Как сделать работу с Microsoft Remote Desktop лучше / Хабр

Считаем, что для подключения используется Remote Desktop Gateway (RDGW), а в качестве серверов выступают рабочие станции. Использовать RDGW очень удобно, потому что шлюз становится общей точкой входа для всех клиентов. Это дает возможность лучше контролировать доступ, вести учет подключений и их продолжительность. Даже если VPN позволяет подключиться к рабочим машинам напрямую — это не лучший вариант.

RDGW настраивается быстро, просто, а Let’s Encrypt и win-acme легко решают проблему с доверенным сертификатом.

Есть три транспортных протокола по которым клиент может подключиться с серверу:

RPC-HTTP (плохо)
HTTP (лучше)
HTTP+UDP (отлично)

Под сервером будем понимать рабочую машину, под клиентом — домашнюю.

Здесь нет значка качества подключения (о нем ниже), а значит мы используем старый RPC, обернутый в TLS — это очень медленно. Дело, конечно, не только в обертке — сам протокол меняется с каждым релизом ОС, меняются кодеки, алгоритмы упаковки изображения. Чем свежее протокол, тем лучше.

Что делать?

Windows XP или Vista

В Vista — c 6 до 7. Хотфикс имеет тот же номер, файлы windows6.0-kb969084-x64.msu или Windows6.0-KB969084-x86.msu

Но RDP 7 не работает по HTTP и UDP. Поможет только апгрейд клиента и сервера до Windows 7 и новее.

Windows 7

Сначала надо обновить протокол до RDP 8.1, а затем включить его. Поддержка добавляется обновлениями, которые сгруппированы в один загрузочный пакет:

www.microsoft.com/en-US/download/details.aspx?id=40986
Windows6.1-KB2574819-v2-x64.msu
windows6.1-kb2592687-x64.msu
Windows6.1-KB2830477-x64.msu
Windows6.1-KB2857650-x64.msu
Windows6.1-KB2913751-x64.msu (заменен kb2923545)

windows6.1-kb2923545-x64.msu

Так вы получите и свежий клиент mstsc.exe, и поддержку RDP 8.1 серверной части ОС.
Было:

Стало:

После этого протокол надо включить ключом реестра (для этого можно использовать adm шаблон в комплекте с Windows 7).

[HKEY_LOCAL_MACHINE\SOFTWARE\Policies\Microsoft\Windows NT\Terminal Services]
"fServerEnableRDP8"=dword:00000001
 
[HKEY_LOCAL_MACHINE\SOFTWARE\Wow6432Node\Policies\Microsoft\Windows NT\Terminal Services]
"fServerEnableRDP8"=dword:00000001

Перезагружаем сервер с Windows 7. Тот самый случай, когда может потребоваться перезагрузиться дважды — значение в реестре должно быть установлено до того, как включился RDP, а групповая политика применяется позже.

Если все получилось, то при подключении к серверу в полоске сессии появится иконка качества подключения (как в телефоне для мобильной сети):

Windows 8 и новее

Протокол работает «из коробки».

От каждого клиента подключается одна основная управляющая сессия по HTTP (в этом канале также передается клавиатура/мышь), плюс одна или несколько сессий UDP для передачи картинки или других виртуальных каналов.

Мы коснемся только верхушки айсберга. Есть 3 различных версии протокола RDP-UDP. Кроме того, сам UDP может работать в двух режимах UDP-R (reliable) и UDP-L (lossy). С Microsoft ничего просто не бывает. Но поскольку от нас здесь ничего не зависит, просто имейте в виду — чем новее операционная система, теме более современный протокол используется.

Снаружи RDP-UDP оборачивается в Datagram Transport Layer Security (DTLS) RFC4347, в чем вы можете убедиться открыв Wireshark.

Подробнее в документах:
[MS-RDPEMT]: Remote Desktop Protocol: Multitransport Extension
[MS-RDPEUDP]: Remote Desktop Protocol: UDP Transport Extension
[MS-RDPEUDP2]: Remote Desktop Protocol: UDP Transport Extension Version 2
Где не прав — поправьте, пожалуйста.

Что же нужно для включения UDP?

RDP-UDP поддерживается начиная с RDP 8.

На клиенте должен быть открыт порт udp/3389. Если вы его закрыли локальным firewall, ACL на свитче или внешнем файрволле — порт надо открыть.

Для сервера Remote Desktop Gateway к порту tcp/443 надо открыть udp/3391.

Порт можно поменять, вот как он настраивается:

Для Windows 7 обязательно должен быть включен NLA (Network Level Authentication).

Можно включить в групповой политике

или через реестр

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Terminal Server\WinStations\RDP-Tcp]
"SecurityLayer"=dword:00000001

После установления сессии по HTTP, клиент и сервер пробуют согласовать подключение по UDP. Если есть выпадение пакетов или задержки, то сессия UDP не запустится. Точный алгоритм отказа согласования UDP до конца не понятен.

Если все настроено, то после подключения нажмите на кнопку качества связи. В окошке будет указано, что согласован UDP.

На шлюзе это выглядит так:

Windows 10

Если у вас Windows 10 и на сервере, и на клиенте, то это самый быстрый и беспроблемный вариант. В Microsoft активно дорабатывают RDP, и в свежих релизах 10 вы можете рассчитывать на неплохую скорость работы. Коллеги не смогли обнаружить разницу между Citrix и Windows 10 RDP по скорости работы в AutoCAD.

Про эволюцию кодеков RDP на базе AVC в Windows 10 есть хорошая статья
Remote Desktop Protocol (RDP) 10 AVC/H.264 improvements in Windows 10 and Windows Server 2016 Technical Preview

Согласование AVC с аппаратным кодированием можно увидеть в журнале событий (подробнее в статье выше):

Замечу только, что проблема искажений все же есть даже с h.264 4:4:4. Она сразу бросается в глаза если работать в PowerShell ISE — текст ошибок выводится с неприятным искажением. Причем на скриншоте и на фотографии все отлично. Волшебство.

Также косвенным признаком работы AVC являются время от времени появляющиеся зеленые квадраты по углам.

AVC и аппаратное кодирование в свежих билдах должно работать из коробки, но групповая политика никогда не бывает лишней:

С учетом того, что AVC кодируется аппаратно видеокартой, то обновить драйверы видео — хорошая идея.

Если проблема возникает на Windows XP или Vista, попробуйте сначала обновить протокол до 7 версии (писал в начале статьи). Обязательно включите поддержку CredSSP. На сайте Microsoft статьи уже удалены, но Интернет помнит.

Если не помогло — «доктор говорит в морг, значит в морг». Что испытала на себе операционная система за последние 15 лет — лучше об этом даже и не думать.

NLA

Иногда помогает отключение NLA на сервере. Выяснить причину не получилось, домашние машины все разные.

NTLM

Некоторые клиенты пытаются авторизоваться с использованием NTLMv1. Причины разные, но исправить на клиенте можно так:

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Lsa]
"LmCompatibilityLevel"=dword:00000003

Если вы

HKLM\Software\Microsoft\Windows NT\CurrentVersion\TerminalServerGateway\Config\Core
Type: REG_DWORD
Name: EnforceChannelBinding
Value: 0 (Decimal)

Отключение RDP 8+ в Windows 10

Если ничего не помогает, а идеи кончились, можно воспользоваться недокументированным ключом для даунгрейда протокола RDP до 7 версии.

[HKEY_CURRENT_USER\Software\Microsoft\Terminal Server Client]
"RDGClientTransport"=dword:00000001

DrWeb

Компонент Dr.Web SpIDerGate может запретить подключение. В этом случае возвращается ошибка:

Системный прокси

Встретился списанный компьютер из какой-то компании, где в качестве системного прокси был прописан местный TMG, и подключение к RDGW не работало. Это можно исправить так:

netsh winhttp show proxy && netsh winhttp reset proxy

Иногда приезжают лишние раскладки. Можно отключить проброс раскладки с клиента

[HKLM\System\CurrentControlSet\Control\Keyboard Layout]
"IgnoreRemoteKeyboardLayout"=dword:00000001

Масштабирование приходит с клиентской машины, и если на домашнем ноутбуке стоит 125%, то и на рабочей машине будет так же. На серверах это можно отключить, а на рабочих станциях не нашел как. Но в магазине приложений Windows 10 есть «современный» клиент.

В нем можно настроить DPI:

Есть класс WMI Win32_TSGatewayConnection. Его содержимое соответствует тому, что вы видите в разделе «Наблюдение» шлюза удаленных рабочих столов.

С ним число подключений можно посчитать поточнее:

Get-WmiObject -class "Win32_TSGatewayConnection" -namespace "root\cimv2\TerminalServices" 
|?{$_.transportprotocol -ne 2}|select username,connectedresource|sort username|Get-Unique -AsString| measure|select -ExpandProperty count
 

А как же тонкий тюнинг, настройка нескольких десятков параметров сессии?

Здесь уместен принцип Парето: 20% усилий дают 80% результата. Если вы готовы инвестировать ваше время в оставшиеся 20% результата — отлично. Только имейте в виду, что когда вы читаете статью о настройке протокола в Windows 7, то не знаете про какой протокол писал автор — 7, 8 или 8.1. Когда читаете про Windows 10 без указания релиза — проблемы те же. Например, пишут что в свежих билдах Windows 10 кодек AVC/h.264 изменился на RDPGFX_CODECID_AVC444V2, а в Windows Server 2016 остался RDPGFX_CODECID_AVC444.

Из всех таких советов мы используем только две настройки:

1. 16 bit цвет, об этом можно почитать в статье MS RDP Performance / Bandwidth Usage
2. Отключение сглаживания шрифтов font smoothing:i:0 по статье выше или Performance Tuning Remote Desktop Session Hosts

Вот мы и подошли к концу статьи. Хотел покороче, а получилось как всегда. Рад, если кому-то эти советы помогут сэкономить время или улучшить настройку своей инфраструктуры.

Список часто используемых сетевых портов

Honeywell Metrologic MS3780 не считывает штрих-код EAN13 + EAN5

29 октября 2016 ВК Tw Fb

У одного нашего клиента множество похожего товара, но всё-таки разного. Поэтому производитель печатает на товаре не привычный штрих-код EAN13, а EAN13 с дополнительными 5 символами, то есть EAN13 + EAN5. И так случилось, что сканер не считывает эти дополнительные символы. Решаем эту проблему.

FreeBSD 11: WEB-сервер своими руками. MySQL 5.5 + Nginx + PHP-FPM 5.6

2 декабря 2016 ВК Tw Fb

Инструкция по настройке полноценного WEB-сервер на основе FreeBSD 11. В комплекте у нас MySQL 5.5, PHP-FPM 5.6.27 и Nginx. Никаких невероятных откровений по тюнингу и быстродействию Вы здесь не найдёте. Наша цель получить готовый WEB-сервер с полным набором приложений максимально простым путём. Поехали.

Ярлык Мой компьютер в Windows 10

12 мая 2017 ВК Tw Fb

По некой необъяснимой причине ярлык «Мой компьютер» или «Компьютер», или «Этот компьютер» исчез с рабочего стола в Windows 10. И вернуть его так же просто как это было в Windows 7 (перетаскиванием из меню «Пуск») или Windows XP уже не получается. Но мы поможем справиться с этой бедой.

RDP. Игра в три буквы / Блог компании RUVDS.com / Хабр

Если должным образом разбираться в настройках, то RDP будет хорошим средством удаленного доступа. Он дает возможность не только видеть удаленный рабочий стол, но и пользоваться ресурсами удаленного компьютера, подключать к нему локальные диски или периферийные устройства. При этом компьютер должен иметь внешний IP, (статический или динамический), или должна быть возможность «пробросить» порт с маршрутизатора с внешним IP-адресом.

Серверы RDP нередко применяют для совместной работы в системе 1С, или на них разворачивают рабочие места пользователей, позволяя им подключаться к своему рабочему месту удаленно. Клиент RDP позволяет дает возможность работать с текстовыми и графическими приложениями, удаленно получать какие-то данные с домашнего ПК. Для этого на роутере нужно пробросить порт 3389, чтобы через NAT получить доступ к домашней сети. Тоже относится к настройке RDP-сервера в организации.

RDP многие считают небезопасным способом удаленного доступа по сравнению с использованием специальных программ, таких как RAdmin, TeamViewer, VNC и пр. Другой предрассудок – большой трафик RDP. Однако на сегодня RDP не менее безопасен, чем любое другое решение для удаленного доступа (к вопросу безопасности мы еще вернемся), а с помощью настроек можно добиться высокой скорости реакции и небольшой потребности в полосе пропускания.

Как защитить RDP и настроить его производительность

Подключение к удаленному рабочему столу

Стоит отметить особенность некоторых серверных ОС: если один и тот же пользователь попытается зайти на сервер локально и удаленно, то локальный сеанс закроется и на том же месте откроется удаленный. И наоборот, при локальном входе закроется удаленный сеанс. Если же зайти локально под одним пользователем, а удаленно — под другим, то система завершит локальный сеанс.

Подключение по протоколу RDP осуществляется между компьютерами, находящимися в одной локальной сети, или по интернету, но для этого потребуются дополнительные действия – проброс порта 3389 на роутере, либо соединение с удаленным компьютером по VPN.

Чтобы подключиться к удаленному рабочему столу в Windows 10, можно разрешить удаленное подключение в «Параметры — Система — Удаленный рабочий стол» и указать пользователей, которым нужно предоставить доступ, либо создать отдельного пользователя для подключения. По умолчанию доступ имеют текущий пользователь и администратор. На удаленной системе запустите утилиту для подключения.

Нажмите Win+R, введите MSTSC и нажмите Enter. В окне введите IP-адрес или имя компьютера, выберите «Подключить», введите имя пользователя и пароль. Появится экран удаленного компьютера.

На смартфонах и планшетах под Android и iOS нужно установить приложение Microsoft Remote Desktop («Удаленный рабочий стол Майкрософт») и запустить его. Выберите «Добавить» введите параметры подключения — IP-адрес компьютера, логин и пароль для входа в Windows. Еще один способ — проброс на роутере порта 3389 на IP-адрес компьютера и подключение к публичному адресу роутера с указанием данного порта. Это делается с помощью опции Port Forwarding роутера. Выберите Add и введите:

Name: RDP
Type: TCP & UDP
Start port: 3389
End port: 3389
Server IP: IP-адрес компьютера для подключения.

Протокол RDP также используется для подключения к виртуальным машинам Hyper-V. В отличие от окна подключения гипервизора, при подключении по RDP виртуальная машина видит различные устройства, подсоединенных к физическому компьютеру, поддерживает работу со звуком, дает более качественное изображение рабочего стола гостевой ОС и т.д.

У провайдеров виртуального хостинга серверы VPS под Windows по умолчанию обычно также доступны для подключения по стандартному протоколу RDP. При использовании стандартной операционной системы Windows для подключения к серверу достаточно выбрать: «Пуск — Программы — Стандартные — Подключение к удаленному рабочему столу» или нажать Win+R и в открывшемся окне набрать MSTSC. В окне вводится IP-адрес VPS-сервера.

Нажав кнопку «Подключить», вы увидите окно с полями авторизации.

Чтобы серверу были доступны подключенные к вашему ПК USB-устройства и сетевые принтеры, при первом подключении к серверу выберите «Показать параметры» в левом нижнем углу. В окне откройте вкладку «Локальные ресурсы» и выберите требуемые параметры.

С помощью опции сохранения данных авторизации на удаленном компьютере параметры подключения (IP-адрес, имя пользователя и пароль) можно сохранить в отдельном RDP-файлом и использовать его на другом компьютере.

RDP также можно использовать для подключения к виртуальным машинам Azure.

Настройка другой функциональности удаленного доступа

Как «угнать» сеанс RDP?

Некоторые приемы позволяют перехватить сеанс без логина-пароля. Нужен лишь доступ к командной строке NT AUTHORITY/SYSTEM. Если вы запустите tscon.exe в качестве пользователя SYSTEM, то сможете подключиться к любой сессии без пароля. RDP не запрашивает пароль, он просто подключает вас к рабочему столу пользователя. Вы можете, например, сделать дамп памяти сервера и получить пароли пользователей. Простым запуском tscon.exe с номером сеанса можно получить рабочий стол указанного пользователя — без внешних инструментов. Таким образом, с помощью одной команды имеем взломанный сеанс RDP. Можно также использовать утилиту psexec.exe, если она была предварительно установлена:

psexec -s \\localhost cmd

• Вы можете подключиться к отключенным сеансам. Поэтому, если кто-то вышел из системы пару дней назад, вы можете просто подключиться прямо к его сеансу и начать использовать его.
• Можно разблокировать заблокированные сеансы. Поэтому, пока пользователь находится вдали от своего рабочего места, вы входите в его сеанс, и он разблокируется без каких-либо учетных данных. Например, сотрудник входит в свою учетную запись, затем отлучается, заблокировав учетную запись (но не выйдя из нее). Сессия активна и все приложения останутся в прежнем состоянии. Если системный администратор входит в свою учетную запись на этом же компьютере, то получает доступ к учетной записи сотрудника, а значит, ко всем запущенным приложениям.
• Имея права локального администратора, можно атаковать учетную запись с правами администратора домена, т.е. более высокими, чем права атакующего.
• Можно подключиться к любой сессии. Если, например, это Helpdesk, вы можете подключиться к ней без какой-либо аутентификации. Если это администратор домена, вы станете админом. Благодаря возможности подключаться к отключенным сеансам вы получаете простой способ перемещения по сети. Таким образом, злоумышленники могут использовать эти методы как для проникновения, так и для дальнейшего продвижения внутри сети компании.
• Вы можете использовать эксплойты win32k, чтобы получить разрешения SYSTEM, а затем задействовать эту функцию. Если патчи не применяются должным образом, это доступно даже обычному пользователю.
• Если вы не знаете, что отслеживать, то вообще не будете знать, что происходит.
• Метод работает удаленно. Вы можете выполнять сеансы на удаленных компьютерах, даже если не зашли на сервер.

Наконец, рассмотрим, как удалить подключение к удаленному рабочему столу. Это полезная мера нужна, если необходимость в удаленном доступе пропала, или требуется запретить подключение посторонних к удаленному рабочему столу. Откройте «Панель управления – Система и безопасность – Система». В левой колонке кликните «Настройка удаленного доступа». В разделе «Удаленный рабочий стол» выберите «Не разрешать подключения к этому компьютеру». Теперь никто не сможет подключиться к вам через удаленный рабочий стол.

В завершение – еще несколько лайфхаков, которые могут пригодиться при работе с удаленным рабочим столом Windows 10, да и просто при удаленном доступе.

1. Для доступа к файлам на удаленном компьютере можно использовать OneDrive:
   
2. Как перезагрузить удаленный ПК в Win10? Нажмите Alt+F4. Откроется окно:
   
   Альтернативный вариант — командная строка и команда shutdown.
   Если в команде shutdown указать параметр /i, то появится окно:
   
   
3. В Windows 10 Creators Update раздел «Система» стал богаче на еще один подраздел, где реализована возможность активации удаленного доступа к компьютеру с других ОС, в частности, с мобильных посредством приложения Microsoft Remote Desktop:
4. По разным причинам может не работать подключение по RDP к виртуальной машине Windows Azure. Проблема может быть с сервисом удаленного рабочего стола на виртуальной машине, сетевым подключением или клиентом удаленного рабочего стола клиента на вашем компьютере. Некоторые из самых распространенных методов решения проблемы RDP-подключения приведены здесь.
   
5. Из обычной версии Windows 10 вполне возможно сделать терминальный сервер, и тогда к обычному компьютеру смогут подключаться несколько пользователей по RDP и одновременно работать с ним. Как уже отмечалось выше, сейчас популярна работа нескольких пользователей с файловой базой 1С. Превратить Windows 10 в сервер терминалов поможет средство, которое хорошо себя зарекомендовало в Windows 7 — RDP Wrapper Library by Stas’M.
   
6. В качестве «RDP с человеческим лицом» можно использовать Parallels Remote Application Server (RAS), но некоторые его особенности должны быть настроены на стороне Windows Server (либо в виртуальных машинах, которые вы используете).
   

Удачи!

P.S. Мы ищем авторов для нашего блога на Хабрахабре.
Если у вас есть технические знания по работе с виртуальными серверами, вы умеете объяснить сложные вещи простыми словами, тогда команда RUVDS будет рада работать с вами, чтобы опубликовать ваш пост на Хабрахабре. Подробности по ссылке.

Порт rdp tcp или udp

Список часто используемых сетевых портов

28 октября 2016 ВК Tw Fb

Существует множество вариантов использования данной информации (даже в мирных целях). Например, проброс портов за NAT Вашего сетевого оборудования. Вспоминаем наиболее часто используемые порты и их протоколы.

• 20/TCP — передачи данных FTP (File Transer Protocol)
• 21/TCP — передачи команд FTP
• 22/TCP,UDP — порт SSH (Secure Shell)
• 23/TCP,UDP — порт Telnet
• 25/TCP,UDP — SMTP (Simple Mail Transfer Protocol) отправка почты
• 53/TCP,UDP — DNS (Domain Name System) — разрешение сетевых имён
• 69/TCP,UDP — TFTP (TrivialFTP)
• 80/TCP,UDP — HTTP (HyperText Transfer Protocol)
• 110/TCP,UDP — POP3 (Post Office Protocol 3) — приём почты
• 123/TCP,UDP — NTP (Network Time Protocol) — синхронизация времени
• 143/TCP,UDP — IMAP (Internet Message Access Protocol) — приём почты
• 156/TCP,UDP — SQLSRV (SQL Service)
• 443/TCP,UDP — HTTPS (HTTP Secure) HTTP с шифрованием по SSL или TLS
• 465/TCP,UDP — SMTPS (SMTP Secure) — SMTP с шифрованием по SSL или TLS
• 993/TCP,UDP — IMAPS (IMAP Secure) IMAP с шифрованием по SSL или TLS
• 3389/TCP — RDP (Remote Desktop Protocol) удалённый рабочий стол Windows
• 5432/TCP,UDP — PostgreSQL
• 5900/TCP,UDP — Virtual Network Computing (VNC)
• 7071/TCP —Zimbra Administration Console по протоколу HTTPS
• 9090/TCP — Openfire Administration Console

Остались вопросы?

Лоджик Флоу

Аутсорсинг / Системное администрирование / Техническая поддержка / Сопровождение 1С:Предприятие

Что-то пошло не так? Специалисты нашей компании помогут Вам разобраться с возникшими проблемами! Обращайтесь! →

Также Ваши вопросы Вы можете задать в нашей группе ВК или на нашем YouTube канале!

Эти статьи будут Вам интересны

Декларант-Алко: пароль для базы данных в SDF Viewer

21 октября 2016 ВК Tw Fb

SDF-Viewer — отличная программа для управления сырым файлом базы данных Декларант-Алко. Сценариев использования этой программы много. Мы используем её для обрезки разросшейся алкогольной базы данных. Так случилось, что удаляя какую-либо декларацию из интерфейса самого Декларант-Алко, удаляется только строка в списке деклараций, а все данные по ней остаются в БД. Это не круто, особенно когда накопилось деклараций за несколько лет, и все кроме предыдущей лежат мёртвым грузом, замедляя работу с программой. Но при открытии файла .sdf из Вашей папки с БД, Вас ожидает неприятный сюрприз: программа запрашивает пароль. К счастью, он уже давно не является секретом.

Ошибка проводника: каждая папка открывается в новом окне

14 октября 2016 ВК Tw Fb

Почему же ошибка, спросите Вы? Если бы в Параметры папок > Общие переключатель в пункте «Обзор папок» стоял в таком режиме, то действительно всё хорошо. А что если все настройки верны, а каждая папка при работе с проводником всё равно открывается в новом окне? Уже интереснее. Решаем эту проблему.

Меняем режим работы контроллера HDD c > 19 января 2017 ВК Tw Fb

До недавних пор все материнские платы для настольных ПК в настройках контроллера HDD имели два режима работы HDD: IDE и AHCI. Чаще всего, особенно раньше, по-умолчанию был выбран режим IDE, хотя он и устаревший. ОС устанавливалась, зная о том, что для HDD выбран режим IDE, и прописывала этот режим работы в реестр. Если по каким-то причинам (обновление BIOS, смена настроек BIOS, сброс BIOS в режим по-умолчанию или Вы решили использовать RAID) происходило переключение режима с IDE на AHCI, Windows переставала загружаться, выдавая синий экран смерти с кодом 0x0000007B. Форумы пестрят сообщениями о том, что «нужно переустановить ОС». Конечно же, это поможет. Но есть и более простой способ!

База знаний «Try 2 Fix»

Все материалы свободны
к распространению с обязательным
указанием источника

Назначение: Windows Server 2008 R2

На этой странице мастера задаются сведения о том, какие протоколы и порты, указываемые в сетевом пакете, удовлетворяют данному правилу брандмауэра.

Чтобы перейти к этой странице мастера

В оснастке консоли MMC «Брандмауэр Windows в режиме повышенной безопасности» щелкните правой кнопкой мыши пункт Правила для входящих подключений или Правила для исходящих подключений и выберите команду Новое правило.

На странице Тип правила выберите Порт или Настраиваемый.

В мастере нажимайте кнопку Далее до тех пор, пока не дойдете до страницы Протокол и порты.

Тип протокола

Выберите протокол, сетевой трафик которого необходимо фильтровать с помощью данного правила брандмауэра. Если в списке нет требуемого протокола, выберите Настраиваемый и введите номер протокола в поле Номер протокола.

Если указываются протоколы TCP или UDP, то в полях Порт конечной точки 1 и Порт конечной точки 2 можно задать номера портов TCP или UDP.

Список протоколов, их портов и краткое описание см. в разделе библиотеки TechNet Страница свойств правила брандмауэра: Вкладка «Протоколы и порты» (http://go.microsoft.com/fwlink/?link >

Номер протокола

При выборе типа протокола соответствующий идентификационный номер протокола отображается в поле Номер протокола и доступен только для чтения. При выборе Настраиваемый для Типа протокола необходимо ввести идентификационный номер протокола в поле Номер протокола.

Локальный порт

Используя протоколы TCP или UDP, можно задать локальный порт, выбрав его в раскрывающемся списке или непосредственно задав порт или список портов. Локальный порт — это порт компьютера, к которому применяется профиль брандмауэра.

Для правил входящих подключений доступны следующие параметры:

Все порты. Доступен для правил входящих и исходящих подключений по протоколам TCP и UDP. Выбор этого параметра указывает, что все порты для выбранного протокола удовлетворяют правилу.

Определенные порты. Доступен для правил входящих и исходящих подключений по протоколам TCP и UDP. При выборе этого параметра разрешается ввод в текстовое поле требуемых номеров портов. Порты разделяются запятыми, диапазон портов указывается через дефис.

Сопоставитель конечных точек RPC. Доступен только для правил входящих подключений по протоколу TCP. При выборе этого параметра локальный компьютер будет получать входящие запросы RPC через порт TCP 135 для сопоставителя конечных точек RPC (RPC-EM). В запросе к RPC-EM указывается сетевая служба и запрашивается номер порта, по которому прослушивается указанная сетевая служба. RPC-EM сообщает номер порта, на который удаленный компьютер должен будет передавать сетевой трафик для данной службы. Этот параметр также позволяет RPC-EM принимать RPC-запросы по HTTP.

Динамические порты RPC. Доступен только для правил входящих подключений по протоколу TCP. При выборе этого параметра локальный компьютер будет получать входящие сетевые пакеты RPC через порты, назначенные средой выполнения RPC. Порты из временного диапазона RPC блокируются брандмауэром Windows, если они не были назначены исполняемым модулем RPC определенной сетевой службе RPC. Только программа, которой исполняемым модулем RPC назначен порт, может принимать входящий трафик через этот порт.

Когда приложение использует RPC для взаимодействия от клиента к серверу, то обычно необходимо создать два правила — одно для сопоставителя конечных точек RPC, а другое для динамического RPC.

IPHTTPS. Доступен только для TCP. Доступен в разделе Локальный порт только для правил входящих подключений. При выборе этого параметра локальному компьютеру разрешается принимать входящие пакеты IPTHTTPS от удаленного компьютера. IPHTTPS является протоколом туннелирования, который поддерживает внедрение пакетов IPv6 в сетевые пакеты IPv4 HTTPS. Это позволяет трафику IPv6 проходить через IP-прокси, которые не поддерживают IPv6 или некоторые другие технологии туннелирования IPv6, например Teredo или 6to4.

Обход узлов. Доступен только для правил входящих подключений по протоколу UDP. При выборе этого параметра локальному компьютеру разрешается получать входящие сетевые пакеты Teredo.

Удаленный порт

Используя протоколы типа TCP или UDP, можно задать локальный и удаленный порт, выбрав его в раскрывающемся списке или непосредственно введя номер порта или список портов. Удаленный порт — это порт на компьютере, пытающимся установить связь с другим компьютером, на котором применен профиль брандмауэра.

Для правил входящих подключений доступны следующие параметры:

Все порты. Доступен для правил входящих и исходящих подключений по протоколам TCP и UDP. Выбор этого параметра указывает, что все порты для выбранного протокола удовлетворяют правилу.

Определенные порты. Доступен для правил входящих и исходящих подключений по протоколам TCP и UDP. При выборе этого параметра разрешается ввод в текстовое поле требуемых номеров портов. Порты разделяются запятыми, диапазон портов указывается через дефис.

IPHTTPS. Доступен только для TCP. Доступен в разделе Удаленный порт только для правил исходящих подключений. При выборе этого параметра локальному компьютеру разрешается посылать удаленному компьютеру исходящие пакеты IPTHTTPS. IPHTTPS является протоколом туннелирования, который поддерживает внедрение пакетов IPv6 в сетевые пакеты IPv4 HTTPS. Это позволяет трафику IPv6 проходить через IP-прокси, которые не поддерживают IPv6 или некоторые другие технологии туннелирования IPv6, например Teredo или 6to4.

Параметры протокола ICMP

Если необходимо создать правило, которое будет разрешать или блокировать ICMP-пакеты, в списке Тип протокола выберите ICMPv4 или ICMPv6 и нажмите кнопку Настроить. Настроить эти параметры можно в диалоговом окне Настройка параметров ICMP.

Изменение этих настроек

После создания правила брандмауэра можно изменить эти настройки в диалоговом окне Свойства правила брандмауэра. Чтобы открыть это диалоговое окно, дважды щелкните правило в списке Правила для входящих подключений или Правила для исходящих подключений. Изменить эти настройки можно на вкладке Протоколы и порты.

Обзор интеллектуальной и адаптивной передачи данных в Windows 8 и Windows Server 2012

RDP 8 (RemoteFX) для WAN.

Обзор интеллектуальной и адаптивной передачи данных в Windows 8 и Windows Server 2012

В протоколе RDP 8 (RemoteFX) введены значительные улучшения в области передачи данных. Ниже перечислены ключевые задачи, стоявшие во время улучшения:

• Обеспечение скорости и гибкости работы пользователя в удаленном сеансе в любых WAN и беспроводных сетей.
• Важность использования стандартных протоколов безопасности, а не реализации пользовательской схемы безопасности передачи данных.
• Обеспечение максимально возможных улучшений для использования большинства пользовательских конфигураций в WAN. RDP 8 (RemoteFX) не является единственным потоком трафика в сети. Также стоит задача обеспечить баланс трафика RDP 8 (RemoteFX) с другими конкурирующими сетевыми потоками (например, просмотром веб-страниц).
• Использование оптимальных значений «по умолчанию», которые не требуют вмешательства пользователя, предоставляя при этом необходимые администраторам элементы управления для настройки.

Ключевыми особенностями RDP 8 (RemoteFX) для WAN являются:

• Автоматическое определение качества сети для адаптации к начальным и меняющимся условиям
• UDP оптимизация для сетей с потерей пакетов и возможность предоставления лучших условий доставки мультимедийного контента
• FEC для уменьшения потерь, без ретрансляции
• Возврат к протоколу TCP, когда UDP недоступен
• Встроенная поддержка UDP для соединения RDP 8 (RemoteFX) через шлюз удаленных рабочих столов
• Промышленный стандарт безопасности и протоколы контроля перегрузок.

Далее, мы более подробно опишем эти улучшения.

Цель — WAN сети

Традиционное определение WAN (глобальные сети) предполагает высокую латентность сети, которая может быть ограничена пропускной способностью (по сравнению с LAN).

Тем не менее, на практике существует широкий спектр сетевых конфигураций, которые могут квалифицироваться как WAN. Примерами таких сетей являются: Американская национальная сеть (например, 60 мс RTT, 5 Мбит мощности, 1% потерь), межконтинентальные связи (например, 250 мс RTT, 3 Mbps мощности, 1% потерь) и филиальные соединения (например, 100 мс время отклика, 256 Kbps мощности, 0,5% потерь). Наряду с этими традиционными WAN сетями, существуют также сложные мобильные и беспроводные сети (например, 3G/4G связь с 200 мс RTT, 1 Мбит мощности, 5% потерь), при использовании которых возникают проблемы с работой удаленных рабочих столов из-за высокой потери пакетов и джиттера задержки сигнала при помехах.

При проектировании методов пересылки пакетов RDP 8 (RemoteFX) для WAN, вместо того чтобы сосредоточиться на оптимизации для конкретного типа сети, мы сосредоточились на решении проблем, вызванных каждым из фундаментальных факторов, влияющих на задержки, потерю пакетов и пропускную способность. Мы также рассмотрели другие важные факторы, такие как изменение задержки (так называемый «джиттер») и модели потери пакетов (одиночной или постоянной, с зависанием и без него).

В следующих разделах мы обсудим влияние этих фундаментальных факторов на производительность WAN и соответствующие улучшения RDP 8 (RemoteFX).

Автоматическое определение скорости подключения к сети

Цель эффективной передачи данных – использование полного ресурса пропускной способности сети, при минимальных задержках. По отдельности эти цели легко достижимы, и при этом их трудно совместить. Передача данных в более высоком объеме, чем позволяет сеть ведет к необходимости в более высокой пропускной способности, что в свою очередь приводит к формированию «очередей» в различных точках сети. Эти очереди увеличивают задержку, что крайне вредно для реагирования любые интерактивных приложений реального времени, таких как Remote Desktop.

Основная же цель – снижение задержек и отправка минимального количества данных. Тем не менее, это приведет к сокращению качества контента из-за ограниченности полосы пропускания для таких потоков, как графика и мультимедиа. Для узкой сети (C) и задержками в обе стороны (RTT), в идеале необходимо всегда держать пересылку ближе к C * (RTT) байт, но не более. Задача состоит в определении задержки и пропускной способности сети, которая используется для соединения RDP 8 (RemoteFX).

Многие из Вас могут быть знакомы с возможностью пользовательского выбора скорости соединения Remote Desktop Connection (показано на следующем рисунке). При выборе этих вариантов мы смогли улучшить пропускную способность RDP 8 (RemoteFX) (и, следовательно, работы) путем изменения оценки наполнения сети, упомянутом ранее.

К сожалению, в таком варианте требуется, чтобы пользователь знал о скорости соединения, хотя даже этих знаний может быть не достаточно.

Клиент подключения к удаленному рабочему столу версии 7.Х (Windows 7)

Клиент подключения к удаленному рабочему столу 8.0 (Windows 8)

Для RDP 8 (RemoteFX) в релизах Windows Server 2012 и Windows 8 добавлена возможность автоматического определения скорости для решения проблемы плотности наполнения. Эта функция встроена по умолчанию в Remote Desktop Connection и позволяет избавить пользователей от необходимости догадываться о скорости их соединения. Во время установления соединения и выполнения пересылки потока данных, эта функция используется для расчета мощности сети и задержек связи. Эти факторы затем используются для определения количества данных, необходимых для поддержания плотности соединения, минимизируя задержки. Кроме того, способность обнаружения условий сети открывают новые возможности RDP 8 (RemoteFX), которые позволяют адаптироваться к меняющимся сетевым условиям (например, RDP 8 (RemoteFX) Media Streaming на основе информации о сетевых условиях может принять решение, какой битрейт использовать для передачи видео).

На рисунке ниже показано улучшение пропускной способности сети с помощью RDP 8 (RemoteFX) автоматического определения скорости подключения к сети. Мы не показываем здесь конфигурации LAN, так как большинство протоколов ведут себя в локальной сети хорошо. Данные на графике показывают, что в процентном отношении, значительно улучшили пропускную способность TCP по сравнению с Windows Server 2008 R2. Тем не менее, существует теоретический предел пропускной способности TCP при более высоких потерях и задержках. Мы обсудим эти ограничения и возможности, связанные с RDP 8 (RemoteFX) в следующем разделе.

UDP для обработки потерь пакетов

Даже если протокол решает проблему наполнения сети, то потеря пакетов может внести хаос в производительность работы. Ниже приведены две причины, почему же потеря пакетов это плохо.

Блокировка начала строки.

TCP протокол обеспечивает надежность и порядок доставки данных, и при этом потерянные пакеты должны быть повторно переданы отправителем. Ретранслируемые пакеты часто застревают в TCP очередях и не могут быть доставлены. Этот срыв называют «блокировкой начала строки» и это особенно вредно для реагирования на WAN, потому время простоя, по крайней мере, в 1,5 раза больше сетей RTT.

Потеря пропускной способности.

Любой мало-мальски хороший сетевой прокол нуждается в управлении перегрузкой, которая позволяла бы отправителям уменьшать скорость передачи при перегрузке. Отсутствие такого контроля может привести к коллапсу, кода возникнут большие потери пакетов, задержки и маленькая пропускная способность. TCP использует управление перегрузкой на основе потерь [NewReno или другие варианты алгоритма Additive Increase Multiplicative Decrease (AIMD)], когда каждая потеря пакетов предположительно происходит от перегрузки сети. Таким образом, происходит сброс (за счет сокращения скользящего окна наполовину) на каждую потерю пакетов. Этот подход работает исключительно хорошо в глобальной сети Интернет. Однако это может привести к серьезной потере пропускной способности в сетях, где у нас есть потери, не связанные с затором (например, Wi-Fi, 3G/4G и наиболее высокая латентность сети). Убыток от снижения пропускной способности TCP является более выраженным при больших задержках.

На следующем рисунке показан этот эффект. Максимальная теоретическая пропускная способность TCP для 50 Мбит с учетом нескольких различных уровней потерь и задержек (рассчитывается по формуле Mathis). Как показано, комбинируя потери и задержки можно добиться снижения реальной пропускной способности до 270 Kbps, даже несмотря на доступность 50 Мбит! Пока мы используем TCP, мы связаны правилами порядка доставки и управления перегрузкой, агрессивно реагирующими на каждую потерю.

RDP 8 (RemoteFX) вместе с протоколом UDP снимают эти ограничения и все эти факторы берутся под контроль. Протокол UDP может обеспечить надежные и лучшие условия доставки данных в зависимости от потребностей их отправителей. Например, пользователи аудио и видеопотоков менее озабочены восстановлением от потери пакетов и больше заинтересованы в подавлении джиттера. Для таких потоков данных UDP может обеспечить лучшую эффективность без необходимости повторной передачи. Для тех, кому надежность поставки более важна, UDP в RDP 8 (RemoteFX) включает в себя важные технологии повышения надежности, некоторые из которых указанны ниже.

Прямая коррекция ошибок.

UDP в RDP 8 (RemoteFX) использует Forward Error Correction (FEC), чтобы восстановится при потери пакетов данных. В тех случаях, когда такие пакеты могут быть восстановлены, пересылке не нужно ждать, чтобы данные были повторно отправлены, что позволяет совершить немедленную доставку данных, и предотвращает «Блокировку начала строки». Это улучшение приводит к общему повышению оперативности реагирования.

О потере пропускной способности. Протокол без строгого контроля перегрузки очень вреден для производительности сети и может повлиять на все сетевые потоки даже за пределами удаленного взаимодействия. Таким образом, протокол UDP в RDP 8 (RemoteFX) реализует промышленный стандарт управления перегрузкой, и при этом включены следующие преимущества:

• Компенсация пропускной способности при потерях не связанных с их зависанием (например, потеря пакетов от источника помех, WiFi)
• Улучшенное ускорение восстановления после потери сети
• Баланс трафика RDP 8 (RemoteFX) и других конкурирующих трафиков в сети

Поскольку прямая коррекция ошибок требует некоторой избыточности в передаваемых данных, мы бы не хотели, чтобы данные затраты возникали в самый неудобный момент. Таким образом, UDP добавлен в дополнение к текущим возможностям TCP и используется для передачи интерактивных данных (таких, как графика, аудио, видео и сенсорные команды). В то время как остальные возможности до сих пор использовались для первоначального подключения и неинтерактивного трафика.

На следующем рисунке показаны улучшения, которые мы можем достичь в общей пропускной способности по сравнению с TCP. Это очень небольшая часть матрицы измерения производительности используется для оценки RDP 8 (RemoteFX) и передачи данных по протоколу UDP.

Пропускная способность — всего лишь часть оптимизированной передачи данных в WAN. Очередь задержки имеет не менее важную роль. На следующем рисунке показано, как UDP в RDP 8 (RemoteFX) в состоянии удерживать задержки в хорошем диапазоне (около или меньше 100 мс) даже в экстремальных условиях WAN.

На следующем рисунке показан визуальный обзор типов повышения производительности и их ожидаемое воздействие.

Безопасность протокола UDP в RDP 8 (RemoteFX)

Как уже говорилось выше, протокол UDP в RDP 8 (RemoteFX) обеспечивает значительное повышение производительности в различных WAN конфигурациях. Удалось добиться прироста производительности без ущерба безопасности.

Когда UDP используется для надежной передачи данных, он защищен с помощью протокола Secure Sockets Layer (SSL), который похож на TCP протокол. Однако SSL не может быть использован для максимальных объемов передачи данных, где некоторые данные могут быть потеряны. Вместо того, чтобы изобретать собственный механизм безопасности UDP, что потребовало бы много времени и сил, мы объединились с группой безопасности Windows для использования Datagram Transport Layer Security (DTLS), который является предлагаемым стандартом, определенным как IETF RFC 6347.

Подключение протокола UDP в RDP 8 (RemoteFX)

Протокол UDP может не всегда быть доступным в связи с отсутствием поддержки в некоторых сетевых конфигурациях. Мы предприняли шаги, чтобы протокол UDP был доступен в большинстве зависящих от нас сетевых конфигурациях. Наиболее значительные из этих шагов — встроенная поддержка UDP в RD (TS) Gateway (а не через TCP, как некоторые VPN). Для безопасности и удобства управления, только один порт (3391) открыт на RD (TS) Gateway для соединения UDP (по аналогии с TCP). Кроме того, только один порт (3389) для UDP открыт на терминальном сервере (по аналогии с TCP).

Дополнительно, подключение с использованием протокола UDP показывает индикатор качества связи в клиентах подключения к удаленному рабочему столу (версии 8.0 или Metro).

Настройка RDP 8 (RemoteFX) для WAN

Мы предоставили необходимые параметры групповых политик, которые позволяют администратору контролировать новые параметры RDP 8 (RemoteFX) для WAN. Эти параметры политик находятся в разделе Конфигурация компьютера -> Административные шаблоны -> Компоненты Windows -> Службы удаленного рабочего стола -> Узел сеансов удаленных рабочего стола -> Подключения.

Один из этих параметров политики позволяет администратору настроить использование протоколов UDP и TCP.

Другой параметр политики позволяет администратору настроить автоматическое определение скорости подключения к сети для RDP 8 (RemoteFX).

Заключение

Таким образом, протокол RDP 8 (RemoteFX) включает в себя методы передачи, которые являются адаптивными к изменениям состояния сети и потери пакетов. Хотя протокол UDP обеспечивает лучшую производительность в беспроводных сетях и сетях с высокой латентностью WAN, мы понимаем, что UDP-соединения не всегда могут быть установлены во многих реальных сетевых конфигурациях.

Таким образом, многие другие улучшения протокола RDP 8 (RemoteFX) для WAN, такие как автоматическое определение скорости подключения к сети также были включены в транспортный протокол TCP, динамически переключаясь на TCP там, где протокол UDP не доступен. Передача UDP включает промышленные стандарты шифрования и безопасности и также изначально поддерживается через шлюз удаленных рабочих столов.

Протокол RDP 8 (RemoteFX), в сочетании с адаптивной графикой и другими улучшениями, обеспечивает оптимальное взаимодействие пользователя с любыми существующими сетями.

О компании

© 2003-2019 SysElegance Ltd. All rights reserved.

$ sudo netstat -tulpn
или
$ sudo ss -tulpn

$ sudo watch netstat -tulpn
или
$ sudo watch ss -tulpn