Как подключить и настроить службы удаленного рабочего стола (RDS)

RDP против RDS: в чем разница (и почему это важно)

RDP — это протокол и метод подключения клиента (mstsc / Microsoft Remote Desktop). RDS — это набор ролей Windows Server, который превращает ваш сервер в платформу общего доступа к рабочему столу / RemoteApp.

На практике существует два распространенных сценария:

• Доступ администратора (базовый удаленный рабочий стол): обычно используется 1–2 администраторами для управления сервером.
• Доступ пользователей (Службы удаленного рабочего стола): используется, когда вы хотите, чтобы многие пользователи работали на одном сервере (рабочие столы на основе сеансов или RemoteApp). Это требует правильного планирования лицензирования ролей RDS.

Важно: если вы создаете настоящий многопользовательский терминальный сервер, планируйте лицензирование и безопасность с самого начала. Цель — предоставить доступ пользователям, не подвергая сервер атакам методом перебора.

Что вам понадобится перед началом

• Развернутый VPS под управлением Windows с правами администратора.
• ОС сервера: Windows Server 2019/2022/2025 (рекомендуется для современных средств безопасности и инструментов RDS).
• Стабильный публичный IP-адрес (и, по желанию, DNS-имя, если вы планируете использовать RD Gateway / сертификаты).
• Откройте порты на двух уровнях: брандмауэр провайдера (панель / группы безопасности) и брандмауэр Windows.
• Если вы планируете полноценную среду RDS: выберите между автономным (небольшим) и стандартным развертыванием (масштабируемым).

Шаг 1 — Подключитесь к серверу с помощью удаленного рабочего стола (RDP)

В Windows самым быстрым вариантом является встроенный клиент: нажмите Win R → введите mstsc → введите IP-адрес или имя хоста сервера. В macOS используйте приложение Microsoft Remote Desktop из App Store.

В настройках клиента RDP полезно включить:

• Буфер обмена (копирование/вставка между ПК и сервером)
• Локальные диски (для безопасной передачи файлов при необходимости)
• Масштабирование экрана (для мониторов с высоким разрешением)

Шаг 2 — Включите удаленный рабочий стол и усильте базовую защиту

Если удаленный рабочий стол еще не включен, включите его и сразу же примените более безопасные настройки по умолчанию.

Рекомендуемый базовый набор настроек: включить удаленный рабочий стол, требовать аутентификацию на сетевом уровне (NLA) и разрешать доступ только тем пользователям/группам, которые действительно нужны.

# Enable Remote Desktop (RDP) in the registry
Set-ItemProperty -Path 'HKLM:SystemCurrentControlSetControlTerminal Server' -Name 'fDenyTSConnections' -Value 0

# Require Network Level Authentication (recommended)
Set-ItemProperty -Path 'HKLM:SystemCurrentControlSetControlTerminal ServerWinStationsRDP-Tcp' -Name 'UserAuthentication' -Value 1

# Enable built-in Windows Firewall rules for Remote Desktop
Enable-NetFirewallRule -DisplayGroup "Remote Desktop"

Не оставляйте RDP открытым «для всех». Если возможно, ограничьте входящий трафик RDP по вашему IP-адресу (или используйте шлюз удаленного рабочего стола через порт 443), прежде чем вводить сервер в эксплуатацию.

Краткий скриншот: где RDS встроен в Диспетчер сервера

Шаг 3 — Выберите тип развертывания RDS

Существует два реалистичных подхода для большинства сценариев использования Windows VPS:

Вариант A: Автономный хост сеансов (простые, небольшие конфигурации)

Это самый простой вариант, когда вам нужен только один сервер для размещения нескольких сеансов. Обычно вы устанавливаете:

• Хост сеансов удаленного рабочего стола (где запускаются сеансы пользователей)
• Лицензирование удаленного рабочего стола (роль сервера лицензий)

Этот вариант популярен среди небольших команд, в средах разработки или в тех случаях, когда не требуется полноценный портал (RD Web) и шлюз.

Вариант B: Стандартное развертывание RDS (рекомендуется при масштабировании)

Если вам нужна более удобная регистрация пользователей, публикация RemoteApp, веб-портал и более безопасный внешний доступ, используйте стандартное развертывание со следующими ролями:

• Посредник подключений удаленного рабочего стола — координирует входы в систему и коллекции
• RD Session Host — запускает сеансы пользователей
• RD Web Access — веб-портал для рабочих столов/приложений
• RD Licensing — управляет лицензиями RDS CAL
• RD Gateway (необязательно, но настоятельно рекомендуется) — безопасный доступ по HTTPS (443) без открытия портала 3389

Для минимальной конфигурации «производственного уровня» многие администраторы размещают Broker, Web Access и Licensing на одном сервере, а Session Host — на другом (или на нескольких серверах Session Host в случае масштабирования).

Шаг 4 — Установка ролей RDS

Роли можно установить через Server Manager (рекомендуется для наглядности) или через PowerShell (удобно для автоматизации).

Пример PowerShell для автономного хоста

# Installs Session Host   Licensing roles
Install-WindowsFeature -Name RDS-RD-Server, RDS-Licensing -IncludeManagementTools

# Reboot is often required after role installation
Restart-Computer

Совет: для стандартного развертывания (Broker/Web/Gateway) сначала выполните установку с помощью мастера развертывания RDS, а затем при необходимости внесите изменения с помощью PowerShell. Это снижает вероятность пропуска зависимостей между ролями.

Шаг 5 — Правильно настройте лицензирование RDS

Лицензирование RDS — это не «дополнительная настройка», а ключевой элемент стабильной среды. Практическая цель проста:

• Активировать сервер лицензирования RD
• Установите лицензии RDS CAL (на пользователя или на устройство)
• Укажите хосту сеансов / развертыванию, где находится сервер лицензирования и какой режим использовать

Лицензии «на пользователя» часто выбирают для сценария «один человек → много устройств». Лицензии «на устройство» часто выбирают для общих рабочих станций / тонких клиентов. Выберите один режим и задокументируйте его.

Чтобы открыть консоль лицензирования:

# RD Licensing Manager
licmgr.exe

После активации и установки лицензий CAL убедитесь, что хост сеансов может связаться с сервером лицензирования и что развертывание не застряло в неправильно настроенном режиме.

Шаг 6 — Создайте коллекцию сеансов и назначьте пользователей

В RDS пользователи подключаются к коллекции (управляемому пулу хостов сеансов с политиками). В коллекциях вы устанавливаете ограничения на сеансы, группы пользователей и (опционально) поведение диска профиля пользователя.

Пример PowerShell: создание и настройка коллекции

# Create a basic collection
# Replace placeholders with your server names and AD group
New-RDSessionCollection -CollectionName "RDS-Users" `
  -SessionHost @("RDSH01.domain.local") `
  -ConnectionBroker "RDCB01.domain.local" `
  -CollectionDescription "User sessions for the team"

# Example: set session limits (idle/disconnect)
Set-RDSessionCollectionConfiguration -CollectionName "RDS-Users" `
  -ConnectionBroker "RDCB01.domain.local" `
  -IdleSessionLimitMin 30 `
  -DisconnectedSessionLimitMin 60

Рекомендуемая практика: предоставляйте доступ через группу (например, «RDS-Users»), а не добавляя пользователей по одному. Это позволяет обеспечить предсказуемость процессов подключения и отключения пользователей.

Шаг 7 — Опубликовать RemoteApp (необязательно, но очень популярно)

RemoteApp позволяет пользователям запускать конкретное приложение без предоставления полного рабочего стола. Это уменьшает путаницу («где мои файлы?»), снижает нагрузку на службу поддержки и часто кажется более быстрым для конечных пользователей.

Типичные кандидаты для RemoteApp:

• Клиенты систем бухгалтерского учета / ERP / CRM
• Устаревшие приложения Windows
• Административные инструменты для внутренних команд

Шаг 8 — Обеспечьте безопасный внешний доступ: отдавайте предпочтение RD Gateway, а не открытому порту 3389

Открытый доступ к RDP (3389) из общедоступного Интернета — одна из самых распространённых причин атак на серверы Windows. Более надёжный подход — публиковать доступ через RD Gateway по HTTPS (443) с надлежащим сертификатом.

Если вы развертываете RDS для бизнес-пользователей, RD Gateway, как правило, оправдывает себя: вы получаете доступ, защищенный TLS, более четкий аудит, и можете оставить порт 3389 закрытым для внешнего доступа.

# Example: assign a certificate to RDS roles (certificate must match DNS name)
# Run on the Connection Broker, replace thumbprint and FQDN
Set-RDCertificate -Role RDGateway -Thumbprint "AAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAA" -ConnectionBroker "RDCB01.domain.local" -Force
Set-RDCertificate -Role RDWebAccess -Thumbprint "AAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAA" -ConnectionBroker "RDCB01.domain.local" -Force

Справочник по портам (что открывать и где)

Всегда думайте в двух плоскостях: брандмауэр провайдера (панель) и брандмауэр Windows.

• 3389/TCP — RDP (избегайте публичного открытия; ограничьте доступ по IP, если вам необходимо его использовать)
• 443/TCP — HTTPS (RD Gateway / RD Web Access)
• 3389/UDP — дополнительный канал для повышения производительности для современных RDP-клиентов (только если вы намеренно разрешаете его)

Устранение неполадок: самые быстрые проверки

• Соединение сразу же прерывается: проверьте брандмауэр провайдера, брандмауэр Windows, правильный порт/IP.
• Ошибки NLA: убедитесь в синхронизации времени, правильности учетных данных и поддержке NLA вашим клиентом.
• Предупреждения «Режим лицензирования не настроен»: настройте сервер лицензирования и режим (на пользователя / на устройство), затем проверьте еще раз.
• Черный экран / медленный вход в систему: часто это проблемы с дисковым вводом-выводом или профилем; переместите профили, настройте исключения антивируса или масштабируйте ресурсы.

# Quick connectivity test from a client / jump host
Test-NetConnection  -Port 3389
Test-NetConnection  -Port 443

Когда следует обновить Windows VPS для рабочих нагрузок RDS

Производительность RDS в значительной степени зависит от объема оперативной памяти и дискового ввода-вывода. Если вход в систему происходит медленно, приложения зависают в часы пиковой нагрузки или несколько пользователей жалуются на задержки, обычно это сигнал к необходимости масштабирования ресурсов.

• Обновите объем оперативной памяти, если пользователи часто сталкиваются с подкачкой / свопингом (медленная работа «всего»).
• Обновите процессор, если однопоточные приложения максимально загружают ядра или возникают пики входов в систему.
• Обновите хранилище на более быстрое (NVMe), если профили, кэши приложений или базы данных ограничены вводом-выводом.

Заключение

Правильная настройка RDS — это не просто «включение удаленного рабочего стола». Это контролируемая среда: безопасный доступ, правильное лицензирование, коллекции для пользователей и чистая публикация рабочих столов/приложений.

Если вам нужна предсказуемая производительность для удаленной работы и приложений Windows, разверните их на надежном VPS с Windows с масштабируемыми ресурсами на VPS-хостинге и постройте свой стек RDS правильно с самого начала.