Что такое терминальная ферма RDS
Добрый день! Уважаемые читатели и гости крупного IT блога Pyatilistnik.org. В прошлый раз я вам как увидеть скрытые папки в Windows 10. Сегодня мы поговорим, про одну очень важную вещь в IT инфраструктуре почти любой организации, речь пойдет про общие понятия терминальной фермы RDS (Remote Desktop Services). Мы узнаем из каких компонентов она состоит, какие сценарии развертывания есть у данной технологии, как она помогает улучшить работу сотрудников и уменьшить административную нагрузку на системного администратора или инженера. Это будет вводная статья, перед развертывание высокодоступной RDS фермы на Windows Server 2019.
Желания бизнеса и системного администратора
Если вернуться во времени лет на 10 назад, то работу компании или офиса можно представить вот в таком виде:
- Есть помещение в котором работают сотрудники, у каждого свой стационарный компьютер и пользователи зачастую жестко привязаны к своему рабочему месту
- За счет не очень производительной сети и небольших дисковых объемов на серверах, пользователи вынуждены хранить все свои рабочие и персональные данные локально на компьютере
- С выходом из строя рабочей станции сотрудника, он начинает бездельничать и системному администратору нужно вытащить его рабочие данные, если они есть и перенести их на другой компьютер, все это отнимает много времени, а если инженер один, то может и еще дольше, все зависит от приоритетов
- В результате простоя работы пользователя бизнес начинает терять деньги
Исходя из этих тезисов, многие компании по разработке оборудования, программ и операционных систем, продолжали разработку модели при которой бизнес бы смог минимизировать время простоя при аварии и тем самым сделать сервисы лучше, надежнее и минимизировать нагрузку на системного инженера. Одним из таких шагов сделала компания Microsoft, выпустив службу "Удаленных рабочих столов (Служба терминалов, Терминальный стол или Remote Desktop Services)". Данная разработка решала ряд важных вещей:
- Все рабочие процессы. такие как 1С, директум, смета, контур, СРМ системы и многое другое, запускались уже не локально на компьютере сотрудника, а выполнялись на удаленном, мощном сервере, раньше это были исключительно железные сервера, но со временем и развитием гипервизоров, например VMware ESXI 6.5, удаленные столы стали выступать в роли виртуальных машин, которые уже не привязывались к конкретным физических хостам, тем самым еще увеличивая надежность сервиса и уменьшения времени простоя.
- За счет централизованного хранения рабочих профилей на одном или нескольких серверов терминальной фермы, системному администратору стало проще создавать резервные копии данных, особенно если это виртуальные машины, их стало легко восстанавливать, например с помощью Veeam Backup
- Если у пользователя ломался компьютер, то он мог легко пересесть на любое другое рабочее место, подключиться к своей терминальной ферме Windos и продолжить свою работу с того же места. Тоже самое можно отметить, что когда сотрудник уходит домой, он легко может подключиться к терминальному серверу по защищенному VPN и так же продолжить свою работу.
- Появилась возможность профили пользователей делать перемещаемые и хранить их на отдельных выделенных дисках. Или можно подключать ISCSI диски и там хранить профили
- Многие сотрудники могут переходить на удаленку, тем самым экономя свое время на дороге на работу, работать из любой точки мира. За счет этого бизнес может экономить деньги на аренде помещения, арендуя меньшее пространство. Экономится расход электроэнергии. Экономия по канцелярским вещам, на оборудовании и многое другое.
- Удобно, что все эти сервера вы можете заказать в облаке, например все в том же vCloud Director
- Системному администратору проще обслуживать ряд серверов, чем сотни компьютеров. Даже с точки зрения безопасности, проще централизовано на серверах установить все обновления, программ, обновлений безопасности Windows, чем делать это на сотне компьютеров. Там конечно то же нужно делать, но это не первоочередная задача
- Удобно на терминальные фермы подключать любые USB ключи, для этого есть специализированное оборудование по типу SEH или DIGI, а так же программные решения, уже не нужно держать у бухгалтера ключик в ее компьютере и бояться, что если компьютер сломается, то всем несдобровать
Компоненты терминальной RDS фермы
Перед тем, как я вам приведу примеры внедрения технологии Remote Desktop Services в реальной жизни, я бы хотел вас познакомить с компонентами, которые входят в состав. Если вы откроете у себя Windows Server 2019 или другую версию по ниже, то в списке ролей вы сможете найти:
- Веб-доступ к удаленным рабочим столам (RD Web Access (RDWA)) - предоставляет пользователям настраиваемый веб-портал для доступа к рабочим столам на основе сеансов, виртуальным рабочим столам и программам RemoteApp. Для начала пользователь получит доступ к веб-странице RDS, указав URL-адрес, по которому публикуются ресурсы RDS. Благодаря этой технологии пользователи могут работать и запускать программы на удаленном рабочем столе из своего телефона или планшета прямо из браузера.
- Лицензирование удаленных рабочих столов (RD Licensing) - управление клиентскими лицензиями на доступ к службам удаленных рабочих столов, которые требуются для подключения каждого устройства или пользователя к рабочим столам на основе сеансов.
- Посредник подключений к удаленным рабочим столам (RD Connection Broker (RDCB)) - предоставляет пользователям единое, персонализированное и агрегированное представление программ RemoteApp, рабочих столов на основе сеансов и виртуальных рабочих столов. RD Connection Broker поддерживает балансировку нагрузки и повторное подключение к существующим сеансам на виртуальных рабочих столах, рабочих столах на основе сеансов и программах RemoteApp. Без посредника подключений RDCB вы не сможете подключиться к своим коллекциям серверов
- Узел виртуализации удаленных рабочих столов (RD Virtualization Host (RDVH)) - RD Virtualization Host интегрируется с Hyper-V для предоставления виртуальных машин, которые можно использовать в качестве личных виртуальных рабочих столов или пулов виртуальных рабочих столов.
- Узел сеансов удаленных рабочих столов (RD Session Host (RDSH)) - размещает программы на базе Windows или полный рабочий стол Windows для клиентов служб удаленных рабочих столов. Пользователи могут подключаться к серверу узла сеансов удаленных рабочих столов для запуска программ, сохранения файлов и использования сетевых ресурсов на этом сервере. Именно хосты с данной ролью являются конечными целевыми серверами, где работают пользователи, именно на них создается то единое рабочее окружение, которое видит сотрудник.
- Шлюз удаленных рабочих столов (RD Gateway (RDG)) - позволяет совместимым устройствам безопасно подключаться через Интернет к серверам RD Session Host или серверам RD Virtualization Host за корпоративным брандмауэром. RDG должен быть размещен на границе корпоративной сети, чтобы отфильтровать входящие запросы RDS, ссылаясь на критерии, определенные на назначенном сервере политики сети (NPS). Имея сертификат сервера, RDG предлагает безопасный удаленный доступ к инфраструктуре RDS. По сути это альтернативная технология, если у вас в организации не используется VPN сервер для подключения к корпоративной сети.
Типы развертывания RDS фермы в Windows Server
Существует несколько типов установки терминальной фермы на серверах Windows:
- Стандартное развертывание (STANDARD) - Это лучший способ развертывания, и вы должны выбрать этот тип развертывания в производственной среде. 3 основные роли Connection Broker, RDWeb и RDSH будут развернуты на 3 разных серверах или в любой другой комбинации. При выборе Коллекции в стандартном развертывании удаленные приложения и конфигурацию необходимо будет настроить вручную. Вся установка, настройка и управление развертыванием сеанса RDS должны выполняться через посредник подключений.
- Быстрый запуск (QUICK START) - это второй вариант развертывания RDS, аналогичный стандартному, но при выборе быстрого запуска все компоненты будут развернуты на 1 сервере. Быстрый старт - это быстрый путь для запуска RDS за считанные минуты. Коллекция и удаленное приложение будут автоматически настроены. Этот тип развертывания не рекомендуется для использования в производственной среде, но если вы настраиваете RDS для лаборатории или небольшой среды, тогда установка «все в одном» сэкономит ваши аппаратные ресурсы.
- Служба Multipoint (MULTIPOINT SERVICES) - это новый вариант развертывания в RDS 2016 в Windows Server 2019 уже данного вида развертывания нет. MPS изначально был создан для использования в учебных заведениях. Пользовательские станции могут состоять только из монитора, клавиатуры, мыши (тонкие клиенты) и могут быть подключены к MPS через USB-концентраторы, видеокабели или через локальную сеть. Ттонкие клиенты MPS использует некоторые службы RDS (по умолчанию): узел сеансов удаленных рабочих столов и сервер лицензирования удаленных рабочих столов.
В Windows Server 2019 вы найдете только компонент "Соединитель Multipiont"
Служба Multipoint как вы поняли по лицензии доступна только для учебных и государственных учреждений, ее основная задача с помощью тонких клиентов, это такие компьютеры без оперативной памяти, жесткого диска, чаще всего без вентиляторов, подключить человека к удаленному серверу, ресурсы которого будут использоваться. На рисунке к серверу подключаются напрямую четыре клиента по USB и, к примеру, VGA-порты. Очевидно, что подобный тип подключения подразумевает соответствующие требования к аппаратной конфигурации головной станции и в некоторых сценариях не применим (масштабы, расстояние, мобильность)
А вот еще пример подключения тонких клиентов через USB хаб и через COM-порт.
Сценарии развертывания RDS фермы
Так же есть несколько сценариев развертывания:
- Развертывание рабочих столов на основе виртуальных машин - Это разворачивание Hyper-V и VDI. VDI расшифровывается как инфраструктура виртуальных рабочих столов и построен на основе клиентской ОС Windows, а RDS - на ОС Windows Server. Когда вы настраиваете VDI, вы создаете пул виртуальных машин, и каждый пользователь получает свою собственную виртуальную машину. Эта гибкость обеспечивает изолированную среду для пользователя. Поскольку у каждого пользователя есть выделенная виртуальная машина с операционной системой, он может устанавливать или удалять приложения с полными или частичными правами администрирования внутри виртуальной машины. При настройке RDS Session Host все пользователи будут использовать этот сервер совместно, и ни один из них не сможет вносить изменения, устанавливать приложения, делать его личным. Все это возможно с VDI, особенно если у вас есть пользователи, которым нужно запускать тяжелые приложения.
- Развертывание рабочих столов на основе сеансов - Это чаще используемый сценарий, так сказать классический, когда при разворачивании Remote Desktop Services вы создаете из серверов коллекции, к которым подключаются пользователи, по сути, это просто удаленная сессия на сервер.
- Персональные рабочие столы сеансов (Personal Session Desktops) - Этот параметр позволяет назначать персональные рабочие столы конечным пользователям на основе Windows Server 2016 в гостевой виртуальной машине вместо клиентской ОС Windows. Мы можем создать новый тип коллекции сеансов, где каждому пользователю назначается собственный персональный узел сеанса с правами администратора. Данный тип сценария подходит хостинг провайдерам или сервис провайдерам, напомню, что в классическом VDI по SPLA недоступно использование Windows 7, 8.1, 10. Чтобы это обойти и срубить деньжат компания Microsoft придумала PSD (Personal Session Desktops). В Windows Server 2016 решили это дело упростить и добавить метод привязки пользователей к конкретным терминальным узлам (в рамках RDS это узлы Remote Desktop Session Host, RDSH). В итоге получаем новый вид RDS-коллекции — Personal Session Desktops (PSD), или частные рабочие столы на базе терминальных сессий. Очевидно, что можно провести аналогию с Personal Virtual Desktops в VDI, предназначенными так же для выделения «изолированной» среды пользователям.
Примеры внедрения:
- Сотруднику нужно, чтобы RDCH хост имел интерфейс клиентской Windows 10, раньше ставился компонент Desktop Experience, но он распространялся на всех, а вот PSD, это персонально.
- Если пользователь имеет административные полномочия на своем привычном ПК и вы хотите перевести его на PSD, то это возможно сделать путем добавления пользователя в группу локальных администраторов (определяется на этапе развертывания PSD, «ручной труд» не требуется)
- Если пользователь не видит свою дальнейшую жизнь без графических приложений, требующих дополнительных аппаратных ресурсов, то можно предоставить PSD с обновленными возможностями RemoteFX (об этом уже упоминалось выше).
Практические примеры внедрения терминальной фермы
Теперь я хочу вам показать, как можно внедрять RDS фермы в ваше рабочее окружение:
- Самый правильный вариант, это создание Remote Desktop Services Connection Broker HA (Служб удаленных рабочих столов в режиме высокой доступности), тут у вас два посредника подключений в режиме High Availability, один или более серверов RDSH и RD Web, а так же сервер с базой данных в режиме AlwaysOn
По приведенной ниже схеме прекрасно видно, что у нас есть два посредника подключений, у которых общая база данных, клиент подключается по DNS имени, которое разрешается в один из адресов RDCB, после чего попадает в нужную коллекцию.
- Классический вариант, когда RDCH, RD Web, RDCB установлены на одном сервере.
- RD WED HA в рамках Remote Desktop Services Connection Broker HA (Служб удаленных рабочих столов в режиме высокой доступности)
- Remote Desktop Gateway в рамках Remote Desktop Services Connection Broker HA (Служб удаленных рабочих столов в режиме высокой доступности)
Добрый день! Прошу ваше экспертное мнение:)
Планируем развернуть отказоустойчивую ферму, публиковать, вероятно, будем только браузер, пользователи, в кол-ве 100 человек, смогут ходить только до определенных веб-сайтов, требующих работу с ЭЦП (ютубчика и прочего не будет).
Думаю совместить роли следующим образом:
сервер 1 — роль Посредник подключений к удаленному рабочему столу и Лицензирование удаленных рабочих столов (windows core, 8 х vCPU, 16 GB RAM, 80 GB HDD)
сервер 2 — роли Узел веб-доступа к удаленным рабочим столам и Узел сеансов удаленных рабочих столов (12 х vCPU, 32 GB RAM, 370 GB HDD)
сервер 3 — Узел сеансов удаленных рабочих столов (12 х vCPU, 32 GB RAM, 370 GB HDD)
Так будет работать? Нужно ли на сервер 3 добавлять роль Узел веб-доступа? Мощностей достаточно?
Исправьте пожалуйста грубую ошибку, даже на самых тончайших клиентах есть память.
«…ее основная задача с помощью тонких клиентов, это такие компьютеры без оперативной памяти, жесткого диска…»
так а где дальше то?
С Multipoint интересная история.
Один сотрудник MS придумал программу, позволяющую то что делает сейчас Multipoint.
Выложил рабочую бета-версию.
Где-то она у меня возможно лежит.
Вскоре MS поняли что на этом можно заработать и убрали прогу.
Дотюнили ее, дали уже текущее название и убрали бесплатность.