Windows server максимальное количество подключений
Мы используем удаленный рабочий стол для входа на сервер Windows 2012 с ограничением только для двух пользователей одновременно. Иногда, однако, нам нужно быть больше.
Мы обсуждали это с нашими серверами, которые утверждали, что это возможно только в том случае, если сервер будет переустановлен. Почему-то мне трудно в это поверить, но, будучи новичком, у меня нет никаких аргументов.
Итак - это правда или ложь? Есть ли какая-либо конфигурация на сервере, которую я мог бы проверить, чтобы подтвердить, что это так? Пожалуйста, помогите новичку, замешанному в бюрократии.
Чтобы разрешить большему количеству удаленных пользователей на вашем сервере MS Windows, вам нужно установить роль служб терминалов. Microsoft называет эти службы удаленных рабочих столов начиная с MS Windows Server 2008. Для этого не требуется переустановка, но, вероятно, один или несколько перезапусков.
Для использования этой функции вам необходимы клиентские лицензии и менеджер лицензий. Следующие ссылки помогут вам лучше понять:
Windows Key + R>> Введите MMC.exe>> затем Control + M>> Выберите объект групповой политики>> затем добавьте>> затем закончите>> тогда хорошо
Дважды нажмите на Политику локального компьютера> Конфигурация компьютера> Административные шаблоны> Компоненты Windows> Службы удаленных рабочих столов> Хост сеанса удаленного рабочего стола> Соединения. Ограничить количество подключений = 999999. Ограничить пользователей служб удаленных рабочих столов одним сеансом служб удаленных рабочих столов = ОТКЛЮЧЕНО.
Альтернатива, которую я до сих пор не видел, описана здесь: на локальном рабочем столе (если это Windows) откройте Start, затем Run и введите mstsc /admin
Это запустит клиент удаленного рабочего стола в режиме администратора. Вам может потребоваться ввести повышенные учетные данные, чтобы использовать его, но он переопределит ограничение для двух пользователей. Имеет смысл сделать это вместо внесения изменений в конфигурацию, если требуется, чтобы в систему входило более двух человек.
"Рекомендуется установить узел сеансов удаленных рабочих столов перед установкой любых приложений, которые вы хотите сделать доступными для пользователей. Если вы устанавливаете RD Session Host на компьютер, на котором уже установлены приложения, некоторые из существующих приложений могут работать некорректно в многопользовательской среде. "
Это текст, который вы получаете при добавлении роли сервера сеансов удаленных рабочих столов на сервере. Поэтому Microsoft явно советует не делать этого после установки приложений.
Я также пробовал это на серверах в прошлом и столкнулся со всевозможными странными проблемами. Специально финансовые приложения, кажется, ломаются, если их добавить до RD Session Host.
Предложенный взлом GPO является явным нарушением лицензии Microsoft и никогда не должен использоваться!
Я бы сказал, ВСЕГДА используйте лучшие практики MS. Тогда вы знаете, что получите поддержку в случае необходимости в будущем, особенно в производственной среде!
Строго с точки зрения сервера и позволяющий использовать более двух пользователей, нет необходимости переустанавливать операционную систему сервера.
Если есть установленные приложения, которые будут работать по-разному на сервере терминалов приложений или при смене пользователя, возможно, потребуется удалить /переустановить приложения.
Полезный блог для начинающих пользователей компьютера и не только..
6/20/2019
Как снять ограничение TCP/IP - соединений
Попытка подключения
Для установления TCP соединения локальный компьютер сперва посылает удалённому
компьютеру приглашение к соединению (так называемый SYN пакет).
Состояние, в котором при этом находится локальный компьютер, называют
полуоткрытым соединением (англ. half-open connection) или попыткой подключения
(англ. connection attempt).
Далее в зависимости от ответа удалённого компьютера полуоткрытое соединение либо
закрывается, либо переходит в нормальное установленное TCP соединение.
В чем суть ограничения
Ограничение заключается в том, что компьютеру не разрешается иметь более 10
одновременных полуоткрытых исходящих соединений. При достижении предела
новые попытки подключений ставятся в очередь .
Таким способом, фактически ограничена скорость подключения к другим компьютерам.
На количество установленных соединений жесткого предела в системе нет. Кроме
того, ограничение никак не затрагивает входящие соединения .
Ограничение введено компанией Microsoft в попытке замедлить распространение
вирусов с зараженного компьютера, а также ограничить возможности участия
компьютера в DoS - атаках.
Как проверить срабатывание ограничения
Как снять ограничение
Для того чтобы увеличить до максимума число возможных сессий в виндовой сетке, следует сделать следующее: запустить глобальные политики: CTRL+R - gpedit.msc
-Конфигурация компьютера - Конфигурация Windows - Параметры безопасности - Локальные политики - Параметры безопасности - Интерактивный вход в систему - выставляем его в 0 (отключение ограничения)
Значение этого параметра "0" отключает кэширование данных входа. При любом значении большем 50 кэшируется, только 50 попыток входа в систему .
или же внести правки в следующий ключ реестра:
HKEY_LOCAL_MACHINE\Software\Microsoft\Windows
NT\CurrentVersion\Winlogon\CachedLogonsCount
изменив значение CachedLogonsCount на 50 или 0
В Vista SP2 и Windows 7 это ограничение уже было убрано из драйвера протокола, но в системе имеется ограничение на использование сетки для шаринга и печати, установленное в 20 соединений.
Также максимальное число входящих подключений к IIS, которое можно настроить через ключ реестра:HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\Tcpip\Parameters\TcpNumConnections (тип: DWORD, задав его от 5000 до 65536).
или же с помощью программы: EventID 4226 Patcher Version 2.23d , которая увеличит это число до 50.
От чего зависит скорость TCP/IP - соединения, Вы можете узнать здесь
Как устранить ошибки в TCP/IP - сетях читайте далее
Надеюсь эта статья поможет разобраться Вам с количеством одновременных подключений TCP/IP соединений. Подписывайтесь на обновления блога.
Windows Server 2008 R2 Foundation (далее WSF) имеет ограничения не только по количеству поддерживаемой оперативной памяти, числу процессоров и количеству пользователей в Службе Каталога, но и по количеству одновременных подключений.
Ограничения по протоколам таковы:
Server Message Block connections – 30.
Network Access Connections (RRAS) – 50.
Network Access Connections (NPS) – 10.
Terminal Services Gateway Connections – 50.
Для поддержки более 30 одновременных входящих соединений по протоколу SMB 2.0, необходимо использовать Windows Server 2008 R2 Standard или более старшие редакции.
ВАЖНО!
Хотя Windows Server 2008 R2 Foundation поддерживают до 30 одновременных соединений, Лицензионное Соглашение с Конечным Пользователем ( End User License Agreement (EULA) ) для Windows Server 2008 R2 Foundation , поддерживает максимум 15 учетных записей пользователя.
Windows Server 2008 R2 Foundation поддерживает максимум 50 соединений RRAS. Если необходимо более чем 50 соединений RRAS, используйте Windows Server 2008 R2 Standard или более старшие редакции .
Сервер Сетевых Политик ( Network Policy Server (NPS) ) является Remote Authentication Dial-In User Service (RADIUS) сервером в реализации Microsoft. NPS заменил Сервер Интернет Аутентификации ( Internet Authentication Service (IAS)) который был в Windows Server 2003. NPS производит централизованную аутентификацию соединений, авторизацию и сбор сведений об использованных ресурсах для множества типов сетевых подключений, включая беспроводные соединения и подключения по Виртуальной Частной Сети (virtual private network (VPN)).
Windows Server 2008 R2 Foundation поддерживает максимум 10 NPS соединений.
При необходимости обеспечивать более 10 NPS соединений, используйте Windows Server 2008 R2 Standard или более старшие редакции.
Terminal Services Gateway Connections – 50
Шлюз Терминальных Соединений ( Terminal Services Gateway (TS Gateway ) позволяет авторизованным удаленным пользователям подключаться к терминал-серверу и удаленным рабочим столам в корпоративной сети через любые Интернет соединения, с помощью Remote Desktop Connection (RDC) 6.0.
Windows Server 2008 R2 Foundation поддерживает максимум 50 TS Gateway соединений.
Если необходимо поддержать больше чем 50 TS Gateway соединений , используйте Windows Server 2008 R2 Standard или более старшие редакции .
Для того, чтобы получить доступ к приложениям, размещенным на терминальном сервере, например к Microsoft® Office, необходимо приобрести Windows Server 2008 Terminal Services client access license (TS CAL) для каждой учетной записи пользователя, но не превышая 15 лицензий.
Возникает законный вопрос: «Если Windows Server 2008 R2 Foundation поддерживает только 15 учетных записей пользователей, то почему речь идет о 50 подключениях»?
Ответить можно так: «Такое количество соединений поддерживается в случае, если Windows Server 2008 R2 Foundation работает в режиме прокси, т.е. через него происходит подключение к другим терминальным серверам ».
После выполнения процедуры установки роли шлюза удалённых рабочих столов на какой-либо сервер фермы RDS, его необходимо сконфигурировать. В подавляющем большинстве случаев, настроек, которые предлагает окно Свойства развёртывания, не достаточно. И вот тут, разработчики почему-то не стали интегрировать все необходимые настройки в единый интерфейс нового Диспетчера серверов, а оставили, как и в Windows Server 2008 R2, в отдельной оснастке — Диспетчер шлюза удалённых рабочих столов.
В данной статье рассмотрены следующие вопросы, касающиеся процесса выполнения настройки шлюза удалённых рабочих столов:
- Диспетчер шлюза удалённых рабочих столов
- Политики авторизации подключений к удалёному рабочему столу
- Политики авторизации ресурсов
- Настройка сервера шлюза
- Импорт и экспорт параметров политики и настроек
Диспетчер шлюза удалённых рабочих столов
Напомню, что с помощью консоли Службы удалённых рабочих столов можно настроить лишь самые базовые параметры шлюза RD Gateway. Для выполнения более гибкой настройки предлагается, как и в версии Windows Server 2008, пользоваться средствами Диспетчера шлюза удалённых рабочих столов. Добраться до него можно через Диспетчер серверов, зайдя в подпункт меню Terminal Services меню Средства. Так же можно воспользоваться разделом Администрирование или просто выполнить команду tsgateway.msc
На стартовом окне Диспетчера шлюза отображается самая основная статистика: количество подключений через шлюз, количество подключений именно к этому серверу, количество ресурсов, к которым созданы подключения, количество политик авторизации подключений и политик авторизации ресурсов, а так же общее количество серверов шлюзов в текущем развёртывании RDS.
Для просмотра списка подключенных подключенных пользователей следует перейти в пункт меню Наблюдение. Кроме собственно просмотра статистики можно отключать конкретные подключения или пользователей в целом.
Политики авторизации
Однако самыми важными опциями главного окна Диспетчера шлюза, безусловно, являются политики авторизации. Эти самые политики делятся 2 типа:
- Политики авторизации подключений к удаленным рабочим столам (RD CAP), отвечающие за определение групп пользователей, которые наделены правом доступа к ресурсам RDS посредством шлюза удалённых рабочих столов.
- Политики авторизации ресурсов удаленных рабочих столов (RD RAP), определяющие к каким ресурсам во внутренней сети дозволено иметь доступ пользователям подключившимся через шлюз удалённых рабочих столов.
В совокупности, эти политики позволяют достаточно гибко настраивать доступ к удалённым рабочим столам с помощью службы шлюза. По умолчанию присутствует одна политика авторизации подключений к удаленным рабочим столам (RDG_CAP_AllUsers) и одна политика авторизации ресурсов удаленных рабочих столов (RDG_AllDomainComputers), которые в сумме позволяют использовать шлюз для подключения ко всем ресурсам внутренней сети всем пользователям домена. Для того, чтобы настроить политики под свои нужды, можно либо отредактировать существующие, либо создать новые, отключив при этом политики по-умолчанию. Создавать новые политики можно или с помощью мастера, или вручную. Рассмотрим оба варианта.
Создание политики авторизации подключений (RD CAP) с помощью мастера
Для того, чтобы создать политику с помощью мастера, на панели Действия Диспетчера шлюза выбираем пункт меню Создать новую политику > Мастер.
На первом шаге мастера предлагается сделать выбор типа создаваемой политики: политика авторизации подключений, политика авторизации ресурсов или же обе политики сразу. Так как мы создаём политику авторизации подключений, то выбираем пункт Создать только политику авторизации подключений к удалённым рабочим столам.
Далее задаём имя создаваемой политики.
В окне Выбор требований можно выбрать способ проверки подлинности клиента, выполняющего подключение к шлюзу: с помощью пароля или с помощью смарт-карты. В поле Членство в группе пользователей (обязательно) следует указать те группы, пользователи которых смогут подключаться к удалённым рабочим столам используя при этом службу шлюза. Укажем здесь ранее созданную в AD группу Внешние пользователи. Кроме того, дополнительно можно задать и группу компьютеров, с которых может осуществляться подключение ранее определённой группой пользователей. Для этого достаточно указать группу компьютеров в поле Членство в группе клиентских компьютеров (необязательно). Таким образом можно определить не только пользователей, которые могут использовать шлюз, но и компьютеры с которых они могут это делать. Такой вариант, конечно же, добавляет жирный плюс к безопасности, но использовать его стоит с умом.
На вкладке Перенаправление устройств можно задать типы устройств, которые будут перенаправлены на серверы узлов сеансов. Присутствует возможность разрешить перенаправление всех клиентских устройств, запретить перенаправление определённых типов устройств или разрешить подключение только к тем серверам узлов сеансов удалённых рабочих столов, которые в принудительном порядке используют перенаправление устройств шлюзов удаленных рабочих столов. Однако же, использование последней опции возможно только для клиентов использующих для подключения RDC 7.0 и выше.
Вкладка Время ожидания сеанса позволяет определить время простоя, по истечение которого будет выполнен принудительный сброс сеанса и время ожидания сеанса. Время ожидания сеанса — это максимальное время, в течение которого пользователь может непрерывно использовать подключение к шлюзу. В зависимости от выбранных опций сеанс, достигший значения предельного времени ожидания можно автоматически отключить или принудительно заставить повторно выполнить процедуру авторизации.
После этого будет отображена сводка выбранных настроек для выполнения проверки. На этом создание политики в режиме мастера заканчивается.
Теперь, когда политика создана, можно отключить созданную по-умолчанию. В противном случае, созданная только-что политика эффекта не возымеет, поскольку дефолтная политика разрешает подключаться всем пользователям домена.
Создание новой политики авторизации ресурсов (RD RAP) вручную
Создание политики в ручном режиме рассмотрим на примере политики авторизации ресурсов. Для того, чтобы открыть окно создания новой политики необходимо перейти на вкладку с политиками авторизации ресурсов и там на панели Действия выбрать пункт Создание новой политики > Другое.
На вкладке Общие указываются такие настройки как имя создаваемой политики и её краткое описание. Так же здесь присутствует опция включения политики, что позволяет при необходимости создавать политики со статусом Выключено.
На вкладке Группы пользователей определим какие группы пользователей, должны иметь доступ к внутренним ресурсам.
Вкладка Сетевой ресурс, пожалуй, самая главная. В ней определяются сетевые ресурсы, к которым будет иметь доступ ранее указанная группа пользователей.
Существует 3 варианта указания сетевых ресурсов:
- Выбрать группу сетевых ресурсов доменных служб Active Directory. Использование этого варианта подразумевает, что в Active Directory уже хранится необходимая группа ресурсов и можно просто указать её в этом поле.
- Выбрать существующую группу, управляемую шлюзом удалённых рабочих столов или создать новую. Использовав этот пункт администратор может создать группу сетевых ресурсов, перечислив их по IP-адресу или имени. Следует помнить, что эта группа видна только в Диспетчере шлюза и не является локальной для сервера (она не доступна в оснастке Локальные пользователи и группы).
- Разрешить подключение пользователей к любому сетевому ресурсу. Этот вариант подразумевает, что пользователи прошедшие авторизацию на сервере шлюзов будут иметь доступ к любому внутреннему ресурсу.
На вкладке Разрешённые порты можно указать по каким портам будут передаваться данные от шлюза к внутренним ресурсам. Как и на прошлой вкладке, выбор стоит между тремя вариантами:
- Разрешить подключения только к порту 3389. Этот вариант означает что, для подключения к ресурсам внутренней сети будет осуществляться только лишь по стандартному протоколу RDP.
- Разрешить подключения к следующим портам. В этом случае следует указать перечень портов, к которым разрешено подключаться. Это нужно в тех случаях, когда протокол RDP настроен на нестандартный порт (отличный от 3389) или есть необходимость в использовании дополнительных портов.
- Разрешать подключения к любому порту. Наименее безопасный вариант, так как, пользователь сможет использовать в своих целях абсолютно любой номер порта, что открывает перед ним довольно большие возможности.
Как и в случае с политикой авторизации подключений, после создания новой политики, отключаем политику созданную по-умолчанию.
Настройка шлюза удалённых рабочих столов
Все необходимые настройки находятся в окне свойств шлюза. Открыть это окно можно несколькими способами:
- выбрать пункт главного меню Действие затем Свойства
- зайти в контекстное меню конкретного сервера шлюза и выбрать пункт Свойства
- на панели Действия выбрать пункт Свойства
На вкладке Общие окна свойств сервера шлюза удалённых рабочих столов выполняется настройка максимального количества подключений, которые могут быть установлены с текущим сервером. Здесь можно выбрать следующие варианты:
Вкладка Сертификат SSL содержит информацию о текущем сертификате и позволяет выполнять некоторые действия с сертификатами, а именно: создавать новые сертификаты, устанавливать ранее созданные или выбирать, какой сертификат будет использован в данный момент. Эта вкладка дублирует функционал управления сертификатами, который доступен в Свойствах развёртывания Служб удалённых рабочих столов.
Вкладка Ферма серверов позволяет выполнять балансировку нагрузки между серверами шлюзов, объединив их в ферму. Так же здесь можно увидеть какие серверы входят в состав фермы, их состояние и количество подключений к каждому из них.
На вкладке Аудит, можно отметить, какие события следует журналировать. По-умолчанию выбраны все доступные события, но если в некоторых нет острой необходимости, их можно смело выключать. Это позволит немного разгрузить сервер и освободить место на дисковой подсистеме. Журнал службы шлюза удалённых рабочих столов можно посмотреть зайдя в средство Просмотр событий (Event Viewer). Далее следует перейти Журналы приложений и служб > Microsoft > Windows >TerminalServices-Gateway > Operational. В журнале Admin, который находится в этой же папке, можно отслеживать различные административные события, такие как, создание или удаление политик, изменение сертификата шлюза и прочие.
Если, для повышения безопасности подключений, планируется использовать сторонний сервис в качестве моста SSL, то на вкладке Мост SSL необходимо включить его использование и выбрать соответствующий тип. Существуют две конфигурации моста SSL:
Вкладка Хранилище политики авторизации подключений к удалённым рабочим столам позволяет задать место хранения политик авторизации подключений (RD CAP): на локальном сервере или на централизованном сервере политики сети (NPS). Если в сети такой сервер присутствует, то, безусловно, следует его использовать. Для этого необходимо выбрать соответствующий пункт и ввести IP-адрес или имя сервера NPS.
Для того, чтобы клиенты отправляли информацию о своем состоянии следует установить галочку Запросить отправку клиентами состояния работоспособности. В целом, это одна из функций NAP (Network Access Protection), которая позволяет отслеживать состояние ключевых для безопасности служб на компьютере клиента.
Импорт и экспорт параметров сервера шлюза удалённых рабочих столов
В случае, если необходимо развернуть более одного сервера шлюза, целесообразно настроить один сервер в качестве эталона, а остальным просто импортировать его настройки.
Сделать это можно с помощью контекстного меню сервера. В нём присутствуют пункты Экспорт параметров политики и конфигурации и Импорт параметров политики и конфигурации.
Для того, чтобы выполнить экспорт параметров политики и конфигурации сервера необходимо в контекстном меню требуемого сервера выбрать соответствующий пункт. В открывшемся окне указываем имя файла с настройками, который представляет собой стандартный файл формата XML, и место хранения файла.
Для выполнения импорта настроек, переходим на нужный сервер (либо добавляем его в эту оснастку) и в контекстном меню выбираем Импорт параметров политики и конфигурации. В открывшемся окне указываем путь к файлу с настройками
После успешного выполнения операции импорта, сервер на который импортировались настройки, необходимо перезагрузить.
Читайте также: