За кулисами RDS

Remote Desktop Services (RDS) — одна из тех технологий, которые можно найти практически в любой среде Microsoft. Будь эти службы настроены для предоставления доступа к приложениям или к рабочим компьютерам, RDS является централизованным механизмом для предоставления пользователям доступа к инструментами необходимым им для выполнения своей работы.

В Windows Server 2008 список возможностей RDS значительно вырос. Наиболее очевидным улучшением стала способность предоставлять отдельные приложения в виде RemoteApps, а также в виде традиционного полноценного рабочего стола. Это позволило устранить существовавшую в ранних версиях проблему «двойных рабочих столов». Это также позволило пользователю работать с самим приложением.

В Windows Server 2008 R2 технология RDS снова сделала большой скачок вперед за счет интеграции с виртуальными структурами на основе Microsoft Hyper-V. Объединение RDS с Hyper-V предоставляет «айтишнику на все руки» многие из возможностей виртуализации настольных приложений, какие обычно используются в крупных компаниях. Это сочетание позволяет получить доступ к действительно крутым технологиям, но такая интеграция требует новых навыков для ее использования. Даже принятие решения о том, подходит ли новый путь для вашей среды, добавляет дополнительный этап в процедуру внедрения RDS.

Наряду с другими новыми возможностями RDS в R2 эти решения являются причиной недавнего выпуска в издательстве Microsoft Press книги «Windows Server 2008 R2 Remote Desktop Services Resource Kit» (Microsoft Press, 2010). Это почти 700-страничное руководство было полностью обновлено и теперь содержит рассказ о новых технологиях RDS R2. Оно должно стать настольной книгой каждого системного администратора, отвечающего за внедрение или поддержку RDS в обычной конфигурации или в виде конфигурации VDI (Virtual Desktop Infrastructure).

Мне удалось побеседовать с авторами книги — Кристой Андерсон (Christa Anderson) и Кристин Гриффин (Kristin Griffin). Андерсон является менеджером программ Microsoft в команде разработчиков RDS, а Гриффин носит звание Microsoft MVP по технологии RDS. Мы говорили о работе над книгой и о советах, которыми они хотели бы поделиться с «айтишниками на все руки». Вот что они могут сказать.

Говоря о RDS

Шилдс: Вы член команды Microsoft RDS, поэтому сможете рассказать нам, на какие особенности технологии RDS в Windows Server 2008 R2 следует обратить особое внимание?

Андерсон: RDS теперь предоставляет огромные возможности, предусматривая гораздо больше сценариев, чем это было в Windows Server 2003 и даже больше, чем в Windows Server 2008. Первым делом системному администратору необходимо обдумать, какие задачи он сможет решить с помощью виртуализации. После этого можно сосредоточиться на том, что является наиболее важным из этих потребностей. Например, если все пользователи подключены к локальной сети, то, скорее всего, шлюз RD не нужен.

То есть я бы рекомендовала, чтобы все администраторы обратились к хосту сеансов удаленных рабочих столов — службе роли RDS, которая выполняет основные функции удаленного рабочего стола. Многие люди в первую очередь думают об инфраструктуре виртуальных ПК как о средстве решения пользовательских задач. Во многих случаях сеанс традиционного удаленного рабочего стола работает так же хорошо, как и реальный компьютер. Сеансы традиционного удаленного рабочего стола также позволяют повысить плотности пользователей в расчете на один компьютер. Таким образом, хотя VDI и интересная технология, рассматривайте ее как запасной вариант на тот случай, если выяснится, что более традиционные RDS сеансы не соответствуют вашим потребностям.

Кроме того, изучите возможности Remote Desktop Client [RDC] версий 7 и 7.1. Если вы перешли с Windows Server 2003, то наверняка будете удивлены мощью и развитым интерфейсом для удаленных соединений RDC в Windows Server 2008 R2.

Гриффин: Я думаю, было бы замечательно, если бы администраторы изучили все эти особенности. Знание своих возможностей — лучший способ извлечь максимальную выгоду из технологии. Изучите, что делает каждая служба роли и разберитесь, какая служба нужна для достижения ваших целей. Тогда можно потратить больше времени, сосредоточившись на конкретных службах ролей, которые можно применить в своем решении. Вот рекомендуемая последовательность освоения новых технологий:

• Если требуется предоставить сотрудникам доступ к приложению, используя только один сервер, начните со служб ролей RD Session Host, RD Easy Print и RD Licensing.
• Как только потребности переростают единственный имевшийся сервер хоста сеансов удаленных столов, начните изучать RD Connection Broker.
• Если необходимо предоставить веб-портал для доступа к приложениям изучите сервер RD Web Access. RD Web Access также полезен для предоставления легкого доступа к удаленному приложению через меню «Пуск» в Windows 7 (посредством функций RemoteApp и Desktop Connection).
• Следующим объектом изучения должен быть RD Gateway. Изучите его, когда будет нужно предоставлять доступ к приложениям из вне корпоративной сети.
• Наконец, для приложений, которые работают только на Windows XP, или для переноса удаленных рабочих столов в центр обработки данных, обязательно изучите RD Virtualization Host, RD Licensing и RD Connection Broker.

Шилдс: Такова уж природа работы системного администратора — отвечать за всю вычислительную среду. Это означает, что это профессия широкого профиля, а не узкая специализация. Как превратить RDS в доступную для ИТ-специалиста широкого профиля технологию?

Андерсон: В какой-то мере она более доступна, но с другой стороны, сложнее, поскольку сейчас RDS выполняет гораздо больше функций. Системный администратор должен еще много изучить. Один из способов сделать эту технологию доступнее — заставить разработчиков, чтобы при программировании своих приложений они учитывали возможность их работы в виртуальной среде. Приложения, которые отвечают требованиям Microsoft для Windows Vista и более поздних версий, должны работать на RDS без проблем. Печать упрощается, если не нужно учитывать два разных названия драйвера принтера. Сама по себе функциональность RDS также призвана помогать администратору. Например, анализатор соответствия рекомендациям (Best Practices Analyzer) предназначен для выявления и информирования о базовых ошибках в конфигурации, которые люди часто допускают. Просто базовые вещи работают лучше, чем прежде.

Гриффин: Службы RDS лучше документированы. Это действительно огромный плюс, особенно для системного администратора, который должен быстро обучаться. Печать с использованием RD Easy Print устраняет старые проблемы с работающими в режиме ядра драйверами, сбои которых «роняли» целые серверы. Эта же функциональность позволяет решать проблему соответствия драйверов на сервере и на клиенте. RD Connection Broker также позволяет создавать фермы без предварительной подготовки.

Шилдс: Сертификаты никогда не были простой темой, как и требования к безопасности при работе в демилитаризированной зоне. Тем не менее, обеспечение безопасности трафика RDS и использование его в Интернете требует опыта работы с тем и другим. Какие советы и приемы должен знать системный администратор, чтобы облегчить внедрение этой технологии, которое иногда оказывается исключительно сложным?

Гриффин: Избегайте использования встроенных самоподписанных сертификатов в «живой» среде. В настоящее время сертификаты обходятся дешево. Потратьте деньги и приобретите сертификат у надежного стороннего поставщика. Используйте поставщика, который участвует в программе Microsoft Root Certificate Program. Клиенты Windows 7 автоматически доверяют их сторонним сертификатам, что устраняет источник хлопот для системного администратора. Эта цепочка доверия () обновляется посредством службы обновления Windows.

Я встречала проблемы с использованием сертификатов Server Gated Cryptography (SGC) или когда SGC сертификаты являются частью цепочки сертификатов. Не покупайте эти сертификаты и не допускайте их в вашей цепочке сертификатов. Более подробную информацию вы найдете в двух темах на форуме Microsoft TechNet RDS: и .

Для тестирования можно использовать собственные сертификаты. Во многих случаях вам придется менять общее имя сертификата в соответствии с вашими потребностями. Один из примеров — сертификат фермы. Надо, чтобы общее название сертификата, отображало название фермы, а не имена отдельных серверов в ферме, как это происходит по умолчанию. В этом может помочь такая простая программа как SelfSSL. В Resource Kit имеется информации о том, как это сделать.

Шилдс: Сейчас горячо обсуждается VDI и многие новые функции RDS ориентированы на применение VDI. Когда имеет смысл использовать VDI в малых вычислительных средах?

Гриффин: VDI позволяет решить ряд задач, например обеспечение доступа к приложениям, которые не работают в ОС Windows Server 2008 R2. Например, можно использовать VDI для создания пула виртуальных машин Windows XP для запуска несовместимых приложений. Можно также использовать VDI для замены физических настольных компьютеров и перемещения их на централизованную площадку. Это предоставляет системному администратору новые возможности, такие как мгновенные снимки — функция, которая позволяет вернуть виртуальную машину в предыдущее состояние. Это полезно, если что-то пойдет не так во время обновления или установки новой версии приложения. В отличие от физической, в виртуальной среде также проще и быстрее развертывать новые настольные компьютеры.

Андерсон: Я согласна с тем, что VDI горячая тема. Для малых компаний VDI имеет смысл, если планируется перемещение существующих настольных компьютеров в центр обработки данных. Это особенно полезно, когда на этих настольных компьютерах запускаются приложения, которым нужны прежние версии ОС. Это также удобно, когда пользователям необходимо установить свои собственные приложения и элементы управления ActiveX. Виртуальные машины лучше подходят в малых средах, где часто происходят изменения, так как виртуализация обеспечивает гораздо большую маневренность за счет централизованного управления.

Тем не менее, для малых вычислительных сред сеансы должны серьезно рассматриваться в качестве первого варианта. Сеансы позволяют получить большую плотность пользователей в расчете на сервер наряду со всеми преимуществами виртуализации.

Шилдс: Является ли VDI прямой заменой RDS?

Гриффин: Это распространенное заблуждение. Нет, VDI не прямая замена виртуализации на основе сеансов, как думают люди о традиционной RDS. VDI является новым компонентом роли RDS.

VDI предоставляет виртуализацию настольных систем, в то время как сервер службы роли RD Session Host предлагает виртуализацию сеансов. Применение VDI лучше в конкретных ситуациях, в то время как во многих случаях виртуализации сеансы RDS обычно лучше подходят для предоставления доступа к приложениям. Необходимо полное понимание того, что предлагает каждое решение, чтобы в полной мере использовать данную технологию наиболее подходящим способом.

Например, нет смысла предоставлять всем пользователям персональных виртуальных рабочих столов, если все что им нужно это доступ к приложению, которое прекрасно работает на RD Session Host.

Андерсон: Это определенно не прямая замена. VDI является частью RDS. RDS представляет собой полнофукнциональное решение для виртуализации настольных систем, в том числе виртуализации сеансов и настольных компьютеров, методов обнаружения учетных записей пользователей и доступа к WAN. Это означает, что VDI не всегда является очевидным выбором по сравнению с использованием сессий.

С одной стороны, используя сеансы, вы получите намного больше пользователей в расчете на сервер, чем при использовании виртуальных машин. Поэтому сеансы являются более экономичным вариантом. Вот почему так важно руководствоваться заданными целями. Это означает применение правильной технологии, вместо того, чтобы стараться втиснуть бизнес-цели в готовый технологический план.

Шилдс: Как RDS может помочь с моими планами обновления Windows 7? Где эта технология подходит лучше всего?

Андерсон: Если вы виртуализируете Windows 7, вам не нужно обновлять оборудование, чтобы получить доступ ко всем возможностям Windows 7. Если вы планируете аппаратное обновление, но есть одно проблемное приложение, используйте для запуска этого приложения RemoteApp для Hyper-V. Приятной стороной RDS является то, что эти службы легко стирают грань между локальными и удаленными машинами. Вы можете интегрировать элементы разных машин в одной рабочей области.

Гриффин: Мы все наслышаны об этой истории перехода на Windows 7, когда имеется одно скверное, но необходимое приложение, которое отказывается работать на новой ОС. Возможно, оно работает только в среде Windows XP. Можно для решения этой проблемы использовать режим Windows 7 XP, но в этом случае вы имеете дело с двумя отдельными ОС. Некоторые аппаратные конфигурации могут не поддерживать режим XP или не обеспечивать удовлетворительной производительности.

Альтернативой является создание пула виртуальных машин с помощью VDI и предоставление пользователям доступа к среде Windows XP, когда это необходимо. Вы можете даже реализовать RemoteApp для Hyper-V и размыть границу между средой Windows 7 и Windows XP. В этом случае приложение Windows XP будет представлено как RemoteApp и интегрируется непосредственно в настольный компьютер с Windows 7. RemoteApp for Hyper-V интересный инструмент, но немногие знают о нем.

Между строк

Шилдс: Вы недавно выпустили книгу «Microsoft Windows Server 2008 R2 Remote Desktop Services Resource Kit».” Давайте поговорим о написании книги, уроках, которые вы при этом извлекли, и об изменениях в оценке тех или иных возможностей RDS.

Андерсон: Одним из интересных аспектов при работе с группой разработчиков Microsoft является то, что большинство из нас работает над определенными функциями. Так что мы знаем все об одной части RDS, но не знаем деталей работы других. Работа над такой книгой, как наша, отличный способ увидеть картину в целом. Я благодарен всем экспертам, которые предоставили нам подробную информацию о других функциях.

Вы используете много функций RDS при написании книги. Я не люблю работать в серверной комнате, если этого можно избежать, а RDS позволяет мне делать работу в другом месте. RD Gateway мой персональный фаворит. Я могу иметь доступ к нашей тестовой лаборатории из кафе, когда мне приходится работать по выходным.

Гриффин: Я думаю, что при написании книги я узнала больше о RDS, чем при обычном исследовании продукта. Нет ничего лучше неуклонно надвигающихся сроков, чтобы заставить погрузиться в глубину вопроса. Это может показаться смешным, но я думаю, что журналы событий мне стали нравиться намного больше. Они действительно помогли мне разобраться с собственными неполадками при тестировании продукта. Для тех, кто не знаком с журналами событий RDS, рекомендую изучить это семейство, которое вы найдете в папке Windows Logs/Applications and Services Logs/Microsoft/Windows/Terminal Services.

Как и Криста, я также питаю особые теплые чувства к RD Gateway. Безопасный удаленный доступ — фантастически приятная возможность и ее легко установить. Высокий уровень детализации в Connection Authorization Policies [RD CAPs] и Resource Authorization Policies [RD RAPs] предоставляет системному администратору полный контроль над тем, кто получает доступ к тем или иным ресурсам. Улучшенное взаимодействие RD Gateway с Network Access Protection делает его еще более надежным.

Шилдс: Теперь, когда вы закончили написание книги, можете ли вы сообщить нам совет или секрет «номер один», знание которого абсолютно точно облегчит повседневную жизнь администратора RDS?

Андерсон: Купите книгу. Мы потратили почти год на тестирование и на беседы с разработчиками и теми, кто занимается эксплуатацией. Мы также прочитали все, до чего дотянулись руки, что могло бы сделать наше руководство полнее и доступнее. Так что эта книга представляет собой рафинированный кладезь знаний и опыта.

Лучший совет:всегда сначала обдумывайте, что вы хотите реализовать. После этого разработайте проект, реализующий эти цели. Только в этот момент можно переходить к деталям реализации проекта.

Многие люди начинают анализ с фазы реализации, но это лишь создает ненужную работу. Например, если ваша цель заключается в достижении высокой плотности пользователей, не следует начинать с исследования, как уменьшить размер памяти виртуальной машины. Вместо этого определитесь, будут ли работоспособными сеансы при вашей пользовательской нагрузке. Если это так, то все готово, и вы получите желаемую плотность пользователей. Лень может неожиданно обернуться самым что ни на есть положителным качеством.

Гриффин: Я всем говорю, что не следует опасаться этого продукта. Его внедрение проще, чем вы думаете, но только после того, как вы разобрались, как взаимодействуют отдельные его части. Нет лучшего способа изучения, чем создать тестовую среду и попытаться сделать все своими руками.

Таким образом не стоит избегать чтения материалов по теме и ждать, что продукт внедрится сам по себе. Сделайте свое «домашнее задание». Разберитесь, что делает каждая служба роли RDS, и которые из них вам понадобятся для конкретных сценариев. RDS также зависит от других технологий. В процессе изучения RDS прочитайте о таких технологиях, как сертификаты SSL, балансировка сетевой нагрузки (Network Load Balancing), циклическое обслуживание DNS (Round Robin DNS), роуминг и обязательные профили. Если вы уже установили и запустили продукт, используйте журналы событий, которые помогут в устранении неполадок. Наконец, есть форум Microsoft TechNet RDS, который является превосходным ресурсом для получения бесплатной помощи.