Порт rdp tcp или udp: Как сделать работу с Microsoft Remote Desktop лучше / Хабр

Содержание

Как сделать работу с Microsoft Remote Desktop лучше / Хабр

Хочу поделиться несколькими советами по настройке удаленного подключения к рабочим местам по RDP. Расскажу как проапгрейдить древний RPC-HTTP до UDP, похвалю и поругаю Windows 10 и AVC, разберу решение нескольких типичных проблем.

Считаем, что для подключения используется Remote Desktop Gateway (RDGW), а в качестве серверов выступают рабочие станции. Использовать RDGW очень удобно, потому что шлюз становится общей точкой входа для всех клиентов. Это дает возможность лучше контролировать доступ, вести учет подключений и их продолжительность. Даже если VPN позволяет подключиться к рабочим машинам напрямую — это не лучший вариант.

RDGW настраивается быстро, просто, а Let’s Encrypt и win-acme легко решают проблему с доверенным сертификатом.

Есть три транспортных протокола по которым клиент может подключиться с серверу:

RPC-HTTP (плохо)
HTTP (лучше)
HTTP+UDP (отлично)

Под сервером будем понимать рабочую машину, под клиентом — домашнюю.

Первое, с чего стоит начать, это «плохо» превратить в «отлично».


Подключение в сессию с использованием RPC-HTTP легко определить по внешнему виду полоски подключения.

Здесь нет значка качества подключения (о нем ниже), а значит мы используем старый RPC, обернутый в TLS — это очень медленно. Дело, конечно, не только в обертке — сам протокол меняется с каждым релизом ОС, меняются кодеки, алгоритмы упаковки изображения. Чем свежее протокол, тем лучше.

Что делать?

Windows XP или Vista


В XP можно поднять протокол с 5.1 до 7. Хотфикс windowsxp-kb969084-x86.exe

В Vista — c 6 до 7. Хотфикс имеет тот же номер, файлы windows6.0-kb969084-x64.msu или Windows6.0-KB969084-x86.msu

Но RDP 7 не работает по HTTP и UDP. Поможет только апгрейд клиента и сервера до Windows 7 и новее.

Windows 7

Сначала надо обновить протокол до RDP 8.1, а затем включить его. Поддержка добавляется обновлениями, которые сгруппированы в один загрузочный пакет:

www.microsoft.com/en-US/download/details.aspx?id=40986
Windows6.1-KB2574819-v2-x64.msu
windows6.1-kb2592687-x64.msu
Windows6.1-KB2830477-x64.msu
Windows6.1-KB2857650-x64.msu
Windows6.1-KB2913751-x64.msu (заменен kb2923545)

windows6.1-kb2923545-x64.msu

Так вы получите и свежий клиент mstsc.exe, и поддержку RDP 8.1 серверной части ОС.
Было:

Стало:

После этого протокол надо включить ключом реестра (для этого можно использовать adm шаблон в комплекте с Windows 7).

[HKEY_LOCAL_MACHINE\SOFTWARE\Policies\Microsoft\Windows NT\Terminal Services]
"fServerEnableRDP8"=dword:00000001
 
[HKEY_LOCAL_MACHINE\SOFTWARE\Wow6432Node\Policies\Microsoft\Windows NT\Terminal Services]
"fServerEnableRDP8"=dword:00000001

Включите поддержку транспорта UDP в групповой политике.

Перезагружаем сервер с Windows 7. Тот самый случай, когда может потребоваться перезагрузиться дважды — значение в реестре должно быть установлено до того, как включился RDP, а групповая политика применяется позже.

Если все получилось, то при подключении к серверу в полоске сессии появится иконка качества подключения (как в телефоне для мобильной сети):

Windows 8 и новее

Протокол работает «из коробки».


Если ваша сеть не склонна к потере пакетов, UDP существенно (для CAD — радикально) повышает отзывчивость сервера за счет использования FEC для сокращения ретрансмиссии, а также перехода подтверждения доставки пакетов с уровня системного стека TCP/IP на уровень протокола RDP-UDP.

От каждого клиента подключается одна основная управляющая сессия по HTTP (в этом канале также передается клавиатура/мышь), плюс одна или несколько сессий UDP для передачи картинки или других виртуальных каналов.

Мы коснемся только верхушки айсберга. Есть 3 различных версии протокола RDP-UDP. Кроме того, сам UDP может работать в двух режимах UDP-R (reliable) и UDP-L (lossy). С Microsoft ничего просто не бывает. Но поскольку от нас здесь ничего не зависит, просто имейте в виду — чем новее операционная система, теме более современный протокол используется.

Снаружи RDP-UDP оборачивается в Datagram Transport Layer Security (DTLS) RFC4347, в чем вы можете убедиться открыв Wireshark.

Подробнее в документах:
[MS-RDPEMT]: Remote Desktop Protocol: Multitransport Extension
[MS-RDPEUDP]: Remote Desktop Protocol: UDP Transport Extension
[MS-RDPEUDP2]: Remote Desktop Protocol: UDP Transport Extension Version 2
Где не прав — поправьте, пожалуйста.

Что же нужно для включения UDP?

RDP-UDP поддерживается начиная с RDP 8.

На клиенте должен быть открыт порт udp/3389. Если вы его закрыли локальным firewall, ACL на свитче или внешнем файрволле — порт надо открыть.

Для сервера Remote Desktop Gateway к порту tcp/443 надо открыть udp/3391.

Порт можно поменять, вот как он настраивается:

Для Windows 7 обязательно должен быть включен NLA (Network Level Authentication).

Можно включить в групповой политике

или через реестр

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Terminal Server\WinStations\RDP-Tcp]
"SecurityLayer"=dword:00000001

В чем связь непонятно. Но без NLA на 7-ке не работает, на более свежих релизах NLA для работы UDP не обязателен.

После установления сессии по HTTP, клиент и сервер пробуют согласовать подключение по UDP. Если есть выпадение пакетов или задержки, то сессия UDP не запустится. Точный алгоритм отказа согласования UDP до конца не понятен.

Если все настроено, то после подключения нажмите на кнопку качества связи. В окошке будет указано, что согласован UDP.

На шлюзе это выглядит так:

Windows 10

Если у вас Windows 10 и на сервере, и на клиенте, то это самый быстрый и беспроблемный вариант. В Microsoft активно дорабатывают RDP, и в свежих релизах 10 вы можете рассчитывать на неплохую скорость работы. Коллеги не смогли обнаружить разницу между Citrix и Windows 10 RDP по скорости работы в AutoCAD.

Про эволюцию кодеков RDP на базе AVC в Windows 10 есть хорошая статья
Remote Desktop Protocol (RDP) 10 AVC/H.264 improvements in Windows 10 and Windows Server 2016 Technical Preview

Согласование AVC с аппаратным кодированием можно увидеть в журнале событий (подробнее в статье выше):

Замечу только, что проблема искажений все же есть даже с h.264 4:4:4. Она сразу бросается в глаза если работать в PowerShell ISE — текст ошибок выводится с неприятным искажением. Причем на скриншоте и на фотографии все отлично. Волшебство.

Также косвенным признаком работы AVC являются время от времени появляющиеся зеленые квадраты по углам.

AVC и аппаратное кодирование в свежих билдах должно работать из коробки, но групповая политика никогда не бывает лишней:

С учетом того, что AVC кодируется аппаратно видеокартой, то обновить драйверы видео — хорошая идея.


XP и Vista

Если проблема возникает на Windows XP или Vista, попробуйте сначала обновить протокол до 7 версии (писал в начале статьи). Обязательно включите поддержку CredSSP. На сайте Microsoft статьи уже удалены, но Интернет помнит.

Если не помогло — «доктор говорит в морг, значит в морг». Что испытала на себе операционная система за последние 15 лет — лучше об этом даже и не думать.

NLA

Иногда помогает отключение NLA на сервере. Выяснить причину не получилось, домашние машины все разные.

NTLM

Некоторые клиенты пытаются авторизоваться с использованием NTLMv1. Причины разные, но исправить на клиенте можно так:

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Lsa]
"LmCompatibilityLevel"=dword:00000003

Перезагрузка обязательна.

Если вы

молоды и дерзки ничего не боитесь, то есть более радикальное решение — отключение Channel Binding на Remote Desktop Gateway

HKLM\Software\Microsoft\Windows NT\CurrentVersion\TerminalServerGateway\Config\Core
Type: REG_DWORD
Name: EnforceChannelBinding
Value: 0 (Decimal)

Делать так не надо. Но мы делали. 🙂 Для клиента, который настаивал (нет не так, НАСТАИВАЛ) что NTLMv1 на рабочих станциях ему необходим. Не знаю, может там серверы на NT4 без SP еще в работе.

Отключение RDP 8+ в Windows 10

Если ничего не помогает, а идеи кончились, можно воспользоваться недокументированным ключом для даунгрейда протокола RDP до 7 версии.

[HKEY_CURRENT_USER\Software\Microsoft\Terminal Server Client]
"RDGClientTransport"=dword:00000001

Сам не делал, и вам не советую. Но кому-то, пишут, что помогает.

DrWeb

Компонент Dr.Web SpIDerGate может запретить подключение. В этом случае возвращается ошибка:


В статистике Dr.Web будет запись:

В комментариях к этой статье со мной связался сотрудник Dr.Web и наша проблема решилась в ближайшем обновлении антивирусных баз.
Если у вас такая же ошибка, лучше обратиться в поддержку.
Как временное решение, можно внести URL вашего RDGW в исключения:

И только если не помогло отключить компонент SpIDer Gate полностью.

Системный прокси

Встретился списанный компьютер из какой-то компании, где в качестве системного прокси был прописан местный TMG, и подключение к RDGW не работало. Это можно исправить так:

netsh winhttp show proxy && netsh winhttp reset proxy

Переключение раскладок клавиатуры

Иногда приезжают лишние раскладки. Можно отключить проброс раскладки с клиента

[HKLM\System\CurrentControlSet\Control\Keyboard Layout]
"IgnoreRemoteKeyboardLayout"=dword:00000001

Проблемы с DPI

Масштабирование приходит с клиентской машины, и если на домашнем ноутбуке стоит 125%, то и на рабочей машине будет так же. На серверах это можно отключить, а на рабочих станциях не нашел как. Но в магазине приложений Windows 10 есть «современный» клиент.

В нем можно настроить DPI:


Есть счетчик производительности «Шлюз служб терминалов\Текущие подключения», который немного глючит, если нет подключений или сервер долго не перезагружался. Он показывает именно число подключений, но как мы помним, для HTTP+UDP их как минимум два, а может быть и больше. Поэтому это не совсем объективный показатель числа подключений сотрудников.

Есть класс WMI Win32_TSGatewayConnection. Его содержимое соответствует тому, что вы видите в разделе «Наблюдение» шлюза удаленных рабочих столов.

С ним число подключений можно посчитать поточнее:

Get-WmiObject -class "Win32_TSGatewayConnection" -namespace "root\cimv2\TerminalServices" 
|?{$_.transportprotocol -ne 2}|select username,connectedresource|sort username|Get-Unique -AsString| measure|select -ExpandProperty count

Just for fun есть утилита Remote Display Analyzer. Бесплатная версия мне ничего полезного не показала, но вдруг кому-то пригодится.

А как же тонкий тюнинг, настройка нескольких десятков параметров сессии?

Здесь уместен принцип Парето: 20% усилий дают 80% результата. Если вы готовы инвестировать ваше время в оставшиеся 20% результата — отлично. Только имейте в виду, что когда вы читаете статью о настройке протокола в Windows 7, то не знаете про какой протокол писал автор — 7, 8 или 8.1. Когда читаете про Windows 10 без указания релиза — проблемы те же. Например, пишут что в свежих билдах Windows 10 кодек AVC/h.264 изменился на RDPGFX_CODECID_AVC444V2, а в Windows Server 2016 остался RDPGFX_CODECID_AVC444.

Из всех таких советов мы используем только две настройки:

  1. 16 bit цвет, об этом можно почитать в статье MS RDP Performance / Bandwidth Usage
  2. Отключение сглаживания шрифтов font smoothing:i:0 по статье выше или Performance Tuning Remote Desktop Session Hosts

Сомневаюсь, что они дают какой-то ощутимый результат.

Вот мы и подошли к концу статьи. Хотел покороче, а получилось как всегда. Рад, если кому-то эти советы помогут сэкономить время или улучшить настройку своей инфраструктуры.

Список часто используемых сетевых портов

Honeywell Metrologic MS3780 не считывает штрих-код EAN13 + EAN5

29 октября 2016 ВК Tw Fb

У одного нашего клиента множество похожего товара, но всё-таки разного. Поэтому производитель печатает на товаре не привычный штрих-код EAN13, а EAN13 с дополнительными 5 символами, то есть EAN13 + EAN5. И так случилось, что сканер не считывает эти дополнительные символы. Решаем эту проблему.

FreeBSD 11: WEB-сервер своими руками. MySQL 5.5 + Nginx + PHP-FPM 5.6

2 декабря 2016 ВК Tw Fb

Инструкция по настройке полноценного WEB-сервер на основе FreeBSD 11. В комплекте у нас MySQL 5.5, PHP-FPM 5.6.27 и Nginx. Никаких невероятных откровений по тюнингу и быстродействию Вы здесь не найдёте. Наша цель получить готовый WEB-сервер с полным набором приложений максимально простым путём. Поехали.

Ярлык Мой компьютер в Windows 10

12 мая 2017 ВК Tw Fb

По некой необъяснимой причине ярлык «Мой компьютер» или «Компьютер», или «Этот компьютер» исчез с рабочего стола в Windows 10. И вернуть его так же просто как это было в Windows 7 (перетаскиванием из меню «Пуск») или Windows XP уже не получается. Но мы поможем справиться с этой бедой.

RDP. Игра в три буквы / Блог компании RUVDS.com / Хабр

Как известно, протокол удаленного рабочего стола (Remote Desktop Protocol или RDP) позволяет удаленно подключаться к компьютерам под управлением Windows и доступен любому пользователю Windows, если у него не версия Home, где есть только клиент RDP, но не хост. Это удобное, эффективное и практичное средство для удаленного доступа для целей администрирования или повседневной работы. В последнее время оно приглянулось майнерам, которые используют RDP для удаленного доступа к своим фермам. Поддержка RDP включена в ОС Windows, начиная еще с NT 4.0 и XP, однако далеко не все знают, как ею пользоваться. Между тем можно открывать удаленный рабочий стол Microsoft с компьютеров под Windows, Mac OS X, а также с мобильных устройств с ОС Android или с iPhone и iPad.


Если должным образом разбираться в настройках, то RDP будет хорошим средством удаленного доступа. Он дает возможность не только видеть удаленный рабочий стол, но и пользоваться ресурсами удаленного компьютера, подключать к нему локальные диски или периферийные устройства. При этом компьютер должен иметь внешний IP, (статический или динамический), или должна быть возможность «пробросить» порт с маршрутизатора с внешним IP-адресом.

Серверы RDP нередко применяют для совместной работы в системе 1С, или на них разворачивают рабочие места пользователей, позволяя им подключаться к своему рабочему месту удаленно. Клиент RDP позволяет дает возможность работать с текстовыми и графическими приложениями, удаленно получать какие-то данные с домашнего ПК. Для этого на роутере нужно пробросить порт 3389, чтобы через NAT получить доступ к домашней сети. Тоже относится к настройке RDP-сервера в организации.

RDP многие считают небезопасным способом удаленного доступа по сравнению с использованием специальных программ, таких как RAdmin, TeamViewer, VNC и пр. Другой предрассудок – большой трафик RDP. Однако на сегодня RDP не менее безопасен, чем любое другое решение для удаленного доступа (к вопросу безопасности мы еще вернемся), а с помощью настроек можно добиться высокой скорости реакции и небольшой потребности в полосе пропускания.

Как защитить RDP и настроить его производительность

Шифрование и безопасность Нужно открыть gpedit.msc, в «Конфигурация компьютера — Административные шаблоны — Компоненты Windows — Службы удаленных рабочих столов — Безопасность» задать параметр «Требовать использования специального уровня безопасности для удаленных подключений по методу RDP» и в «Уровень безопасности» выбрать «SSL TLS». В «Установить уровень шифрования для клиентских подключений» выберите «Высокий». Чтобы включить использование FIPS 140-1, нужно зайти в «Конфигурация компьютера — Конфигурация Windows — Параметры безопасности — Локальные политики — Параметры безопасности» и выбрать «Системная криптография: использовать FIPS-совместимые алгоритмы для шифрования, хэширования и подписывания». Параметр «Конфигурация компьютера — Параметры Windows — Параметры безопасности — Локальные политики — Параметры безопасности» параметр «Учетные записи: разрешать использование пустых паролей только при консольном входе» должен быть включен. Проверьте список пользователей, которые могут подключаться по RDP.
Оптимизация Откройте «Конфигурация компьютера — Административные шаблоны — Компоненты Windows — Службы удаленных рабочих столов — Среда удаленных сеансов». В «Наибольшая глубина цвета» выберите 16 бит, этого достаточно. Снимите флажок «Принудительная отмена фонового рисунка удаленного рабочего стола». В «Задание алгоритма сжатия RDP» установите «Оптимизация использования полосы пропускания. В «Оптимизировать визуальные эффекты для сеансов служб удаленных рабочих столов» установите значение «Текст». Отключите «Сглаживание шрифтов».

Базовая настройка выполнена. Как подключиться к удаленному рабочему столу?

Подключение к удаленному рабочему столу


Для подключения по RDP необходимо, на удаленном компьютере была учетная запись с паролем, в системе должны быть разрешены удаленные подключения, а чтобы не менять данные доступа при постоянно меняющемся динамическом IP-адресе, в настройках сети можно присвоить статический IP-адрес. Удаленный доступ возможен только на компьютерах с Windows Pro, Enterprise или Ultimate.
 
Для удаленного подключения к компьютеру нужно разрешить подключение  в «Свойствах Системы» и задать пароль для текущего пользователя, либо создать для RDP нового пользователя. Пользователи обычных аккаунтов не имеют права самостоятельно предоставлять компьютер для удаленного управления. Такое право им может дать администратор. Препятствием использования протокола RDP может стать его блокировка антивирусами. В таком случае RDP нужно разрешить в настройках антивирусных программ.

Стоит отметить особенность некоторых серверных ОС: если один и тот же пользователь попытается зайти на сервер локально и удаленно, то локальный сеанс закроется и на том же месте откроется удаленный. И наоборот, при локальном входе закроется удаленный сеанс. Если же зайти локально под одним пользователем, а удаленно — под другим, то система завершит локальный сеанс.

Подключение по протоколу RDP осуществляется между компьютерами, находящимися в одной локальной сети, или по интернету, но для этого потребуются дополнительные действия – проброс порта 3389 на роутере, либо соединение с удаленным компьютером по VPN.

Чтобы подключиться к удаленному рабочему столу в Windows 10, можно разрешить удаленное подключение в «Параметры — Система — Удаленный рабочий стол» и указать пользователей, которым нужно предоставить доступ, либо создать отдельного пользователя для подключения. По умолчанию доступ имеют текущий пользователь и администратор. На удаленной системе запустите утилиту для подключения.

Нажмите Win+R, введите MSTSC и нажмите Enter. В окне введите IP-адрес или имя компьютера, выберите «Подключить», введите имя пользователя и пароль. Появится экран удаленного компьютера.


При подключении к удаленному рабочему столу через командную строку (MSTSC) можно задать дополнительные параметры RDP:
Параметр Значение
/v:<сервер[: порт]>
Удаленный компьютер, к которому выполняется подключение.
/admin
Подключение к сеансу для администрирования сервера.
/edit
Редактирование RDP-файла.
/f
Запуск удаленного рабочего стола на полном экране.
/w:<ширина>
Ширина окна удаленного рабочего стола.
/h:<высота>
Высота окна удаленного рабочего стола.
/public
Запуск удаленного рабочего стола в общем режиме.
/span
Сопоставление ширины и высоты удаленного рабочего стола с локальным виртуальным рабочим столом и развертывание на несколько мониторов.
/multimon
Настраивает размещение мониторов сеанса RDP в соответствии с текущей конфигурацией на стороне клиента.
/migrate
Миграция файлов подключения прежних версий в новые RDP-файлы.


Для Mac OS компания Microsoft выпустила официальный RDP-клиент, который стабильно работает при подключении к любым версиям ОС Windows. В Mac OS X для подключения к компьютеру Windows нужно скачать из App Store приложение Microsoft Remote Desktop. В нем кнопкой «Плюс» можно добавить удаленный компьютер: введите его IP-адрес, имя пользователя и пароль. Двойной щелчок на имени удаленного рабочего стола в списке для подключения откроет рабочий стол Windows.

На смартфонах и планшетах под Android и iOS нужно установить приложение Microsoft Remote Desktop («Удаленный рабочий стол Майкрософт») и запустить его. Выберите «Добавить» введите параметры подключения — IP-адрес компьютера, логин и пароль для входа в Windows. Еще один способ — проброс на роутере порта 3389 на IP-адрес компьютера и подключение к публичному адресу роутера с указанием данного порта. Это делается с помощью опции Port Forwarding роутера. Выберите Add и введите:

Name: RDP
Type: TCP & UDP
Start port: 3389
End port: 3389
Server IP: IP-адрес компьютера для подключения.

А что насчет Linux? RDP –закрытый протокол Microsoft, она не выпускает RDP-клиентов для ОС Linux, но можно воспользоваться клиентом Remmina. Для пользователей Ubuntu есть специальные репозитории с Remmina и RDP.

Протокол RDP также используется для подключения к виртуальным машинам Hyper-V. В отличие от окна подключения гипервизора, при подключении по RDP виртуальная машина видит различные устройства, подсоединенных к физическому компьютеру, поддерживает работу со звуком, дает более качественное изображение рабочего стола гостевой ОС и т.д.

У провайдеров виртуального хостинга серверы VPS под Windows по умолчанию обычно также доступны для подключения по стандартному протоколу RDP. При использовании стандартной операционной системы Windows для подключения к серверу достаточно выбрать: «Пуск — Программы — Стандартные — Подключение к удаленному рабочему столу» или нажать Win+R и в открывшемся окне набрать MSTSC. В окне вводится IP-адрес VPS-сервера.

Нажав кнопку «Подключить», вы увидите окно с полями авторизации.

Чтобы серверу были доступны подключенные к вашему ПК USB-устройства и сетевые принтеры, при первом подключении к серверу выберите «Показать параметры» в левом нижнем углу. В окне откройте вкладку «Локальные ресурсы» и выберите требуемые параметры.

С помощью опции сохранения данных авторизации на удаленном компьютере параметры подключения (IP-адрес, имя пользователя и пароль) можно сохранить в отдельном RDP-файлом и использовать его на другом компьютере.

RDP также можно использовать для подключения к виртуальным машинам Azure.

Настройка другой функциональности удаленного доступа


В окне подключения к удаленному компьютеру есть вкладки с настраиваемыми параметрами.
Вкладка Назначение
«Экран» Задает разрешение экрана удаленного компьютера, то есть окна утилиты после подключения. Можно установить низкое разрешение и пожертвовать глубиной цвета.
«Локальные ресурсы» Для экономии системных ресурсов можно отключить воспроизведение звука на удаленном компьютере. В разделе локальных устройств и можно выбрать принтер и другие устройства основного компьютера, которые будут доступны на удаленном ПК, например, USB-устройства, карты памяти, внешние диски.

Подробности настройки удаленного рабочего стола в Windows 10 – в этом видео. А теперь вернемся к безопасности RDP.
 

Как «угнать» сеанс RDP?


Можно ли перехватывать сеансы RDS? И как от этого защищаться? Про возможность угона RDP-сессии в Microsoft Windows известно с 2011 года, а год назад исследователь Александр Корзников в своем блоге детально описал методики угона. Оказывается, существует возможность подключиться к любой запущенной сессии в Windows (с любыми правами), будучи залогиненным под какой-либо другой.

Некоторые приемы позволяют перехватить сеанс без логина-пароля. Нужен лишь доступ к командной строке NT AUTHORITY/SYSTEM. Если вы запустите tscon.exe в качестве пользователя SYSTEM, то сможете подключиться к любой сессии без пароля. RDP не запрашивает пароль, он просто подключает вас к рабочему столу пользователя. Вы можете, например, сделать дамп памяти сервера и получить пароли пользователей. Простым запуском tscon.exe с номером сеанса можно получить рабочий стол указанного пользователя — без внешних инструментов. Таким образом, с помощью одной команды имеем взломанный сеанс RDP. Можно также использовать утилиту psexec.exe, если она была предварительно установлена:

psexec -s \\localhost cmd

Или же можно создать службу, которая будет подключать атакуемую учетную запись, и запустить ее, после чего ваша сессия будет заменена целевой. Вот некоторые замечания о том, как далеко это позволяет зайти:
  • Вы можете подключиться к отключенным сеансам. Поэтому, если кто-то вышел из системы пару дней назад, вы можете просто подключиться прямо к его сеансу и начать использовать его.
  • Можно разблокировать заблокированные сеансы. Поэтому, пока пользователь находится вдали от своего рабочего места, вы входите в его сеанс, и он разблокируется без каких-либо учетных данных. Например, сотрудник входит в свою учетную запись, затем отлучается, заблокировав учетную запись (но не выйдя из нее). Сессия активна и все приложения останутся в прежнем состоянии. Если системный администратор входит в свою учетную запись на этом же компьютере, то получает доступ к учетной записи сотрудника, а значит, ко всем запущенным приложениям.
  • Имея права локального администратора, можно атаковать учетную запись с правами администратора домена, т.е. более высокими, чем права атакующего.
  • Можно подключиться к любой сессии. Если, например, это Helpdesk, вы можете подключиться к ней без какой-либо аутентификации. Если это администратор домена, вы станете админом. Благодаря возможности подключаться к отключенным сеансам вы получаете простой способ перемещения по сети. Таким образом, злоумышленники могут использовать эти методы как для проникновения, так и для дальнейшего продвижения внутри сети компании.
  • Вы можете использовать эксплойты win32k, чтобы получить разрешения SYSTEM, а затем задействовать эту функцию. Если патчи не применяются должным образом, это доступно даже обычному пользователю.
  • Если вы не знаете, что отслеживать, то вообще не будете знать, что происходит.
  • Метод работает удаленно. Вы можете выполнять сеансы на удаленных компьютерах, даже если не зашли на сервер.

Этой угрозе подвержены многие серверные ОС, а количество серверов, использующих RDP, постоянно увеличивается. Оказались уязвимы Windows 2012 R2, Windows 2008, Windows 10 и Windows 7. Чтобы не допустить угона RDP-сессий, рекомендуется использовать двухфакторную аутентификацию. Обновленные Sysmon Framework для ArcSight и Sysmon Integration Framework для Splunk предупреждают администратора о запуске вредоносных команд с целью угнать RDP-сессию. Также можно воспользоваться утилитой Windows Security Monitor для мониторинга событий безопасности.

Наконец, рассмотрим, как удалить подключение к удаленному рабочему столу. Это полезная мера нужна, если необходимость в удаленном доступе пропала, или требуется запретить подключение посторонних к удаленному рабочему столу. Откройте «Панель управления – Система и безопасность – Система». В левой колонке кликните «Настройка удаленного доступа». В разделе «Удаленный рабочий стол» выберите «Не разрешать подключения к этому компьютеру». Теперь никто не сможет подключиться к вам через удаленный рабочий стол.

В завершение – еще несколько лайфхаков, которые могут пригодиться при работе с удаленным рабочим столом Windows 10, да и просто при удаленном доступе.

  1. Для доступа к файлам на удаленном компьютере можно использовать OneDrive:
  2. Как перезагрузить удаленный ПК в Win10? Нажмите Alt+F4. Откроется окно:

    Альтернативный вариант — командная строка и команда shutdown.
    Если в команде shutdown указать параметр /i, то появится окно:

  3. В Windows 10 Creators Update раздел «Система» стал богаче на еще один подраздел, где реализована возможность активации удаленного доступа к компьютеру с других ОС, в частности, с мобильных посредством приложения Microsoft Remote Desktop:
  4. По разным причинам может не работать подключение по RDP к виртуальной машине Windows Azure. Проблема может быть с сервисом удаленного рабочего стола на виртуальной машине, сетевым подключением или клиентом удаленного рабочего стола клиента на вашем компьютере. Некоторые из самых распространенных методов решения проблемы RDP-подключения приведены здесь.
  5. Из обычной версии Windows 10 вполне возможно сделать терминальный сервер, и тогда к обычному компьютеру смогут подключаться несколько пользователей по RDP и одновременно работать с ним. Как уже отмечалось выше, сейчас популярна работа нескольких пользователей с файловой базой 1С. Превратить Windows 10 в сервер терминалов поможет средство, которое хорошо себя зарекомендовало в Windows 7 — RDP Wrapper Library by Stas’M.
  6. В качестве «RDP с человеческим лицом» можно использовать Parallels Remote Application Server (RAS), но некоторые его особенности должны быть настроены на стороне Windows Server (либо в виртуальных машинах, которые вы используете).

Как видите, решений и возможностей, которые открывает удаленный доступ к компьютеру, множество. Не случайно им пользуется большинство предприятий, организаций, учреждений и офисов. Этот инструмент полезен не только системным администраторам, но и руководителям организаций, да и простым пользователям удаленный доступ тоже весьма полезен. Можно помочь починить или оптимизировать систему человеку, который в этом не разбирается, не вставая со стула, передавать данные или получить доступ к нужным файлам находясь в командировке или в отпуске в любой точке мира, работать за офисным компьютером из дома, управлять своим виртуальным сервером и т.д.

Удачи!

P.S. Мы ищем авторов для нашего блога на Хабрахабре.
Если у вас есть технические знания по работе с виртуальными серверами, вы умеете объяснить сложные вещи простыми словами, тогда команда RUVDS будет рада работать с вами, чтобы опубликовать ваш пост на Хабрахабре. Подробности по ссылке.

Порт rdp tcp или udp

Список часто используемых сетевых портов

28 октября 2016 ВК Tw Fb

Существует множество вариантов использования данной информации (даже в мирных целях). Например, проброс портов за NAT Вашего сетевого оборудования. Вспоминаем наиболее часто используемые порты и их протоколы.

  • 20/TCP — передачи данных FTP (File Transer Protocol)
  • 21/TCP — передачи команд FTP
  • 22/TCP,UDP — порт SSH (Secure Shell)
  • 23/TCP,UDP — порт Telnet
  • 25/TCP,UDP — SMTP (Simple Mail Transfer Protocol) отправка почты
  • 53/TCP,UDP — DNS (Domain Name System) — разрешение сетевых имён
  • 69/TCP,UDP — TFTP (TrivialFTP)
  • 80/TCP,UDP — HTTP (HyperText Transfer Protocol)
  • 110/TCP,UDP — POP3 (Post Office Protocol 3) — приём почты
  • 123/TCP,UDP — NTP (Network Time Protocol) — синхронизация времени
  • 143/TCP,UDP — IMAP (Internet Message Access Protocol) — приём почты
  • 156/TCP,UDP — SQLSRV (SQL Service)
  • 443/TCP,UDP — HTTPS (HTTP Secure) HTTP с шифрованием по SSL или TLS
  • 465/TCP,UDP — SMTPS (SMTP Secure) — SMTP с шифрованием по SSL или TLS
  • 993/TCP,UDP — IMAPS (IMAP Secure) IMAP с шифрованием по SSL или TLS
  • 3389/TCP — RDP (Remote Desktop Protocol) удалённый рабочий стол Windows
  • 5432/TCP,UDP — PostgreSQL
  • 5900/TCP,UDP — Virtual Network Computing (VNC)
  • 7071/TCP —Zimbra Administration Console по протоколу HTTPS
  • 9090/TCP — Openfire Administration Console

Остались вопросы?

Лоджик Флоу

Аутсорсинг / Системное администрирование / Техническая поддержка / Сопровождение 1С:Предприятие

Что-то пошло не так? Специалисты нашей компании помогут Вам разобраться с возникшими проблемами! Обращайтесь! →

Также Ваши вопросы Вы можете задать в нашей группе ВК или на нашем YouTube канале!

Эти статьи будут Вам интересны

Декларант-Алко: пароль для базы данных в SDF Viewer

21 октября 2016 ВК Tw Fb

SDF-Viewer — отличная программа для управления сырым файлом базы данных Декларант-Алко. Сценариев использования этой программы много. Мы используем её для обрезки разросшейся алкогольной базы данных. Так случилось, что удаляя какую-либо декларацию из интерфейса самого Декларант-Алко, удаляется только строка в списке деклараций, а все данные по ней остаются в БД. Это не круто, особенно когда накопилось деклараций за несколько лет, и все кроме предыдущей лежат мёртвым грузом, замедляя работу с программой. Но при открытии файла .sdf из Вашей папки с БД, Вас ожидает неприятный сюрприз: программа запрашивает пароль. К счастью, он уже давно не является секретом.

Ошибка проводника: каждая папка открывается в новом окне

14 октября 2016 ВК Tw Fb

Почему же ошибка, спросите Вы? Если бы в Параметры папок > Общие переключатель в пункте «Обзор папок» стоял в таком режиме, то действительно всё хорошо. А что если все настройки верны, а каждая папка при работе с проводником всё равно открывается в новом окне? Уже интереснее. Решаем эту проблему.

Меняем режим работы контроллера HDD c > 19 января 2017 ВК Tw Fb

До недавних пор все материнские платы для настольных ПК в настройках контроллера HDD имели два режима работы HDD: IDE и AHCI. Чаще всего, особенно раньше, по-умолчанию был выбран режим IDE, хотя он и устаревший. ОС устанавливалась, зная о том, что для HDD выбран режим IDE, и прописывала этот режим работы в реестр. Если по каким-то причинам (обновление BIOS, смена настроек BIOS, сброс BIOS в режим по-умолчанию или Вы решили использовать RAID) происходило переключение режима с IDE на AHCI, Windows переставала загружаться, выдавая синий экран смерти с кодом 0x0000007B. Форумы пестрят сообщениями о том, что «нужно переустановить ОС». Конечно же, это поможет. Но есть и более простой способ!

База знаний «Try 2 Fix»

Все материалы свободны
к распространению с обязательным
указанием источника

Назначение: Windows Server 2008 R2

На этой странице мастера задаются сведения о том, какие протоколы и порты, указываемые в сетевом пакете, удовлетворяют данному правилу брандмауэра.

Чтобы перейти к этой странице мастера

    В оснастке консоли MMC «Брандмауэр Windows в режиме повышенной безопасности» щелкните правой кнопкой мыши пункт Правила для входящих подключений или Правила для исходящих подключений и выберите команду Новое правило.

    На странице Тип правила выберите Порт или Настраиваемый.

    В мастере нажимайте кнопку Далее до тех пор, пока не дойдете до страницы Протокол и порты.

    Тип протокола

    Выберите протокол, сетевой трафик которого необходимо фильтровать с помощью данного правила брандмауэра. Если в списке нет требуемого протокола, выберите Настраиваемый и введите номер протокола в поле Номер протокола.

    Если указываются протоколы TCP или UDP, то в полях Порт конечной точки 1 и Порт конечной точки 2 можно задать номера портов TCP или UDP.

    Список протоколов, их портов и краткое описание см. в разделе библиотеки TechNet Страница свойств правила брандмауэра: Вкладка «Протоколы и порты» (http://go.microsoft.com/fwlink/?link >

    Номер протокола

    При выборе типа протокола соответствующий идентификационный номер протокола отображается в поле Номер протокола и доступен только для чтения. При выборе Настраиваемый для Типа протокола необходимо ввести идентификационный номер протокола в поле Номер протокола.

    Локальный порт

    Используя протоколы TCP или UDP, можно задать локальный порт, выбрав его в раскрывающемся списке или непосредственно задав порт или список портов. Локальный порт — это порт компьютера, к которому применяется профиль брандмауэра.

    Для правил входящих подключений доступны следующие параметры:

      Все порты. Доступен для правил входящих и исходящих подключений по протоколам TCP и UDP. Выбор этого параметра указывает, что все порты для выбранного протокола удовлетворяют правилу.

    Определенные порты. Доступен для правил входящих и исходящих подключений по протоколам TCP и UDP. При выборе этого параметра разрешается ввод в текстовое поле требуемых номеров портов. Порты разделяются запятыми, диапазон портов указывается через дефис.

    Сопоставитель конечных точек RPC. Доступен только для правил входящих подключений по протоколу TCP. При выборе этого параметра локальный компьютер будет получать входящие запросы RPC через порт TCP 135 для сопоставителя конечных точек RPC (RPC-EM). В запросе к RPC-EM указывается сетевая служба и запрашивается номер порта, по которому прослушивается указанная сетевая служба. RPC-EM сообщает номер порта, на который удаленный компьютер должен будет передавать сетевой трафик для данной службы. Этот параметр также позволяет RPC-EM принимать RPC-запросы по HTTP.

    Динамические порты RPC. Доступен только для правил входящих подключений по протоколу TCP. При выборе этого параметра локальный компьютер будет получать входящие сетевые пакеты RPC через порты, назначенные средой выполнения RPC. Порты из временного диапазона RPC блокируются брандмауэром Windows, если они не были назначены исполняемым модулем RPC определенной сетевой службе RPC. Только программа, которой исполняемым модулем RPC назначен порт, может принимать входящий трафик через этот порт.

    Важно!
    При создании правил, разрешающих сетевой трафик RPC при помощи параметров Сопоставитель конечных точек RPC и Динамические порты RPC, разрешается весь сетевой трафик RPC. Брандмауэр Windows не может фильтровать трафик RPC при помощи идентификатора UUID целевой программы.

    Когда приложение использует RPC для взаимодействия от клиента к серверу, то обычно необходимо создать два правила — одно для сопоставителя конечных точек RPC, а другое для динамического RPC.

    IPHTTPS. Доступен только для TCP. Доступен в разделе Локальный порт только для правил входящих подключений. При выборе этого параметра локальному компьютеру разрешается принимать входящие пакеты IPTHTTPS от удаленного компьютера. IPHTTPS является протоколом туннелирования, который поддерживает внедрение пакетов IPv6 в сетевые пакеты IPv4 HTTPS. Это позволяет трафику IPv6 проходить через IP-прокси, которые не поддерживают IPv6 или некоторые другие технологии туннелирования IPv6, например Teredo или 6to4.

    Обход узлов. Доступен только для правил входящих подключений по протоколу UDP. При выборе этого параметра локальному компьютеру разрешается получать входящие сетевые пакеты Teredo.

    Удаленный порт

    Используя протоколы типа TCP или UDP, можно задать локальный и удаленный порт, выбрав его в раскрывающемся списке или непосредственно введя номер порта или список портов. Удаленный порт — это порт на компьютере, пытающимся установить связь с другим компьютером, на котором применен профиль брандмауэра.

    Для правил входящих подключений доступны следующие параметры:

      Все порты. Доступен для правил входящих и исходящих подключений по протоколам TCP и UDP. Выбор этого параметра указывает, что все порты для выбранного протокола удовлетворяют правилу.

    Определенные порты. Доступен для правил входящих и исходящих подключений по протоколам TCP и UDP. При выборе этого параметра разрешается ввод в текстовое поле требуемых номеров портов. Порты разделяются запятыми, диапазон портов указывается через дефис.

    IPHTTPS. Доступен только для TCP. Доступен в разделе Удаленный порт только для правил исходящих подключений. При выборе этого параметра локальному компьютеру разрешается посылать удаленному компьютеру исходящие пакеты IPTHTTPS. IPHTTPS является протоколом туннелирования, который поддерживает внедрение пакетов IPv6 в сетевые пакеты IPv4 HTTPS. Это позволяет трафику IPv6 проходить через IP-прокси, которые не поддерживают IPv6 или некоторые другие технологии туннелирования IPv6, например Teredo или 6to4.

    Параметры протокола ICMP

    Если необходимо создать правило, которое будет разрешать или блокировать ICMP-пакеты, в списке Тип протокола выберите ICMPv4 или ICMPv6 и нажмите кнопку Настроить. Настроить эти параметры можно в диалоговом окне Настройка параметров ICMP.

    Изменение этих настроек

    После создания правила брандмауэра можно изменить эти настройки в диалоговом окне Свойства правила брандмауэра. Чтобы открыть это диалоговое окно, дважды щелкните правило в списке Правила для входящих подключений или Правила для исходящих подключений. Изменить эти настройки можно на вкладке Протоколы и порты.

    Обзор интеллектуальной и адаптивной передачи данных в Windows 8 и Windows Server 2012

    RDP 8 (RemoteFX) для WAN.

    Обзор интеллектуальной и адаптивной передачи данных в Windows 8 и Windows Server 2012

    В протоколе RDP 8 (RemoteFX) введены значительные улучшения в области передачи данных. Ниже перечислены ключевые задачи, стоявшие во время улучшения:

    • Обеспечение скорости и гибкости работы пользователя в удаленном сеансе в любых WAN и беспроводных сетей.
    • Важность использования стандартных протоколов безопасности, а не реализации пользовательской схемы безопасности передачи данных.
    • Обеспечение максимально возможных улучшений для использования большинства пользовательских конфигураций в WAN. RDP 8 (RemoteFX) не является единственным потоком трафика в сети. Также стоит задача обеспечить баланс трафика RDP 8 (RemoteFX) с другими конкурирующими сетевыми потоками (например, просмотром веб-страниц).
    • Использование оптимальных значений «по умолчанию», которые не требуют вмешательства пользователя, предоставляя при этом необходимые администраторам элементы управления для настройки.

    Ключевыми особенностями RDP 8 (RemoteFX) для WAN являются:

    • Автоматическое определение качества сети для адаптации к начальным и меняющимся условиям
    • UDP оптимизация для сетей с потерей пакетов и возможность предоставления лучших условий доставки мультимедийного контента
    • FEC для уменьшения потерь, без ретрансляции
    • Возврат к протоколу TCP, когда UDP недоступен
    • Встроенная поддержка UDP для соединения RDP 8 (RemoteFX) через шлюз удаленных рабочих столов
    • Промышленный стандарт безопасности и протоколы контроля перегрузок.

    Далее, мы более подробно опишем эти улучшения.

    Цель — WAN сети

    Традиционное определение WAN (глобальные сети) предполагает высокую латентность сети, которая может быть ограничена пропускной способностью (по сравнению с LAN).

    Тем не менее, на практике существует широкий спектр сетевых конфигураций, которые могут квалифицироваться как WAN. Примерами таких сетей являются: Американская национальная сеть (например, 60 мс RTT, 5 Мбит мощности, 1% потерь), межконтинентальные связи (например, 250 мс RTT, 3 Mbps мощности, 1% потерь) и филиальные соединения (например, 100 мс время отклика, 256 Kbps мощности, 0,5% потерь). Наряду с этими традиционными WAN сетями, существуют также сложные мобильные и беспроводные сети (например, 3G/4G связь с 200 мс RTT, 1 Мбит мощности, 5% потерь), при использовании которых возникают проблемы с работой удаленных рабочих столов из-за высокой потери пакетов и джиттера задержки сигнала при помехах.

    При проектировании методов пересылки пакетов RDP 8 (RemoteFX) для WAN, вместо того чтобы сосредоточиться на оптимизации для конкретного типа сети, мы сосредоточились на решении проблем, вызванных каждым из фундаментальных факторов, влияющих на задержки, потерю пакетов и пропускную способность. Мы также рассмотрели другие важные факторы, такие как изменение задержки (так называемый «джиттер») и модели потери пакетов (одиночной или постоянной, с зависанием и без него).

    В следующих разделах мы обсудим влияние этих фундаментальных факторов на производительность WAN и соответствующие улучшения RDP 8 (RemoteFX).

    Автоматическое определение скорости подключения к сети

    Цель эффективной передачи данных – использование полного ресурса пропускной способности сети, при минимальных задержках. По отдельности эти цели легко достижимы, и при этом их трудно совместить. Передача данных в более высоком объеме, чем позволяет сеть ведет к необходимости в более высокой пропускной способности, что в свою очередь приводит к формированию «очередей» в различных точках сети. Эти очереди увеличивают задержку, что крайне вредно для реагирования любые интерактивных приложений реального времени, таких как Remote Desktop.

    Основная же цель – снижение задержек и отправка минимального количества данных. Тем не менее, это приведет к сокращению качества контента из-за ограниченности полосы пропускания для таких потоков, как графика и мультимедиа. Для узкой сети (C) и задержками в обе стороны (RTT), в идеале необходимо всегда держать пересылку ближе к C * (RTT) байт, но не более. Задача состоит в определении задержки и пропускной способности сети, которая используется для соединения RDP 8 (RemoteFX).

    Многие из Вас могут быть знакомы с возможностью пользовательского выбора скорости соединения Remote Desktop Connection (показано на следующем рисунке). При выборе этих вариантов мы смогли улучшить пропускную способность RDP 8 (RemoteFX) (и, следовательно, работы) путем изменения оценки наполнения сети, упомянутом ранее.

    К сожалению, в таком варианте требуется, чтобы пользователь знал о скорости соединения, хотя даже этих знаний может быть не достаточно.

    Клиент подключения к удаленному рабочему столу версии 7.Х (Windows 7)

    Клиент подключения к удаленному рабочему столу 8.0 (Windows 8)

    Для RDP 8 (RemoteFX) в релизах Windows Server 2012 и Windows 8 добавлена возможность автоматического определения скорости для решения проблемы плотности наполнения. Эта функция встроена по умолчанию в Remote Desktop Connection и позволяет избавить пользователей от необходимости догадываться о скорости их соединения. Во время установления соединения и выполнения пересылки потока данных, эта функция используется для расчета мощности сети и задержек связи. Эти факторы затем используются для определения количества данных, необходимых для поддержания плотности соединения, минимизируя задержки. Кроме того, способность обнаружения условий сети открывают новые возможности RDP 8 (RemoteFX), которые позволяют адаптироваться к меняющимся сетевым условиям (например, RDP 8 (RemoteFX) Media Streaming на основе информации о сетевых условиях может принять решение, какой битрейт использовать для передачи видео).

    На рисунке ниже показано улучшение пропускной способности сети с помощью RDP 8 (RemoteFX) автоматического определения скорости подключения к сети. Мы не показываем здесь конфигурации LAN, так как большинство протоколов ведут себя в локальной сети хорошо. Данные на графике показывают, что в процентном отношении, значительно улучшили пропускную способность TCP по сравнению с Windows Server 2008 R2. Тем не менее, существует теоретический предел пропускной способности TCP при более высоких потерях и задержках. Мы обсудим эти ограничения и возможности, связанные с RDP 8 (RemoteFX) в следующем разделе.

    UDP для обработки потерь пакетов

    Даже если протокол решает проблему наполнения сети, то потеря пакетов может внести хаос в производительность работы. Ниже приведены две причины, почему же потеря пакетов это плохо.

    Блокировка начала строки.

    TCP протокол обеспечивает надежность и порядок доставки данных, и при этом потерянные пакеты должны быть повторно переданы отправителем. Ретранслируемые пакеты часто застревают в TCP очередях и не могут быть доставлены. Этот срыв называют «блокировкой начала строки» и это особенно вредно для реагирования на WAN, потому время простоя, по крайней мере, в 1,5 раза больше сетей RTT.

    Потеря пропускной способности.

    Любой мало-мальски хороший сетевой прокол нуждается в управлении перегрузкой, которая позволяла бы отправителям уменьшать скорость передачи при перегрузке. Отсутствие такого контроля может привести к коллапсу, кода возникнут большие потери пакетов, задержки и маленькая пропускная способность. TCP использует управление перегрузкой на основе потерь [NewReno или другие варианты алгоритма Additive Increase Multiplicative Decrease (AIMD)], когда каждая потеря пакетов предположительно происходит от перегрузки сети. Таким образом, происходит сброс (за счет сокращения скользящего окна наполовину) на каждую потерю пакетов. Этот подход работает исключительно хорошо в глобальной сети Интернет. Однако это может привести к серьезной потере пропускной способности в сетях, где у нас есть потери, не связанные с затором (например, Wi-Fi, 3G/4G и наиболее высокая латентность сети). Убыток от снижения пропускной способности TCP является более выраженным при больших задержках.

    На следующем рисунке показан этот эффект. Максимальная теоретическая пропускная способность TCP для 50 Мбит с учетом нескольких различных уровней потерь и задержек (рассчитывается по формуле Mathis). Как показано, комбинируя потери и задержки можно добиться снижения реальной пропускной способности до 270 Kbps, даже несмотря на доступность 50 Мбит! Пока мы используем TCP, мы связаны правилами порядка доставки и управления перегрузкой, агрессивно реагирующими на каждую потерю.

    RDP 8 (RemoteFX) вместе с протоколом UDP снимают эти ограничения и все эти факторы берутся под контроль. Протокол UDP может обеспечить надежные и лучшие условия доставки данных в зависимости от потребностей их отправителей. Например, пользователи аудио и видеопотоков менее озабочены восстановлением от потери пакетов и больше заинтересованы в подавлении джиттера. Для таких потоков данных UDP может обеспечить лучшую эффективность без необходимости повторной передачи. Для тех, кому надежность поставки более важна, UDP в RDP 8 (RemoteFX) включает в себя важные технологии повышения надежности, некоторые из которых указанны ниже.

    Прямая коррекция ошибок.

    UDP в RDP 8 (RemoteFX) использует Forward Error Correction (FEC), чтобы восстановится при потери пакетов данных. В тех случаях, когда такие пакеты могут быть восстановлены, пересылке не нужно ждать, чтобы данные были повторно отправлены, что позволяет совершить немедленную доставку данных, и предотвращает «Блокировку начала строки». Это улучшение приводит к общему повышению оперативности реагирования.

    О потере пропускной способности. Протокол без строгого контроля перегрузки очень вреден для производительности сети и может повлиять на все сетевые потоки даже за пределами удаленного взаимодействия. Таким образом, протокол UDP в RDP 8 (RemoteFX) реализует промышленный стандарт управления перегрузкой, и при этом включены следующие преимущества:

    • Компенсация пропускной способности при потерях не связанных с их зависанием (например, потеря пакетов от источника помех, WiFi)
    • Улучшенное ускорение восстановления после потери сети
    • Баланс трафика RDP 8 (RemoteFX) и других конкурирующих трафиков в сети

    Поскольку прямая коррекция ошибок требует некоторой избыточности в передаваемых данных, мы бы не хотели, чтобы данные затраты возникали в самый неудобный момент. Таким образом, UDP добавлен в дополнение к текущим возможностям TCP и используется для передачи интерактивных данных (таких, как графика, аудио, видео и сенсорные команды). В то время как остальные возможности до сих пор использовались для первоначального подключения и неинтерактивного трафика.

    На следующем рисунке показаны улучшения, которые мы можем достичь в общей пропускной способности по сравнению с TCP. Это очень небольшая часть матрицы измерения производительности используется для оценки RDP 8 (RemoteFX) и передачи данных по протоколу UDP.

    Пропускная способность — всего лишь часть оптимизированной передачи данных в WAN. Очередь задержки имеет не менее важную роль. На следующем рисунке показано, как UDP в RDP 8 (RemoteFX) в состоянии удерживать задержки в хорошем диапазоне (около или меньше 100 мс) даже в экстремальных условиях WAN.

    На следующем рисунке показан визуальный обзор типов повышения производительности и их ожидаемое воздействие.

    Безопасность протокола UDP в RDP 8 (RemoteFX)

    Как уже говорилось выше, протокол UDP в RDP 8 (RemoteFX) обеспечивает значительное повышение производительности в различных WAN конфигурациях. Удалось добиться прироста производительности без ущерба безопасности.

    Когда UDP используется для надежной передачи данных, он защищен с помощью протокола Secure Sockets Layer (SSL), который похож на TCP протокол. Однако SSL не может быть использован для максимальных объемов передачи данных, где некоторые данные могут быть потеряны. Вместо того, чтобы изобретать собственный механизм безопасности UDP, что потребовало бы много времени и сил, мы объединились с группой безопасности Windows для использования Datagram Transport Layer Security (DTLS), который является предлагаемым стандартом, определенным как IETF RFC 6347.

    Подключение протокола UDP в RDP 8 (RemoteFX)

    Протокол UDP может не всегда быть доступным в связи с отсутствием поддержки в некоторых сетевых конфигурациях. Мы предприняли шаги, чтобы протокол UDP был доступен в большинстве зависящих от нас сетевых конфигурациях. Наиболее значительные из этих шагов — встроенная поддержка UDP в RD (TS) Gateway (а не через TCP, как некоторые VPN). Для безопасности и удобства управления, только один порт (3391) открыт на RD (TS) Gateway для соединения UDP (по аналогии с TCP). Кроме того, только один порт (3389) для UDP открыт на терминальном сервере (по аналогии с TCP).

    Дополнительно, подключение с использованием протокола UDP показывает индикатор качества связи в клиентах подключения к удаленному рабочему столу (версии 8.0 или Metro).

    Настройка RDP 8 (RemoteFX) для WAN

    Мы предоставили необходимые параметры групповых политик, которые позволяют администратору контролировать новые параметры RDP 8 (RemoteFX) для WAN. Эти параметры политик находятся в разделе Конфигурация компьютера -> Административные шаблоны -> Компоненты Windows -> Службы удаленного рабочего стола -> Узел сеансов удаленных рабочего стола -> Подключения.

    Один из этих параметров политики позволяет администратору настроить использование протоколов UDP и TCP.

    Другой параметр политики позволяет администратору настроить автоматическое определение скорости подключения к сети для RDP 8 (RemoteFX).

    Заключение

    Таким образом, протокол RDP 8 (RemoteFX) включает в себя методы передачи, которые являются адаптивными к изменениям состояния сети и потери пакетов. Хотя протокол UDP обеспечивает лучшую производительность в беспроводных сетях и сетях с высокой латентностью WAN, мы понимаем, что UDP-соединения не всегда могут быть установлены во многих реальных сетевых конфигурациях.

    Таким образом, многие другие улучшения протокола RDP 8 (RemoteFX) для WAN, такие как автоматическое определение скорости подключения к сети также были включены в транспортный протокол TCP, динамически переключаясь на TCP там, где протокол UDP не доступен. Передача UDP включает промышленные стандарты шифрования и безопасности и также изначально поддерживается через шлюз удаленных рабочих столов.

    Протокол RDP 8 (RemoteFX), в сочетании с адаптивной графикой и другими улучшениями, обеспечивает оптимальное взаимодействие пользователя с любыми существующими сетями.

    О компании

    © 2003-2019 SysElegance Ltd. All rights reserved.

    🐧 Как смотреть порты TCP и UDP в режиме реального времени — Information Security Squad

    С точки зрения программного обеспечения, особенно на уровне операционной системы, порт — это логическая конструкция, которая идентифицирует конкретный процесс / приложение или тип сетевой службы, и каждая сетевая служба, работающая в системе Linux, использует определенный протокол (наиболее распространенным из которых является TCP (Transmission Control Protocol) и UDP (User Datagram Protocoя)) и номер порта для связи с другими процессами или службами.

    В этой короткой статье мы покажем вам, как составлять список и отслеживать или наблюдать за работой портов TCP и UDP в режиме реального времени с помощью сводки сокетов в системе Linux.

    Список всех открытых портов в Linux

    Чтобы вывести список всех открытых портов в системе Linux, вы можете использовать команду netstat или утилиту ss следующим образом.

    Также важно упомянуть, что команда netstat устарела, и вместо нее команда ss заняла свое место для более подробной статистики сети.

    $ sudo netstat -tulpn
    или
    $ sudo ss -tulpn

    Из вывода вышеприведенной команды в столбце «State» показано, находится ли порт в состоянии прослушивания (LISTEN) или нет.

    В приведенной выше команде флаги:

    • -t –включает в себя список портов TCP.
    • -u –позволяет выводить список портов UDP.
    • -l – выводит только прослушивающие сокеты.
    • -n – показывает номер порта
    • -p – показывает имя процесса / программы.

    Наблюдайте за открытыми портами TCP и UDP в режиме реального времени

    Однако для просмотра портов TCP и UDP в режиме реального времени вы можете запустить утилиту netstat или ss с помощью утилиты watch , как показано на рисунке.

    $ sudo watch netstat -tulpn
    или
    $ sudo watch ss -tulpn

    Для выхода нажмите Ctrl + C.

     

    Изменение RDP порта по умолчанию в Windows Server

    В инструкции ниже рассмотрим на примере как изменить стандартный порт удаленного подключения RDP в Windows Server с 3389 на любой другой. 

     

    Необходимо открыть элемент управления Windows PowerShell и выполнить команду regedit

     

     

    В появившемся окне необходимо перейти в папку HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Terminal Server\WinStations\RDP-Tcp

     

     

    В данной папке необходимо изменить значение элемента PortNumber. Для удобства выбираем десятичную систему исчисления. Порт по умолчанию – 3389. Изменяем данный порт на любой порт из диапазона от 49152 до 65535.

     

     

    Необходимо добавить разрешающее правило в брандмауэр Windows, чтобы разрешить входящие подключения с указанных портов.

    Далее перейти по следующему пути: панель управления -> Система и безопасность -> Брандмауэр Windows -> Дополнительные параметры -> Правила для входящих подключений -> Создать правило

     

     

    Создать два разрешающих правила для доступа по протоколам TCP и UDP.

    Выберите тип правила «Для порта»:

     

     

    Выберите соответствующий протокол для правила и укажите порт, который был внесен в редактор реестра Windows ранее:

     

    Далее разрешаем подключение и изменяем соответствующее имя правила.

     

     

    После изменений в реестре Windows может понадобиться перезагрузка системы.

    После проведенных настроек вы сможете подключаться к вашему серверу, используя стандартное средство подключения к удаленному рабочему столу RDP, указав при этом новый порт подключения следующим образом: <ip адрес вашего сервера>:<новый порт подключения>

     

     

    Советуем после проведения всех действий отключить правила Брандмауэра Windows, разрешающие подключения по стандартным портам RDP:

     

     

     

    Смена порта подключения RDP не решит всех ваших проблем безопасности, так как сканирование портов сможет в любом случае выявить открытые порты вашей ОС, однако, при должном внимании системного администратора к системным журналам (Панель управления -> Система и безопасность -> Администрирование -> Просмотр журналов событий -> Журналы Windows -> Безопасность), можно защитить сервер от атак, в том числе вирусных.

     

     

     

    Инструкция актуальна для всех Виртуальных серверов VPS, и серверов, созданных в Виртуальной IaaS инфраструктуре, на базе Windows Server.

    Для продвинутых пользоветелей доступен PowerShell команды для смены порта подключения и добавления правила для нового порта в исключения в Firewall.

    Write-host «What Port would you like to set for RDP: » -ForegroundColor Yellow -NoNewline;$RDPPort = Read-Host


    Get-ItemProperty -Path «HKLM:\System\CurrentControlSet\Control\Terminal Server\WinStations\RDP-Tcp\» -Name PortNumber | Select-Object PortNumber


    Set-ItemProperty -Path «HKLM:\System\CurrentControlSet\Control\Terminal Server\WinStations\RDP-Tcp\» -Name PortNumber -Value $RDPPort


    New-NetFirewallRule -DisplayName «Remote Desktop — User Mode (TCP-In) $($RDPPort)» -Direction Inbound –Protocol TCP -Profile Any –LocalPort $RDPPort -Action allow


    New-NetFirewallRule -DisplayName «Remote Desktop — User Mode (UDP-In) $($RDPPort)» -Direction Inbound –Protocol UDP -Profile Any –LocalPort $RDPPort -Action allow


    [ValidateSet(‘y’,’n’)]$Answer = Read-Host «`nAre you sure you want to restart $($DC.Name) ? Enter y/n»
    If ($Answer -eq ‘y’) { Restart-Computer -Force }

    Чем отличается протокол TCP от UDP

    Чем отличается протокол TCP от UDP

    Всем привет сегодня расскажу чем отличается протокол TCP от UDP. Протоколы транспортного уровня, следующие в иерархии за IP, используются для передачи данных между прикладными процессами, реализующимися в сетевых узлах. Пакет данных, поступивший от одного компьютера другому через Интернет, должен быть передан процессу-обработчику, и именно по конкретному назначению. Транспортный уровень принимает на себя ответственность за это. На этом уровне два основных протокола – TCP и UDP.

    Что означают TCP и UDP

    TCP – транспортный протокол передачи данных в сетях TCP/IP, предварительно устанавливающий соединение с сетью.

    UDP – транспортный протокол, передающий сообщения-датаграммы без необходимости установки соединения в IP-сети.

    Напоминаю, что оба протокола работают на транспортном уровне модели OSI или TCP/IP, и понимание того чем они отличаются очень важно.

    Разница между протоколами TCP и UDP

    Разница между протоколами TCP и UDP – в так называемой “гарантии доставки”. TCP требует отклика от клиента, которому доставлен пакет данных, подтверждения доставки, и для этого ему необходимо установленное заранее соединение. Также протокол TCP считается надежным, тогда как UDP получил даже именование “протокол ненадежных датаграмм. TCP исключает потери данных, дублирование и перемешивание пакетов, задержки. UDP все это допускает, и соединение для работы ему не требуется. Процессы, которым данные передаются по UDP, должны обходиться полученным, даже и с потерями. TCP контролирует загруженность соединения, UDP не контролирует ничего, кроме целостности полученных датаграмм.

    С другой стороны, благодаря такой не избирательности и бесконтрольности, UDP доставляет пакеты данных (датаграммы) гораздо быстрее, потому для приложений, которые рассчитаны на широкую пропускную способность и быстрый обмен, UDP можно считать оптимальным протоколом. К таковым относятся сетевые и браузерные игры, а также программы просмотра потокового видео и приложения для видеосвязи (или голосовой): от потери пакета, полной или частичной, ничего не меняется, повторять запрос не обязательно, зато загрузка происходит намного быстрее. Протокол TCP, как более надежный, с успехом применяется даже в почтовых программах, позволяя контролировать не только трафик, но и длину сообщения и скорость обмена трафиком.

    Tcp Udp отличия

    Давайте рассмотрим основные отличия tcp от udp.

    1. TCP гарантирует доставку пакетов данных в неизменных виде, последовательности и без потерь, UDP ничего не гарантирует.
    2. TCP нумерует пакеты при передаче, а UDP нет
    3. TCP работает в дуплексном режиме, в одном пакете можно отправлять информацию и подтверждать получение предыдущего пакета.
    4. TCP требует заранее установленного соединения, UDP соединения не требует, у него это просто поток данных.
    5. UDP обеспечивает более высокую скорость передачи данных.
    6. TCP надежнее и осуществляет контроль над процессом обмена данными.
    7. UDP предпочтительнее для программ, воспроизводящих потоковое видео, видеофонии и телефонии, сетевых игр.
    8. UPD не содержит функций восстановления данных

    Примерами UDP приложений, например можно привести, передачу DNS зон, в Active Directory, там не требуется надежность. Очень часто такие вопросы любят спрашивать на собеседованиях, так, что очень важно знать tcp и udp отличия.

    Заголовки TCP и UDP

    Давайте рассмотрим как выглядят заголовки двух транспортных протоколов, так как и тут отличия кардинальные.

    Заголовок UDP
    • 16 битный порт источника > Указание порта источника для UDP необязательно. Если это поле используется, получатель может отправить ответ этому порту.
    • 16 битный порт назначения > Номер порта назначения
    • 16 битная длина UDP > Длина сообщения, включая заголовок и данные.
    • 16 битная контрольная сумма > Контрольная сумма заголовка и данных для проверки

    Заголовок TCP
    • 16 битный порт источника > Номер порта источника
    • 16 битный порт назначения > Номер порта назначения
    • 32 битный последовательный номер > Последовательный номер генерируется источником и используется назначением, чтобы переупорядочить пакеты для создания исходного сообщения и отправить подтверждение источнику.
    • 32 битный номер подтверждения > Если установлен бит АСК поля «Управление», в данном поле содержит следующий ожидаемый последовательный номер.
    • 4 бита длина заголовка > Информация о начале пакета данных.
    • резерв > Резервируются для будущего использования.
    • 16 битная контрольная сумма > Контрольная сумма заголовка и данных; по ней определяется, был ли искажен пакет.
    • 16 битный указатель срочности > В этом поле целевое устройство получает информацию о срочности данных.
    • Параметры > Необязательные значения, которые указываются при необходимости.

    Размер окна позволяет экономить трафик, рассмотрим когда его значение равно 1, тут на каждый отправленный ответ, отправитель ждет подтверждения, не совсем рационально.

    При размере окна 3, отправитель отправляет уже по 3 кадра, и ждет от 4, который подразумевает, что все три кадра у него есть, +1.

    Надеюсь у вас теперь есть представления об отличиях tcp udp протоколов.

    Материал сайта pyatilistnik.org

    сокетов — Выбор сетевого протокола TCP или UDP для приложения удаленного рабочего стола? Переполнение стека
    1. Товары
    2. Клиенты
    3. Случаи использования
    1. Переполнение стека Публичные вопросы и ответы
    2. Команды Частные вопросы и ответы для вашей команды
    3. предприятие Частные вопросы и ответы для вашего предприятия
    4. работы Программирование и связанные с ним технические возможности карьерного роста
    5. Талант Нанимать технический талант
    6. реклама Связаться с разработчиками по всему миру
    ,
    RDS 2012: какие порты используются во время развертывания? — Статьи TechNet — Соединенные Штаты (английский)

    Чтобы правильно настроить службы удаленных рабочих столов для доступа в Интернет или в любое время, когда используются брандмауэры, полезно знать, какие порты требуются.

    Информация / таксономия разбита по ролям службы / компонента и перечисляет все используемые входящие / исходящие порты.

    • При использовании RDWeb
    • TCP | UDP 3389: стандартный порт RDP.Можно настроить на хосте и клиенте другой номер порта.
    • TCP 5504: подключение к веб-доступу к удаленным рабочим столам
    • TCP 3389: подключение к узлу сеансов удаленных рабочих столов
    • TCP 3389: подключение к неуправляемым пулам виртуальных машин, управляемые машины используют VMBus для открытия порта.
    • TCP 3389: клиентский порт для клиентов, не использующих шлюз удаленных рабочих столов
    • TCP 445 | RPC: подключение к узлу виртуализации удаленных рабочих столов
    • TCP 445 | RPC: подключение к узлу сеансов удаленных рабочих столов
    • TCP 5985: WMI и PowerShell Remoting для администрирования
    • Для входящего внешнего интернет-трафика от клиентов RD к шлюзу:
      • TCP 443: HTTP (включая RPC через HTTP) через SSL — (настраивается с помощью консоли управления шлюзом удаленных рабочих столов)
      • UDP 3391: RDP / UDP (настраивается с помощью консоли управления шлюзом удаленных рабочих столов) (ПРИМЕЧАНИЕ. Брандмауэрам, для которых направленный анализ UDP, например TMG, требуется настроенный UDP «Отправить прием»)
    • Для внутреннего трафика между шлюзом и требуемым пользовательским AD, ресурсным AD, DNS, NPS и т. Д .:
      • TCP 88: Kerberos для аутентификации пользователя
      • TCP 135: маппер конечной точки RPC
      • TCP: <>, порт, на котором службы NTDS RPC прослушивает AD
      • TCP | UDP 389: LDAP для аутентификации пользователя
      • TCP | UDP 53: Разрешение имен внутренних ресурсов, DNS
      • TCP | UDP 389: при использовании LDAP для списка отзыва сертификатов (CRL)
      • TCP 80: при использовании HTTP для списка отзыва сертификатов (CRL)
      • TCP 21: при использовании FTP для списка отзыва сертификатов (CRL)
      • UDP 1812, 1813: если используется сервер NPS
      • TCP 5985: WMI и PowerShell Remoting для администрирования
    • Для внутреннего трафика от шлюза и ресурсов внутреннего удаленного рабочего стола
      • TCP | UDP 3389: RDP (ПРИМЕЧАНИЕ. Брандмауэрам с направленным анализом UDP, таким как TMG, требуется UDP «Send Receive», настроенный в протоколе UDP)
    • , если RD Web Access находится в сети периметра
      • TCP: <фиксированный порт WMI>
      • TCP 5504: соединение с посредником подключений к удаленному рабочему столу для централизованной публикации
      • TCP 5985: удаленное взаимодействие WMI и PowerShell для администрирования
      Порт сервера лицензий RD
    • RPC
    • TCP 389 | 636: связь с Active Directory
    • TCP 5985: WMI и PowerShell Remoting для администрирования
      Порт сервера лицензий RD
    • RPC
    • TCP 389 | 636: связь с Active Directory
    • TCP 5985: WMI и PowerShell Remoting для администрирования

    Информация для сервера терминалов в Windows Server 2008 находится на Http: // поддержка.microsoft.com/KB/832017#method26 Используемые порты не изменились в Windows Server 2012 | R2. Резюме следует.

    TCP

    • TCP 135 — RPC для связи с сервером лицензий и RDSH
    • TCP 1024-65535 (случайное распределение) Используется для RPC для Windows Server до 2008 года (см. Следующую строку).
    • TCP 49152 — 65535 (случайным образом распределены) — это диапазон в Windows Server 2012, Windows Server 2008 R2, Windows Server 2008
    • TCP 445 — SMB
    • TCP 443: связь через Интернет с Центром обмена информацией Microsoft
    • TCP 5985: WMI и PowerShell Remoting для администрирования
    • TCP 139 — служба сеансов NetBIOS

    Как настроить, какие порты (если необходимо настроить на конкретные) Http: // поддержка.microsoft.com/kb/154596/

    NetBIOS

    • UDP 137 — разрешение имен NetBIOS
    • UDP 138 — дейтаграмма NetBIOS
    • UDP | TCP 389 LDAP — используется с клиентскими клиентскими лицензиями для Active Directory

    С точки зрения прокси, regkey HKLM \ Software \ Microsoft \ TermServLicensing \ lrwiz \ Params показывает службу Microsoft, с которой связывается RD LS. например clearinghouse.one.microsoft.com


    ,Транспорт

    UDP в протоколе удаленного рабочего стола

    В последнее время я много писал и говорил об улучшениях, обнаруженных в версии 8 протокола удаленного рабочего стола, который используется в Windows 8 и Windows Server 2012. Версия 10 RDP была только что представлена в Windows 10, и вскоре он будет реализован в Windows Server 2016, добавив некоторые новые улучшения по сравнению с Версией 8, о которых мы скоро поговорим. Но вернемся к теме под рукой…

    UDP-транспорт в RDP 8 повышает пропускную способность и улучшает взаимодействие с пользователем

    RDP версии 8 является первым поколением протокола удаленного рабочего стола, который использует UDP наряду с TCP для передачи данных.При условии, что клиент RDP поддерживает RDP 8 (например, Windows 7 с обновлением RDP 8, Windows 8 или Windows 10), сервер RDSH Windows 2012 может передавать данные, используя как UDP, так и TCP. Это большая проблема, потому что UDP не страдает от применения TCP своего алгоритма предотвращения перегрузки, поэтому RDP 8 может передавать больше данных по проводам за выбранный отрезок времени через UDP (например, в 2–8 раз больше по сравнению с транспортом TCP). только), даже по ссылкам с высокой задержкой. Соедините это с некоторыми изящными технологиями прямого исправления ошибок, и RDP 8 способен смело входить в отрывочные условия сети, от которых предыдущие версии будут кричать.

    Но остерегайтесь следующих ошибок, которые могут блокировать UDP в RDP 8

    Хотите верьте, хотите нет, есть несколько распространенных «уловок», которые могут сговориться против вас, чтобы предотвратить использование транспорта UDP с RDP 8 или более поздней версией подключения к удаленному рабочему столу. Давайте посмотрим на них по порядку:

    Использование шлюза удаленного рабочего стола Windows Server 2008 с хостами сеанса удаленного рабочего стола Windows Server 2012

    Служба роли шлюза удаленных рабочих столов в Windows Server 2008 не поддерживает транспорт UDP, поэтому все соединения через этот устаревший шлюз будут вынуждены использовать только TCP.Не хорошо. Обязательно обновите сервер Windows 2008, на котором запущена служба роли шлюза удаленных рабочих столов, до Windows Server 2012.

    Забыть явно добавить конечную точку для UDP в Windows Azure

    Это БОЛЬШОЕ, если вы размещаете хосты сеансов удаленных рабочих столов в Windows Azure (или в любом другом облачном сервисе). По умолчанию при создании нового экземпляра Windows Server 2012 (с внедренной ролью RDSH или без нее) будет создана только конечная точка TCP для RDP.Смотрите ниже:

    RDP UDP Endpoint Missing

    Вам нужно будет вернуться за все вновь подготовленные RDSH-серверы в Azure и не забудьте явно определить конечную точку UDP для RDP следующим образом:

    RDP UDP Endpoint Defined

    Случайное отключение транспорта UDP через объекты групповой политики на стороне сервера

    Еще одна потенциальная проблема — неправильная настройка параметра групповой политики «Транспортные протоколы RDP», расположенного в разделе «Конфигурация компьютера», «Административные шаблоны», «Компоненты Windows», «Службы удаленных рабочих столов», «Узел сеансов удаленных рабочих столов», «Подключения».По умолчанию будут использоваться как UDP, так и TCP, если клиент его поддерживает, но администраторы могут явно отключить использование транспорта UDP в этой области.

    Итак, вот оно. UDP-транспорт в RDP 8 открывает множество возможностей с точки зрения пользовательского опыта и общей производительности удаленного рабочего стола. Тем не менее, вы должны перепроверить и убедиться, что он не ограничен прямо из ворот.

    Хотите узнать больше о том, какие транспортные протоколы используют ваши клиенты, потребление полосы пропускания и качество соединения? Нажмите здесь, чтобы узнать больше о Remote Desktop Commander и начать подписку на 9 долларов за сервер в месяц, чтобы профилировать все вышеперечисленное, а также многое другое.

    ,
    Как повысить производительность удаленного рабочего стола для удаленных пользователей через сервер шлюза RDS — ITProMentor

    У вас есть сервер удаленного рабочего стола (правильно) с ролью шлюза в вашей среде? В этой конфигурации весь трафик защищен через SSL (порт 443), и клиенты, подключающиеся через Интернет к внутренним хостам RDS, будут зашифрованы (и не обязательно будут идентифицироваться как трафик RDS извне). Но знаете ли вы, что вы можете улучшить производительность удаленного рабочего стола (особенно для потокового видео и т. Д.)?) через этот шлюз, просто включив вход порта 3391 UDP на сервер шлюза RDS? Нет? Я не удивлен, так как большинство людей, с которыми я разговаривал, просто смотрят на меня с пустым лицом, когда я говорю им об этом.

    Вот краткая справка для вас, а затем мы перейдем к этапам настройки и настройки. Во времена Windows Sever 2008 R2 и Windows 7 RDS поддерживала роль шлюза, которая использует RPC через HTTP. Но WS 2012 / R2 незаметно включил два новых боковых канала UDP (как надежных, так и наилучших), которые также используют SSL (DTLS) через порт 3391 UDP.Новый протокол намного более эффективен, чем RPC через HTTP, но, конечно, если вы не включите новую опцию, вы, вероятно, не заметите, поскольку RPC через HTTP также будет работать (он поддерживается для устаревших клиентов). Включение UDP, однако, должно обеспечить превосходное соединение и работу с видео для совместимых клиентов RDP, а также RemoteFX, если ваша установка поддерживает это.

    Пошаговые инструкции

    Во-первых, убедитесь, что у вас включены правила на серверах Windows, на которых размещена ваша роль шлюза.Возможно, это будет по умолчанию.

    Далее, на брандмауэре по периметру (параметр, который пропускает большинство людей), обязательно включите входящий порт 3391 UDP (а также оставив порт 443 TCP на своем месте) на свой сервер шлюза. Примечание: все брандмауэры будут выглядеть немного по-другому, этот скриншот получен от WatchGuard.

    Наконец, откройте RD Gateway Manager и проверьте Свойства вашего сервера шлюза. На вкладке Параметры транспорта убедитесь, что настройки транспорта UDP включены.

    Теперь, когда клиент подключается (должен быть RDP 8.1 или более поздней), вы сможете проверить, обновилась ли информация о соединении. Нажмите на значок подключения в верхней части окна RDP, чтобы убедиться в этом.

    Клиенты Windows 10 (или даже Windows 8.1, если таковые еще существуют) смогут использовать это по умолчанию. Но Windows 7 потребует некоторого дополнительного обновления для получения последней версии RDP-клиента и некоторой конфигурации GPO (что потребует перезагрузки).А именно:

      Конфигурация компьютера
    • > Административные шаблоны> Компоненты Windows> Службы удаленных рабочих столов> Узел сеансов удаленных рабочих столов> Среда удаленных сеансов
      • Включить протокол удаленного рабочего стола 8.0 установить Включено
    • … Узел сеанса удаленного рабочего стола> Соединения
      • Выберите транспортные протоколы RDP , установленный на Используйте UDP и TCP

    Я рекомендую вам попробовать воспроизвести видео YouTube во время сеанса до и после настройки.Разница должна быть заметной.

    Нравится:

    Нравится Загрузка …

    Похожие

    Добавить комментарий

    Ваш адрес email не будет опубликован. Обязательные поля помечены *