أرغب في مشاركة بعض النصائح حول إعداد اتصال بعيد بمحطات العمل عبر RDP. سأخبرك بكيفية ترقية RPC-HTTP القديمة إلى UDP ، والثناء والتأنيب على Windows 10 و AVC ، وسأكتشف حلاً للعديد من المشاكل النموذجية.نعتقد أن بوابة سطح المكتب البعيد (RDGW) تُستخدم للاتصال ، وتعمل محطات العمل كخوادم. يعد استخدام RDGW أمرًا مريحًا للغاية لأن البوابة تصبح نقطة دخول مشتركة لجميع العملاء. وهذا يجعل من الممكن التحكم في الوصول بشكل أفضل ، والاحتفاظ بسجلات الاتصالات ومدتها. حتى إذا كان VPN يسمح لك بالاتصال بأجهزة العمل مباشرة ، فهذا ليس الخيار الأفضل.يعد RDGW سريعًا وسهل التهيئة ، وسيقوم Let's Encrypt و win-acme بحل المشكلة بسهولة باستخدام شهادة موثوق بها.هناك ثلاثة بروتوكولات نقل يمكن للعميل من خلالها الاتصال بالخادم:RPC-HTTP ( سيئة )HTTP ( أفضل )HTTP + UDP ( ممتاز )نعني بالخادم آلة عمل ، بواسطة عميل - المنزل.أول شيء تبدأ به هو تحويل "سيئة" إلى "ممتازة".قم بترقية RPC-HTTP إلى HTTP
من السهل تحديد الاتصال بجلسة باستخدام RPC-HTTP من خلال ظهور شريط الاتصال.
لا يوجد رمز جودة الاتصال (حوله أدناه) ، مما يعني أننا نستخدم RPC القديم ملفوفًا في TLS - وهذا بطيء جدًا. النقطة ، بالطبع ، ليست فقط في الغلاف - يتغير البروتوكول نفسه مع كل إصدار من نظام التشغيل ، برامج الترميز ، تتغير خوارزميات حزم الصورة. كلما كان البروتوكول أعذب ، كان ذلك أفضل.ماذا أفعل؟نظام التشغيل Windows XP أو Vista
في نظام التشغيل XP ، يمكنك رفع البروتوكول من الإصدار 5.1 إلى 7. الإصلاح العاجل windowsxp-kb969084-x86.exe.في Vista ، من 6 إلى 7. الإصلاح العاجل له نفس الرقم ، windows6.0-kb969084-x64.msu أو ملفات Windows6.0 KB969084-x86 .msuلكن RDP 7 لا يعمل عبر HTTP و UDP. سيساعد فقط ترقية العميل والخادم إلى Windows 7 والإصدارات الأحدث.Windows 7أولاً تحتاج إلى ترقية البروتوكول إلى RDP 8.1 ، ثم تمكينه. تمت إضافة الدعم من خلال التحديثات التي تم تجميعها في حزمة تنزيل واحدة:www.microsoft.com/en-US/download/details.aspx؟id=40986Windows6.1-KB2574819-v2-x64.msu windows6.1-kb2592687-x64.msuWindows6.1-KB2830477-x64.msuWindows6.1-KB2857650-x64.msuWindows6.1-KB2913751-x64.msu (تم استبداله بـ KB2923545)windows6.1-kb2923545-x64.msuحتى تحصل على دعم كل من عميل mstsc.exe الجديد و RDP 8.1 لجانب الخادم من نظام التشغيل.لقد كان:
أصبح::
بعد ذلك ، يجب تشغيل البروتوكول باستخدام مفتاح التسجيل (لهذا يمكنك استخدام قالب adm المرفق مع Windows 7).[HKEY_LOCAL_MACHINE\SOFTWARE\Policies\Microsoft\Windows NT\Terminal Services]
"fServerEnableRDP8"=dword:00000001
[HKEY_LOCAL_MACHINE\SOFTWARE\Wow6432Node\Policies\Microsoft\Windows NT\Terminal Services]
"fServerEnableRDP8"=dword:00000001
تمكين دعم نقل UDP في "نهج المجموعة".
نقوم بإعادة تشغيل الخادم باستخدام Windows 7. نفس الحالة عندما تحتاج إلى إعادة التشغيل مرتين - يجب تعيين القيمة في التسجيل قبل تشغيل RDP ، وتطبيق سياسة المجموعة لاحقًا.إذا نجح كل شيء ، فعند الاتصال بالخادم ، سيظهر رمز جودة الاتصال (كما هو الحال في الهاتف لشبكة الهاتف المحمول) في شريط الجلسة:
Windows 8 والإصدارات الأحدثيعمل البروتوكول خارج الصندوق.ترقية HTTP إلى HTTP + UDP
إذا لم تكن شبكتك عرضة لفقدان الحزم ، فإن UDP بشكل كبير (لـ CAD - بشكل كبير) يحسن استجابة الخادم باستخدام FEC لتقليل إعادة الإرسال ، وكذلك تحويل تأكيد تسليم الحزمة من مكدس نظام TCP / IP إلى مستوى بروتوكول RDP-UDP.يتم توصيل جلسة تحكم رئيسية واحدة عبر HTTP من كل عميل (يتم أيضًا إرسال لوحة مفاتيح / ماوس في هذه القناة) ، بالإضافة إلى جلسة UDP واحدة أو أكثر لإرسال صورة أو قنوات افتراضية أخرى.سوف نلمس فقط قمة جبل الجليد. هناك 3 إصدارات مختلفة من بروتوكول RDP-UDP. بالإضافة إلى ذلك ، يمكن أن يعمل UDP نفسه في وضعين: UDP-R (موثوق) و UDP-L (خسارة). لا يحدث شيء مع Microsoft. ولكن نظرًا لأن لا شيء يعتمد علينا هنا ، فقط ضع في اعتبارك - كلما كان نظام التشغيل أحدثًا ، يستخدم الموضوع بروتوكولًا أكثر حداثة.في الخارج ، يتم تغليف RDP-UDP في RFC4347 لطبقة نقل مخطط البيانات (DTLS) ، كما يمكنك رؤيته من خلال فتح Wireshark.مزيد من التفاصيل في المستندات:[MS-RDPEMT]: بروتوكول سطح المكتب البعيد: ملحق النقلالمتعدد [MS-RDPEUDP]: بروتوكول سطح المكتب البعيد: ملحق نقل UDP[MS-RDPEUDP2]: بروتوكول سطح المكتب البعيد: UDP Transport Extension الإصدار 2حيث يكون الخطأ مرحبا بك.ماذا تحتاج لتمكين UDP؟يتم دعم RDP-UDP بدءًا من RDP 8.يجب أن يكون منفذ udp / 3389 مفتوحًا على العميل. إذا قمت بإغلاقه بجدار حماية محلي أو ACL على المفتاح أو بجدار حماية خارجي - يجب فتح المنفذ.بالنسبة لخادم بوابة سطح المكتب البعيد إلى منفذ tcp / 443 ، افتح udp / 3391.يمكن تغيير المنفذ ، إليك كيفية تكوينه:
بالنسبة لنظام التشغيل Windows 7 ، يجب تمكين NLA (مصادقة مستوى الشبكة).
يمكن تمكينه في نهج المجموعة
أو من خلال التسجيل[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Terminal Server\WinStations\RDP-Tcp]
"SecurityLayer"=dword:00000001
ما هو الاتصال غير واضح. ولكن بدون NLA على 7-ke لا يعمل ، على الإصدارات الأحدث من NLA للعمل UDP غير مطلوب.بعد إنشاء جلسة عبر HTTP ، يحاول العميل والخادم التفاوض بشأن اتصال UDP. إذا كان هناك فقدان للحزمة أو تأخير ، فلن تبدأ جلسة UDP. لم يتم فهم خوارزمية فشل تفاوض UDP بالضبط.إذا تم تكوين كل شيء ، ثم بعد الاتصال ، انقر فوق زر جودة الارتباط. ستشير النافذة إلى أنه تم التفاوض على UDP.
على البوابة ، يبدو كما يلي:
Windows 10إذا كان لديك Windows 10 على كل من الخادم والعميل ، فهذا هو الخيار الأسرع والأكثر خللًا في المشاكل. تعمل Microsoft على إنهاء RDP بنشاط ، وفي أحدث الإصدارات 10 يمكنك الاعتماد على سرعة جيدة. لم يتمكن الزملاء من اكتشاف الفرق بين Citrix و Windows 10 RDP في سرعة AutoCAD.هناك مقال جيد حول تطور برامج ترميز RDP المستندة إلى AVC في Windows 10Remote Desktop Protocol (RDP) 10 تحسينات AVC / H.264 في Windows 10 و Windows Server 2016 Technical PreviewMatching Matching مع ترميز الأجهزة يمكن رؤيته في سجل الأحداث (انظر المقالة أعلاه لمزيد من التفاصيل) ):
ألاحظ فقط أنه لا تزال هناك مشكلة تشويه حتى مع h.264 4: 4: 4. ويلفت انتباهك على الفور إذا كنت تعمل في PowerShell ISE - يتم عرض نص الخطأ بتشويه غير سار. علاوة على ذلك ، كل شيء على ما يرام في لقطة الشاشة وفي الصورة. سحر.أيضا علامة غير مباشرة لعمل AVC من وقت لآخر تظهر مربعات خضراء في الزوايا.يجب أن يعمل AVC وتشفير الأجهزة في إصدارات حديثة ، ولكن سياسة المجموعة لا لزوم لها على الإطلاق:
نظرًا لأن AVC مشفر بالأجهزة باستخدام بطاقة فيديو ، فإن تحديث برامج تشغيل الفيديو فكرة جيدة.حول المشاكل
XP و Vistaإذا حدثت المشكلة في نظام التشغيل Windows XP أو Vista ، فحاول تحديث البروتوكول إلى الإصدار 7 أولاً (كتب في بداية المقالة). تأكد من تمكين دعم CredSSP. قامت Microsoft بالفعل بحذف مقالات على الموقع ، لكن الإنترنت يتذكرها .إذا لم يساعد ذلك ، "يتحدث الطبيب إلى المشرحة ، ثم إلى المشرحة." ما اختبره نظام التشغيل على مدى السنوات الـ 15 الماضية من الأفضل عدم التفكير فيه.NLAيساعد أحيانًا على تعطيل NLA على الخادم. لم تحسب السبب ، كل السيارات المنزلية مختلفة.NTLMيحاول بعض العملاء تسجيل الدخول باستخدام NTLMv1. الأسباب مختلفة ، ولكن يمكنك إصلاحها على العميل مثل هذا:[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Lsa]
"LmCompatibilityLevel"=dword:00000003
إعادة تشغيل مطلوب.إذا كنت شابًا وخائفًا من أي شيء بجرأة ، فهناك حل أكثر جذرية - تعطيل ربط القناة على بوابة سطح المكتب البعيدHKLM\Software\Microsoft\Windows NT\CurrentVersion\TerminalServerGateway\Config\Core
Type: REG_DWORD
Name: EnforceChannelBinding
Value: 0 (Decimal)
ليس عليك القيام بذلك. لكننا فعلنا. :-) للعميل الذي أصر (لا بأس ، أصر) أن NTLMv1 على محطات العمل التي يحتاجها. لا أعرف ، ربما لا تزال هناك خوادم على NT4 بدون SP قيد التشغيل.تعطيل RDP 8+ في Windows 10إذا فشل كل شيء آخر ونفدت الأفكار ، يمكنك استخدام المفتاح غير الموثق لإرجاع بروتوكول RDP إلى الإصدار 7.[HKEY_CURRENT_USER\Software\Microsoft\Terminal Server Client]
"RDGClientTransport"=dword:00000001
لم أفعل ذلك بنفسي ، وأنا لا أنصحك. ولكن لشخص ما ، يكتبون أنه يساعد. قد يحظر مكونDrWebDr.Web SpIDerGate الاتصال. في هذه الحالة ، يتم إرجاع خطأ:
في إحصائيات Dr.Web سيكون هناك إدخال:
في التعليقات على هذه المقالة ، اتصل بي أحد موظفي Dr.Web وتم حل مشكلتنا في التحديث التالي لقواعد بيانات مكافحة الفيروسات.إذا كان لديك نفس الخطأ ، فمن الأفضل الاتصال بالدعم.كحل مؤقت ، يمكنك إضافة عنوان URL الخاص بـ RDGW إلى الاستثناءات:
وفقط إذا لم يساعد في تعطيل مكون SpIDer Gate تمامًا .وكيل النظامقابلت جهاز كمبيوتر تم إيقاف تشغيله من بعض الشركات حيث تم تسجيل مجموعة طلعت مصطفى المحلية كوكيل نظام ولم يعمل الاتصال بـ RDGW. يمكن إصلاح هذا على النحو التالي:netsh winhttp show proxy && netsh winhttp reset proxy
تبديل تخطيطات لوحة المفاتيح فيبعض الأحيان تأتي تخطيطات إضافية. يمكنك تعطيل إعادة توجيه التخطيط من العميل[HKLM\System\CurrentControlSet\Control\Keyboard Layout]
"IgnoreRemoteKeyboardLayout"=dword:00000001
مشاكل DPIيأتي التحجيم من جهاز العميل ، وإذا كان يكلف 125 ٪ على كمبيوتر محمول منزلي ، فسيكون نفس الشيء على جهاز يعمل. على الخوادم ، يمكن إيقاف تشغيل هذا ، ولكن في محطات العمل لم أجد كيف. لكن متجر تطبيقات Windows 10 لديه عميل "حديث" .يمكنك تكوين DPI فيه:
كيفية مراقبة بوابة باستخدام RDGW
يوجد عداد أداء "TS Gateway \ Current Connections" ، وهو عبارة عن عربات التي تجرها الدواب قليلاً إذا لم تكن هناك اتصالات أو لم يتم إعادة تشغيل الخادم لفترة طويلة. يظهر بالضبط عدد الاتصالات ، ولكن كما نتذكر ، هناك اتصالان على الأقل لـ HTTP + UDP ، وربما أكثر. لذلك ، هذا ليس مؤشرًا موضوعيًا تمامًا على عدد اتصالات الموظفين.هناك فئة WMI Win32_TSGatewayConnection. تتوافق محتوياته مع ما تراه في قسم المراقبة في بوابة سطح المكتب البعيد.باستخدامه ، يمكن حساب عدد الاتصالات بشكل أكثر دقة:Get-WmiObject -class "Win32_TSGatewayConnection" -namespace "root\cimv2\TerminalServices"
|?{$_.transportprotocol -ne 2}|select username,connectedresource|sort username|Get-Unique -AsString| measure|select -ExpandProperty count
للمتعة فقط هناك أداة تحليل العرض عن بعد . لم تُظهر لي النسخة المجانية شيئًا مفيدًا ، ولكن فجأة ستكون مفيدة لشخص ما.ولكن ماذا عن الضبط الدقيق ، وضبط بضع عشرات من معلمات الجلسة؟مبدأ باريتو مناسب هنا: 20٪ من الجهود تحقق 80٪ من النتيجة. إذا كنت على استعداد لاستثمار وقتك في 20 ٪ المتبقية من النتيجة - ممتاز. فقط ضع في اعتبارك أنه عندما تقرأ مقالة حول إعداد بروتوكول في Windows 7 ، فأنت لا تعرف البروتوكول الذي كتب عنه المؤلف - 7 أو 8 أو 8.1. عندما تقرأ عن Windows 10 دون تحديد إصدار ، فإن المشاكل هي نفسها. على سبيل المثال ، يكتبون أنه في الإصدارات الجديدة من Windows 10 ، تغير برنامج الترميز AVC / h.264 إلى RDPGFX_CODECID_AVC444 V2 ، وفي Windows Server 2016 ، يبقى RDPGFX_CODECID_AVC444.من بين كل هذه النصائح ، نستخدم إعدادين فقط:- لون 16 بت ، يمكنك القراءة عنه في مقالة استخدام MS RDP Performance / Bandwidth
- تعطيل تجانس الخطوط تجانس الخطوط: i: 0 في المقالة أعلاه أو مضيفات جلسة ضبط سطح المكتب البعيد لضبط الأداء
أشك في أنها تعطي أي نتيجة ملموسة.لذلك وصلنا إلى نهاية المقال. أردت أن أكون أقصر ، ولكن اتضح كما هو الحال دائمًا. أنا سعيد إذا ساعدت هذه النصائح شخصًا ما في توفير الوقت أو تحسين تكوين بنيته التحتية.