Протокол Remote Desktop Protocol (RDP) позволяет удаленно подключиться к рабочему столу компьютера с Windows и работать с ним, как будто это ваш локальный компьютер. По умолчанию RDP доступ в Windows запрещен. В этой статье, мы покажем, как включить и настроить RDP доступ в Windows 10 и Windows Server 2016/2019.
Содержание:
- Включаем удаленный рабочий стол в Windows 10
- Как включить RDP доступ с помощью PowerShell?
- RDP доступ к Windows Server 2016/2019
- Включение RDP с групповых политик в домене Active Direcrtory
- Как удаленно включить RDP на компьютере Windows?
Включаем удаленный рабочий стол в Windows 10
Самый простой способ включить RDP доступ в Windows – воспользоваться графическим интерфейсом.
Откройте свойства системы через панель управления, или выполнив команду SystemPropertiesRemote.
Перейдите на вкладку Remote Settings (Удаленный доступ), включите опцию Allow remote connection to this computer (Разрешить удалённые подключения к этому компьютеру).
В целях безопасности желательно разрешить подключение только с клиентов RDP с поддержкой протокола NLA (Allow connections only from computers running Remote Desktop with Network Level Authentication/ Разрешить подключение только с компьютеров, на которых работает удаленный рабочий стол с проверкой подлинности на уровне сети).
Сохраните изменения, нажав ОК.
По умолчанию право на подключение к компьютеру через RDP есть только у членов группы локальных администраторов. Если вам нужно разрешить RDP доступ другим пользователям, нажмите кнопку Select Users.
Все пользователи, которых вы укажете здесь будет добавлены в локальную группу Remote Desktop Users. Вы можете в командной строке вывести список пользователей в этой группе:
net localgroup "Remote Desktop Users"
или
net localgroup “Пользователи удаленного рабочего стола”
Чтобы добавить нового пользователя в группу доступа RDP, выполните:
net localgroup "Remote Desktop Users" /add publicuser
В русской версии Windows измените название группы на “Пользователи удаленного рабочего стола”.
В новых билдах Windows 10 классическая панель для включения RDP доступа теперь спрятана и Microsoft рекомендует пользоваться новой панелью Setting.
- Перейдите в Settings -> System —> Remote Desktop;
- Включите опцию Enable Remote Desktop;
- Подтвердите включение RDP на компьютере.
Обратите внимание, что вы не можете включить RDP доступ к редакции Windows 10 Home. RDP сервер работает только на Windows 10 Pro и Enterprise. Впрочем, есть обходное решение.
Обратите внимание, что по умолчанию при включении Remote Desktop, включаются две опции:
- Keep my PC awake for connection when it is plugged in ;
- Make my PC discoverable on private networks to enable automatic connection from a remote device
На жмите на ссылку “Advanced settings”. Здесь можно включить использование протокола “Network Level Authentication” для RDP подключений (рекомендуется).
Если на компьютере включен Windows Defender Firewall (брандмауэр), то нужно проверить, что в нем разрешены входящие RDP подключения. По умолчанию для RDP подключений используется порт TCP
3389
, а в последних билдах Windows также используется
UDP 3389
( см. статью про кейс с черным экраном вместо рабочего стола при RDP доступе).
Перейдите в панель управления и выберите элемент Windows Defender Firewall. Откройте список стандартных правил брандмауэра Windows, щелкнув в левом столбце по ссылке Allow an app or feature through Windows Firewall.
Проверьте, что правило Remote Desktop включено для профиля Private (домашняя или рабочая сеть) и, если необходимо, для профиля Public (общедоступные сети).
Подробнее про типы сетей и профили брандмауэра Windows здесь.
Если нужно, вы можете дополнительно ограничить длительность RDP сессий с помощью GPO.
Теперь к данному компьютеру можно подключится с помощью RDP клиента. Встроенный RDP клиент Windows –
mstsc.exe
. Он сохраняет всю историю RDP подключений с компьютера. Поддерживается копирование файлов между локальным и удаленным компьютером прямо через буфер обмена RDP.
Также вы можете использовать менеджеры RDP подключений, такие как RDCMan или mRemoteNG, или альтернативные клиенты.
Для удобства пользователей пароль для RDP подключения можно сохранить в Windows Credential Manager.
Как включить RDP доступ с помощью PowerShell?
Вы можете включить RDP доступ в Windows с помощью пары PowerShell команд. Это гораздо быстрее:
- Запустите консоль PowerShell.exe с правами администратора;
- Включите RDP доступ в реестре с помощью командлета Set-ItemProperty:
Set-ItemProperty -Path 'HKLM:\System\CurrentControlSet\Control\Terminal Server' -name "fDenyTSConnections" -value 0Чтобы закрыть RDP доступ, измените значение fDenyTSConnections на 1.
- Разрешите RDP подключения к компьютеру в Windows Defender Firewall. Для этого включите предустановленное правило :
Enable-NetFirewallRule -DisplayGroup "Remote Desktop"
- Если нужно добавить пользователя в группу в локальную группу RDP доступа, выполните:
Add-LocalGroupMember -Group "Remote Desktop Users" -Member 'a.petrov'
Чтобы проверить, что на компьютере открыт RDP порт, воспользуйтесь командлетом Test-NetConnection:
Test-NetConnection -ComputerName deskcomp323 -CommonTCPPort rdp
RDP доступ к Windows Server 2016/2019
В отличии от десктопной редакции Windows 10, в Windows Server по умолчанию поддерживается два одновременных RDP подключения. Эти подключения используются администраторами для управления сервером.
Включается RDP в Windows Server аналогично. Через SystemPropertiesRemote, через Server Manager или командами PowerShell, рассмотренными выше.
Вы можете использовать Windows Server в качестве терминального сервера. В этом случае множество пользователей могут одновременно подключаться к собственному рабочему столу на сервере. Для этого нужно установить и настроить на сервере роль Remote Desktop Session Host. Это требует приобретения специальных RDS лицензии (CAL). Подробнее о RDS лицензировании здесь.
Для дополнительно защиты RDP сессий можно использовать SSL/TLS сертификаты.
Включение RDP с групповых политик в домене Active Direcrtory
Если вам нужно включить RDP доступ сразу на большом количестве компьютеров, можно воспользоваться групповыми политиками (GPO). Мы подразумеваем, что все компьютеры включены в домен Windows.
- Запустите консоль управления доменными GPO
gpmc.msc
; - Создайте новую (или отредактируйте уже существующую) групповую политику и привяжите ее к целевой OU с компьютерами или серверами;
- Переключитесь в режим редактирования политики и перейдите в секцию GPO Computer Configuration -> Administrative Templates -> Windows Components -> Remote Desktop Services -> Remote Desktop Session Host -> Connections;
- Найдите и включите политику Allow Users to connect remotely by using Remote Desktop Services, установив ее в Enable;
- Обновите параметры групповых политик на клиентах;
- После применения данной политики вы сможете подключится ко всем компьютерам по RDP (политика применится как к десктопным клиентам с Windows 10, так и к Windows Server). Если нужно, вы можете более тонко нацелить политики на компьютеры с помощью WMI фильтров GPO.
- Если на компьютерах включен Windows Defender Firewall, нужно в этой же GPO разрешить RDP-трафик для доменного профиля. Для этого нужно активировать правило Windows Firewall: Allow inbound Remote Desktop Exceptions (находится в разделе Computer Configuration -> Administrative Templates -> Network -> Network Connections -> Windows Firewall -> Domain Profile).
Подробнее о настройке правил брандмаура Windows через GPO рассказано здесь.
Как удаленно включить RDP на компьютере Windows?
Также вы можете удаленно включить RDP на любом компьютере Windows. Для этого у вас должен быть удаленный доступ к этому компьютеру (через PowerShell или WMI) и ваша учетная запись состоять в группе локальных администраторов на этом компьютере.
Вы можете удаленно включить RDP через реестр. Для этого на удаленном компьютере должна быть включена служба Remote Registry (по умолчанию она отключена). Чтобы запустить службу:
- Запустите консоль управления службами (
services.msc
); - Выберите Connect to another computer и укажите имя удаленного компьютера;
- Найдите в списке службу Remote Registry, измените тип запуска на Manual (ручной) и затем запустите службу – Start.
Тоже самое можно выполнить удаленно из командной строки с помощью встроенной утилиты
sc
(позволяет создавать, управлять или удалять службы Windows):
sc \\WKMDK22SQ65 config RemoteRegistry start= demand
sc \\WKMDK22SQ65 start RemoteRegistry
Затем на локальном компьютере
- Запустите редактор реестра
regedit.exe - Выберите в меню Файл пункт Connect Network Registry (Подключить сетевой реестр)
- Укажите имя или IP адрес удаленного компьютера, на котором нужно включить службу RDP;
- Перейдите в раздел
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Terminal Server
; - Найдите параметр fDenyTSConnections (тип REG_DWORD). Если данный ключ отсутствует – создайте его. Измените его значение на 0, чтобы включить RDP.
Для отключения RDP доступа нужно изменить значение fDenyTSConnections на 1.
Сразу после этого без перезагрузки удаленный компьютер должен стать доступным по RDP.
Но гораздо быстрее можно включить RDP в реестре удаленого компьютера через командную строку:
REG ADD "\\WKMDK22SQ65\HKLM\SYSTEM\CurrentControlSet\Control\Terminal Server" /v fDenyTSConnections /t REG_DWORD /d 0 /f
Если на удаленном компьютере настроен PowerShell remoting, вы можете выполнить на нем удаленную команду через Invoke-Command:
Invoke-Command -Computername WKMDK22SQ65 -ScriptBlock {Set-ItemProperty -Path "HKLM:\System\CurrentControlSet\Control\Terminal Server" -Name "fDenyTSConnections" –Value 0}
Если в Windows установлен OpenSSH сервер, вы можете подключиться к нему любым ssh клиентом и внести изменения в реестр в локальной ssh сессии.
Также вы можете подключиться к удаленному компьютеру и включить RDP через WMI:
$compname = “WKMDK22SQ65”
(Get-WmiObject -Class Win32_TerminalServiceSetting -Namespace root\CIMV2\TerminalServices -Computer $compname -Authentication 6).SetAllowTSConnections(1,1)
Эта статья актуальна для Windows Server 2019 в качестве сервера и Windows 10 в качестве клиента RDP. В статье мы рассмотрим шаги, которые следует предпринять для достижения максимальной производительности терминальных сессий RDP в Windows Server.
1. Коротко об основном
В Windows 10 вместе с стандартным клиентом удаленного стола (MSTSC), появился новый клиент для осуществления удаленных подключений Remote Desktop (MSRDC) client, проинсталлировать который можно из магазина Microsoft Windows 10.
Отметим, что изначально MSRDC поддерживал удаленные подключения с Windows Virtual Desktop (VDI). На данный момент существуют клиенты для Windows Desktop, Android, iOS, macOS.
Можно сравнить два типа клиентов для удаленных подключений – MSTSC и MSRDC.
Тестирование проводилось на виртуальных машинах с Windows Server 2019 и Windows 10.
В качестве теста копировался файл с клиента на сервер. По итогу тестирования имеем такие результаты – копирование с помощью MSTSC:
Для сравнения – скриншоты процесса копирования файла с помощью MSRDC:
Как видим, файл копируется быстрее с помощью mstsc, но при этом mstsc создает значительно более высокую нагрузку на сеть и ЦП, занимая практически все доступные ресурсы. При этом использование нового клиента MSRDC выглядит более предпочтительным, т.к. при большом количестве одновременных подключений будет создавать более пологий график нагрузки на системные ресурсы, чем MSTSC.
С другой стороны, хочется отметить «сырость» нового клиента для удаленных подключений. К примеру, копирование файлов с сервера на клиент попросту не работает. При этом оба клиента используют протокол TCP для подключения к серверу.
2. Сжатие передачи данных при подключении к серверу
Для клиентов RDP можно настроить сжатие передачи данных при подключении к серверу.
Для этого на сервере необходимо открыть объект локально групповой политики и изменить значение:
Конфигурация компьютера → Административные шаблоны → компоненты Windows→ Службы удаленных рабочих столов → Удаленный рабочий стол узле сеансов → Среда удаленного сеанса → Настроить сжатие для данных RemoteFX.
Есть возможность оптимизировать работу сервера за счет оптимизацию работы памяти, пропускной способности сети, баланс памяти и пропускной способности сети, либо отключить механизм сжатия.
Для эксперимента попробуем оптимизировать работу за счет оптимизации работы пропускной способности сети.
Меняем параметр и перезагружаем сервер:
Смотрим, что получилось для MSTSC:
Как видим – ничего не поменялось. Это потому, что данный механизм будет заметен только на большом количестве подключений. Тогда-то мы и увидим уменьшение потребления пропускной способности сети.
3. Отключение перенаправленных устройств
Настройка с помощью GPO находится в:
Конфигурация компьютера → Административные шаблоны → Компоненты Windows → Службы удаленных рабочих столов → Удаленный узел сеансов рабочего стола → Перенаправление устройств и ресурсов.
Здесь можно включить или отключить параметры перенаправления для клиентских устройств. В том числе – видеозахват, воспроизведение и запись звука, буфер обмена, перенаправление com портов, перенаправление LPT-портов, локальных дисков, самонастраивающихся устройств, устройств чтения смарт карт и перенаправления часового пояса.
Чем больше перенаправленных устройств используется, тем больше пропускной способности сети сервера они поглощают.
Перенаправленные принтеры и устройства Plug & Play потребляют ресурсы процессора также при входе в сеанс RDP.
Перенаправление звука создает устойчивый сетевой трафик. Приложения, использующие перенаправление звука, могут потреблять значительные ресурсы процессора.
4. Параметры интерфейса клиента
- Отключить фоновый рисунок, это значительно снизит потребление пропускной способности сети.
- Кеш точечных рисунков необходимо всегда включать, т.к. в этом случае создается клиентский кэш растровых изображений, отображаемых в сеансе, что значительно снижает использование пропускной способности.
- Имеет смысл выключать отображение содержимого окон при перетаскивании, т.к. это снижает нагрузку на сеть за счет отображения только рамки окна вместо всего содержимого.
- Точно так же стоит отключать анимацию меню и окон, поскольку она увеличивает нагрузку на сетевую подсистему
- ClearType нужно включать для систем более ранних, чем Windows 7 и Windows 2008 R2
- Стили оформления – параметр, актуальный для систем Windows 7 и более ранних. Если параметр отключен, пропускная способность снижается за счет упрощения чертежей, использующих классическую тему.
- Серьезно влияет на загрузку ЦП и пропускной способности сети и разрешение экрана, с которым клиент подключается к серверу.
- Корпорация Microsoft рекомендует оставлять параметры подключения клиента в автоматическом режиме, но есть смысл попробовать выставить параметры вручную.
Например, если вы выставите на клиенте настройку «Подключаться со скоростью модем 56 Кбит/с – это отключит множество визуальных эффектов и значительно ускорит работу сервера в контексте подключения большого числа клиентов RDP.
5. Параметры конфигурации сервера RDP
- Файл подкачки на сервере должен иметь достаточный размер. При нехватке виртуальной памяти в работе сервера могут возникать сбои.
- Антивирус может значительно замедлить работу системы. Особенно серьёзно он может влиять на загрузку ЦП. Есть рекомендация исключать папки с временными файлами, особенно те, которые создаются системой.
- Планировщик заданий может содержать большое количество заданий, ненужных на сервере RDS. Их есть смысл отключать.
- На сервере RDS рекомендуется отключать все уведомления рабочего стола, поскольку они могут потреблять значительное количество системных ресурсов.
Эта статья была полезной?
Также читайте
Previous
Next
Операционная система Windows 7 может работать гораздо более быстро и эффективно, но для этого необходимо принять определенные меры. Следует рассмотреть основные мероприятия в плане оптимизации.
Отключение визуальных эффектов
Предусматривается наличие весьма привлекательного оформления. Если Вы хотите ускорить систему, необходимо понимать, что визуальные эффекты предусматривают лишний расход ресурсов. Требуется проследовать по указанному пути: Пуск -> Панель Управления -> Система -> Дополнительные параметры системы.
Когда перед нами открылось окно настроек, проводятся следующие действия: Дополнительно -> Быстродействие -> Параметры
В оформлении разработчики постарались максимально упростить задачу оптимизации. Следует только выбрать пункт «Обеспечить наилучшее быстродействие» и настройки будут заданы автоматически. Это серьёзно упрощает выполнение поставленных задач. Результатом станет получение классического вида оформления. Все это представлено на скриншоте ниже.
Далеко не всегда новый внешний вид может устраивать и это требует некоторых дополнительных действий. Вы вполне можете выбрать любой подходящий вариант из доступного списка, с учетом запросов скорости работы ОС. Следует кликнуть правой кнопкой на любом свободном участке рабочего стола и нажать «Персонализация».
Режим Aero Glass допускается ускорять за счет отключения прозрачности. Это предусматривает, что исчезнет эффект просвечивания. Все в том же разделе персонализации требуется выполнить выбор пункта «Цвет окна», где убрать галочку с «Включить прозрачность».
Для мощных устройств это не даст сколь бы то ни было заметного прироста, но в случае слабой видеокарты способно обеспечить видимый результат.
Отключение неиспользуемых компонентов
В ходе функционирования ОС приходится сталкиваться с ситуацией, когда применяется большое количество служб. Сложность заключается в том, что далеко не все из них предусматривают эффективность. Именно по этой причине важно уделить внимание указанному фактору во время оптимизации. Отключение определенных компонентов не причинит вреда ОС.
Идем по предложенному пути: Пуск -> Панель Управления -> Программы и компоненты -> Включение или отключение компонентов Windows. Будет выдано окно с содержанием, отображенном на скриншоте.
Просматриваем перечень выданных компонентов и снимаем галочки с тех, которые мы не используем. Для получения более подробной информации следует навести мышь на интересующий элемент.
В ходе выключения определенных компонентов, на экран произойдет выдача системного сообщения следующего типа:
Подтверждаем и продолжаем мероприятия по оптимизации. Необходимо перечислить, что именно можно смело отключать:
- Браузер по умолчанию IE, если Вы применяете другие программы для доступа в интернет
- Telnet-сервер
- Встроенный поисковик, в том случае, когда в нем нет необходимости
- Клиенты Telnet и TFTP
- Компоненты планшетного персонального компьютера, поскольку настройка происходит для ноутбука ил стационарного устройства
- Система гаджетов ОС, когда нет желания использовать данную возможность
- Подсистема программ Unix
- Сервер очереди сообщений корпорации Microsoft
- Служба активации операционной системы
- Служба печати, когда принтер не подсоединен к устройству
Чтобы все внесенные изменения начали действовать, необходимо провести перезагрузку операционной системы.
Оптимизация загрузки для компьютеров с многоядерными процессорами
Если Вы используете многоядерный процессор, можно провести некоторые мероприятия, направленные на ускорение работы всей ОС. В большинстве случаев, Windows сама может определить подобный момент, но проверка никогда не будет лишней. Требуется осуществить ввод msconfig через окно «Выполнить».
Теперь следует пройти: Загрузка -> Дополнительные параметры
В появившемся окне указывается количество процессоров, а также объём памяти. Вносить изменения надо исключительно тогда, когда параметры не совпадают с реальными.
Если коррективы заданы, то для начала их действия происходит перезагрузка.
Восстановление панели быстрого запуска
Если Вы привыкли к более старым операционным системам, то можете испытывать неудобство от пропажи панели быстрого запуска. С целью возврата требуется провести следующий список действий:
- Кликаем правой кнопкой по значку «Панель инструментов»
- Панели -> Создать Панель инструментов
- Открывается поле, куда необходимо прописать новый путь
- %appdata%\Microsoft\Internet Explorer\Quick Launch
При нажатии «Выбор папки», можно будет увидеть Quick Launch. Для возврата на обычное место требуется осуществить нажатие левой кнопкой мыши с последующим перемещением к кнопке «Пуск». Следует кликнуть правой кнопкой мыши на «Панель быстрого запуска», где должны быть убраны галочки с «Показывать подписи» и «Показывать заголовок».
После всех проведенных процедур панель будет обладать таким же видом, как и в ОС предшественнице XP. Это наглядно отображено на скриншоте ниже.
Отключение UAC
Подобное нововведение попало в Windows 7 из Висты. Не будем говорить о необходимости подобного решения, поскольку это один из самых критикуемых элементов. Важно сказать о том, что его можно отключить без серьёзной потери для безопасности ОС. Главное использовать другой антивирус. Требуется рассмотреть различные варианты действий в указанной ситуации.
Предусматривается возможность осуществления настроек частоты выдачи уведомлений или полное отключение указанного процесса. Для выполнения поставленных задач необходимо пройти по пути: Пуск -> Панель Управления -> Учетные записи пользователей -> Изменение параметров контроля учетных записей.
Однако при необходимости можно настроить частоту уведомлений или совсем отключить. Выполняем следующее: Пуск — Панель Управления — Учетные записи пользователей — Изменение параметров контроля учетных записей
Как видно на представленном скриншоте, предусматривается несколько градаций работы. Можно установить ползунок на наиболее привлекательном варианте.
Система управления питанием
Операционная система Windows 7 позволяет осуществлять контроль питания в определенных пределах. Потребление электрической энергии устройством задается через специальный раздел настроек. Можно поставить наиболее экономичный или производительный вариант, а также выбрать сбалансированный режим. Для доступа к соответствующему окну требуется пройти по пути: Пуск -> Панель Управления -> Электропитание. Если ничего не трогать, то задан сбалансированный вариант. Ниже представлен внешний вид окна настроек:
Для выполнения задачи оптимизации рекомендуется использовать режим повышенной производительности.
После его задания следует переходить к использованию дополнительных настроек. Для этого надо нажать на «Изменить дополнительные параметры питания».
Будет выдаваться окно, где выбираются подходящие установки. Когда они выбраны, будет необходимо только подтвердить это.
Оптимизация функционирования браузера
Этот пункт необходимо задействовать в том случае, если Вы используете браузер по умолчанию – Internet Explorer. Для ускорения работы, следует предпринять некоторые меры:
1. Пуск -> Программы -> Стандартные -> Командная строка
2. Делаем правый клик мышью и выбираем «Запуск от имени администратора»
3. В некоторых случаях выдается сообщение от контроля учетных записей. Требуется подтвердить запуск.
4. В выдаваемом окне командной строки производится введение regsvr32 actxprxy.dll
5. Надо нажать ввод. Когда задача выполнена правильно, должно выдаваться сообщение следующего содержания.
После этого можно запускать браузер IE. В процессе работы он должен стать гораздо более быстрым, чем ранее.
Ускорение анимации при всплытии окон
Допускается существенно ускорить процесс всплытия окон на операционной системе. Предусматривается описанный далее порядок работы:
- Запуск редактора реестра. Требуется использовать следующий путь Пуск –> Выполнить –> regedit
- Происходит поиск специального ключа HKEY_CURRENT_USER\Control Panel\Mouse
- Ключ открывается и там выполняется обнаружение параметра MouseHoverTime. Для оптимальной работы с системой рекомендуется задать значение 150.
- Теперь нас интересует другой ключ. Необходимо найти HKEY_CURRENT_USER\Control Panel\Desktop. В нем должен присутствовать параметр MenuShowDelay. Его значение следует устанавливать на 100.
- Для вступления в силу всех изменений требуется провести перезагрузку устройства.
Автоматический вход в систему без необходимости ввода пароля
Существенно ускорит время работы такой момент, как вход в систему автоматически, без необходимости использовать код доступа. Для этого предусматривается выполнение указанной ниже последовательности действий:
- Следует пройти по пути Пуск –> Выполнить
- В окне вводим control userpasswords2 и подтверждаем
- Выдаётся соответствующее меню, где нас интересует вкладка «Пользователи». В неё нужно найти свою учетную запись и убрать галочку напротив «Требовать ввод имени пользователя и пароля».
- В выданном окне надо подтвердить свой доступ – вводится пароль.
- Для принятия изменений выполняется перезагрузка системы.
Ускорение выключения устройства
В некоторых случаях при выключении компьютера подобный процесс может занять несколько минут. Когда Вы считаете время на завершение функционирования слишком продолжительным, можно предпринять определенные действия.
Осуществляется переход Пуск –> Выполнить, где в появившемся окне происходит ввод regedit с дальнейшим подтверждением. Нас интересует ключ HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control – именно его требуется искать. При обнаружении, производится изменение параметра WaitToKillServiceTimeout. Его новое значение должно составлять 500 или около того. По умолчанию предполагается 12000.
Удаление стрелок с ярлыков
Все начинается со стандартного пути Пуск –> Выполнить –> regedit. В HKEY_CLASSES_ROOT\lnkfile надо найти параметр IsShortCut и удалить его. Чтобы стрелки вернулись на своё место, параметр нужно восстановить. Для принятия изменений происходит перезагрузка устройства.
Не знаю, как так получилось, но о таком замечательном инструменте для оптимизации Windows, удаленного управления своими компьютерами, их ускорения и поддержки пользователей, как Soluto, я узнал буквально на днях. А сервис действительно хорош. В общем, спешу поделиться чем именно может пригодиться Soluto и как можно следить за состоянием своих Windows компьютеров с помощью данного решения.
Отмечу, что Windows — не единственная операционная система, поддерживаемая Soluto. Более того, вы можете работать со своими мобильными устройствами iOS и Android, используя данный онлайн сервис, но сегодня будем говорить именно об оптимизации Windows и управлении компьютерами с данной ОС.
Что такое Soluto, как установить, где скачать и сколько стоит
Soluto представляет собой онлайн сервис, предназначенный для управления своими компьютерами, а также предоставления удаленной поддержки пользователям. Основная задача — различного рода оптимизация ПК под управлением Windows и мобильных устройств c iOS или Android. Если вам не требуется работа со множеством компьютеров, а их количество ограничено тремя (то есть, это домашние компьютеры с Windows 7, Windows 8, и Windows XP), то вы можете использовать Soluto полностью бесплатно.
Для того, чтобы воспользоваться многочисленными функциями, предлагаемыми онлайн сервисом, зайдите на сайт Soluto.com, нажмите Create My Free Account, введите E-mail и желаемый пароль, после чего загрузите клиентский модуль на компьютер и запустите его (этот компьютер станет первым в списке тех, с которыми вы можете работать, в дальнейшем их число можно будет увеличить).
Работа Soluto после перезагрузки
После установки, перезагрузите компьютер, для того, чтобы программа смогла собрать информацию о фоновых приложениях и программах в автозапуске. Эта информация понадобится в дальнейшем для действий, направленных на оптимизацию Windows. После перезагрузки вы в течение достаточно продолжительного времени будете наблюдать работу Soluto в правом нижнем углу — программа анализирует загрузку Windows. Происходить это будет несколько дольше, чем сама загрузка Windows. Придется немного подождать.
Информация о компьютере и оптимизация запуска Windows в Soluto
После того, как сбор компьютер был перезагружен, а сбор статистики завершен, зайдите на сайт Soluto.com или кликните по иконке Soluto в области уведомлений Windows — в результате вы увидите свою панель управления и один, только что добавленный, компьютер в ней.
Щелкнув по компьютеру, вы перейдете на страницу всей собранной о нем информации, списку всех возможностей управления и оптимизации.
Давайте посмотрим, что можно обнаружить в этом списке.
Модель компьютера и версия операционной системы
В верхней части страницы вы увидите информацию о модели компьютера, версии операционной системы и времени, когда она была установлена.
Кроме этого, здесь отображается «Happiness Level» (Уровень счастья) — чем он выше, тем меньше проблем с вашим компьютером было обнаружено. Также присутствуют кнопки:
- Remote Access — по нажатии на нее открывается окно удаленного доступа к рабочему столу компьютера. Если вы нажмете эту кнопку на своем собственном ПК, то получите картинку наподобие той, которую можно видеть ниже. То есть эту функцию следует использовать для работы с каким-либо еще компьютером, не с тем, за которым вы находитесь в данный момент.
- Chat — начать чат с удаленным компьютером — полезная функция, которая может быть полезна для того, чтобы сообщить что-то другому пользователю, которому вы помогаете с помощью Soluto. У пользователя автоматически откроется окно чата.
Чуть ниже отображается используемая на компьютере операционная система и, в случае Windows 8, предлагается переключиться между обычным рабочим столом с меню «Пуск» и стандартным интерфейсом «Начальный экран Windows 8». Откровенно говоря, не знаю, что в этом разделе будет показано для Windows 7 — нет такого компьютера под рукой, чтобы проверить.
Информация об оборудовании компьютера
Информация об оборудовании и жестких дисках в Soluto
Еще ниже на странице вы увидите наглядное отображение аппаратных характеристик компьютера, а именно:
- Модель процессора
- Количество и тип оперативной памяти RAM
- Модель материнской платы (у меня не определилась, хотя драйвера установлены)
- Модель видеокарты компьютера (у меня определилась неправильно — в диспетчере устройств Windows в видеоадаптерах два устройства, Soluto отобразил только первое из них, которое не является видеокартой)
Кроме этого, отображается уровень износа аккумулятора и его текущая емкость, в случае если вы используете ноутбук. Думаю, для мобильных устройств будет аналогичная ситуация.
Еще чуть ниже дана информация о подключенных жестких дисках, их емкости, количестве свободного места и состоянии (в частности, сообщается, если требуется дефрагментация диска). Здесь же вы можете очистить жесткий диск (информация о том, какой объем данных можно удалить отображается там же).
Приложения (Apps)
Продолжая спускаться вниз по странице, вы перейдете к разделу Apps, в котором будут отображаться установленные и знакомые Soluto программы на вашем компьютере, такие как Skype, Dropbox и другие. В тех случаях, когда у вас (или у кого-то, кого вы обслуживаете с помощью Soluto) установлена устаревшая версия программы, вы можете ее обновить.
Также можно ознакомиться со списком рекомендуемых бесплатных программ и установить их как на своем, так и на удаленном ПК с Windows. Сюда входят кодеки, офисные программы, почтовые клиенты, проигрыватели, архиватор, графический редактор и программа для просмотра изображений — все то, что распространяется полностью бесплатно.
Фоновые приложения, время загрузки, ускорение загрузки Windows
Я недавно писал статью для начинающих о том, как ускорить Windows. Одна из основных вещей, которые влияют на скорость загрузки и работы операционной системы — это фоновые приложения. В Soluto они представлены в виде удобной схемы, на которой отдельно выделено общее время загрузки, а также сколько от этого времени занимает загрузка:
- Необходимых программ (Required Apps)
- Тех, которые можно удалить, если есть такая необходимость, но, вообще нужные (Potentially removable apps)
- Программ, которые можно смело удалять из автозагрузки Windows
Если вы раскроете любой из этих списков, то вы увидите наименование файлов или программ, информацию (правда, на английском) о том, что делает эта программа и для чего нужна, а также о том, что произойдет, если убрать ее из автозагрузки.
Тут же вы можете выполнить два действия — убрать приложение (Remove from Boot) или отложить запуск (Delay). Во втором случае, программа не будет запускаться сразу, как вы включили компьютер, а только тогда, когда компьютер полностью загрузит все остальное и будет находиться в «состоянии покоя».
Проблемы и сбои
Сбои Windows на временной шкале
Индикатор Frustrations показывает время и количество сбоев Windows. Показать его работу не могу, он у меня совершенно чист и выглядит как на картинке. Однако, в перспективе он может стать полезным.
Интернет
В разделе Интернет вы можете увидеть графическое представление настроек по умолчанию для браузера и, естественно, поменять их (опять же, не только на своем, но и на удаленном компьютере):
- Используемый по умолчанию браузер
- Домашняя страница
- Поисковая система по умолчанию
- Расширения и плагины браузера (при желании, можно отключить или включить удаленно)
Информация об Интернете и браузере
Антивирус, брандмауэр (фаервол) и обновления Windows
В последнем разделе — Protection (Защита), схематично отображена информация о состоянии защиты операционной системы Windows, в частности — наличие антивируса, брандмауэра (его можно отключить прямо с сайта Soluto), а также о наличии необходимых обновлений Windows.
Подводя итог, могу рекомендовать Soluto для обозначенных выше целей. С помощью данного сервиса, откуда угодно (например с планшета), можно оптимизировать Windows, удалить ненужные программы из автозагрузки или расширения браузера, получить удаленный доступ к рабочему столу пользователя, который сам не может разобраться в том, почему тормозит компьютер. Как я уже сказал, обслуживание трех компьютеров бесплатно — так что смело добавляйте ПК мамы и бабушки и помогайте им.
Хочу поделиться несколькими советами по настройке удаленного подключения к рабочим местам по RDP. Расскажу как проапгрейдить древний RPC-HTTP до UDP, похвалю и поругаю Windows 10 и AVC, разберу решение нескольких типичных проблем.
Считаем, что для подключения используется Remote Desktop Gateway (RDGW), а в качестве серверов выступают рабочие станции. Использовать RDGW очень удобно, потому что шлюз становится общей точкой входа для всех клиентов. Это дает возможность лучше контролировать доступ, вести учет подключений и их продолжительность. Даже если VPN позволяет подключиться к рабочим машинам напрямую — это не лучший вариант.
RDGW настраивается быстро, просто, а Let’s Encrypt и win-acme легко решают проблему с доверенным сертификатом.
Есть три транспортных протокола по которым клиент может подключиться с серверу:
RPC-HTTP (
плохо)
HTTP (лучше)
HTTP+UDP (отлично)
Под сервером будем понимать рабочую машину, под клиентом — домашнюю.
Первое, с чего стоит начать, это «плохо» превратить в «отлично».
Апгрейд RPC-HTTP до HTTP
Подключение в сессию с использованием RPC-HTTP легко определить по внешнему виду полоски подключения.
Здесь нет значка качества подключения (о нем ниже), а значит мы используем старый RPC, обернутый в TLS — это очень медленно. Дело, конечно, не только в обертке — сам протокол меняется с каждым релизом ОС, меняются кодеки, алгоритмы упаковки изображения. Чем свежее протокол, тем лучше.
Что делать?
Windows XP или Vista
В XP можно поднять протокол с 5.1 до 7. Хотфикс windowsxp-kb969084-x86.exe
В Vista — c 6 до 7. Хотфикс имеет тот же номер, файлы windows6.0-kb969084-x64.msu или Windows6.0-KB969084-x86.msu
Но RDP 7 не работает по HTTP и UDP. Поможет только апгрейд клиента и сервера до Windows 7 и новее.
Windows 7
Сначала надо обновить протокол до RDP 8.1, а затем включить его. Поддержка добавляется обновлениями, которые сгруппированы в один загрузочный пакет:
www.microsoft.com/en-US/download/details.aspx?id=40986
Windows6.1-KB2574819-v2-x64.msu
windows6.1-kb2592687-x64.msu
Windows6.1-KB2830477-x64.msu
Windows6.1-KB2857650-x64.msu
Windows6.1-KB2913751-x64.msu
(заменен kb2923545)
windows6.1-kb2923545-x64.msu
Так вы получите и свежий клиент mstsc.exe, и поддержку RDP 8.1 серверной части ОС.
Было:
Стало:
После этого протокол надо включить ключом реестра (для этого можно использовать adm шаблон в комплекте с Windows 7).
[HKEY_LOCAL_MACHINE\SOFTWARE\Policies\Microsoft\Windows NT\Terminal Services]
"fServerEnableRDP8"=dword:00000001
[HKEY_LOCAL_MACHINE\SOFTWARE\Wow6432Node\Policies\Microsoft\Windows NT\Terminal Services]
"fServerEnableRDP8"=dword:00000001
Включите поддержку транспорта UDP в групповой политике.
Перезагружаем сервер с Windows 7. Тот самый случай, когда может потребоваться перезагрузиться дважды — значение в реестре должно быть установлено до того, как включился RDP, а групповая политика применяется позже.
Если все получилось, то при подключении к серверу в полоске сессии появится иконка качества подключения (как в телефоне для мобильной сети):
Windows 8 и новее
Протокол работает «из коробки».
Апгрейд HTTP до HTTP+UDP
Если ваша сеть не склонна к потере пакетов, UDP существенно (для CAD — радикально) повышает отзывчивость сервера за счет использования FEC для сокращения ретрансмиссии, а также перехода подтверждения доставки пакетов с уровня системного стека TCP/IP на уровень протокола RDP-UDP.
От каждого клиента подключается одна основная управляющая сессия по HTTP (в этом канале также передается клавиатура/мышь), плюс одна или несколько сессий UDP для передачи картинки или других виртуальных каналов.
Мы коснемся только верхушки айсберга. Есть 3 различных версии протокола RDP-UDP. Кроме того, сам UDP может работать в двух режимах UDP-R (reliable) и UDP-L (lossy). С Microsoft ничего просто не бывает. Но поскольку от нас здесь ничего не зависит, просто имейте в виду — чем новее операционная система, теме более современный протокол используется.
Снаружи RDP-UDP оборачивается в Datagram Transport Layer Security (DTLS) RFC4347, в чем вы можете убедиться открыв Wireshark.
Подробнее в документах:
[MS-RDPEMT]: Remote Desktop Protocol: Multitransport Extension
[MS-RDPEUDP]: Remote Desktop Protocol: UDP Transport Extension
[MS-RDPEUDP2]: Remote Desktop Protocol: UDP Transport Extension Version 2
Где не прав — поправьте, пожалуйста.
Что же нужно для включения UDP?
RDP-UDP поддерживается начиная с RDP 8.
На клиенте должен быть открыт порт udp/3389. Если вы его закрыли локальным firewall, ACL на свитче или внешнем файрволле — порт надо открыть.
Для сервера Remote Desktop Gateway к порту tcp/443 надо открыть udp/3391.
Порт можно поменять, вот как он настраивается:
Для Windows 7 обязательно должен быть включен NLA (Network Level Authentication).
Можно включить в групповой политике
или через реестр
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Terminal Server\WinStations\RDP-Tcp]
"SecurityLayer"=dword:00000001В чем связь непонятно. Но без NLA на 7-ке не работает, на более свежих релизах NLA для работы UDP не обязателен.
После установления сессии по HTTP, клиент и сервер пробуют согласовать подключение по UDP. Если есть выпадение пакетов или задержки, то сессия UDP не запустится. Точный алгоритм отказа согласования UDP до конца не понятен.
Если все настроено, то после подключения нажмите на кнопку качества связи. В окошке будет указано, что согласован UDP.
На шлюзе это выглядит так:
Windows 10
Если у вас Windows 10 и на сервере, и на клиенте, то это самый быстрый и беспроблемный вариант. В Microsoft активно дорабатывают RDP, и в свежих релизах 10 вы можете рассчитывать на неплохую скорость работы. Коллеги не смогли обнаружить разницу между Citrix и Windows 10 RDP по скорости работы в AutoCAD.
Про эволюцию кодеков RDP на базе AVC в Windows 10 есть хорошая статья
Remote Desktop Protocol (RDP) 10 AVC/H.264 improvements in Windows 10 and Windows Server 2016 Technical Preview
Согласование AVC с аппаратным кодированием можно увидеть в журнале событий (подробнее в статье выше):
Замечу только, что проблема искажений все же есть даже с h.264 4:4:4. Она сразу бросается в глаза если работать в PowerShell ISE — текст ошибок выводится с неприятным искажением. Причем на скриншоте и на фотографии все отлично. Волшебство.
Также косвенным признаком работы AVC являются время от времени появляющиеся зеленые квадраты по углам.
AVC и аппаратное кодирование в свежих билдах должно работать из коробки, но групповая политика никогда не бывает лишней:
С учетом того, что AVC кодируется аппаратно видеокартой, то обновить драйверы видео — хорошая идея.
О проблемах
XP и Vista
Если проблема возникает на Windows XP или Vista, попробуйте сначала обновить протокол до 7 версии (писал в начале статьи). Обязательно включите поддержку CredSSP. На сайте Microsoft статьи уже удалены, но Интернет помнит.
Если не помогло — «доктор говорит в морг, значит в морг». Что испытала на себе операционная система за последние 15 лет — лучше об этом даже и не думать.
NLA
Иногда помогает отключение NLA на сервере. Выяснить причину не получилось, домашние машины все разные.
NTLM
Некоторые клиенты пытаются авторизоваться с использованием NTLMv1. Причины разные, но исправить на клиенте можно так:
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Lsa]
"LmCompatibilityLevel"=dword:00000003
Перезагрузка обязательна.
Если вы
молоды и дерзки
ничего не боитесь, то есть более радикальное решение — отключение Channel Binding на Remote Desktop Gateway
HKLM\Software\Microsoft\Windows NT\CurrentVersion\TerminalServerGateway\Config\Core
Type: REG_DWORD
Name: EnforceChannelBinding
Value: 0 (Decimal)
Делать так не надо. Но мы делали. 
Для клиента, который настаивал (нет не так, НАСТАИВАЛ) что NTLMv1 на рабочих станциях ему необходим. Не знаю, может там серверы на NT4 без SP еще в работе.
Отключение RDP 8+ в Windows 10
Если ничего не помогает, а идеи кончились, можно воспользоваться недокументированным ключом для даунгрейда протокола RDP до 7 версии.
[HKEY_CURRENT_USER\Software\Microsoft\Terminal Server Client]
"RDGClientTransport"=dword:00000001Сам не делал, и вам не советую. Но кому-то, пишут, что помогает.
DrWeb
Компонент Dr.Web SpIDerGate может запретить подключение. В этом случае возвращается ошибка:
В статистике Dr.Web будет запись:
В комментариях к этой статье со мной связался сотрудник Dr.Web и наша проблема решилась в ближайшем обновлении антивирусных баз.
Если у вас такая же ошибка, лучше обратиться в поддержку.
Как временное решение, можно внести URL вашего RDGW в исключения:
И только если не помогло отключить компонент SpIDer Gate полностью.
Системный прокси
Встретился списанный компьютер из какой-то компании, где в качестве системного прокси был прописан местный TMG, и подключение к RDGW не работало. Это можно исправить так:
netsh winhttp show proxy && netsh winhttp reset proxyПереключение раскладок клавиатуры
Иногда приезжают лишние раскладки. Можно отключить проброс раскладки с клиента
[HKLM\System\CurrentControlSet\Control\Keyboard Layout]
"IgnoreRemoteKeyboardLayout"=dword:00000001Проблемы с DPI
Масштабирование приходит с клиентской машины, и если на домашнем ноутбуке стоит 125%, то и на рабочей машине будет так же. На серверах это можно отключить, а на рабочих станциях не нашел как. Но в магазине приложений Windows 10 есть «современный» клиент.
В нем можно настроить DPI:
Как мониторить шлюз с RDGW
Есть счетчик производительности «Шлюз служб терминалов\Текущие подключения», который немного глючит, если нет подключений или сервер долго не перезагружался. Он показывает именно число подключений, но как мы помним, для HTTP+UDP их как минимум два, а может быть и больше. Поэтому это не совсем объективный показатель числа подключений сотрудников.
Есть класс WMI Win32_TSGatewayConnection. Его содержимое соответствует тому, что вы видите в разделе «Наблюдение» шлюза удаленных рабочих столов.
С ним число подключений можно посчитать поточнее:
Get-WmiObject -class "Win32_TSGatewayConnection" -namespace "root\cimv2\TerminalServices"
|?{$_.transportprotocol -ne 2}|select username,connectedresource|sort username|Get-Unique -AsString| measure|select -ExpandProperty count
Just for fun есть утилита Remote Display Analyzer. Бесплатная версия мне ничего полезного не показала, но вдруг кому-то пригодится.
А как же тонкий тюнинг, настройка нескольких десятков параметров сессии?
Здесь уместен принцип Парето: 20% усилий дают 80% результата. Если вы готовы инвестировать ваше время в оставшиеся 20% результата — отлично. Только имейте в виду, что когда вы читаете статью о настройке протокола в Windows 7, то не знаете про какой протокол писал автор — 7, 8 или 8.1. Когда читаете про Windows 10 без указания релиза — проблемы те же. Например, пишут что в свежих билдах Windows 10 кодек AVC/h.264 изменился на RDPGFX_CODECID_AVC444V2, а в Windows Server 2016 остался RDPGFX_CODECID_AVC444.
Из всех таких советов мы используем только две настройки:
- 16 bit цвет, об этом можно почитать в статье MS RDP Performance / Bandwidth Usage
- Отключение сглаживания шрифтов font smoothing:i:0 по статье выше или Performance Tuning Remote Desktop Session Hosts
Сомневаюсь, что они дают какой-то ощутимый результат.
Вот мы и подошли к концу статьи. Хотел покороче, а получилось как всегда. Рад, если кому-то эти советы помогут сэкономить время или улучшить настройку своей инфраструктуры.