WikiPedFie - Informační technologie

Studentská rada informačních technologií

Uživatelské nástroje

Nástroje pro tento web


jednooborbc:administrace_operacnich_systemu_ii:rdp:rdp

Windows Server 2016 Standard

Konfigurace a správa vzdálené plochy a terminálových služeb

RDP - Remote desktop protocol

Je síťový protokol, který uživateli umožňuje ovládat vzdálený počítač přes internet. Funguje nejčastěji na principu klient - server, případně peer-to-peer (viz dále). Klient je zpravidla zařízení, u kterého jsme fyzicky přítomní, a k serveru se vzdáleně připojujeme (Server může být PC, nepředstavujte si Windows Server). 

Klient pro připojení pomocí RDP protokolu existuje i pro Mac OS X (MS remote desktop), nebo Linux (např. FreeRDP -Opensource).Firma Microsoft nabízí klientský software Remote Desktop Connection (RDC), nebo Terminal Services Client (TSC).

 Pro připojení k cílovému počítači pomocí např. RDC od Microsoftu je potřeba aby byl zapnutý, měl přístup k síti, měl povolenou vzdálenou správu, a měl správně nastavený (průchozí) firewall (viz dále). Připojení pracuje na principu klient-server, kdy uživatel na svém počítači využívá jednoduchého klienta pro zobrazeni grafického uživatelského prostředí, které je spuštěno na vzdáleném počítači. Server implicitně naslouchá na TCP portu 3389. 

Protokol RDP byl poprvé představen ve Windows NT 4.0 Terminal Server Edition.

Licenci RDP lze bezplatně využívat k administraci serveru (instalace a konfigurace software, údržba apod.). Pokud však vzdálenou plochu chceme využívat pro běžnou práci (např. vzdálený přístup ke kancelářské aplikaci), je nutné pořídit si k tomu licenci.

Vlastnosti RDP

  • Barevná hloubka 8, 15, 16, 24 a 32 bitů
  • Audio Redirection - přesměrování zvuku z „serveru“ na lokální počítač
  • File System Redirection - používání lokálních souborů na vzdáleném počítači a naopak
  • Printer Redirection - použití lokální tiskárny pro výstup programů na vzdáleném zařízení
  • Clipboard Redirection - sdílení schránky pro kopírování textu.

 

Komunikace klient - server

Při používání vzdáleného přístupu a nejen u něj rozlišujeme dva typy komunikujících koncových zařízení. Jedná se o klienta a server. Alternativou modelu klient/server může být např. model peer-to-peer. Hlavním účelem modelu klient/server je snaha minimalizovat objem dat přenášených po síti, snadná údržba (všechna data jsou uložena na serveru, který je o mnoho bezpečnější než klient). Nevýhodou pak může být přetěžování sítě. Klient-server popisuje vztah mezi dvěma počítačovými programy, v nichž první program, klient, žádá o služby jiný program zvaný server. Na tomto modelu je založen například přístup na E-mailWeb, přístup k databázi apod. Příkladem je webový prohlížeč, tj. klientský program na uživatelském počítači, který může přistupovat k informacím na libovolném webovém serveru na světě

Klient je zařízení, u kterého jsme obvykle fyzicky přítomni. Z hlediska hardwaru klient zpravidla obsahuje zobrazovací zařízení (monitor) a vstupní zařízení, jako je klávesnice, myš apod. Klientem může být např. i aplikace jakou je webový prohlížeč (nejčastěji), který se připojuje k webovým serverům, nebo aplikace s GUI. Klient může vyslat požadavek jednomu, ale i více serverům najednou.

 

Vlastnosti klienta

  • aktivní
  • posílá žádosti serveru
  • čeká a dostává odpovědi
  • obvykle je připojen k malému počtu serverů najednou
  • obvykle komunikuje přímo s koncovými uživateli pomocí GUI


Na opačném konci počítačové sítě je pak server. Klient žádá od serveru obvykle nějakou službu. Je snaha, aby se většina náročných operací vykonávala na straně serveru. V praxi to pak znamená, že klient není zatěžován zpracováním (aplikace běží na serveru), ale dostává pouze výsledné informace. Příkladem mohou být webové servery (nejčastěji), databázové servery, ale i herní servery.

 

Vlastnosti serveru

  • pasivní
  • naslouchá na síti a přijímá žádosti připojených, autorizovaných klientů
  • po přijetí požadavku klienta obslouží
  • může vzdáleně instalovat/odinstalovat aplikace a přenášet data ke klientům

image001.jpg
 


Tenký a tlustý klient

Tenkým klientem je většinou software, který přijímaná data složitě nezpracovává, ale rovnou je předává uživateli. Často není nutné jej ani instalovat. Reprezentantem tenkého klienta je např. klient používaný v aplikaci „Připojení ke vzdálené ploše„ od společnosti Microsoft. Dále může být tenkým klientem i počítač s minimální instalací operačního systému, příkladem jsou tzv. Chromebooky (Chrome OS + linuxové jádro + webový prohlížeč Chrome). Všechno kromě výstupu a vstupu za něj provádí server. Tato varianta je náročná především na server.


Tlustý klient integruje obvykle více funkcí zároveň a na jeho straně je rovněž vykonávána část operací. Tlustý klient by měl být na stanici nainstalovaný nebo by se měl automaticky spouštět. Tato varianta je již náročná i na klientskou část, protože data jsou zpracovávána na mj. i straně klienta. Server pak slouží jako zdroj dat, ale může je také zpracovávat. Výhodou tohoto řešení je větší flexibilita klienta.

Uživatelské rozhraní - interface

Grafický režim

Na klientovi vidím plochu serveru, můžu spouštět aplikace, zkrátka ovládáme cílový počítač jako normálně: myš, klávesnice, zvuk, vše funguje tak jako kdybychom u něj přímo seděli. Příjemnější pro uživatele, jednodušší

Textový režim

Pomocí příkazového řádku ovládám počítač - telnet. Náročnější, běžný uživatel se k tomu pravděpodobně nedostane. Na druhou stranu můžeme například restartovat server jednoduchým příkazem, je to méně náročné na data apod.

Vzdálená plocha (Remote Desktop)

Vzdálená plocha slouží pro vzdálený přístup k počítači z jiného počítače. Vzdálenou plochu můžete například použít, pokud se chcete z domova připojit k počítači v práci. Budete mít přístup ke všem programům, souborům a síťovým prostředkům, jako kdybyste seděli u počítače v práci. Dokud jste připojeni, bude obrazovka vzdáleného počítače prázdná pro kohokoliv, kdo ji na vzdáleném místě uvidí (uživatel se odhlásí).

 

Konfigurace Vzdálené plochy

Přístup ke vzdálené ploše je možné vyvolat pomocí programu Připojení ke vzdálené ploše (Remote Desktop Connection - RDC). Tento program je standardní součástí každých Windows a je možné se s ním připojovat k ostatním klientům se systémem Windows. Pro přihlášení se používají přihlašovací údaje uživatelů, zejména přes uživatele Administrator.

Ruční spuštění klienta ve Windows XP je možné pomocí příkazu mstsc.exe (Microsoft Terminal Services)..


Malá upozornění:

Tato funkce je k dispozici ve všech edicích systému Windows 10, ale nelze se připojit na Windows 10 Home edici.

K počítači, který se nachází v režimu spánku nebo hibernace, se nelze připojit. Režim spánku a hibernace na pc, ke kterému se budeme chtít touto cestou připojovat, je vhodné nastavit hodnotu na “Nikdy„.

  • počítač musí být pochopitelně zapnutý a připojený k síti
  • musí na něm být povolena fce Vzdálená plocha
  • musíme mít oprávnění pro připojení - tzn. být v seznamu uživatelů (pokud to nastavujeme jako správce, jsme do seznamu uživatelů přidáni automaticky)

I přesto, že budeme mít mít kontrolu nad cizím počítačem jedna položka nám bude od klasického systému chybět - tlačítko Restart. Ten je možné u vzdálené plochy provést pouze stiskem kombinace CTRL+ALT+DEL, čímž se zobrazí klasické dialogové okno s nabídkou tlačítka RESTART. Duhou možností je pak spustit příkazový řádek a vepsat požadavek SHUTDOWN s parametry příkazu či přímo v nabídce Start → Spustit → příkaz shutdown -r.

Chceme-li se připojovat ke vzdálené ploše musíme připojení nejdříve povolit na PC na které se chceme připojit.

  1. Otevřeme Ovládací panely → Systém a zabezpečení → Systém (stejné jako Vastnosti počítače) → Nastavení vzdáleného přístupu

 2. Zvolíme kartu Vzdálený přístup a zvolíme zvýrazněnou volbu. Můžeme upřesnit, kteří uživatelé se mohou pomocí vzdálené plochy přihlásit k tomuto PC, volbou Vybrat uživatele. (Zde je screenshot ze serveru, proto ještě nemůžeme zaškrtnout vzdálenou pomoc, tu jepotřeba nejprve nainstalovat přes funkce.)

1.PNG
3. Dále je nutno v nastavení Windows Firewall povolit průchod programu Vzdálená plocha. To uděláme následovně:

  • [start] → [ovládací panely] → [systém a zabezpečení] → [brána windows firewall] → [Povolit programu nebo funkci průchod bránou Windows Firewall.]

image005.jpg
* V seznamu najdu položky „Vzdálená plocha“ a „Vzdálená pomoc“ a obě je povolím. (Ve Windows 10, pokud je u firewallu vše zakázáno, tak systém ohlásí error, ale pokud dáte diagnostikovat chybu, tak firewall sám povolí.)

image006.jpg
 

  1. Zjistíme ip adresu počítače (např. pomocí příkazového řádku a příkazu ipconfig), ke kterému se chceme připojit.

    Alternativně se můžeme připojit pomocí názvu počítače. Ten zjistíme takto:

[start] → pravé tlačítko na [počítač] → [vlastnosti] → [název počítače]

image007.jpg
6. Na počítači, kterým se chceme připojovat spustime klientský program Připojení ke vzdálené ploše (Remote Desktop Connection - RDC).

   Kde program najdeme?

   1. možnost: [Start] > [Všechny programy] > [Příslušenství] > [Připojení ke vzdálené ploše]

   2. možnost: [Start] > napsat  mstsc a dát Enter

   3. možnost: (viz obrázek)

mstsc.PNG
7. Vložíme IP adresu (případně celý název počítače, pokud je v doméně) a připojíme se. V Možnostech můžeme upřesnit nastavení připojení (zadat uživatelské jméno, definovat různé funkce, rychlost připojení apod.)

 10.PNG

přihlášovací údaje 8. Přihlásíme se, potvrdíme certifikát a jsme připojeni ke vzdálené ploše. Počítač na který se přihlašujeme se odhlásí (pokud se jedná o klienta (Windows 10 např.), pokud se jendá o server (Windows Server 2016, tak ne).

 

Vzdálená pomoc (Remote Assistance)

Program Vzdálená pomoc systému Windows představuje vhodný způsob, jak se důvěryhodná osoba (například přítel nebo pracovník technické podpory) může vzdáleně připojit k našemu počítači a ukázat nám řešení nějakého problému. Poté co se tato osoba připojí, může zobrazit naši obrazovku a pohovořit s námi o tom, co oba vidíme (Oba vidíme v počítači stejnou obrazovku). S naším svolením může pomáhající dokonce použít vlastní myš a klávesnici k ovládání našeho počítače a ukázat nám, jak problém vyřešit. . 

  • Kdykoli můžeme program ukončit.
  • Pochopitelně stejným způsobem můžeme také my pomoci někomu jinému.
  • Aby bylo zajištěno, že se k našemu počítači mohou pomocí programu Vzdálená pomoc systému Windows připojit pouze pozvaní lidé, všechny relace jsou šifrovány a chráněny heslem.

 

Konfigurace Vzdálené pomoci

Ruční spuštění klienta je možné pomocí příkazu msra.exe (Micorosft Remote Assistance).


Chceme-li od někoho vzdáleně pomoci postupujeme následovně:

  1. Otevřeme Ovládací panely → Systém a zabezpečení→ Systém → Nastavení vzdáleného přístupu →  v kartě Vzdálený přístup zvolíme Povolit připojení vzdálené pomoci k tomuto počítači a potvrdíme

assist.PNG
2.Spustíme program Vzdálená pomoc systému Windows

msra.PNG
3. Zvolíme Požádat jiného důvěryhodného uživatele o pomoc

pomoc.PNG
4. Vybereme jednu z následujících možností (dle mého názoru je nejlepší pracovat se souborem.. dá se poslat mailem, přenést na flashce apod.). 
Pro použití možnosti Odeslat pozvánku pomocí e-mailu je třeba mít vytvořený profil v programu Microsoft Outlook a připojení na SMTP server. 
Nástroj Snadné připojení lze použít pouze pokud se snažíme spojit dva počítače se stejným operačním systémem a máme povolený protokol PNRP (Peer Name Resolution Protocol). Poté stačí pouze zadat IP adresu či název počítače a počkat, až uživatel na druhé straně spojení potvrdí. Není třeba vytvářet a odesílat pozvánku jako soubor.

pozvanka.PNG
5. Soubor uložíme (nejlépe do předem vytvořené sdílené složky, aby se k němu ten, kdo nám pomáhá dostal).

  1. Aplikaci nezavíráme a opíšeme si heslo.

heslo.PNG
7. Abychom mohli spustit uložený soubor na Windows Server 2016 a pomáhat klientovi, musíme nejdříve nainstalovat funkci Vzdálená pomoc. Správce serveru → Přidat funkce a role → proklikáme se až k funkcím → Vzdálená pomoc → jednoduše nainstalujeme. Pokud žádáme o pomoc např. uživatele s Windows 10, stačí když si soubor pouze otevře (nemusí instalovat žádnou funkci).

Funkce vzdálená pomoc
8. Na serveru se otevře předem uložený soubor na klientovi a vloží se heslo, které máme od klienta.

Vzdálená pomoc
9. Klient ještě musí povolit přístup při pokusu připojení a poté už vše funguje. Na serveru je vidět „vzdálená plocha“ klienta, ale server s ní nemůže pracovat. Může pouze pozorovat, co klient dělá. Je možná, aby server na klientovi pracoval, pokud zažádá o řízení a klient mu to povolí.

 

 Vzdálená pomoc

Rozdíl mezi vzdálenou pomocí a vzdálenou plochou ve směru server → klient

Pokud se server připojí pomocí vzdálené plochy na klienta, uživatel na klientské stanici bude automaticky odhlášen a to z důvodu, že při využití této varianty nemohou být na klientovi dva uživatelé zároveň. Oproti tomu využití vzdálené pomoci (asistence) spočívá v tom, že oslovená stanice získá přístup ke klientovi za jeho přítomnosti. Obsluha serveru i klienta se tedy nachází na ploše současně.

Telnet a SSH

Telnet (zkratka z Telecommunication Network) je označení protokolu používaném v počítačových sítích, který pomocí stejnojmenné aplikace umožňuje uživateli připojení ke vzdálenému počítači.Používá se v Internetu pro realizaci spojení typu klient-server protokolem TCP, přičemž přenáší osmibitové znaky oběma směry (duplexní spojení). Samotná komunikace mezi klientem a serverem je nezabezpečená (nešifrovaná). Proto se nedoporučuje tento způsob připojení používat a byl nahrazen pokročilejšími protokoly jako je např. SSH (Secure Shell). I přesto je však Telnet součástí dnešních Microsoft Windows i Unixových systémů. Serverová část standardně naslouchá na portu číslo 23. 

Telnet pracuje v textovém režimu a nepodporuje žádné grafické funkce. Lze tedy pracovat pouze programy využívající textový režim. Telnet lze použít napříč různými operačními systémy a s velmi špatným inetrnetovým spojením. Je velmi vhodný např. pro restartování zaseklé služby. V dnešní době se ještě stále používá a to zejména pro výukové účely nebo např. pro komunikaci s emailovými servery, simulacemi SMTP a konfigurací síťových zařízení.

Klient Telnet

Klient Telnet umožňuje připojit počítač ke vzdálenému serveru služby Telnet a spouštět na něm aplikace. Po přihlášení se uživateli zobrazí příkazový řádek, který lze použít stejně, jako kdyby byl spuštěn místně na serveru služby Telnet. Se službou Telnet spolupracují pouze programy, které používají příkazový řádek a nepracují s plochou nebo nepoužívají grafické uživatelské rozhraní.Všechny edice z řady Windows Server® 2016 a Windows 10 službu Klient Telnet obsahují, ve výchozím nastavení však není nainstalována.

Server Telnet

Server Telnet je hostitelem vzdálených relací pro klienty služby Telnet. Když je v počítači spuštěna služba Server Telnet, uživatelé se mohou k tomuto serveru služby Telnet připojovat ze vzdáleného počítače se spuštěnou službou Klient Telnet. Telnet server byl ve Win 10 a Server 2016 odstraněn. Nicméně lze jej doinstalovat jako aplikaci třetí strany, například Pragma telnet. K tomuto serveru se bez problémů dá připojit s nativním Telnet klientem, který v obou systémech zůstal zachován.

 

Konfigurace služby Telnet

Aby jsme mohli telnet používat musíme ho nejdříve povolit

  1. To uděláme v ovládacích panelech

2.Zde zvolíme Programy

3. Zde zvolíme Zapnout nebo vypnout funkce systému Windows.

  1. Zde zapneme funkci Klient služby Telnet.

telnet.PNG
7.V příkazové řádce se můžeme připojit příkazem: telnet ipadresa (tu zjistíme u počítače na který se chceme připojit příkazem ipconfig).

telnetcmd.PNG
 

Zapnutí Telnetu na Windows Server 2012

  1. Ve správci serveru zvolíme Přidat role a funkce → přejdeme až k Funkce → zvolíme Klient služby Telnet.

Telnet
2. Nainstalujeme tyto funkce.

Konfigurace služby SSH

  1. Musíme přejít na Developer sestavení. Nastavení → Zapnout Vývojářský režim

1.PNG2.PNG
2. Ovládací panely → Programy → Zapnout nebo vypnout funce Win → Windows Subsyste for Linux (systém se restartuje)

3.PNG
3. Otevřeme příkazový řádek (cmd.exe) → napíšeme bash a y pro potvrzení.

4.PNG
4. Zadáme své nové uživatelské jméno a heslo a rovnou se nám bash spustí. Jinak jej spustíme z příkazového řádku příkazem bash.

5.PNG
5. Příkazem ssh username@server se můžeme připojit k serveru 

6_01.PNG
6. Pokud se nám nepodaří připojit (jak je vidět při prvním spuštění příkazu), je nutné zkontrolovat SSH ve službách a zapnout. Ideálně pak nastavit automatické spuštění služby.

6_2.PNG
7.PNG
8.PNG

Konfigurace služby Powershell Web Access

Telnet se dá také nahradit PowerShell Web Access službou, nicméně připojit se dá pouze na Windows Server. Jedná se o službu, kdy můžete vzdáleně v prohlížeči otevřít powershell a pracovat skrz terminál. 

3.PNG
5.PNG
Powershell musí být spuštěn jako administrator. Zadáme příkaz Install-PswaWebApplication. Tabulátorem si lze nechat doplňovat příkazy.

ž.PNG
Tímto příkazem povolíme všem uživatelům přístup:Add-PswaAuthorizationRule –UserName * -ComputerName * -ConfigurationName *, kde hvězdička je zástupný symbol pro jakýkoliv znak.

7.PNG
Následně po zadání https://servername/pswa se můžeme přihlásit. Přihlašovací obrazovka v prohlížeči.

 

 

Vzdálená plocha na Windows Server 2016 (Remote Desktop Services)

V dřívějších verzích
Windows Server (2008 a starších) známo po názvem Terminálové služby (Terminal Services). Je to jedna z komponent Microsoft Windows, která umožňuje
uživateli využívat prvky vzdáleného nebo virtuálního počítače přes internetové
připojení. Jedná se o implementaci tenkého klienta, kde
software Windows a celá plocha počítače, na kterém běží RDS je zpřístupněna
vzdálenému klientskému počítači, který podporuje RDP (Remote Desktop Protocol). Při připojení pomocí RDS dochází přenesení pouze grafického uživatelského rozhraní (GUI) ke klientovi. Veškeré vstupy od uživatele jsou zasílány na server, kde se pak následně vyhodnocují, což je velký rozdíl oproti např. Microsoft Application Virtualization, kde se všechny příkazy vyhodnocují už u klienta.

Komponenty Windows využívající RDS:
  • Windows Remote Assistance
  • Remote Desktop Connection (software součástí
    klientských Windows)
  • Fast User Switching (přepínání mezi uživateli bez
    odhlašování a zavírání aplikací)
Terminálový server

Serverová komponenta, která má na starosti jak autentizaci klientů, tak i zpřístupnění daných aplikací na dálku. Respektuje nakonfigurované zásady (např. některý software bude přístupný jen některým uživatelům, případně skupinám). Je spravován konzolí Terminal Server Manager.

ROLE

Brána vzdálené plochy (Remote Desktop Gateway)

Umožňuje přístup z vnější sítě na Hostitele relací vzdálené plochy a Hostitele virtualizace. Brána vzdálené plochy předkládá protokol RDPna HTTPS. Klienty ověřuje v Active Directorya opravňuje je přistupovat k hostitelům vzdálené plochy a virtualizace.Prostřednictvím brány vzdálené plochy je možné zajistit například připojení klientům k aplikacím ze sítě internet.

Webový přístup ke vzdálené ploše (Remote Desktop Web Access)

Konsoliduje informace z více Hostitelů vzdálené plochy a Hostitelů virtualizace na webových stránkách RDWeb.Klientům je na základě přihlášení aktivována nabídka aplikací a vzdálených ploch, ke kterým mají právo přistupovat.

Licencování VP

Služba Licencování vzdálené plochy, spravuje licence pro klientský přístup ke službě Vzdálená plocha (licence VP CAL), které jsou požadovány pro připojení každého zařízení nebo uživatele k serveru. Služba Licencování VP slouží k instalaci, vystavování a sledování dostupnosti licencí VP CAL na licenčním serveru vzdálené plochy. V základu má Windows Server licenci pro připojení až 5 vzdálených nebo virtuálních stanic na 120 dní od chvíle aktivace, poté je nutné licenci zakoupit.

Služba Zprostředkovatel připojení VP

Zprostředkovatel připojení ke vzdálené ploše , podporuje vyrovnávání zatížení relací a opětovné připojení k relaci. Zprostředkovatel připojení k VP se také používá k poskytnutí přístupu k aplikacím RemoteApp a virtuálním plochám prostřednictvím programu Připojení k aplikacím RemoteApp a vzdálené ploše.

Hostitel virtualizace vzdálené plochy (Remote Desktop Virtualization Host)

Zajišťuje přístup klientů vzdálené plochy k virtuálním strojům Hyper-V.

Hostitel relací vzdálené plochy  (Remote Desktop Services Host)

Dřívější označení pro terminálový server. Na tento server se instalují aplikace, které spouští klient v rámci relací vzdálené plochy.

Virtualizace Hyper-V

Umožňuje běh virtuálním OS Windows přímo na platformě Microsoft. Zajišťuje izolaci běžících oddílů a jejich abstrakci na hardware, čímž umožní segmentaci úloh informačního systému a jejich provoz na jednotném hardware. V rámci určitého hardware lze potom provozovat i vzájemně nekompatibilní software. Umožňuje nastavit virtuální úložiště i virtuální sítě pro vertikální komunikaci mezi virtuálními stroji.

Remote FX

Funkce Remote FX umožňuje pomocí RDP protokolu přenášet akcelerovanou 3D grafiku. Grafika je vykreslena na hostitelském počítači (RDP server) místo toho, aby na klientském zařízení a aplikacích používal GPU hostitele a procesro běžel na plné obrtáky. Údaje na obrazovce jsou kódovány pomocí Remote FX kodéru. Poté jsou komprimované bitmapy zaslány klientovi, kde je dekodér dekóduje.

RemoteFX kodek je určen pro vysoce kvalitní video, fotografie a text přes omezené šířky pásma sítě v reálném čase kompresi dat. RemoteFX kodek může běžet v softwaru na procesoru nebo na klientském GPU, nebo na vlastní čip na kartě nebo vložené do tenkého klienta hardwaru.

Terminálové služby

Terminálové služby jsou možností jak zpřístupnit náročné aplikace na starších a pomalejších počítačích. Základním principem je připojení jednoduchých klientů pracujících s aplikacemi přímo na serveru. Na klientském terminálu je minimálně zatěžován procesor. Komunikace je realizována pomocí protokolu RDP. Přístup k serveru je možné získat pomocí jakéhokoli připojení TCP/IP, a bezpečnost tohoto připojení je zajišťována šifrováním na serveru. 

Terminálové služby jsou ve své podstatě přímý předchůdce služby Vzdálená plocha. Nejprve byly uvedeny ve Windows NT 4 Terminal Server Edition, ale doznaly změn v řade Windows Server 2000 a 2003. Terminálové služby jsou dostupné ve všech verzích Windows XP a vyšší (kromě Home edic, které v sobě obsahují terminálový server, který je ale určen jen pro jedno připojení). V systému Windows Vista a Windows server 2008 byly terminálové služby výrazně přepracovány a ve Windows Server 2008 R2 dochází k jejich přejmenování na Vzdálená plocha. V SP1 Windows Server 2008 R2 přibývají funkce Remote FX a podpora přesměrování USB zařízení.

 

·         Úspora za vylepšení starších typů HW

·         Dálkový přístup a administrace serveru

·         Téměř neomezený počet připojených počítačů 

·         Nezávislost hardware a software 

·         Sdílená schránka

·         Přesměrování tiskáren 

·         Vzdálené řízení 

 

 Schéma fungování technologie vzdáleného přístupu k počítači

RemoteAPP (Windows Server 2016

Aplikace Vzdálená aplikace RemoteApp umožňuje dosáhnout toho, aby se aplikace, ke kterým uživatelé přistupují vzdáleně prostřednictvím služby Vzdálená plocha, chovaly, jako by běžely v místním počítači koncového uživatele. Tyto aplikace se označují jako Programy aplikací RemoteApp. Program Vzdálená aplikace RemoteApp není prezentována uživateli jako součást plochy serveru Hostitele relací vzdálené plochy (hostitel relací VP), ale je integrována do plochy klienta. Program Vzdálená aplikace RemoteApp běží ve vlastním okně umožňujícím změnu velikosti, lze ji přetahovat mezi více monitory a má vlastní položku na hlavním panelu. Pokud uživatel spustí více aplikací Program Vzdálená aplikace RemoteApp na stejném serveru Hostitele relací VP, bude Program Vzdálená aplikace RemoteApp sdílet stejnou relaci služby Vzdálená plocha. 

Hlavní rozdíly v RemoteApp ve Windows Server 2088 R2 a Windows Server 2012 R2)

  • Podpora průhledných oken - u Windows Server 2012 R2 je informace o alfa-kanálu (který zajišťuje transparentnost) odeslána ze serveru do klienta, kde se uplatňuje ve spojení s místními aplikacemi. Poskytuje plnou podporu pro průhledná okna, která mohou výrazně zlepšit vzhled a dojem z aplikací, které transparentnost poskytují. To zahrnuje Office 2013, které mají průhledné hranice okna a pop-up upozornění. Transparentnost v aplikacích se nyní zobrazí stejná, ať už jsou spuštěny místně nebo ze vzdáleného systému.

·         Zlepšení aplikace Move / Resize - Druhou výhodou je výrazně lepší zážitek při pohybu nebo změně velikosti aplikace. Za prvé, nejsou  žádné artefakty když se aplikace přesune nebo změní velikosti. Za druhé obsah okna se zobrazuje, pohybuje a chová stejně jako místní aplikace.

·         Živé náhledy - RemoteApp na Windows Server 2012 R2 nyní poskytují živé náhledy a zobrazí náhled celé aplikace v panelu. S těmito novými vylepšení se programy RemoteApp chovají jako lokální aplikace a usnadňují přechod z jedné aplikace na další velmi rychle. Poznámka: Některé aplikace, jako je například Internet Explorer nemusí zobrazit miniatury.

·         ClickOnce aplikace - Některé aplikace mohou být dodány pomocí ClickOnce technologii, která umožňuje snadný mechanismus pro udržování aplikace při běhu. Další zlepšení v systému Windows Server 2012 R2 je podpora pro aplikace ClickOnce. Jestliže tyto aplikace nemohou být zveřejněny jako programy RemoteApp přímo, mohou být nyní nainstalovány a spuštěny z jejich hosting webových stránek prostřednictvím webového prohlížeče jako je Internet Explorer zveřejněné jako RemoteApp program.

  • Quick reconnect - bylo výrazně zrychleno znovu připojení k odpojené session a také byly vylepšeny informace pro uživatele, tak aby poskytovaly relevantní informace.

ActiveX

ActiveX je technologie vyvinutá společností Microsoft pro
sdílené softwarových aplikací od MS a jejich funkcí. Jeho přítomnost je
vyžadována při využívání sdílených aplikací RemoteApps. Jediný prohlížeč s touto technologií je Internet Explorer.

Internet Explorer obvykle sám vyzve uživatele
k instalaci tohoto prvku.

Remote Web Access (RWA)

Všem oprávněným uživatelům jsou aplikace RemoteApp přístupné pomocí webových stránek RDWeb.

Jedna z nejznámějších komponent pro vzdálenou práci je portál Remote Web Access (RWA), který je přístupný všem oprávněným uživatelům. Jedná se o publikace stránky s aplikacemi do internetu, podmínkou však je, že RWA bude zabezpečeno SSL certifikátem, který však nesmí být vydán pomocí interní CA. SSL certifikát tak musí vydat pro DNS jméno veřejná certifikační autorita.

Tato funkce je specifická pro edici Essentials nebo serverovou roli „Essentials Experience“. 

Instalace služby Vzdálená plocha na serveru

  1. Ve správci serveru zvolíme Přidat role a funkce → Další

Přidat funkce a role
 2. Na kartě Typ instalace zvolíme: Instalace služby Vzdálená plocha → Další

Typ instalace
 3. Na kartě Typ nasazení zvolíme: Rychlé zahájení, protože ji budeme instalovat pouze na jeden server → Další

Capture.PNG

Standardní nasazení

Tato volba nám umožňuje nasadit služby Vzdálená plocha na více serverů. Tedy různé služby na různé servery (např. licenční jinde než ostatní).

Rychlé nasazení

Nejjednodušší volba, zařídí nasazení služby Vzdálená plocha na jeden server, vytvoří kolekci a publikuje programy RemoteApp. Tedy vše co potřebujeme.

Služby multipoint

Tyto služby umožňují více uživatelům používat jeden počítač nezávisle na sobě. Na jeden počítač jsou připojené nenákladné USB rozbočovače nebo nulová klientská zařízení.

·         Server je připojen přes USB kabel do KVM switche, který zastupuje koncové stanice. Ze switche je vyveden monitor, klávesnice a myš pro jednotlive stanice.

·         Server je vybaven větším počtem grafických karet, klávesnice, myši jsou přes USB do KVM switche, ale monitory jsou připojeny do grafické karty v serveru

  • Server je zapojen do běžné lokální sítě a uživatelské PC (tencí klienti) se připojují přes vzdálenou plochu. časem by se měl na trhu objevit KVM switche umožňující propojení přes ethernet.

 

  1. Na kartě Scénář nasazení zvolíme: Nasazení klientů na základě relace, protože nechceme, aby se klienti připojovali k virtuálním klientům → Další

Scénář nasazení
5. Na kartě Potvrzení zaškrtneme pole: V případě potřeby automaticky restartovat cílový server, protože v průběhu instalace se bude server restartovat → Nasadit

Potvrzení
 6. Nasazení trvá delší dobu (třeba i 5-10 min), ze začátku to vypadá, že se nic neděje, ale po polovině první části je instalace rychlejší. Po nasazení se dole objeví odkazna RD Web Access (připojení k RemoteApp a vzdálené ploše přes webovou stránku), kliknutím na odkaz můžeme přejít na danou webovou stránku nebo zadáme adresu přímo do webového rozhraní. (Je dobré si tuto adresu pamatovat či zapsat) → Zavřít

07.png
RD Web Access

 1. Otevřeme webový prohlížeč (na klientovi nebo na serveru) a zadáme URL adresu k RD Web Access (z posledního bodu instalace služby Vzdálená plocha je to adresa: https://server.firma.net/rdweb). Aby byl byla webová stránka důvěryhodná musí být certifikát, který patří dané službě, ověřen autoritou. Nemáme ověřený certifikát, ale jelikož tyto web. stránky zpřístupňujeme my, můžeme Pokračovat na tento web.

 RD Web Access

 Pomůcka: Jestliže se vám po předešlém kroku objeví v prohlížeči chyba 404, zkontrolujte zda-li máte aktivní Default Web Site pod kterou běží RDweb. Najedeme si na IIS a klikneme pravym tlačítkem na náš server a zvolíme Správce internetové informační služby.

 RD Web Access

 Pomůcka krok 2: Ve správci internetové informační služby si rozklikneme náš server → Weby → a klikneme na Default Web Site pod kterou běží RDweb. V pravo mezi položkami Akce si zkontrolujte zda je Default Web Site spuštěna,jestliže není stačí kliknout na tlačítko spustit a Default Web Site se aktivuje i s RDweb.

 RD Web Access

 2. Vyplníme přihlašovací údaje toho uživatele, který má k aplikacím přístup (na serveru musí být vytvořena doména a můžeme se přihlásit pouze doménovým uživatelem!). Volba v Zabezpečení nehraje v našem případě roli. → Přihlásit

XADc3kOcEJwty4bdt829umI-EX_QNeRG5myxhzg5
3. Aplikace, které jsou zpřístupněny server přihlášenému uživateli.

 RD Web Access
 

 4. Po otevření aplikace se zeptá, jestli danou aplikaci chcete opravdu připojit. → Připojit

 RD Web Access

 5. Z webového rozhraní se můžeme připojit i ke vzdálené ploše. V Možnostech můžeme upřesnit parametry připojení.

RD Web Access
 

I za předpokladu, že byly všechny předchozí kroky správné, může se vyskytnout následující problém, jehož příčinou je vypnutá podpora javascriptu v internet exploreru..

image050.jpg
Zvolíme možnosti internetu a vybereme záložku zabezpečení a  následně nastavíme vlastní úroveň zabezpečení.

image051.jpg
Následně najdeme položku „Aktivní skriptování“ a zaškrtneme povolit.

image052.jpg
Prohlížeč nás upozorní jestli chceme změnit nastavení pro danou zónu. Stránku stačí už jen obnovit.

RDWeb v prohlížeči Edge

Z nepochopitelných důvodů stránka RDWeb ve výchozím nastavení nefunguje v prohlížeči Edge. Je potřeba provést některá nastavení v prohlížeči Internet Explorer, která jsou očividně sdílená s Edgem. V následujících krocích si ukážeme co je potřeba upravit.

  1. V prohlížeči Internet Explorer si otevřeme „Možnosti internetu“

 

  1. Dále si otevřeme záložku „Zabezpečení“, v ní vybereme „Místní intranet“ a klikneme na „Weby“

 

  1. Otevře se nám následující nabídka, ve které klikneme na „Upřesnit“

 

  1. V dalším okně přidáme náš web, můžeme napsat celou adresu ale ve výsledku se zkrátí

 

  1. Po přidání vše postupně pozavíráme a máme nastaveno tak aby RDWeb fungoval i v prohlížeči Edge

RemoteApp v nabídce Start

 Aby bylo možné přistupovat na klientovi k RemoteApp z nabídky Start, musí být na serveru nakonfigurována Brána vzdálené plochy a certifikát.

  1. Správce serveru → Vzdálená plocha (záložka v levém panelu) → Přehled → Brána VP (je-li ikona zelená, znamená to, že není nakonfigurovaná).

Přehled služby Vzdálená plocha
 

  1. Vybereme server, do kterého chceme nainstalovat Bránu VP a přesuneme kliknutím na šipku do Vybráno. → Další

20.png
3. Zadáme název certifikátu, který později vytvoříme (v tomto případě server.cuni.cz). → Další

21.png
4. → Přidat

22.png
5. Po přidání je ve spodní části upozornění, že je nutné nakonfigurovat certifikát (klikneme tedy na Konfigurace certifikátu). → Zavřít (toto okno)

23.png
 

  1. Certifikát nakonfigurujeme ve Vlastnostech nasazení (také Úlohy u Přehledu nasazení viz. obrázek v 1. bodě této části → Vlastnosti nasazení) na kartě Certifikáty. Zvolíme první službu rolí a klikneme na Vytvořit nový certifikát, protože ho vytvořený ještě nemáme.

Konfigurace certifikátu
7. Vyplníme název certifikátu, který je stejný jako ve 3. bodě této části. Poté heslo, které budeme zadávat při používání certifikátu. Uložíme certifikát (nejlépe třeba do sdílené složky, abychom k němu mohli přistupovat z klienta) a zaškrtneme: Povolit přidání certifikátu do úložiště…, protože cílem je přidat tento certifikát do Důvěryhodných kořenových certifikačních autorit na klientovi. → OK

25.png
 

  1. Nelze konfigurovat více služeb rolí najednou, proto před konfigurováním další musíme kliknout na Použít.

Konfigurace certifikátu
9. Zvolíme další službu rolí a tentokrát zvolíme Vybrat existující certifikát, který jsem si vytvořili v předešlých krocích. Vyplníme cestu k certifikátu, heslo k němu a opět zaškrtneme: Povolit přidání… → OK

Vybrat existující certifikát
10. Opět musíme nejprve kliknout na Použít, abychom mohli pokračovat v konfiguraci. Stejným způsobem jako u předešlých dvou bodů nakonfigurujeme všechny služby rolí (pokud se naskytne chyba při konfiguraci certifikátu, zkuste znovu vybrat certifikát u dané služby rolí). → OK

Konfigurace certifikátu

Úrovně certifikátů

Na nasazení služby vzdálená plocha lze použít následující úrovně certifikátů.

Nekonfigurováno

Nejméně jedna ze služeb rolí ve vašem nasazení není nakonfigurována s certifikátem nebo má neplatný certifikát. Uživatelé se k vašemu nasazení služby vzdálená plocha nemusí být schopni připojit.

Nedůvěryhodný

Nejméně jeden z certifikátů ve vašem nasazení služby vzdálená plocha je podepsaný svým držitelem. Certifikáty podepsané svým držitelem nejsou pro vzdálené počítače důvěryhodné, ověření serveru nebude fungovat a uživatelé budou před připojením k nedůvěryhodnému počítači upozorněni.

Důvěryhodný

Úroveň důvěryhodných certifikátu v nasazení služby vzdálená plocha může mít podobu bud podnikových certifikátu, nebo veřejných certifikátu. Podnikové certifikáty jsou důvěryhodné ve všech počítačích připojených do domény. Veřejné certifikáty jsou důvěryhodné ve všech počítačích připojených k Internetu a jsou obvykle vydávány důvěryhodnou kořenovou autoritou.


11. Přejdeme na klienta. Otevřeme certifikát vytvořený na serveru dvojklikem, abychom jej importovali. → Další


12. Cesta k certifikátu → Další


13. Zadáme heslo k certifikátu (zadané při jeho vytvoření) a zaškrtneme: Zahrnout všechny rozšířené  vlastnosti. → Další


14. V další části zvolíme kam importovat certifikát. Jak je je výše uvedeno, vybereme: Důvěryhodné kořenové certifikační autority. → Další



15. Dokončit a potvrdit



16. Najdeme Připojení k aplikacím RemoteApp a vzdálené ploše, tím že zadáme do vyhledávání remote…


17. Zvolíme: Nastavit nové připojení pomocí nástroje Připojení k aplikacím RemoteApp a vzdálené ploše.


18. Zadáme URL adresu, na které běží RD Web Access (v tomto případě https://server.cuni.cz/rdweb), ale k tomu ještě přidáme /feed/webfeed.aspx, jak je uvedeno v příkladu. → Další


19. → Další → Poté vyskočí okno s tím, že připojení bylo úspěšné či neúspěšné. Aplikace (RemoteApp) najdeme v nabídce Start → Všechny programy → složka RemoteApp





Licencování VP 

Každý uživatel a zařízení, který se chce připojovat k RDS potřebuje svou licenci CAL (client access licenses). K instalování, vydávání a sledování slouží “Licencování VP”.

Po připojení klienta k RD Session Host serveru se zjistí zda je licence potřeba. RDSH si poté vyžádá licenci od licenčního serveru RD. Pokud je příslušná licence k dispozici vydá se klientovi a ten se může připojit.

Je možné využít určité období, ve kterém není licence vyžadována (tzv. demo režim na 120 dní)

Existují dva druhy licencí:

  • pro zařízení
    • je fyzicky fixována na zařízení
    • licence je vyžadována
    • dočasné licence jsou platné 52 až 89 dní
    • počet poskytnutých licencí nelze překročit
    • pro uživatele
    • je fixována na uživatele v AD
    • licence není vyžadována
    • nejsou dostupné dočasné licence
    • na odpovědnost administrátora lze počet licencí překročit

    Zpravidla platí, že licence z novějších verzí WS nelze použít na starších licenčních serverech a licenční server si poradí s aktuální nebo starší verzí jako je licenční server sám. To vše bez ohledu na revizi systému.

Instalace Licencování VP

  1. V přehledu nasazení vzdálené plochy vybereme položku Licencování VP


2. Vybereme náš server


3. Potvrdíme naší volbu


4. Po chvilce máme licenční server nainstalovaný


Licencov%C3%A1n%C3%AD%20VP.webm


jednooborbc/administrace_operacnich_systemu_ii/rdp/rdp.txt · Poslední úprava: 2017/05/13 21:00 autor: Marek Carbol