Client Windows RDP. Facem o conexiune de la distanță la computerul tău! Protocolul RDP

Protocol desktop la distanță- protocol desktop la distanță) este un protocol proprietar la nivel de aplicație utilizat pentru a asigura lucrul utilizatorului de la distanță cu un server care rulează serviciul de conectare la terminal. Există clienți pentru aproape toate versiunile de Windows (inclusiv Windows CE, Phone și Mobile), Linux, FreeBSD, Mac OS X, iOS, Android, Symbian. Portul implicit este TCP 3389. Numele oficial Microsoft pentru software-ul client este Remote Desktop Connection sau Terminal Services Client (TSC), în special clientul din Windows 2k/XP/2003/Vista/2008/7/8/10 se numește mstsc. exe .

Cum se calculează statisticile RDP?

Dacă lucrați cu RDP, în mod implicit, statisticile RDP sunt calculate pentru fiecare program lansat de la distanță. În acest caz, este posibil să îmbinați statisticile Desktop la distanță cu clientul RDP local. Pentru a schimba acest lucru, accesați meniul de editare a programului și selectați „Tipul programului” -> „Autentificare de la distanță”.

Sistemul acceptă lucrul cu un server terminal?

Sistemul are suport pentru server terminal. Pentru a începe să colectați statistici de la un server terminal, trebuie să instalați un agent pe acesta. După instalarea agentului, statisticile vor începe să fie colectate de la fiecare utilizator care va fi conectat la serverul terminal. Dacă rulați managerul de activități pe serverul terminal, puteți vedea mai multe procese session_inspector. Numărul acestor procese este egal cu numărul de utilizatori conectați la serverul terminal.

Sistemul Windows oferă de multă vreme capacitatea de a implementa acces la distanță prin protocolul RDP. Un astfel de instrument standard a apărut înapoi în versiuni Windows NT 4.0, lansat în 1996. A fost mai mult sau mai puțin modificat funcțional în versiunea Windows XP și și-a găsit completitatea deja ca parte a Windows 7. Versiunile de Windows 8/8.1 și 10 au moștenit accesul de la distanță prin protocolul RDP de la Windows 7 fără modificări funcționale.

Mai jos vom arunca o privire mai atentă asupra modului în care funcționează accesul la distanță prin protocolul RDP în versiunile de Windows 7, 8.1 și 10.

1. Acces de la distanță prin protocol RDP

Conexiunea prin protocol RDP se realizează între computerele aflate în același retea locala. Acest tip de conexiune este destinat în primul rând specialiștilor IT care întrețin computerele companiei integrate în rețeaua lor de producție. Fără a părăsi locul de muncă, conectându-se de la distanță la computerele angajaților întreprinderii, specialiștii de sistem pot rezolva probleme care nu necesită intervenție în hardware-ul mașinilor și pot lua măsuri preventive.

Conectarea la un computer la distanță folosind protocolul RDP este posibilă și în afara rețelei locale, prin Internet. Dar acest lucru va necesita pași suplimentari - fie redirecționarea portului 3389 pe router, fie combinarea acestuia cu un computer la distanță într-o singură rețea VPN. Având în vedere acest lucru, conectarea la un computer la distanță prin Internet este mult mai ușoară folosind alte instrumente software care nu necesită acțiuni inutile. Acesta este, de exemplu, standard utilitar Windows « Asistență de la distanță» pentru a oferi asistență computerizată prin Internet. Funcționează pe principiul trimiterii unui fișier de invitație utilizatorului care va oferi asistență computerizată. Analogii săi mai funcționali de pe piața de software Windows sunt programe precum .

Protocolul RDP este, de asemenea, utilizat pentru a vă conecta la mașinile virtuale. O conexiune la distanță prin RDP poate oferi mai multe oportunități decât fereastra de conexiune standard a unui hypervisor standard. Fereastra de conexiune Hyper-V nu oferă redarea sunetului în sistemul de operare invitat, nu vede mediile de stocare USB conectate și nu poate oferi mai multă conexiune cu un computer fizic decât inserarea textului copiat în acesta. În timp ce o conexiune RDP poate oferi mașinii virtuale vizibilitate asupra diferitelor dispozitive conectate la computerul fizic, o imagine mai bună a desktop-ului OS invitat, lucru cu sunet etc.

Pentru a vă conecta prin RDP, computerul la distanță trebuie să îndeplinească următoarele cerințe:

  • Trebuie să aibă un cont protejat prin parolă;
  • Sistemul trebuie să permită conexiuni la distanță;
  • Dacă nu doriți să vă schimbați datele de acces de fiecare dată când vă conectați cu o adresă IP dinamică în continuă schimbare, trebuie să atribuiți o adresă IP statică în setările rețelei.

Accesul de la distanță este posibil numai pe computerele cu edițiile Windows Pro, Enterprise sau Ultimate instalate. Versiunile Home de Windows (Home) nu oferă acces la distanță prin RDP.

2. Parola de pe computerul de la distanță

Dacă lucrați pe un computer la distanță cu cont Microsoft, în acest caz se folosește un cod PIN scurt în locul unei parole lungi atunci când vă conectați prin protocolul RDP, trebuie să introduceți aceeași parolă lungă, și nu un cod PIN de patru cifre;

Dacă un cont local care nu este protejat prin parolă este utilizat pe computerul de la distanță și nu este nevoie specială de o parolă, cum ar fi atunci când vă conectați la mașinile virtuale Hyper-V, va trebui să creați cel puțin o parolă simplă precum „ 777” sau „qwerty”.

3. Adresa IP a computerului de la distanță

Când vă conectați prin RDP, va trebui să introduceți adresa IP a computerului de la distanță. Adresa IP internă este vizibilă în setările rețelei sistemului. Dar în versiunile de Windows 7, 8.1 și 10 este trei moduri diferite. În Windows 7, aceasta este o secțiune a Panoului de control, iar în Windows 8.1 și 10 este aplicația Setări, cu propria organizare inerentă fiecărei versiuni. Prin urmare, vom afla adresa IP internă într-un mod universal potrivit pentru fiecare dintre aceste sisteme - prin linia de comandă. Comanda rapidă pentru lansarea promptului de comandă în Windows 7 este disponibilă în meniul Start. În Windows 8.1 și 10, linia de comandă este lansată din meniul contextual de pe butonul Start.

În fereastra liniei de comandă, introduceți:

După apăsarea Enter, vom obține un rezumat al datelor, unde va fi vizibilă adresa IP internă.

4. Permiterea conexiunilor de la distanță

Permisiune de a conexiune la distanță Pe sistemele Windows este de obicei dezactivat inițial. În orice caz, acest lucru se aplică cu siguranță ansamblurilor licențiate. Posibilitatea de a vă conecta prin RDP pe un computer la distanță este activată în setările sistemului. Avem nevoie de secțiunea „Sistem”. În versiunea Windows 7, acesta poate fi accesat căutând în meniul Start. Și în Windows 8.1 și 10, puteți ajunge la secțiunea „Sistem” din meniul contextual de pe butonul „Start”.

Faceți clic pe „Setări de acces la distanță”.

În fereastra de proprietăți ale sistemului, trebuie să setați opțiunea pentru a permite conexiunile la distanță să fie active. Nu este nevoie să eliminați opțiunea de autentificare. Pentru a aplica modificările, faceți clic pe „Aplicați” de mai jos.

Astfel de setări vor deschide calea către o conexiune la distanță, dar numai pentru contul de administrator. Utilizatorii obișnuiți de cont nu au dreptul de a furniza în mod independent un computer pentru control de la distanță. Administratorul le poate acorda acest drept.

Sub opțiunea de a permite conexiunile la distanță există un buton „Selectați utilizatori”. Hai să-l apăsăm.

În câmpul de mai jos, introduceți numele utilizatorului căruia i se permite să se conecteze la el prin protocolul RDP. Pentru conturile locale, acesta este numele lor, iar pentru conturile Microsoft, aceasta este adresa de e-mail folosită pentru autorizare. Faceți clic pe „Ok”.

Asta este – acum contul acestui utilizator va fi accesibil de pe orice computer din rețeaua locală.

5. Conectați-vă la un computer la distanță

Toate acțiunile necesare pe computerul de la distanță au fost finalizate, să trecem la computerul principal de la care se vor efectua conexiunea și controlul. Puteți lansa utilitarul standard de conexiune RDP găsindu-i comanda rapidă folosind o căutare în sistem. În Windows 7, aceasta este o căutare în meniul Start.

În versiunile de Windows 8.1 și 10, apăsați tastele Win+Q.

Va apărea o mică fereastră de conectare. În viitor, va fi posibil să vă conectați la computere de la distanță folosind exact această formă prescurtată. Dar pentru moment, faceți clic pe „Afișați opțiuni”.

În câmpul „Computer”, introduceți adresa IP a computerului de la distanță. În câmpul de mai jos - „Utilizator” - în consecință, introduceți numele de utilizator. Dacă un cont Microsoft este conectat la computerul de la distanță, introduceți adresa de e-mail.

Dacă lucrați pe computer folosind un cont local obișnuit, numele de utilizator trebuie introdus în formatul:

Computer\Utilizator

De exemplu, DESKTOP-R71R8AM\Vasya, Unde DESKTOP-R71R8AM este numele computerului și Vasia– numele de utilizator al contului local.

Sub numele de utilizator există o opțiune de salvare a datelor de autorizare pe un computer la distanță. Parametrii de conexiune - adresa IP, numele de utilizator și parola - pot fi salvați ca fișier RDP separat și utilizați pentru a-l deschide pe alt computer. Faceți clic pe „Conectați”, apoi pe „Conectați” din nou într-o fereastră nouă.

Introduceți parola pentru contul de computer la distanță.

Faceți clic pe „Da” în fereastra de eroare a certificatului.

Vom obține mai multe setări pentru conectarea prin protocolul RDP în fereastra utilitarului inițial, înainte de a stabili conexiunea.

6. Conectați-vă la alt cont pe un computer la distanță

Sub coloana pentru completarea numelui de utilizator al computerului la distanță, dacă caseta de selectare „Solicitați întotdeauna acreditările” nu este bifată, sunt afișate opțiuni pentru ștergerea și modificarea datelor de acces. Făcând clic pe opțiunea „Schimbare”, pe lângă formularul de autorizare dintr-un cont existent pe un computer la distanță, vom vedea posibilitatea de a ne conecta la un alt cont care este prezent pe același computer.

După introducerea unui nou nume de utilizator și parolă, datele de autorizare pentru o anumită adresă IP vor fi suprascrise.

7. Setări de conexiune

În fereastra deschisă pentru conectarea la un computer la distanță, vom găsi file cu parametri personalizabili. Primele două se referă la confortul și funcționalitatea accesului de la distanță.

„Ecran” – în această filă puteți seta rezoluția ecranului computerului la distanță se va deschide fereastra de utilitate cu această rezoluție după conectare; Dacă accesul se face din calculator slab, puteți seta rezoluția la scăzută și puteți sacrifica profunzimea culorii.

„Resurse locale” - aici, pentru a economisi resursele sistemului, puteți dezactiva redarea sunetului pe computerul de la distanță. Sau, dimpotrivă, puteți configura și înregistrarea audio de la un computer la distanță. În coloana de dispozitive și resurse locale, după ce facem clic pe butonul „Detalii”, putem, pe lângă imprimanta activă, să selectăm dispozitivele computerului principal care vor funcționa pe computerul de la distanță. Acestea sunt carduri inteligente, secțiuni separate hard disk, unități flash, carduri de memorie, hard disk-uri externe.

Un obstacol în calea utilizării protocolului RDP poate fi blocarea acestuia de către antivirusuri. În acest caz, protocolul RDP trebuie activat în setările programelor antivirus.

O zi bună!

RDP este protocolul Remote Desktop. În engleză, această abreviere înseamnă protocol Remote Desktop. Este necesar pentru a conecta un computer la altul prin Internet. De exemplu, dacă utilizatorul este acasă și are nevoie urgent să completeze documente la birou, poate face acest lucru folosind acest protocol.

Cum funcționează RDP

Accesul la celălalt computer se face implicit prin portul TCP 3389. Pe fiecare dispozitiv personal preinstalat automat. Există două tipuri de conexiune:

  • pentru administrare;
  • pentru lucrul cu programe de pe server.

Serverele cu Windows Server instalat acceptă două conexiuni RDP la distanță simultan (acesta este cazul dacă rolul RDP nu este activat). Calculatoarele care nu sunt servere au o singură intrare.

Conexiunea dintre calculatoare se realizează în mai multe etape:

  • protocol bazat pe TCP, solicită acces;
  • Este definită sesiunea Remote Desktop Protocol. În timpul acestei sesiuni instrucțiunile sunt aprobate transmisie de date;
  • când etapa de determinare este finalizată, serverul se va transfera pe alt dispozitiv ieșire grafică. În același moment, primește date de la mouse și tastatură. Ieșirea grafică este o imagine copiată exact sau comenzi pentru desenarea diferitelor forme, cum ar fi linii, cercuri. Astfel de comenzi sunt sarcini cheie pentru acest tip de protocol. Economisesc mult consumul de trafic;
  • computerul client transformă aceste comenzi în grafice şi le afișează pe ecran.

Acest protocol are și canale virtuale care vă permit să vă conectați la o imprimantă, să lucrați cu clipboard-ul, să utilizați sistemul audio etc.

Securitatea conexiunii

Există două tipuri de conexiune securizată prin RDP:

  • încorporat sistem (Standard RDP Security);
  • extern sistem (Securitate RDP îmbunătățită).

Ele diferă prin faptul că primul tip utilizează criptarea, asigurându-se că integritatea este creată folosind mijloace standard care sunt în protocol. Iar în al doilea tip, modulul TLS este folosit pentru a stabili o conexiune sigură. Să aruncăm o privire mai atentă asupra procesului de lucru.


Protectie incorporata Acest lucru se face astfel: mai întâi are loc autentificarea, apoi:

  • când este pornit va exista generateRSAchei;
  • se generează o cheie publică;
  • semnat de RSA, care este integrat în sistem. Este disponibil pe orice dispozitiv cu protocolul Remote Desktop instalat;
  • dispozitivul client primește un certificat la conectare;
  • este bifată și se obține această cheie.

Apoi are loc criptarea:

  • algoritmul RC4 este utilizat ca standard;
  • pentru serverele Windows 2003, se utilizează protecția de 128 de biți, unde 128 de biți este lungimea cheii;
  • pentru servere Windows 2008 – 168 de biți.

Integritatea este controlată prin generarea de coduri Mac bazate pe algoritmul MD5 și SHA1.

Sistemul de securitate extern funcționează cu modulele TLS 1.0 și CredSSP. Acesta din urmă combină funcționalitatea TLS, Kerberos, NTLM.

Sfârșitul conexiunii:

  • calculator verifică permisiunea la intrare;
  • cifrul este semnat folosind protocolul TLS. Acest cea mai buna varianta protecţie;
  • Este permisă o singură intrare. Fiecare sesiune este criptată separat.

Înlocuirea vechii valori de port cu una nouă

Pentru a specifica o valoare diferită, trebuie să faceți următoarele (relevant pentru orice versiune de Windows, inclusiv Windows Server 2008):





Acum, atunci când vă conectați la un desktop la distanță, trebuie să specificați o nouă valoare după adresa IP, separată de două puncte, de exemplu 192.161.11.2:3381 .

Înlocuire folosind utilitarul PowerShell

PowerShell vă permite, de asemenea, să faceți modificările necesare:

  • Se recomandă repornirea;
  • După ce dispozitivul pornește, introduceți comanda „regedit” în meniul Start. Accesați directorul: HKEY_ LOCAL_ MAŞINĂ, Găsiți folderul CurrentControlSet, apoi folderul Control, accesați Terminal Server și deschideți WinStations. Faceți clic pe fișierul RDP-Tcp. O nouă valoare trebuie setată aici.
  • Acum trebuie să deschideți portul RDP pe firewall. Conectați-vă la Powershell, introduceți comanda: netsh advfirewall firewall add rule name=”NewRDP” dir=în acțiune=allow protocol=TCP localport= 49089 . Numerele ar trebui să indice portul la care a fost comutat cel vechi.

Nu s-a putut deschide fișierul de conexiune default.rdp

Cel mai adesea această eroare apare atunci când probleme cuDNSserver. Computerul client nu poate găsi numele serverului specificat.

Pentru a scăpa de eroare, trebuie mai întâi să verificați dacă adresa gazdei este introdusă corect.

În caz contrar, dacă apare o eroare, trebuie să urmați următorii pași:

  • mergi la " Documentele mele»;
  • găsiți fișierul default.rdp. Dacă nu îl găsiți, bifați caseta „ Opțiuni pentru foldere» pentru a afișa fișiere și foldere ascunse;
  • acum ștergeți acest fișier și încercați să vă conectați din nou.

Destul de des, mulți utilizatori care folosesc sesiuni de acces la distanță au o întrebare despre cum să schimbe portul RDP. Acum să ne uităm la cele mai simple soluții și să indicăm, de asemenea, câteva etape principale ale procesului de configurare.

Pentru ce este protocolul RDP?

În primul rând, câteva cuvinte despre RDP. Dacă te uiți la decodificarea abrevierei, poți înțelege acel acces la distanță

În termeni simpli, acesta este un instrument pentru un server terminal sau o stație de lucru. Setările Windows (și orice versiune a sistemului) folosesc setări implicite care se potrivesc majorității utilizatorilor. Cu toate acestea, uneori este nevoie să le schimbați.

Port RDP standard: ar trebui schimbat?

Deci, indiferent de modificarea Windows, toate protocoalele au o semnificație prestabilită. Acesta este portul RDP 3389, care este folosit pentru a efectua o sesiune de comunicare (conectarea unui terminal la cele de la distanță).

Care este motivul pentru situația în care valoarea standard trebuie schimbată? În primul rând, doar cu asigurarea securității computerului local. La urma urmei, dacă te uiți la el, cu un port standard instalat, în principiu, orice atacator poate pătrunde cu ușurință în sistem. Deci acum să vedem cum să schimbăm portul RDP implicit.

Modificarea setărilor din registrul de sistem

Să observăm imediat că procedura de modificare se efectuează exclusiv în modul manual, iar clientul de acces la distanță în sine nu prevede nicio resetare sau instalare de noi parametri.

Mai întâi, apelați editorul de registry standard cu comanda regedit din meniul „Run” (Win + R). Aici ne interesează ramura HKLM, în care trebuie să coborâm arborele de partiții prin directorul serverului terminal în directorul RDP-Tcp. În fereastra din dreapta găsim cheia PortNumber. Este sensul său pe care trebuie să îl schimbăm.

Intrăm în editare și vedem 00000D3D acolo. Mulți oameni sunt imediat perplexi cu privire la ceea ce este. Și aceasta este doar o reprezentare hexazecimală a numărului zecimal 3389. Pentru a indica portul în formă zecimală, folosim linia corespunzătoare pentru a afișa reprezentarea valorii și apoi specificăm parametrul de care avem nevoie.

După aceasta, repornim sistemul și când încercăm să ne conectăm, specificăm un nou port RDP. O altă modalitate de conectare este să utilizați comanda specială mstsc /v:ip_address:XXXXX, unde XXXXX este noul număr de port. Dar asta nu este tot.

Reguli Windows Firewall

Din păcate, paravanul de protecție Windows încorporat poate bloca noul port. Aceasta înseamnă că trebuie să faceți modificări la setările paravanului de protecție în sine.

Apelați setările paravanului de protecție cu setări avansate de securitate. Aici ar trebui mai întâi să selectați conexiunile primite și să faceți clic pe linie pentru a crea o nouă regulă. Acum selectăm elementul pentru a crea o regulă pentru port, apoi introducem valoarea acestuia pentru TCP, apoi permitem conexiunea, lăsăm secțiunea de profiluri neschimbată și în final atribuim un nume noii reguli, după care facem clic pe butonul de configurare completă. Tot ce rămâne este să reporniți serverul și, atunci când vă conectați, să specificați noul port RDP prin două puncte în linia corespunzătoare. În teorie, nu ar trebui să existe probleme.

Redirecționarea portului RDP de pe router

În unele cazuri, atunci când utilizați o conexiune fără fir mai degrabă decât o conexiune prin cablu, poate fi necesar să redirecționați portul de pe router. Nu este nimic complicat în asta.

În primul rând, în proprietățile sistemului, permitem și indicăm utilizatorii care au dreptul să facă acest lucru. Apoi mergem la meniul de setări router prin browser (192.168.1.1 sau la sfârșit 0.1 - totul depinde de modelul de router). În câmp (dacă adresa noastră principală este 1.1), este indicat să indicați adresa, începând cu a treia (1.3), și să scrieți regula de emitere a adresei pentru a doua (1.2).

Apoi, în conexiunile de rețea, folosim vizualizarea detaliilor, unde ar trebui să vizualizați detaliile, să copiați adresa MAC fizică de acolo și să o lipiți în parametrii routerului.

Acum, în secțiunea de setări NAT de pe modem, activați conexiunea la server, adăugați o regulă și specificați portul XXXXX, care trebuie redirecționat către portul RDP standard 3389. Salvați modificările și reporniți routerul (noul port va nu poate fi acceptat fără repornire). Puteți verifica conexiunea pe un site web specializat, cum ar fi ping.eu, în secțiunea de testare porturi. După cum puteți vedea, totul este simplu.

În cele din urmă, rețineți că valorile portului sunt distribuite după cum urmează:

  • 0 - 1023 - porturi pentru programe de sistem de nivel scăzut;
  • 1024 - 49151 - porturi alocate în scop privat;
  • 49152 - 65535 - porturi private dinamice.

În general, mulți utilizatori selectează de obicei porturile RDP din a treia gamă a listei pentru a evita problemele. Cu toate acestea, atât specialiștii, cât și experții recomandă utilizarea acestor valori în setări, deoarece sunt potrivite pentru majoritatea sarcinilor.

În ceea ce privește această procedură specială, este utilizată în principal numai în cazurile de conexiune Wi-Fi. După cum se vede deja, cu normal conexiune prin cablu nu este necesar: doar schimbați valorile cheilor de registry și adăugați reguli pentru portul în firewall.

Acest articol începe o serie de articole dedicate proiectării și securității protocolului RDP. Primul articol din această serie analizează designul, utilizarea și principalele tehnologii încorporate în acest protocol.

Acest articol începe o serie de articole dedicate proiectării și securității protocolului RDP. Primul articol din această serie analizează designul, utilizarea și principalele tehnologii încorporate în acest protocol.

Următoarele articole vor discuta în detaliu următoarele probleme:

  • Funcționarea subsistemului de securitate Desktop la distanță
  • Format de schimb de informații de serviciu în RDP
  • Vulnerabilități servere terminale și modalități de a le remedia
  • Selectarea conturilor de utilizator folosind protocolul RDP (dezvoltat de Positive Technologies în acest domeniu)

Istoria RDP

Protocolul Remote Desktop a fost creat de Microsoft pentru a oferi acces de la distanță la serverele și stațiile de lucru Windows. Protocolul RDP este conceput pentru a partaja resursele unui server terminal de înaltă performanță cu multe stații de lucru mai puțin puternice. Primul server terminal (versiunea 4.0) a apărut în 1998 ca parte a Windows NT 4.0 Terminal Server la momentul scrierii (ianuarie 2009), cea mai recentă versiune a serverului terminal este versiunea 6.1, inclusă în Windows 2008 Server și Windows Vista; Distribuții SP1. În prezent, RDP este principalul protocol de acces la distanță pentru sistemele de familie Windows, iar aplicațiile client există atât pentru Microsoft OS, cât și pentru Linux, FreeBSD, MAC OS X etc.

Când vorbim despre istoria RDP, nu putem să nu menționăm Citrix. Citrix Systems s-a specializat în sisteme multi-utilizator și tehnologii de acces la distanță în anii 1990. După achiziționarea unei licențe pt codurile sursă Windows NT 3.51 În 1995, această companie a lansat o versiune multi-utilizator de Windows NT cunoscută sub numele de WinFrame. În 1997, Citrix Systems și Microsoft au încheiat un acord în baza căruia mediul multi-utilizator Windows NT 4.0 se baza pe dezvoltarea tehnologiei Citrix. La rândul său, Citrix Systems a refuzat să distribuie un sistem de operare cu drepturi depline și a primit dreptul de a dezvolta și implementa extensii pentru produsele Microsoft. Aceste extensii au fost inițial numite MetaFrame. Drepturile la ICA (Independent Computing Architecture), protocolul de aplicație pentru interacțiunea între clienții subțiri și serverul de aplicații Citrix, au rămas Citrix Systems, iar protocolul Microsoft RDP a fost bazat pe ITU T.120.

În prezent, principala concurență dintre Citrix și Microsoft este în domeniul serverelor de aplicații pentru întreprinderile mici și mijlocii. În mod tradițional, soluțiile bazate pe Terminal Services câștigă în sistemele cu un număr nu foarte mare de servere de același tip și configurații similare, în timp ce Citrix Systems este ferm stabilit pe piața sistemelor complexe și performante. Concurența este alimentată de lansarea de soluții ușoare pentru sisteme mici de către Citrix și de extinderea constantă a funcționalității Terminal Services de către Microsoft.

Să ne uităm la beneficiile acestor soluții.

Punctele forte ale serviciilor terminale:

  • Instalare ușoară a aplicațiilor pentru partea client a serverului de aplicații
  • Mentenanta centralizata a sesiunilor utilizatorilor
  • Necesită o licență numai pentru Serviciile Terminal

Punctele forte ale soluțiilor Citrix:

  • Usor de scalat
  • Ușurință în administrare și monitorizare
  • Politica de control al accesului
  • Suport pentru produse terțe pentru întreprinderi (IBM WebSphere, BEA WebLogic)

Proiectarea rețelei folosind Terminal Services

Microsoft sugerează două moduri de utilizare a protocolului RDP:

  • pentru administrare (mod de administrare la distanță)
  • pentru a accesa serverul de aplicații (modul Terminal Server)

RDP în modul de administrare

Acest tip de conexiune este folosit de toate sistemele de operare Microsoft moderne. Versiunile de server ale Windows acceptă două conexiuni la distanță și o conectare locală simultan, în timp ce versiunile client acceptă o singură conectare (locală sau la distanță). Pentru a permite conexiuni la distanță, trebuie să activați accesul la desktop la distanță în proprietățile stației de lucru.

RDP în modul de acces la server terminal

Acest mod este disponibil numai în versiunile de server ale Windows. Numărul de conexiuni la distanță în acest caz nu este limitat, dar este necesară configurarea serverului de licență și activarea ulterioară a acestuia. Serverul de licență poate fi instalat fie pe un server terminal, fie pe un nod de rețea separat. Posibilitatea de a accesa de la distanță serverul terminal este disponibilă numai după instalarea licențelor corespunzătoare pe serverul de licențe.

Când utilizați un cluster de servere terminale și echilibrarea încărcăturii, este necesară instalarea unui server de conexiune specializat (Session Directory Service). Acest server indexează sesiunile utilizatorilor, ceea ce vă permite să vă conectați, precum și să vă reconectați la serverele terminale care operează într-un mediu distribuit.

Cum funcționează RDP

Desktop la distanță este un protocol de aplicație bazat pe TCP. După ce o conexiune este stabilită, o sesiune RDP este inițializată la nivelul de transport, în cadrul căreia sunt negociați diferiți parametri de transfer de date. După ce faza de inițializare s-a încheiat cu succes, serverul terminal începe să trimită ieșire grafică către client și așteaptă intrarea de la tastatură și mouse. Ieșirea grafică poate fi o copie exactă a ecranului grafic, transmițând atât o imagine, cât și comenzi pentru desenarea primitivelor grafice (dreptunghi, linie, elipsă, text etc.). Transmiterea ieșirii folosind primitive este o prioritate pentru protocolul RDP, deoarece economisește semnificativ traficul; iar imaginea este transmisă numai dacă altfel este imposibil din anumite motive (nu a fost posibil să se convină asupra parametrilor de transmitere a primitivelor la configurarea unei sesiuni RDP). Clientul RDP procesează comenzile primite și afișează imagini folosind subsistemul său grafic. În mod implicit, introducerea utilizatorului este transmisă utilizând codurile de scanare de la tastatură. Semnalul pentru apăsarea și eliberarea unei taste este transmis separat folosind un steag special.

RDP acceptă mai multe canale virtuale într-o singură conexiune, care poate fi folosită pentru a oferi funcționalități suplimentare:

  • folosind o imprimantă sau un port serial
  • redirecționarea sistemului de fișiere
  • Suport pentru clipboard
  • folosind subsistemul audio

Caracteristicile canalelor virtuale sunt negociate în faza de configurare a conexiunii.

Asigurarea securității la utilizarea RDP

Specificația protocolului RDP necesită una dintre cele două abordări de securitate:

  • Securitate RDP standard (subsistem de securitate încorporat)
  • Securitate RDP îmbunătățită (subsistem de securitate extern)

Securitate RDP standard

Cu această abordare, autentificarea, criptarea și asigurarea integrității sunt implementate folosind mijloacele încorporate în protocolul RDP.

Autentificare

Autentificarea serverului se realizează după cum urmează:

  1. Când sistemul pornește, este generată o pereche de chei RSA
  2. Este creat un certificat de proprietate cu cheie publică
  3. Certificatul este semnat cu o cheie RSA codificată în sistem de operare (orice client RDP conține cheia publică a acestei chei RSA încorporate).
  4. Clientul se conectează la serverul terminal și primește un certificat de proprietate
  5. Clientul verifică certificatul și primește cheia publică a serverului (această cheie este folosită ulterior pentru a negocia parametrii de criptare)

Autentificarea clientului se realizează prin introducerea unui nume de utilizator și a unei parole.

Criptare

Cifrul fluxului RC4 a fost ales ca algoritm de criptare. În funcție de versiunea sistemului de operare, sunt disponibile diferite lungimi de chei de la 40 la 168 de biți.

Lungimea maximă a cheii pentru sistemele de operare Windows:

  • Windows 2000 Server - 56 de biți
  • Windows XP, Windows 2003 Server – 128 de biți
  • Windows Vista, Windows 2008 Server – 168 de biți

Când se stabilește o conexiune, după ce s-a convenit asupra lungimii, sunt generate două chei diferite: pentru a cripta datele de la client și de la server.

Integritate

Integritatea mesajului se realizează prin utilizarea unui algoritm de generare MAC (Message Authentication Code) bazat pe algoritmii MD5 și SHA1.

Începând cu Windows 2003 Server, conformitatea cu FIPS (Federal Information Processing Standard) 140-1 poate fi obținută prin utilizarea 3DES pentru criptarea mesajelor și a unui algoritm de generare MAC doar SHA1 pentru a asigura integritatea.

Securitate RDP îmbunătățită

Această abordare utilizează module de securitate externe:

  • TLS 1.0
  • CredSSP

TLS poate fi utilizat începând cu Windows 2003 Server, dar numai dacă clientul RDP îl acceptă. Suportul TLS a fost adăugat începând cu versiunea 6.0 a clientului RDP.

Când utilizați TLS, certificatul de server poate fi generat folosind Terminal Sercives sau puteți selecta un certificat existent din magazinul Windows.

Protocolul CredSSP este o combinație a funcționalității TLS, Kerberos și NTLM.

Să ne uităm la principalele avantaje ale protocolului CredSSP:

  • Verificarea permisiunii de a vă conecta la un sistem la distanță înainte de a stabili o conexiune RDP completă, ceea ce vă permite să salvați resursele serverului terminal atunci când există un număr mare de conexiuni
  • Autentificare și criptare puternice prin protocolul TLS
  • Utilizarea Single Sign On cu Kerberos sau NTLM

Caracteristicile CredSSP pot fi utilizate numai în sisteme de operare Windows Vista și Windows 2008 Server. Acest protocol este activat de indicatorul Utilizare autentificare la nivel de rețea din setările serverului terminal (Windows 2008 Server) sau în setările de acces la distanță (Windows Vista).

Schema de licențiere a serviciilor terminale

Când utilizați RDP, accesarea aplicațiilor în modul client subțire necesită configurarea unui server de licență specializat.

Licențele client permanente pot fi instalate pe server numai după finalizarea procedurii de activare înainte de această procedură, se pot emite licențe temporare limitate în perioada de valabilitate. După activare, serverul de licență primește un certificat digital care confirmă proprietatea și autenticitatea acestuia. Folosind acest certificat, serverul de licențe poate efectua tranzacții ulterioare cu baza de date Microsoft Clearinghouse și poate accepta licențe CAL permanente pentru serverul terminal.

Tipuri de licențe client:

  • licență temporară (Temporary Terminal Server CAL)
  • licență de dispozitiv (Device Terminal Server CAL)
  • licență de utilizator (User Terminal Server CAL)
  • licență pentru utilizatori externi (External Terminal Server Connector)

Licență temporară

Acest tip de licență este eliberat clientului la prima conectare la serverul terminal, licența este valabilă 90 de zile. După conectarea cu succes, clientul continuă să lucreze cu o licență temporară, iar data viitoare când serverul terminal se conectează, încearcă să înlocuiască licența temporară cu una permanentă, dacă aceasta este disponibilă în stocare.

Licență pentru dispozitiv

Această licență este emisă pentru fiecare dispozitiv fizic care se conectează la serverul de aplicații. Perioada de valabilitate a licenței este stabilită aleatoriu între 52 și 89 de zile. Cu 7 zile înainte de data expirării, serverul terminal încearcă să reînnoiască licența de la serverul de licențe de fiecare dată când un client se conectează din nou.

Licență de utilizator

Licențele per utilizator oferă o flexibilitate suplimentară, permițând utilizatorilor să se conecteze de pe o varietate de dispozitive. Actuala implementare a Serviciilor Terminal nu are controale asupra utilizării licențelor de utilizator, de exemplu. Numărul de licențe disponibile pe serverul de licențe nu scade atunci când utilizatorii noi se conectează. Utilizarea de licențe insuficiente pentru conexiunile client încalcă contract de licență cu Microsoft. Pentru a utiliza atât licențele CAL pentru dispozitiv, cât și pentru utilizator pe același server terminal, serverul trebuie configurat să funcționeze în modul de licențiere per utilizator.

Licență pentru utilizatori externi

Acesta este un tip special de licență conceput pentru a conecta utilizatori externi la un server terminal corporativ. Această licență nu impune restricții asupra numărului de conexiuni, totuși, conform acordului de utilizare (EULA), serverul terminal pentru conexiuni externe trebuie să fie dedicat, ceea ce nu permite utilizarea acestuia pentru a servi sesiuni de la utilizatori corporativi. Din cauza prețului ridicat, acest tip de licență nu este utilizat pe scară largă.

Serverul de licențe poate avea unul dintre cele două roluri:

  • Server de licență de domeniu sau grup de lucru
  • Întregul server de licență Enterprise

Rolurile diferă în ceea ce privește modul în care descoperă serverul de licență: atunci când se utilizează rolul Enterprise, serverul terminal caută în ActiveDirectory serverul de licență, în caz contrar căutarea este efectuată folosind o cerere de difuzare NetBIOS. Fiecare server găsit este verificat pentru corectitudine folosind o solicitare RPC.

Tehnologii promițătoare Servicii terminale

Soluțiile pentru serverele de aplicații sunt promovate activ de Microsoft, funcționalitatea este extinsă și sunt introduse module suplimentare. Cea mai mare dezvoltare a fost realizată de tehnologiile care simplifică instalarea aplicațiilor și componentelor responsabile de funcționarea serverului terminal în rețele globale.

Următoarele caracteristici au fost introduse în Terminal Services pentru Windows 2008 Server.