Удаленное подключение к рабочему столу – мощное средство работы в удалённом доступе. Работа по RDP позволяет работать на слабом компьютере, используя производительность удаленного оборудования. Конечно, скорость работы в удаленке зависит от сервера к которому происходит подключение. Большинство затруднений в работе по уделенному подключению может решить правильно настроенный выделенный сервер или виртуальный сервер. Есть много мнений об использовании RDP, но мы будем описывать только его защиту и оптимизацию.
Настройка режима защиты RDP-сессии. Включаем RDP over TLS.
Computer Configuration далее Administrative Templates далее Windows Components далее Remote Desktop Session Host далее Security параметр Require use of specific security layer for remote connections, выбрав в нём SSL (TLS 1.0) only.
Настраиваем режим шифрования для RDP. Включаем RDP FIPS140-1 Encryption.
Administrative Tools далее Remote Desktop Connections, из списка Connections выбираем требуемое подключение и выбираем Свойства. На вкладке General выбираем нужный Encryption Level.
Привязываем RDP к нужному нам сетевому адаптеру или порту.
Administrative Tools далее Remote Desktop Connections, из списка Connections выбираем требуемое подключение и выбираем Свойства. На вкладке Network Interfaces выбираем конкретный интерфейс и кол-во соединений.
Изменить порт подключения по умолчанию.
Порт у удаленки по умолчанию – 3389, если нужно его изменить, то запускаем редактор реестра.
HKEY_LOCAL_MACHINE\System\CurrentControlSet\Control\Terminal Server\WinStations\RDP-Tcp и меняем параметр PortNumber на нужный нам порт.
Включаем NLA – Network Level Authentication
Computer Configuration далее Administrative Templates далее Windows Components далее Remote Desktop Session Host далее Security и включаем параметр Require user authentication for remote connections by using Network Layer Authentication.
Запрещаем подключения по RDP учёткам с пустыми паролеми.
Computer Configuration далее Windows Settings далее Security Settings далее Local Policies далее Security Options, устанавливаем Accounts: Limit local account use of blank passwords to console logon only в Enabled.
Оптимизация скорости RDP
Цветовая глубина
Для работы с офисными приложениями достаточно 16 бит. Включаем на сервере параметр Limit Maximum Color Depth.
Выключаем ClearType
При включенном ClearType, протокол передаёт команды по отрисовке символов.
Нас интересует параметр Do not allow font smoothing в Remote Session Enviroment
Computer Configuration далее Policies далее Administrative Templates далее Windows Components далее emote Desktop Services далее Remote Desktop Session Host.
Выключаем обои
Нас интересует параметр Enforce removal of RD Wallpaper в Remote Session Enviroment
Computer Configuration далее Policies далее Administrative Templates далее Windows Components далее Remote Desktop Services далее Remote Desktop Session Host
Включаем настройку кэширование изображения
Заходим в редактор реестра
HKEY_CURRENT_USER\SOFTWARE\Microsoft\Terminal Server Client\
Создаём параметр BitmapPersistCacheSize и BitmapCacheSize, типа DWORD 32.
BitmapPersistCacheSize — устанавливаем 1000.
BitmapCacheSize — устанавливаем 5000.
Отключаем Desktop Composition
Нас интересует Параметр Allow desktop composition for RDP Sessions в Remote Session Enviroment
Computer Configuration далее Policies далее Administrative Templates далее Windows Components далее Remote Desktop Services далее Remote Desktop Session Host выбираем Disabled.
Оптимизируем параметры Desktop Window Manager
Параметры, находящиеся в разделе Remote Session Enviroment
Computer Configuration далее Policies далее Administrative Templates далее Windows Components далее Desktop Window Manager
Все три параметра Do not allow window animations, Do not allow desktop compositions и Do not allow Flip3D invocation нужно переключить в режим Enabled
Настраиваем общую логику оптимизации визуальных данных RDP
Нас интересует Optimize visual experience for RDP sessions в Remote Session Enviroment
Computer Configuration далее Policies далее Administrative Templates далее Windows Components далее Remote Desktop Services далее Remote Desktop Session Host далее Remote Session Enviroment выбираем Rich Multimedia.
Оптимизация сжатия RDP
Computer Configuration далее Policies далее Administrative Templates далее Windows Components далее Remote Desktop Services далее Remote Desktop Session Host далее Remote Session Enviroment
выбираем Set compression algoritm for RDP data и устанавливаем значение Optimize to use less network bandwidth.
Настройка сжатия звукового потока
Computer Configuration далее Policies далее Administrative Templates далее Windows Components далее Remote Desktop Services далее Remote Desktop Session Host.
Есть три варианта:
High – звук без сжатия.
Medium – сжатие адаптируется под пропусную способность канала, не увеличивая задержку при передаче данных.
Dynamic – сжатие динамически адаптируется под пропусную способность канала, чтобы задержка не превышала 150ms. Для полноценной офисной работы лучший параметр Dynamic.
Оптимизация соотношения потоков данных в RDP
На взаимное соотношение этих потоков и логику его (соотношения) вычисления (этакий локальный QoS) можно влиять. Для этого надо со стороны сервера зайти в ключ реестра
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\TermDD
и создать четыре ключа:
FlowControlDisable
FlowControlDisplayBandwidth
FlowControlChannelBandwidth
FlowControlChargePostCompression
Тип у всех – DWORD 32. Функционал у ключей будет следующим.
Ключ FlowControlDisable будет определять, используется ли приоритезация вообще. Если задать единицу, то приоритезация будет выключена, если нуль – включена. Включите её.
Ключи FlowControlDisplayBandwidth и FlowControlChannelBandwidth будут определять взаимное соотношение двух потоков данных:
Поток взаимодействия с пользователем (изображение+устройства ввода)
Прочие данные (блочные устройства, буфер обмена и всё остальное)
Сами значения этих ключей не критичны; критично то, как они соотносятся. То есть, если Вы сделаете FlowControlDisplayBandwidth равным единице, а FlowControlChannelBandwidth – четырём, то соотношение будет 1:4, и на поток взаимодействия с пользователем будет выделяться 20% полосы пропускания, а на остальное – 80%. Если сделаете 15 и 60 – результат будет идентичным, так как соотношение то же самое.
Ключ FlowControlChargePostCompression определяет, когда начинать считать соотношение – до или после сжатия. Ноль – до сжатия, единица – после.
Включаем Require secure RPC communication для RDP
Computer Configuration далее Policies далее Administrative Templates далее Windows Components далее Remote Desktop Services далее Remote Desktop Session Host далее Security
включаем параметр Require secure RPC communication.
Команда 812 ИТ-Сервис всегда готова предоставить помощь в настройке удаленно или приехать в офис. У нас так же всегда есть в наличии выделенный сервер и виртуальный сервер для быстрой удаленной работы целого офиса.
Мы так же готовы предоставить сервер в аренду для работы с базами MS SQL . Для работы с пользователями мы используем систему заявок.