пользователи обращаются к поисковой системе, поисковый запрос отправляется на сервер в центр обработки данных, где очень мощные машины ищут миллиарды сегментов данных, чтобы сопоставить их с запросом пользователя. Затем результат передается обратно на устройство пользователя, где веб-браузер пользователя отображает информацию.
Вместо того, чтобы доставлять веб-страницы на компьютер пользователя, технология тонких клиентов имеет дело с приложениями и их представлением. Когда программа, такая как текстовый процессор, используется на тонком клиенте, она существует и обрабатывается на сильном наборе удаленных машин в центре обработки данных и отображается пользователю на тонком клиенте.
Что такое Citrix и как это работает?
Citrix Systems со штаб-квартирой во Флориде, США, является поставщиком технологий, обеспечивающих удаленный доступ для приложений и настольных компьютеров.
Citrix производит ряд передовых технологий, которые используются многими всемирно известными компаниями. Они сосредоточены в основном на тонких клиентах и виртуализации, но также распространились на другие области, включая сетевые технологии.
Благодаря технологии тонких клиентов, такой как Citrix Virtual Applications, мы можем использовать наш компьютер для удаленного мониторинга приложения, установленного на другом компьютере. Приложения обрабатываются удаленно на этом отдельном удаленном устройстве.
Что такое Microsoft RDP?
Служба подключения к удаленному рабочему столу Windows позволяет пользователям подключаться к удаленному ПК или серверу Windows через Интернет или в локальной сети, предоставляя им полный доступ к приложениям и приложениям на нем. Основные периферийные устройства, такие как клавиатура и мышь, используются совместно с удаленным компьютером, что позволяет вам использовать его и контролировать, как если бы вы сидели прямо перед ним.
Это стало возможным благодаря протоколу удаленного рабочего стола Microsoft (RDP). Только определенные версии Windows поддерживают подключения RDP. Этот специализированный протокол конкурирует с протоколом виртуальных сетевых вычислений с открытым исходным кодом (VNC), широко распространенным в Linux и других платформах.
В чем разница между RDP и VPS?
Citrix против RDP
Мы собираемся сравнить Citrix с RDS (сервисами на основе RDP) по нескольким аспектам.
Citrix vs RDS: основные протоколы
Службы удаленного рабочего стола Microsoft используют протокол удаленного рабочего стола Microsoft, или RDP.
Citrix имеет собственный протокол (HDX), который минимизирует требования к пропускной способности, позволяя использовать Citrix Virtual Apps and Desktops для офисов или машин с более медленным подключением к Интернету.
Citrix vs RDS: производительность
При использовании RDS каждый пользователь работает с RDP Microsoft на сервере. По причине того, что RDS плохо масштабируется. Все пользователи совместно используют ограниченное количество ресурсов на одном сервере RDP. Таким образом, чем больше пользователей в сети, тем медленее работа.
Как мы упоминали выше, Citrix лучше сжимает данные при передаче, поэтому лучше работает при более медленных соединениях.
С другой стороны, пользователи Citrix взаимодействуют с протоколом HDX поверх RDS. Таким образом, этот протокол действует как буфер между пользователями и сервером, одновременно сжимая данные. Неудивительно, что Citrix обеспечивает более быструю и бесперебойную работу.
Citrix XenDesktop работает лучше, чем RDS:
Citrix vs RDS: масштабируемость
При масштабировании с помощью RDS возникает еще одна проблема: когда сервер достигает максимальной мощности, новые пользователи не могут подключиться. Хуже того, существующие пользователи могут быть отключены без предупреждения!
Когда решение Citrix приближается к своей максимальной мощности, вам просто нужно запросить дополнительные ресурсы.
Выводы: У XenDesktop масштабируется лучше, чем RDS.
Citrix против RDS: удобство использования
Еще одним недостатком RDS или RDP является то, что вам потребуются сторонние приложения и клиентское программное обеспечение для доступа к удаленному рабочему столу с большинства устройств.
В большинстве случаев вам нужно отключить многие функции Windows только для того, чтобы RDS заработал. Это делает RDS более подходящим для виртуализации приложений, а не для полной виртуализации рабочего стола.
Это область, в которой Citrix действительно славится своим многолетним опытом профессионального создания технологий виртуализации.
Выводы: Citrix обеспечивает лучшее удобство использования, чем RDS:
Citrix против RDS: управление
Оператор RDP должен быть очень опытным. Без существенной помощи, которая должна быть предоставлена в случае отказа оборудования, последствия могут быть серьезными.
С другой стороны, Citrix Virtual Apps and Desktops удобный интерфейс управления, который дает точный контроль как над приложениями, так и над рабочими столами. Пользователи могут использовать свои собственные устройства, будь то мобильные устройства или ПК.
Citrix против RDS: надежность
RDS требует постоянного подключения. Если подключение к удаленному рабочему столу не удается, нет сеанса и нет предупреждения. Сеанс не сохраняется.
Однако у Citrix есть функция, называемая «Надежность сеанса». Эта функция сохраняет активность пользователей даже при нестабильных соединениях.
Citrix против RDS: стоимость
RDP отличается стоимостью, особенно для небольших вариантов использования, например, для тех, кому просто нужен VPS и простой удаленный рабочий стол. У RDS есть бесплатные версии как для личного, так и для коммерческого использования.
С другой стороны, у Citrix нет бесплатной версии, даже для личного пользования.
Выводы
Оба используют собственные протоколы собственной разработки в качестве основы своих услуг виртуализации. Хотя Citrix HDS работает лучше, чем Microsoft RDP.
Оба метода являются прекрасной альтернативой, если вы используете правильный инструмент и адаптируете его к нужным условиям. Microsoft RDP может быть правильным вариантом, если вы хотите удаленно распространять или публиковать приложения с низкими графическими характеристиками и достаточной пропускной способностью.
С точки зрения конечного пользователя Citrix XenDesktop предоставляет функции, очень похожие на Microsoft RDP. Но он легче, проще в управлении и работает быстрее, чем RDS.
Сайт ARNY.RU
Remoteapp в 2012 R2 без домена — начну с главного: всё нормально и быстро настраивается. Опубликовать remoteapp в 2012 R2 без домена не получится, но это и не нужно.
При обновлении 2008 R2 до 2012 R2 на этапе проверки совместимости, установка попросила удалить роль Удаленных рабочих столов. Удивился. Ладно.. После обновления стало понятно, Microsoft в очередной раз перехитрила саму себя: теперь нормально работать с RDP можно лишь в составе домена.
Зачем.. Если у меня сервер 1С на 5 бухгалтеров, зачем мне роль AD DS? Думаю я не одинок в этом вопросе. Почитал в интернете, решение есть! Кто-то ставил роль контроллера домена, в виртуалке поднимал ещё один сервер, вводил в домен и на нём уже удаленные рабочие столы. Всё проще. Солюшенов несколько, решил собрать воедино.
Сервер
Установка роли
Службы удаленных рабочих столов (Remote Desktop Services), Далее, отмечаем чекбоксы: Лицензирование удаленных рабочих столов (Remote Desktop Licensing), Узел сеансов удаленных рабочих столов (Remote Desktop Session Host), со всем соглашаемся, установка, перезагрузка.
В Диспетчере серверов, в пункте меню Средства, появилась закладка Terminal Services (или Remote Desktop Services для 2016).
Настройка параметров RDP
Настройка всех параметров RDP теперь в групповых политиках. Отдельной графической оснастки, как было раньше, нет:
Редактируем два параметра:
В соседних ветках настраиваются все параметры подключения клиентов.
После активации запускается Мастер установки лицензий:
Создаем файл RDP
На примере 1С предприятия: открываем блокнот и помещаем туда следующую информацию, заменяя имя_сервера на действительное имя сервера или IP:
Сохраняем файл, меняем расширение на rdp, раздаём пользователям.
Реестр
Главный шаг, от которого будет зависеть заработает или нет. Правим реестр на сервере через блокнот:
Проверяем правильность путей, сохраняем с раcширением reg, закидываем в реестр. Проверяем. Если не работает, смотрим ветку TSAppAllowList, у меня это:
И ветку 1cestart там же. Значения из reg-файла должны перенестись.
Возможные проблемы
Когда недавно делал по своей же инструкции, то получил сообщение, что приложения 1С нет в списке разрешенных.
Или вот такое ещё может быть:
Посмотрел на сервере ветку 1cestart:
Она пустая. При копировании текста с сайта могут неправильно переноситься кавычки, ещё что-то. Поэтому нужно подправить/проверить вручную.
Подключение через интернет
В файлике rdp вместо имя_сервера, можно использовать IP-адрес (или даже IP-адрес с портом через двоеточие, или же указать порт в соответствующей строке). Это позволяет подключать клиентов через интернет и NAT:
Конструкцию с RD Gateway считаю излишней, тем более если делается с пробросом 443 порта на внутренний ресурс, тем более что RD Gateway требует установки роли Web Server, то есть потребляет ресурсы — чем проще, тем надежнее. После настройки роли RDP и проверки работоспособности смело можно удалить даже фичи для администрирования RDP, они больше не нужны.
Клиенты
Клиенты MAC
Добавляем клиентов MAC OS X:
Клиенты Windows XP
Добавляем клиентов Windows XP:
Клиенты Android
Наверное последнее, что нужно сказать по этой теме, для Андроида тоже есть RD Client от MS — функционирует он штатно и нормально. Приложение бесплатное, загружается через Play Market. Как и для Mac’а файл rdp, закинутый на Андроид, запустится с помощью этого приложения, но логин и пароль при этом сохранить невозможно, а нужно вводить каждый раз.
Связана такая ситуация, с тем, что в новых версиях RDP учетные данные не сохраняются в самом файле rdp, а хранятся в отдельной базе данных. На компьютере эти данные можно посмотреть в Панель управления\Учетные записи пользователей\Диспетчер учетных данных, либо Выполнить: control userpasswords2, что тоже самое. Где искать в Андроиде? Не знаю, да и не очень интересно, так как remoteapp для телефонов и планшетов больше блажь, чем реальная потребность. Обычная RDP-сессия работает? — Работает. Этого достаточно.
Три способа повысить защиту RDP
Траблшутинг
Залипания
Если возникают на 1 клиентском компьютере, нужно проверить сам компьютер и такие вещи как драйвера на видеокарту, количество свободных ресурсов, потому как залипание может происходить в моменты, когда жесткий диск свопит изо всех сил и даже мышку. Была курьёзная ситуация (несвязанная с данной проблемой), что при нажатии на кнопку мыши щелчок есть, а фактически нажатия нет, поменяли мышку, всё работает.
Если же залипание массовое и с ресурсами сервера всё в порядке, то проблема 90% сетевая. В 2012 R2 для RDP используется как TCP, так и UDP или только TCP. Нужно проверить, что UDP используется. Статья в помощь. Сайт MS. Таже нужно просмотреть политики.
Область применения
Статейка написана давно, более чем 2 года назад, тогда Windows Server 2012 R2 был ещё относительно свежим и хотелось разобраться как же это всё настроить. Был накидан рабочий черновик – вот эта заметка и ни на какую полноту она не претендует. С тех пор поднято несколько серверов в данном режиме, которые работают так по сей день.
Тема исчерпана, но вопросы идут и некоторые люди не понимают нишу использования remoteapp, зачем такой режим, почему именно для 1C, какой тут смысл и в чём заключается выигрыш. Вещи-то очевидные, но раз так, то надо сказать пару слов.
Remoteapp не панацея
А именно есть очень толстые минусы как RDP в целом, так и remoteapp в частности:
Может что-то даже упустил из виду, хотя и так немало. Поэтому использовать remoteapp нужно тогда, когда это действительно необходимо.
Примечание. Очень хороший пример когда не нужно использовать remoteapp — Word и Exel.
Зачем 1С Remoteapp?
Схема применения 1С может варьироваться в очень широких пределах от локальной однопользовательской базы до сотен пользователей и кластера серверов. Возьмем классический вариант: многопользовательская база на 5-15 пользователей. Работа с такой базой, даже на 5 человек, генерирует большой сетевой трафик и сама база требует серьёзной вычислительной мощности. Вот отсюда и два варианта применения remoteapp для 1С:
Remoteapp vs классический RDP
Обычно в случае 1С база на сервере, а вот документы для работы на локальном компьютере. Всё время сворачивать и разворачивать окно RDP неудобно, remoteapp тут гораздо комфортнее.
Исключения
Почему 2012 R2
C чистой 2012 без R2 встретиться в работе не удалось и ничего про неё не скажу. Но если сравнивать 2008 R2 и 2012 R2, то последняя имеет значительно перелопаченный код, как следствие быстрее работает на том же самом железе, а сетевой стек до 30% быстрее. Поддержка самого железа, особенно различных RAID-контроллеров, тоже лучше. И если на 2008 R2 драйвер при установке нужно подпихивать, то в 2012 R2 он скорее всего уже встроен, сталкивался несколько раз. Поддержка RDP 8.1.
Windows Server 2016 уже тоже в продакшене, имеет ряд преимуществ над 2012 R2, но для новых плюшек, таких как вложенная виртуализация, требует современного железа. По этой причине 2012 R2 более универсален.
Windows 2016
Эта статья получила довольно таки широкое распространение. Чего там говорить, вот да.. И как-то однажды, давно, где-то там на форуме, уже не вспомню каком, читал человек пишет: ставил по этой статье с этого сайта (с моего, отсюда) и на 2016 не работает. Дальше обсуждение на n-страниц. Как всегда. Ну не работает и не работает, мож даже и к лучшему. 🙂 Но тут меня недавно (22.04.2021) спросили конкретно здесь, в комментариях: почему не работает с 2016?
Что делать.. заставляете тряхнуть стариной. Уже не ставил этих серверных виндовс пару лет, 1С ещё дольше. Почти всё подзабыл, так что сильно не ругайте, если что-то не то скажу. Итак, нашёл образ, установил в виртуальную машину VMware, поставил все обновы:
Дальше стал проверять по тексту. И всё в общем-то то же самое. Один в один. Если есть какие-то изменения, то минимум. Почему же не работает? Не знаю, должно работать. И кроме этого всё должно настроится точно по тексту без каких-либо ошибок.
Какие тут были ещё замечания
Первое. Служба Сервера 1C Предприятие не хотела стартовать от текущего пользователя при установке дистрибутива. Пришлось выбрать Создать нового пользователя и всё успешно запустилось. Второе. Сам дистрибутив 1С 8.3.17.1549 и он чисто x64. То есть ставится в папку C:\Program Files, а не в папку C:\Program Files (x86). Соответственно в reg-файлике нужно сделать изменения:
И как уже говорил нужно контролировать что там добавилось в реестр. И добавилось ли вообще. Ветка TSAppAllowList:
В rdp-файлике прописывал не имя сервера, а IP. Потому что мой компьютер не знает какое там имя у виртуальной машины. Прописывать в файл hosts мне было лень.
Запускаю файлик с домашнего компа и вуа-ля:
Другой дистрибутив
Может образ какой-то не тот? Хорошо, скачиваю оценочный образ с Microsoft.
Опять мега долго ставлю обновления.
Версия после обновлений та же самая, что логично.
Скачиваю платформу 1С, версия 8.3.17.1549, но уже x86+x64. Сначала ставлю x86. Проверяю, не работает. Ищу где ошибка. При экспорте reg-файла не создаются ключи Path и ShortPath. Вообще никак. Добавляю руками (смотри картинку выше). Работает.
Теперь x64. Прям в реестре правлю параметры Path и ShortPath. Накатываю дистрибутив прям поверх x86. Проверяю, работает.
Так что в случае проблем припоминай не было ли каких-то варнингов, ошибок, проверяй всё по второму кругу. Должно работать.
Как сделать работу с Microsoft Remote Desktop лучше
Хочу поделиться несколькими советами по настройке удаленного подключения к рабочим местам по RDP. Расскажу как проапгрейдить древний RPC-HTTP до UDP, похвалю и поругаю Windows 10 и AVC, разберу решение нескольких типичных проблем.
Считаем, что для подключения используется Remote Desktop Gateway (RDGW), а в качестве серверов выступают рабочие станции. Использовать RDGW очень удобно, потому что шлюз становится общей точкой входа для всех клиентов. Это дает возможность лучше контролировать доступ, вести учет подключений и их продолжительность. Даже если VPN позволяет подключиться к рабочим машинам напрямую — это не лучший вариант.
RDGW настраивается быстро, просто, а Let’s Encrypt и win-acme легко решают проблему с доверенным сертификатом.
Есть три транспортных протокола по которым клиент может подключиться с серверу:
RPC-HTTP ( плохо )
HTTP ( лучше )
HTTP+UDP ( отлично )
Под сервером будем понимать рабочую машину, под клиентом — домашнюю.
Первое, с чего стоит начать, это «плохо» превратить в «отлично».
Апгрейд RPC-HTTP до HTTP
Подключение в сессию с использованием RPC-HTTP легко определить по внешнему виду полоски подключения.
Здесь нет значка качества подключения (о нем ниже), а значит мы используем старый RPC, обернутый в TLS — это очень медленно. Дело, конечно, не только в обертке — сам протокол меняется с каждым релизом ОС, меняются кодеки, алгоритмы упаковки изображения. Чем свежее протокол, тем лучше.
Windows XP или Vista
В XP можно поднять протокол с 5.1 до 7. Хотфикс windowsxp-kb969084-x86.exe
Но RDP 7 не работает по HTTP и UDP. Поможет только апгрейд клиента и сервера до Windows 7 и новее.
Сначала надо обновить протокол до RDP 8.1, а затем включить его. Поддержка добавляется обновлениями, которые сгруппированы в один загрузочный пакет:
www.microsoft.com/en-US/download/details.aspx?id=40986
Windows6.1-KB2574819-v2-x64.msu
windows6.1-kb2592687-x64.msu
Windows6.1-KB2830477-x64.msu
Windows6.1-KB2857650-x64.msu Windows6.1-KB2913751-x64.msu (заменен kb2923545)
Так вы получите и свежий клиент mstsc.exe, и поддержку RDP 8.1 серверной части ОС.
Было:
После этого протокол надо включить ключом реестра (для этого можно использовать adm шаблон в комплекте с Windows 7).
Включите поддержку транспорта UDP в групповой политике.
Перезагружаем сервер с Windows 7. Тот самый случай, когда может потребоваться перезагрузиться дважды — значение в реестре должно быть установлено до того, как включился RDP, а групповая политика применяется позже.
Если все получилось, то при подключении к серверу в полоске сессии появится иконка качества подключения (как в телефоне для мобильной сети):
Протокол работает «из коробки».
Апгрейд HTTP до HTTP+UDP
Если ваша сеть не склонна к потере пакетов, UDP существенно (для CAD — радикально) повышает отзывчивость сервера за счет использования FEC для сокращения ретрансмиссии, а также перехода подтверждения доставки пакетов с уровня системного стека TCP/IP на уровень протокола RDP-UDP.
От каждого клиента подключается одна основная управляющая сессия по HTTP (в этом канале также передается клавиатура/мышь), плюс одна или несколько сессий UDP для передачи картинки или других виртуальных каналов.
Мы коснемся только верхушки айсберга. Есть 3 различных версии протокола RDP-UDP. Кроме того, сам UDP может работать в двух режимах UDP-R (reliable) и UDP-L (lossy). С Microsoft ничего просто не бывает. Но поскольку от нас здесь ничего не зависит, просто имейте в виду — чем новее операционная система, теме более современный протокол используется.
Снаружи RDP-UDP оборачивается в Datagram Transport Layer Security (DTLS) RFC4347, в чем вы можете убедиться открыв Wireshark.
Что же нужно для включения UDP?
RDP-UDP поддерживается начиная с RDP 8.
На клиенте должен быть открыт порт udp/3389. Если вы его закрыли локальным firewall, ACL на свитче или внешнем файрволле — порт надо открыть.
Для сервера Remote Desktop Gateway к порту tcp/443 надо открыть udp/3391.
Порт можно поменять, вот как он настраивается:
Для Windows 7 обязательно должен быть включен NLA (Network Level Authentication).
Можно включить в групповой политике
В чем связь непонятно. Но без NLA на 7-ке не работает, на более свежих релизах NLA для работы UDP не обязателен.
После установления сессии по HTTP, клиент и сервер пробуют согласовать подключение по UDP. Если есть выпадение пакетов или задержки, то сессия UDP не запустится. Точный алгоритм отказа согласования UDP до конца не понятен.
Если все настроено, то после подключения нажмите на кнопку качества связи. В окошке будет указано, что согласован UDP.
На шлюзе это выглядит так:
Если у вас Windows 10 и на сервере, и на клиенте, то это самый быстрый и беспроблемный вариант. В Microsoft активно дорабатывают RDP, и в свежих релизах 10 вы можете рассчитывать на неплохую скорость работы. Коллеги не смогли обнаружить разницу между Citrix и Windows 10 RDP по скорости работы в AutoCAD.
Согласование AVC с аппаратным кодированием можно увидеть в журнале событий (подробнее в статье выше):
Замечу только, что проблема искажений все же есть даже с h.264 4:4:4. Она сразу бросается в глаза если работать в PowerShell ISE — текст ошибок выводится с неприятным искажением. Причем на скриншоте и на фотографии все отлично. Волшебство.
Также косвенным признаком работы AVC являются время от времени появляющиеся зеленые квадраты по углам.
AVC и аппаратное кодирование в свежих билдах должно работать из коробки, но групповая политика никогда не бывает лишней:
С учетом того, что AVC кодируется аппаратно видеокартой, то обновить драйверы видео — хорошая идея.
О проблемах
Если проблема возникает на Windows XP или Vista, попробуйте сначала обновить протокол до 7 версии (писал в начале статьи). Обязательно включите поддержку CredSSP. На сайте Microsoft статьи уже удалены, но Интернет помнит.
Если не помогло — «доктор говорит в морг, значит в морг». Что испытала на себе операционная система за последние 15 лет — лучше об этом даже и не думать.
Иногда помогает отключение NLA на сервере. Выяснить причину не получилось, домашние машины все разные.
Некоторые клиенты пытаются авторизоваться с использованием NTLMv1. Причины разные, но исправить на клиенте можно так:
Если вы молоды и дерзки ничего не боитесь, то есть более радикальное решение — отключение Channel Binding на Remote Desktop Gateway
Делать так не надо. Но мы делали. 🙂 Для клиента, который настаивал (нет не так, НАСТАИВАЛ) что NTLMv1 на рабочих станциях ему необходим. Не знаю, может там серверы на NT4 без SP еще в работе.
Отключение RDP 8+ в Windows 10
Если ничего не помогает, а идеи кончились, можно воспользоваться недокументированным ключом для даунгрейда протокола RDP до 7 версии.
Сам не делал, и вам не советую. Но кому-то, пишут, что помогает.
Компонент Dr.Web SpIDerGate может запретить подключение. В этом случае возвращается ошибка:
В статистике Dr.Web будет запись:
В комментариях к этой статье со мной связался сотрудник Dr.Web и наша проблема решилась в ближайшем обновлении антивирусных баз.
Если у вас такая же ошибка, лучше обратиться в поддержку.
Как временное решение, можно внести URL вашего RDGW в исключения:
И только если не помогло отключить компонент SpIDer Gate полностью.
Встретился списанный компьютер из какой-то компании, где в качестве системного прокси был прописан местный TMG, и подключение к RDGW не работало. Это можно исправить так:
Переключение раскладок клавиатуры
Иногда приезжают лишние раскладки. Можно отключить проброс раскладки с клиента
Масштабирование приходит с клиентской машины, и если на домашнем ноутбуке стоит 125%, то и на рабочей машине будет так же. На серверах это можно отключить, а на рабочих станциях не нашел как. Но в магазине приложений Windows 10 есть «современный» клиент.
В нем можно настроить DPI:
Как мониторить шлюз с RDGW
Есть счетчик производительности «Шлюз служб терминалов\Текущие подключения», который немного глючит, если нет подключений или сервер долго не перезагружался. Он показывает именно число подключений, но как мы помним, для HTTP+UDP их как минимум два, а может быть и больше. Поэтому это не совсем объективный показатель числа подключений сотрудников.
Есть класс WMI Win32_TSGatewayConnection. Его содержимое соответствует тому, что вы видите в разделе «Наблюдение» шлюза удаленных рабочих столов.
С ним число подключений можно посчитать поточнее:
Just for fun есть утилита Remote Display Analyzer. Бесплатная версия мне ничего полезного не показала, но вдруг кому-то пригодится.
А как же тонкий тюнинг, настройка нескольких десятков параметров сессии?
Здесь уместен принцип Парето: 20% усилий дают 80% результата. Если вы готовы инвестировать ваше время в оставшиеся 20% результата — отлично. Только имейте в виду, что когда вы читаете статью о настройке протокола в Windows 7, то не знаете про какой протокол писал автор — 7, 8 или 8.1. Когда читаете про Windows 10 без указания релиза — проблемы те же. Например, пишут что в свежих билдах Windows 10 кодек AVC/h.264 изменился на RDPGFX_CODECID_AVC444V2, а в Windows Server 2016 остался RDPGFX_CODECID_AVC444.
Из всех таких советов мы используем только две настройки:
Вот мы и подошли к концу статьи. Хотел покороче, а получилось как всегда. Рад, если кому-то эти советы помогут сэкономить время или улучшить настройку своей инфраструктуры.