У минулій статті (Служби віддалених робочих столів на основі сеансів. Частина 1 - Розгортання в домені) досить детально було розглянуто процес розгортання служб RDS на сервери підприємства. Тепер настала черга ознайомитися з визначенням колекцій сеансів і розглянути процес їх створення.
Згідно з офіційною довідкою Microsoft, існує таке визначення колекції сеансів:
Якщо перефразувати цю, досить розпливчасті, формулювання, то можна сказати, що колекція сеансів - це сервер або група серверів, які надають безпечний і стійкий доступ до своїх ресурсів групі або декількох груп користувачів. У колекцію сеансів входять тільки ті сервера, на яких розгорнута роль вузла підключень до віддалених робочих столів.
Які ж переваги приносить використання колекцій сеансів?
- Просте розгортання. Колекції сеансів досить легко встановлювати і налаштовувати за допомогою відповідних майстрів.
- Просте управління. Серверами в колекції можна управляти з одного уніфікованої консолі.
- Коректне розподіл ресурсів. Сервери, які знаходяться в одній колекції вміють коректно розподіляти такі ресурси як ЦП, диски і мережу, що запобігає конфліктам між сесіями користувачів.
Створення колекції сеансів
Рис.1 - Схема мережіПеред тим як приступити до розгортання колекції сеансів пропоную ознайомитися з існуючою схемою мережі. Ферма серверів RDS складається з чотирьох серверів, що виконують різні ролі служб віддалених робочих столів. Сервер RDCB виконує роль посередника підключень, сервер RDWH - це вузол веб-доступу до віддалених робочих столів і програм RemoteApp, а на сервери RDSH1 і RDSH2 встановлена роль вузлів сеансів. Крім ролі посередника підключень, сервер RDCB, так само є вузлом ліцензування. Крім ферми серверів RDS в мережі присутній сервер DC1 є контролером домену і робочі станції користувачів мережі - WS101, WS102 і WS103.
Рис.2 - Створення колекції сеансівДалі, як завжди, створити нову колекцію додатків нам допоможе майстер створення колекцій. У першому його вікні нас ознайомлять з тим необхідним мінімумом умов який повинен бути дотриманий при створенні нової колекції сеансів. Читаємо, перевіряємо і тиснемо Далі.
На другому кроці майстра необхідно вказати ім'я та короткий опис створюваної колекції.
Рис.3 - Присвоєння імені колекціїНаступне вікно майстра дозволяє вказати які саме сервери, які мають роль вузла сеансів віддалених робочих столів, будуть перебувати в створюваної колекції. Переносимо необхідні сервери в колонку Обрано і натискаємо Далі.
Рис.4 - Додавання серверів в колекцію сеансівДалі вказуємо групу або кілька груп користувачів, які матимуть доступ до додатків нової колекції сеансів. В даному конкретному випадку створюємо колекцію сеансів, підключатися до якої можуть усі користувачі домену без винятків. Однак, даний крок майстра дозволяє більш гнучко налаштовувати доступ користувачів до колекції, що, звичайно ж, значно знижує ймовірність несанкціонованого доступу.
Рис.5 - Налаштування груп користувачів Рис.6 - Використання дисків профілівПеревіряємо правильність зазначених даних і підтверджуємо вибір натисканням кнопки Створити.
Рис.7 - Вікно підтвердження виборуПотім почнеться безпосередньо сам процес формування колекції. Після його закінчення, якщо не виникло помилок, закриваємо вікно майстра.
Рис.8 - Відображення процесу створення колекціїПісля завершення процедури створення колекції сеансів на відповідній вкладці RDSM ми можемо бачити назву створеної колекції. Строго кажучи, ця вкладка і являє собою єдиний центр управління колекціями. Тут можна побачити інформацію про те, які колекції створені, скільки присутній серверів вузлів сеансів і які користувачі підключені до створених колекцій.
Рис.9 - Вікно управління колекціями сеансівКонфігурація колекції сеансів
Рис.10 - Вікно управління конкретної колекцією сеансівВикликати вікно з настройками можна зайшовши в меню Завдання на панелі Колекції і вибравши там пункт Змінити властивості.
Рис.11 - Виклик меню властивостей колекціїЦе вікно відкриває доступ до всіх налаштувань колекції сеансів, включаючи ті, які були задані при створенні самої колекції. Такі опції розглядати не будемо, а перейдемо відразу до тих, які ще не зустрічалися.
Налаштування параметрів сеансів
Одними з основних налаштувань, що знаходяться в межах даного вікна, є налаштування часу взаємодії вузла сеансів безпосередньо з самими сеансами. Серед цих налаштувань:
- Закінчення роз'єднаного сеансу - це час, через яке сервер завершить роз'єднану сесію користувача. Говорячи іншими словами, це кількість часу, який сервер буде зберігати тимчасові файли користувача. Якщо користувач протягом обраного інтервалу підключиться до служб RDS, то він побачить своє робоче оточення в тому стані, що і до роз'єднання. При цьому лічильник часу скидається. Ця опція буває корисна в разі коли у користувача нестабільна лінія зв'язку з сервером або ви хочете підстрахуватися і дати користувачам можливість повернутися до свого сеансу в разі його випадкового або ж не випадкового роз'єднання.
- Обмеження активного сеансу - це час, протягом якого користувачеві дозволено безперервно перебувати на сервері. Ця установка дозволяє економити ресурси сервера в разі, коли користувач відкрив сеанс і знаходиться в ньому досить тривалий час. Цю опцію можна задати трохи більшу ніж довжина робочого дня.
- Обмеження недіючого сеансу - це час, протягом якого користувач може залишатися в сеансі і при цьому не робити ніяких дій. Ця установка, як і попередня, дозволяє економити ресурси сервера, однак при її використанні потрібно бути обережним, оскільки користувачам зазвичай не подобається, коли їх сеанс закривається занадто часто.
Так само на цій вкладці можна налаштувати поведінку сервера для ситуації коли досягнуто час обмеження сеансу або з'єднання було перервано. У цьому випадку вибір складається з двох пунктів: відключитися від сеансу і тим самим зберігати деякий час сеанс користувача або назовсім завершити сеанс з видаленням всіх тимчасових файлів.
Рис .12 - Налаштування параметрів сеансуПараметри тимчасової папки дозволяють визначити використовувати взагалі тимчасові папки при створенні сеансів і видаляти чи тимчасові папки при виході користувача. За замовчуванням, обидва цих параметра активні і будуть застосовуватися.
Налаштування параметрів безпеки
У цьому вікні зібрані параметри, які відповідають за безпечний обмін даними між серверами ферми RDS і користувачами колекції сеансів. До цих налаштувань відносяться рівень безпеки який встановлюється між клієнтами RDS і серверами вузлів сеансів. Доступні такі рівні безпеки:
- Рівень безпеки RDP. Вибір цієї опції означає, що буде використовуватися стандартний рівень шифрування, певний протоколом RDP. В цьому випадку, сервер вузла підключень не встановлює справжність клієнта намагається до нього підключитися. Це найменш безпечний рівень підключення.
- SSL (TLS 1.0). Цей варіант означає, що буде використовуватися шифрування відповідними протоколами і перевірка справжності клієнтів за допомогою цифрового сертифікату. Ця опція визначає найвищий рівень безпеки, однак, не скрізь можна застосувати такий рівень безпеки.
- Узгодження. У цьому випадку здійснюється спроба застосування шифрування рівня TLS, а якщо клієнт його не підтримує, то буде використано шифрування протоколу RDP.
Крім рівня безпеки, ще можна встановити рівень шифрування з'єднання між вузлами сеансів і клієнтами. Доступні наступні параметри:
- Низький. Шифрується тільки дані від клієнта до сервера. Для цього використовується 56-розрядний шифрування.
- Високий. Шифруються дані від клієнта до сервера і навпаки. Використовується 128-розрядне шифрування.
- FIPS-сумісний. Так само як і у випадку з високим рівнем шифрування шифруються дані і від клієнта до сервера і від сервера до клієнта, проте при цьому використовується алгоритм шифрування FIPS 140-1.
- Сумісний з клієнтом. У цьому випадку буде використовуватися максимально можливий рівень шифрування, який буде підтримувати клієнт.
Налаштування балансування навантаження
Параметри балансування навантаження дозволяють розподілити всі підключення до вузлів сеансів не рівномірно, а на розсуд адміністратора. Така необхідність виникає в тих випадках, коли сервери мають різну апаратну конфігурацію відносно один одного. Для настройки доступні два параметри: відносна вага сервера і обмеження сеансів.
- Відносна вага визначає значимість виділеного сервера щодо інших. Чим більше число в цьому полі, тим більша кількість підключень буде приймати сервер. Значення можна задати в діапазоні від 1 до 10000.
- Обмеження сеансів задає кількість користувачів, які можуть одночасно бути підключеними до сервера. Значення може перебувати в діапазоні від 1 до 999999.
Налаштування параметрів клієнтів віддаленого доступу
Перевизначити деякі параметри користувальницького клієнта підключень (Remote Desktop Client, RDC) можна на вкладці Налаштування параметрів клієнта.
Рис.15 - Налаштування параметрів RDCТут можна вказати які пристрої і ресурси будуть перенаправлені на сервер і задати політики перенаправлення клієнтських принтерів і моніторів.
Налаштування дисків профілів користувачів
Рис.16 - Налаштування дисків профілівПісля внесення всіх необхідних змін в налаштування колекції натискаємо ОК. На цьому настройка колекції засобами RDMS завершена.
Перевірка працездатності колекції
Рис.17 - Перевірка працездатності колекції сеансівТак як в колекцію не додано жодного програми RemoteApp, доступ буде надано до всього віддаленого робочого столу. Для ініціації нового сеансу достатньо клікнути на іконку з ім'ям колекції сеансів (в даному випадку Колекція сеансів RDS).
У наступній статті, присвяченій темі RDS, буде розглянуто процес додавання і налаштування додатків RemoteApp.