Как открыть терминал сервера

Сервер терминалов: руководство по запуску, подключению и применению

В этой статье описывается процесс инициализации сервера терминалов и описывается, что происходит, когда пользователь подключается к серверу и запускает приложение.

Применяется к: Windows Server 2012 R2
Исходная база знаний: 186572

Инициализация сервера терминалов Windows

Когда сервер терминалов Windows загружает и загружает Основная операционная система, служба терминалов (Termsrv.exe) просыпается и создает стеки прослушивателей (через протокол и транспортную пару), которые прослушивают входящие соединения. Каждому соединению назначается уникальный идентификатор сеанса, или «SessionID», который представляет один сеанс на сервере терминалов. Каждый процесс, созданный в сеансе, «помечается» соответствующим идентификатором сеанса, чтобы отличать его пространство имен от пространства имен любого другого соединения.

Консольный (клавиатура, мышь и видео) сеанс на консоли (клавиатура, мышь, и видео) всегда загружается первым и в особом случае обрабатывается как клиентское соединение, и ему присваивается идентификатор сеанса. Сеанс консоли начинается как обычный сеанс Windows NT с настроенными драйверами Windows NT, мыши и клавиш.

После этого службы терминалов вызывают диспетчер сеансов Windows NT (Smss.exe) для создания двух (по умолчанию = 2) неактивных клиентские сеансы (после создания сеанса консоли), ожидающие подключения от клиента. Создание преждевременных сеансов Dispatcher Сеансы запускаются процессом стартовой подсистемы клиент или сервер Windows NT (Csrss.exe), и этому процессу был присвоен новый идентификатор сеанса. Процесс CSRSS также вызывает процесс Winlogon (Winlogon.exe) и модуль ядра Win32k.sys (Window Manager and Graphical Device Interface — GDI) под новым ассоциированным идентификатором сеанса. Модифицированный загрузчик Windows NT распознает этот Win32k.sys как загрузочный образ SessionSpace по умолчанию в образе флэш-памяти. Затем он перемещает кодовую часть образа в физическую память с указателями виртуального адресного пространства ядра для этого сеанса, если Win32k.sys еще не загружен. По дизайну он всегда присоединяется к ранее загруженному коду образа (Win32k.sys), если он уже существует в памяти. Например, из любого активного приложения или сеанса.

Тогда раздел данных (или неразделяемый) с этим образом будет выделен для нового сеанса из только что созданного раздела памяти ядра для страниц SessionSpace. В отличие от сеанса консоли клиентские сеансы сервера терминалов настроены на загрузку отдельных драйверов для дисплея, клавиатуры и мыши.

Новым драйвером дисплея является драйвер дисплея удаленного рабочего стола (RDP), Tsharedd.dll. Драйверы мыши и клавиатуры обмениваются данными в стеке, используя несколько экземпляров стека, termdd.sys. Termdd.sys отправляет сообщения о действиях мыши и клавиатуры в драйвер RDP, Wdtshare.sys, и обратно. Эти драйверы позволяют использовать сеанс клиента RDP удаленно и в интерактивном режиме. Наконец, сервер терминалов также порождает поток прослушивателя соединений для RDP, снова управляемый несколькими стеками экземпляров. (Termdd.sys), который отслеживает клиентские подключения RDP на TCP-порте #3389.

На этом этапе процесс CSRSS существует в собственном пространстве имен SessionID; при необходимости ваши данные сразу сливаются в процессе. Все процессы, созданные под этим идентификатором сеанса, будут автоматически выполняться в SessionSpace процесса CSRSS. Это предотвратит доступ других процессов идентификатора сеанса к другим данным сеанса.

Подключение клиента

Клиент RDP можно установить и запустить на любом терминале Windows (на базе WinCE), Windows for Workgroups 3.11 с TCP/IP-32b или API платформы Microsoft Win32. Клиенты, отличные от Windows, поддерживаются подключаемым модулем Citrix Metaframe. Размер исполняемого файла RDP-клиента Windows для рабочих групп составляет примерно 70 КБ, из которых 300 КБ используются для рабочей группы и 100 КБ для отображаемых данных. Размер клиента на основе Win32 составляет приблизительно 130 КБ, и для отображения используется рабочий набор размером 300 КБ и 100 КБ. data.

Клиент инициирует подключение к терминальному серверу через TCP-порт 3389. Поток RDP терминального сервера обнаруживает запрос сеанса и создает новый экземпляр стека RDP для обработки нового запроса сеанса. Поток прослушивателя передает входящий сеанс новому экземпляру стека RDP и продолжает прослушивать TCP-порт 3389 для дальнейших попыток подключения. Каждый стек RDP создается по мере подключения клиентских сеансов для согласования информации о конфигурации сеанса. Первой частью информации будет установка уровня шифрования для сеанса. Терминальный сервер изначально поддерживает три уровня шифрование: низкое, среднее и высокое.

Низкое шифрование шифрует только пакеты, отправляемые от клиента на терминальный сервер. Это шифрование «только для ввода», которое защищает ввод конфиденциальных данных, таких как пароль пользователя. Среднее шифрование шифрует исходящие пакеты от клиента так же, как низкоуровневое шифрование, но также шифрует все отображаемые пакеты, возвращаемые клиенту с серверного терминала. Этот метод шифрования обеспечивает безопасность конфиденциальных данных, передаваемых по сети для отображения на удаленном экране. Низкое и среднее шифрование использует алгоритм Microsoft-RC4 (модифицированный алгоритм RC4 с улучшенной производительностью) с 40-битным ключом. Высокое шифрование будет шифровать пакеты на оба адреса, к клиенту и от него, но будет использовать стандартный алгоритм шифрования RC4, опять же с 40-битным ключом. Неэкспортируемая версия сервера терминалов Windows NT обеспечивает высокоуровневое 128-битное шифрование RC4.

Между клиентом и сервером будет происходить обмен шрифтами, чтобы определить, какие общие системные шрифты установлены. Клиент уведомляет сервер терминалов обо всех установленных системных шрифтах, чтобы обеспечить более быструю визуализацию текста во время сеанса RDP. Если терминальный сервер знает, какие шрифты доступны клиенту, он может сэкономить пропускную способность сети, предоставив клиенту сжатые шрифты и строки Unicode вместо больших растровых изображений.

По умолчанию все клиенты резервируют 1,5 МБ памяти для кэш растровых изображений, который используется для хранения растровых изображений, таких как значки, панели инструменты, курсоры и т. д., но не используется для хранения строк Unicode. Кэш отсутствует (через раздел реестра) и перезаписывается с использованием алгоритма LRU (наименее часто используемый). Сервер терминалов также включает буферы для управления потоком обновлений экрана для клиентов вместо постоянного потока. Когда пользователь много взаимодействует с клиентом, буфер очищается примерно 20 раз в секунду. В режиме ожидания или без взаимодействия с пользователем буфер будет замедляться до 10 раз в секунду. Вы можете настроить все эти номера через реестр.

После согласования информации о сеансе экземпляр стека RDP-сервера для этого подключения подключается к существующему сеансу пользователя Win32k и предлагает пользователю логотип Windows NT. Если настроен автоматический вход в систему, зашифрованные имя пользователя и пароль будут переданы на сервер терминалов, а логотип продолжит работу. Если в настоящее время неактивных сеансов Win32k нет, службы терминалов вызывают диспетчер сеансов (SMSS) для создания нового пользовательского пространства для нового сеанса. Большая часть пользовательского сеанса Win32k использует обычный код и загружается заметно быстрее после загрузки одного экземпляра.

После ввода имени пользователя и пароля пакеты отправляются в зашифрованном виде на серверный терминал. Затем процесс Winlogon выполняет необходимую проверку учетной записи, чтобы убедиться, что пользователь авторизован для входа в систему, и передает домен и имя пользователя службам терминалов, которые ведут список доменных имен. имена пользователей и идентификаторы сеансов. Если идентификатор сеанса уже связан с этим пользователем (например, есть отключенный сеанс), текущий стек активного сеанса присоединяется к предыдущему сеансу. Затем временный сеанс Win32, используемый для исходного логотипа, удаляется. В противном случае подключение продолжается нормально, и служба сервера терминалов создает новое сопоставление между идентификатором сеанса и именем пользователя домена. Если по какой-либо причине для данного пользователя активны более одной сессии, будет отображен список сессий, и пользователь сам решит, какую из них выбрать для переподключения.

Запуск приложения

После пользовательские журналы на рабочем столе (или в приложении, если оно находится в режиме одного приложения). Когда пользователь выбирает для запуска 32-разрядное приложение, команды мыши передаются на сервер терминалов, который запускает выбранное приложение в новом пространстве виртуальной памяти (приложение 2 ГБ, ядро ​​2 ГБ). Все процессы на терминальном сервере будут обмениваться кодом режима ядра и режима пользователя, когда это возможно. Достижение Виртуальная память (ВМ) Windows NT использует защиту от копирования при записи страниц при совместном использовании кода между процессами. Если несколько процессов хотят читать и записывать одно и то же содержимое памяти, диспетчер виртуальных машин назначает защиту страниц при записи для пула памяти. Процессы (сеансы) будут использовать одно и то же содержимое памяти до тех пор, пока не будет выполнена операция записи, после чего диспетчер виртуальных машин копирует кадр физической страницы в другое место, обновляя виртуальный адрес процесса, чтобы он указывал на новое местоположение страницы, а теперь добавьте страницу в закладки для чтения/записи. Копирование при записи полезно и эффективно для приложений, работающих на сервере терминалов.

Когда один процесс (сеанс) загружает приложение на базе Win32, например Microsoft Word, в физическую память, пометьте его как копирование при записи. записывать. Когда новые процессы (сеансы) также вызывают Word, загрузчик изображений просто направляет новые процессы (сеансы) на существующую копию, поскольку приложение уже загружено в память. Когда требуются определенные пользователем данные и буферы (например, сохраненные в файле), запрошенные страницы будут скопированы в новую область физической памяти и помечены как доступные для чтения/записи для отдельного процесса (сеанса). Диспетчер виртуальных машин защитит это пространство памяти от других процессов. Однако большинство приложений являются общедоступным кодом и будут иметь только один экземпляр кода в физической памяти, независимо от того, сколько раз он будет запускаться.

Предпочтительнее (хотя и не обязательно) запускать 32-разрядные приложения. в среде терминального сервера. 32-разрядные (Win32) приложения позволяют совместно использовать код и более эффективно работать в нескольких пользовательских сеансах. Windows NT позволяет запускать 16-разрядные (Win16) приложения в среде Win32, создавая виртуальную машину с MS-DOS (VDM) для каждого приложения Win16, в котором оно будет работать. Весь 16-битный вывод транслируется в вызовы Win32, которые выполняют необходимые действия. Поскольку приложения Win16 работают на собственном VDM, код не может использоваться совместно несколькими приложениями. сессии. Перевод между вызовами Win16 и Win32 также требует системных ресурсов. Выполнение приложений Win16 в среде сервера терминалов потенциально может потреблять в два раза больше ресурсов, чем соответствующее приложение на основе Win32.

Сеанс закрыт, и пользователь вошел в систему

Отключение сеанса

Если пользователь решит отключиться от сеанса, процессы и все пространство виртуальной памяти останутся и будут удалены с физического диска, если другим процессам потребуется физическая память. Поскольку сервер терминалов поддерживает сопоставление между доменом или именем пользователя и соответствующим идентификатором сеанса, при повторном подключении того же пользователя существующий сеанс будет извлечен и снова доступен. Еще одним преимуществом RDP является возможность изменять разрешение экрана сеанса в зависимости от требований сеанса пользователей. Например, предположим, что пользователь ранее подключался и отключался от сеанса сервера терминалов с разрешением 800 x 600. Если пользователь переключается на другой компьютер с разрешением 640 x 480 и присоединяется к существующему сеансу, рабочий стол обновляется для поддержки новое разрешение.

Логин пользователя

Обычно завершение сеанса реализовать несложно. После выхода пользователя из системы все процессы, связанные с идентификатором сеанса, завершаются, и вся память, выделенная для сеанса, освобождается. Если пользователь запускает 32-разрядное приложение, такое как Microsoft Word, и выходит из системы, сам код приложения остается в памяти до тех пор, пока последний пользователь не выйдет из системы.

Источник

Установка и настройка терминальный сервер на Windows Server

Инструкция разбита на 6 шагов. Первые 3 представляют собой стандартные шаги по настройке терминального сервера. Остальное — профессиональные советы, которые помогут вам создать надежную и профессиональную инфраструктуру сервера терминалов.

Операционная система — Windows Server 2012 R2/2016.

Шаг 1. Выберите оборудование и подготовьте сервер для операция

Выбор оборудования

При выборе оборудования для данного типа сервера необходимо исходить из требований приложений, которые будут запускать пользователи, и их количества. Например, если установить терминальный сервер для 1С и количество одновременно работающих сотрудников равно 20, то получим следующие характеристики (примерно):

1. Процессор Xeon E5.
2. Не менее 28 ГБ памяти (1 ГБ на пользователя + 4 для операционной системы + резерв 4 — это чуть меньше 20%).
3. Дисковую систему лучше создавать на дисках SAS. Объем следует учитывать индивидуально, так как он зависит от характера задач и методов их решения.

Также рекомендую прочитать статью Как выбрать сервер.

Подготовка сервера

Перед установкой операционной системы сделайте следующее:

1. Настройте отказоустойчивый массив RAID (уровень 1, 5, 6 или 10 или их комбинацию). Эта настройка осуществляется с помощью встроенной в драйвер утилиты. Чтобы запустить его, следуйте инструкциям на экране запуска сервера.
2. Подключите сервер к источнику бесперебойного питания блок питания (ИБП). Проверьте, работает ли он. Выключите ИБП и убедитесь, что сервер все еще работает.

Шаг 2: Установка Windows Server и базовая настройка системы

Установка системы

При установке системы важно учитывать только один нюанс: дисковая система должна быть разделена на два логических раздела. Первый (маленький, 70 — 120 Гб) отводится под системные файлы, второй — под пользовательские данные.

Этому есть две основные причины:

1. Маленький системный диск ускоряется (проверка, дефрагментация, антивирусная проверка и т.д.)
2. Пользователи не должны иметь возможность хранить свою информацию на системном разделе. В противном случае диск может переполниться и, как следствие, сервер может работать медленно и нестабильно.

Основные настройки Windows Server

• Проверьте правильность настроек времени и часового пояса;
• Задайте описательное имя сервера и при необходимости введите его в домен;
• Настройка статического IP-адреса;
• Если сервер не подключен к Интернету напрямую, необходимо отключить брандмауэр;
• Включить удаленный рабочий стол для удаленного администрирования;
• Установите все системные обновления.

Шаг 3. Установка и настройка сервера терминалов

Подготовка системы

Начиная с Windows 2012, сервер терминалов должен работать в среде Active Directory.

Если в вашей ИТ-среде есть контроллер домена, просто подключите его к нашему серверу. В противном случае устанавливаем роль контроллера на наш сервер.

Установить роль и функции

На панели быстрого запуска откройте Диспетчер серверов :

Нажмите в Администрирование — Добавить роли и функции :

Нажмите Далее для «Выберите тип установки». Выйдите Установить роли и компоненты и дважды щелкните Далее :

В окне «Выбор ролей сервера» выберите Рабочие столы удаленных служб :

Делать Нажимайте Далее , пока не появится окно «Выбор служб ролей», и выберите следующее:

• Лицензирование удаленного рабочего стола
• Удаленный рабочий стол узла сеансов

* при появлении запроса на установку дополнительные компоненты мы согласны

При необходимости также установите остальные флажки:

• Веб-доступ: возможность выбора терминальных приложений в браузере
• Поставщик подключения: На терминальных серверах кластера брокер управляет нагрузкой каждого узла и распределяет ее.
• Хост виртуализации: для виртуализации приложений и запуска их через терминал.
• Шлюз: Центральный сервер для проверки соединений и шифрования трафика. Позволяет настроить RDP под HTTPS.

Нажмите Далее и в следующем окне Установить . Дожидаемся окончания процесса установки и перезагружаем сервер.

Установка службы удаленного рабочего стола

После перезагрузки открываем Диспетчер серверов и нажимаем Управление — Добавьте возможности и функции:

В окне «Выбор типа установки» выберите Установить службы удаленных рабочих столов и нажмите Далее :

В окне «Выбор типа развертывания» выберите Быстрый старт и нажмите Далее :

В разделе «Выбор сценария развертывания» — Развертывание — Далее :

Снова Далее : При необходимости установите флажок «Автоматически перезапускать целевой сервер при необходимости» и нажмите Развернуть .

Настроить лицензирование удаленного рабочего стола

Для корректная работа сервера, необходимо настроить службу лицензирования. Для этого откройте Диспетчер серверов и нажмите Инструменты — Службы терминалов — Диспетчер лицензирования удаленных рабочих столов :

В открывшемся окне нажимаем правой кнопкой мыши на наш сервер и выбираем пункт Активировать сервер :

В открывшемся окне дважды нажмите Далее — заполните форму — Далее — Далее — Снимите флажок «Запустить мастер установки лицензии» — Готово .

Снова откройте Диспетчер серверов и перейдите к службам удаленных рабочих столов:

В разделе Обзор развертывания нажмите Задачи — Изменить свойства развертывания :

В открывшемся окне перейдите в раздел Лицензия — Выберите тип лицензий — введите имя сервера лицензий (в этом кейс локальный сервер) и нажмите Добавить :

Примените конфигурацию, нажав OK ​​​​​.

Добавьте лицензии

Откройте Диспетчер серверов и нажмите Инструменты — Службы терминалов — Диспетчер лицензий удаленного рабочего стола :

В открывшемся окне кликаем правой кнопкой мыши по нашему серверу и выбираем опцию Установить лицензии :

В в открывшемся окне нажмите Далее — выберите программу, для которой были приобретены лицензии, например Enterprise Agreement — Далее — введите номер договора и информацию о лицензии — выберите версию продукта, лицензию тип и его номер — Далее — Готово .

Вы можете проверить статус лицензии в Диспетчере серверов: Инструменты — Службы терминалов — Средство диагностики лицензии удаленного рабочего стола .

Шаг 4. Отладка сервера терминалов

Ограничение сеанса

По умолчанию пользователи удаленного рабочего стола могут y онлайн на безлимитной системе. Это может привести к сбоям или проблемам при повторном подключении. Чтобы устранить потенциальные проблемы, ограничьте терминальные сеансы.

Анализатор передового опыта

Базы данных успешных конфигураций существуют для некоторых ролей Windows Server (особенно роли Терминала). Следуя советам из этой базы данных, вы можете повысить надежность и стабильность системы.

Для сервера удаленных рабочих столов обычно следует следовать следующим рекомендациям:

1. Srv.sys файл файл должны быть настроены для запуска по запросу.

В командной строке от имени администратора введите:

sc config srv start=demand

2. Генерация имен должна быть отключена.

В командной строке от имени администратора введите:

fsutil 8dot3setname 1

Теневые копии

Если вы собираетесь хранить ценную информацию на серверного терминала необходимо настроить возможность восстановления предыдущих версий файлов.

Дополнительные сведения о настройке и использовании этой функции см. в разделе Как включить и настроить моментальные снимки.

Ошибка 36888. (Источник: schannel)

В журнале Windows может появиться сообщение об ошибке «Произошло следующее фатальное предупреждение: 10. Статус внутренней ошибки: 1203». источник канал и код 36888 . Я не мог четко определить его причину. Многие информационные источники пишут, что это известная проблема и связывают ее с ошибкой в ​​самой операционной системе.

Точного решения не найдено, но можно отключить ведение журнала Schannel. Для этого в редакторе реестра найдите ветку HKLM\SYSTEM\CurrentControlSet\Control\SecurityProviders\Schannel — она ​​содержит параметр EventLogging и измените его значение на 0 . Команда редактирования реестра:

reg add «HKLM\SYSTEM\CurrentControlSet\Control\SecurityProviders\Schannel» /v EventLogging /t REG_DWORD /d 0 /f

* эта команда должна быть выполнена из командной строки запустите от имени администратора.

Шаг 5. Настройка инструментов обслуживания

Основными инструментами, помогающими полностью поддерживать сервер, являются мониторинг и резервное копирование.

Безопасность резервного копирования

Для терминального сервера необходимо создавать резервные копии всех рабочих каталогов пользователей. Если на сервере организован общий каталог для обмена и хранения важной информации, скопируйте и его. Лучшим решением будет ежедневное копирование новых данных и создание полного архива через определенные промежутки времени (например, раз в месяц).

Мониторинг

1. Доступность серверной сети;
2. Свободное место на диске.

Шаг 6. Тестирование

Тест состоит из 3 основных шагов:

1. Проверьте журналы Windows и убедитесь, что ошибок нет. При его обнаружении необходимо устранить все проблемы.
2. Выполните шаги в Анализаторе передового опыта.
3. Выполните живое тестирование службы с компьютера пользователя.

Специальный порт подключения

По умолчанию порт 3389 используется для подключения к серверу терминалов через RDP. Если вы хотите, чтобы сервер прослушивал другой порт, откройте реестр и перейдите в ветку:

HKEY_LOCAL_MACHINE\System\CurrentControlSet\Control\Terminal Server\WinStations\RDP-Tcp

Найдите ключ Номер порта и установите его десятичное значение в желаемый номер порта:

Также можно использовать команду:

reg add » HKLM\System\CurrentControlSet\Control\Terminal Server\WinStations\RDP-Tcp» /v Номер порта /t REG_DWORD /d 3388 /f

* где 3388 — номер порта, на котором терминальный сервер будет принимать запросы.

Источник