Microsoft Windows Server Desktop Experience — это функция, которая позволяет администраторам устанавливать различные компоненты Windows 7 на серверах под управлением Windows Server 2008, функции Windows 8 на серверах под управлением Windows Server 2012 и функции Windows 8.1 на серверах под управлением Windows Server 2012 R2.
Какова цель Windows Server 2016?
Целью Microsoft при выпуске Windows Server 2016 является дальнейшее ассимилирование локальных ресурсов с общедоступными и частными облачными инфраструктурами для обеспечения большей степени управляемости в различных вычислительных средах (виртуализированных и физических), сохраняя при этом беспроблемную продуктивность для предприятий и пользователей.
Как установить возможности рабочего стола на Windows Server 2016?
Добавить функцию Desktop Experience
- Откройте Диспетчер серверов и щелкните правой кнопкой мыши узел «Функции».
- В появившемся меню выберите «Добавить компоненты». …
- Установите флажок «Возможности рабочего стола». …
- Щелкните Добавить обязательные компоненты, а затем щелкните Далее. …
- Нажмите кнопку Установить.
Могу ли я использовать Windows Server 2016 как обычный компьютер?
Windows Server — это просто операционная система. Он может работать на обычном настольном ПК. … Windows Server 2016 использует то же ядро, что и Windows 10, Windows Server 2012 использует то же ядро, что и Windows 8. Windows Server 2008 R2 использует то же ядро, что и Windows 7, и т. Д.
В чем разница между стандартом server 2016 и настольным ПК?
Разница между Windows Server Core и Desktop
Server with Desktop Experience устанавливает стандартный графический интерфейс пользователя, обычно называемый GUI, и полный пакет инструментов для Windows Server 2019.… Server Core — это минимальный вариант установки, который поставляется без GUI.
Есть ли в Windows Server 2019 графический интерфейс?
Windows Server 2019 доступен в двух формах: Server Core и Desktop Experience (GUI).
В чем разница между Windows Server 2016 и 2019?
Windows Server 2019 — это скачок по сравнению с версией 2016 года, когда дело касается безопасности. В то время как версия 2016 года была основана на использовании экранированных виртуальных машин, версия 2019 года предлагает дополнительную поддержку для запуска виртуальных машин Linux. Кроме того, версия 2019 года основана на подходе к обеспечению безопасности: защита, обнаружение и реагирование.
Сколько оперативной памяти мне нужно для Server 2016?
Память — минимум 2 ГБ или 4 ГБ, если вы планируете использовать Windows Server 2016 Essentials в качестве виртуального сервера. Рекомендуемый размер — 16 ГБ, а максимальный, который вы можете использовать, — 64 ГБ. Жесткие диски. Вам потребуется как минимум жесткий диск объемом 160 ГБ с системным разделом на 60 ГБ.
Сколько существует версий Windows Server 2016?
Windows Server 2016 доступен в трех редакциях (редакция Foundation, как это было в Windows Server 3, больше не предлагается Microsoft для Windows Server 2012):
Есть ли в Windows Server 2016 графический интерфейс?
Microsoft не совсем противостоит графическому интерфейсу с Windows Server 2016. В выступлениях Сновера обычно упоминается будущий веб-интерфейс, который можно использовать для удаленного управления Windows Server 2016. Другие инструменты управления Windows Server 2016 включают удаленные сценарии PowerShell и Windows Management Instrumentation.
Какая версия Windows Server 2016?
Текущие версии Windows Server по варианту обслуживания
Выпуск Windows Server | Версия |
---|---|
Windows Server 2019 (канал долгосрочного обслуживания) (Datacenter, Essentials, Standard) | 1809 |
Windows Server, версия 1809 (Semi-Annual Channel) (Datacenter Core, Standard Core) | 1809 |
Windows Server 2016 (канал долгосрочного обслуживания) | 1607 |
Как включить функцию Desktop Experience?
Чтобы установить компонент Desktop Experience:
- Щелкните Пуск> Панель управления. …
- Щелкните «Программы». …
- Щелкните Включение или отключение компонентов Windows. …
- На правой панели прокрутите до раздела «Сводка функций».
- Щелкните ссылку «Добавить функции». …
- Выберите Desktop Experience.
- Нажмите «Далее. …
- Снова появляется диалоговое окно «Мастер добавления компонентов», в котором будут выбраны все необходимые компоненты и возможности рабочего стола.
Windows Server 2016 — это то же самое, что Windows 10?
Windows 10 и Server 2016 очень похожи по интерфейсу. Под капотом реальная разница между ними заключается просто в том, что Windows 10 предоставляет приложения универсальной платформы Windows (UWP) или «Магазин Windows», тогда как Server 2016 — пока что — нет.
Как долго будет поддерживаться Windows Server 2016?
Информация
Версия | Окончание основной поддержки | Окончание расширенной поддержки |
---|---|---|
Windows 2012 | 10/9/2018 | 1/10/2023 |
Windows 2012 R2 | 10/9/2018 | 1/10/2023 |
Windows 2016 | 1/11/2022 | 1/12/2027 |
Windows 2019 | 1/9/2024 | 1/9/2029 |
Можно ли использовать в качестве сервера обычный ПК?
Ответ
Практически любой компьютер можно использовать в качестве веб-сервера при условии, что он может подключаться к сети и запускать программное обеспечение веб-сервера. Поскольку веб-сервер может быть довольно простым и доступны бесплатные веб-серверы с открытым исходным кодом, на практике любое устройство может выступать в качестве веб-сервера.
Автор статьи — Роман Левченко (www.rlevchenko.com), MVP — Cloud and Datacenter Management
Выход Windows Server 2016 всё ближе и ближе, и мы продолжаем рассматривать самые главные нововведения очередного релиза. Речь сегодня пойдет об одной из наиболее востребованных ролей – службы удаленных рабочих столов или RDS (Remote Desktop Services).
Прежде чем погружаться в мир нового, рекомендую ознакомиться со списком тех возможностей, которые предоставляют Windows Server 2012/2012 R2. Если все в теме, то вернемся к главному и подробно рассмотрим непосредственно WS 2016 RDS.
Службы Multipoint
MultiPoint-сервер (MPS) является технологией и решением на базе Windows Server и служб RDS для предоставления базовой функциональности удаленных рабочих столов. Позиционируется для использования в учебных классах или учреждениях, где нет больших требований к нагрузке и масштабируемости. Особенность заключается в том, что пользовательские станции могут состоять только из монитора, клавиатуры и мыши («нулевые» клиенты) и подключаться непосредственно к серверу MPS через USB-хабы, видео-кабели или LAN (RDP-over-LAN, если клиентом является, к примеру, ноутбук или тонкий клиент). В итоге, конечный потребитель получает low-cost решение для предоставления функциональности рабочих столов с абсолютно минимальными затратами на пользовательские конечные станции.
Первая версия MPS, выпущенная в феврале 2010-го, имела возможность подключать станции только через специализированные USB-хабы и видео-порты.
Привычная нам всем возможность подключения через RDP была добавлена только в следующей версии MPS 2011, релиз которой состоялся в марте 2011. Помимо RDP-over-LAN, MPS 2011 обновился следующим образом:
- Поддержка RemoteFX
- Поддержка виртуализации
- Проецирование рабочего стола от одной станции другой (к примеру, рабочий стол тренера или преподавателя дублируется на пользовательские станции)
- Возможность ограничения Интернет-доступа на базе фильтров
- Удаленный запуск приложений, блокировка периферии (клавиатуры, мышь) на подключенных станциях
В следующей и, на данный момент, последней версии MPS 2012 были добавлены:
- Новая консоль для централизованного управления столами
- Защита системного раздела от нежелательных изменений
- Клиент MPS Connector для мониторинга и управления станций, включая планшеты
Лицензирование напоминает полноценный RDS. Всё так же требуется лицензировать каждую конечную станцию и иметь серверные лицензии MPS, которые отличаются редакциями:
Наименование редакции | Standard | Premium |
---|---|---|
Кол-во подключенных станций | До 10 | До 20 |
Виртуализация | Нет | Да |
Количество CPU (Sockets) | 1 | 2 |
Макс. память | 32 ГБ | Неограниченно |
Подключение к домену | Нет | Да |
Основные типы станций MultiPoint Services
Как уже было сказано выше, MPS поддерживает не только классический RDP, но и даёт возможность подключать «нулевые» клиенты (примером может служить Wyse 1000) следующими способами:
- Прямое подключение к видеокарте головной станции
На рисунке к главной станции подключаются напрямую 4 клиентские станции через USB и, к примеру, VGA-порты. Очевидно, что подобный тип подключения подразумевает соответствующие требования к аппаратной конфигурации головной станции и в некоторых сценариях не применим (масштабы, расстояние, мобильность)
- Подключение через USB
На рисунке ниже показано взаимодействие первичной станции (станция, которая подключена напрямую к MPS и используется для первичной конфигурации вне зависимости от сценария) и двух «нулевых» клиентов, подключенных через USB-хабы (пример: Wise 1000). В отличии от первого способа, нам не нужно дополнительно рассчитывать конфигурацию видео-подсистемы сервера MPS для формирования требуемого количества видеовыходов. Но из-за ограничения по расстоянию между станциями и MPS (для Dell Wise 1000 ~ 5 метров) рекомендуется использовать в малых комнатах при небольшом количестве конечных пользователей.
- Использование USB-Over-Ethernet
Более масштабируемый тип подключения. Вместо USB-to-USB используется проброс USB через LAN, тем самым предоставляется возможность построения системы MPS в больших по размеру помещениях (пример клиента: Wise 1003)
А что же в Windows Server 2016?
Описанная выше функциональность полностью перенесена в Windows Server 2016 (на данный момент Technical Preview 4). MultiPoint Server является теперь новым типом развертывания служб RDS.
Данных по лицензированию подобной схемы развертывания в рамках 2016 пока нет. Подразумеваю, что схема лицензирования MPS 2012 будет частично перенесена и в WS 2016, а редакции MPS будут упразднены.
Процесс развертывания
Опытным инженерам или администраторам, которые уже знакомы с процедурой конфигурации RDS в рамках VDI или Session-Based решений, процесс настройки и использования MPS покажется более простым и быстрым. Это тоже является плюсом, если учитывать целевую аудиторию MPS.
Существует три способа установить MultiPoint Services: через Server Manager (role-based), Powershell и через RDS Installation.
Бегло пройдемся по первым двум и потом перейдем к процессу базовой настройки MPS.
- Используя Server Manager и установку ролей, выберите MultiPoint Services, согласитесь с установкой дополнительных компонент и перейдите к следующему шагу.
- Можно почитать ещё раз, что такое MPS. Стоит отметить, что RD Licensing нужно будет активировать после конфигурации MPS.
- Вместе с основной службой MPS дополнительно разворачиваются службы Print and Document Services, предназначение которых всем, я надеюсь, известно. Ничего интересного, идем далее.
- Оставляем всё по умолчанию.
- Print Server – необходим для управления «множеством» принтеров
- Distributed Scan Server – управление и предоставление доступа к сканерам, поддерживающим Distributed Scan Management
- Internet Printing – веб-доступ к printer jobs с возможностью отправки документов на печать через Internet Printing Protocol
- LPD Service — служба Line Printer Daemon предоставляет возможность UNIX-клиентам, используя службу Line Printer Remote, отправлять задачи на печать доступным принтерам.
- Полноценный RDS нам не нужен, поэтому оставляем предлагаемые по умолчанию значения.
- После подтверждения сервер отправится на перезагрузку и, используя первичную станцию, необходимо будет произвести требуемую конфигурацию при первом старте MPS. В момент запуска будет предложено произвести идентификацию первичной станции (путем нажатия клавиши “B”), после чего сервер перейдет в режим конфигурации служб RDS/MPS.
MPS добавит учетную запись WmsShell для поддержки работы в multi-station режиме и создаст группу WmsOperators для формирования доступа к консоли управления (Dashboard).
Все 6 пунктов можно “сжать” до 1 команды в PowerShell:
Перейдем в диспетчер управления MPS (MPS Manager)
Со своей удаленной станции я хочу настроить доступ к MPS через RDP-over-LAN. Для этого добавим новую учетную запись пользователя MPS
С точки зрения MPS существует 3 вида пользователей: стандартный пользователь для доступа к MPS, пользователь для управления пользовательскими сессиями и администратор. По сути, это имитация полноценного RBAC (Role Based Access Control).
Итак, пользователь добавлен. Проверим подключение. Используя MSTSC и возможности RDP, я подключаюсь к серверу MPS с помощью выше обозначенной учетной записи. При первом подключении каждого пользователя к MPS будет выведено сообщение: «To assist you with your usage of this computer, your activities may be monitored by your system administrator / Для помощи в использовании данного компьютера ваши действия будут отслеживаться системным администратором».
После подтверждения будет создана новая терминальная сессия для пользователя, при этом администратор сможет управлять пользовательской сессией в интерактивном режиме, используя MPS Dashboard.
Перейдем к MPS Dashboard (отдельная консоль). Основную часть консоли будут занимать динамически меняющиеся мини-экраны пользовательских сессий. Мне это чем-то напоминает экран службы безопасности для мониторинга видеосигналов с камер, но MPS позволяет нам не только наблюдать за тем, что происходит в пользовательских сессиях, но и реально управлять и изменять их (забирать управление, блокировать станции или инициировать log off, отправлять IM выбранным пользователям, блокировать USB-устройства или удаленно запускать/закрывать приложения).
К примеру, с каждой пользовательской станцией и её сессией мы можем сделать следующее:
- разблокировать/заблокировать станцию и вывести на экран конкретной станции сообщение;
- ограничить веб-доступ путем определения списка разрешенных или запрещенных URLs;
- проецировать свой рабочий стол на клиентские станции;
Если вернуться обратно в MPS Manager, то можно увидеть, что подключенная станция отображается во вкладе Stations, где можно дополнительно управлять выбранными станциями.
Настройки самого MPS располагаются на стартовой вкладе Home. Мы можем, к примеру, отключить оповещения о том, что сессия не является приватной, чтобы у пользователей не возникало дополнительных вопросов
Multi-Session режим несет некоторые риски, связанные с безопасностью, поэтому предоставляется возможность защитить системный диск от нежелательных изменений. Для включения функции Disk Protection достаточно одно клика и подтверждения.
Если имеется приложение, которое требует клиентскую среду, в некоторых случаях изолированную, то в MPS это достигается за счет включения Virtual Desktops. Принцип работы схож с pooled-коллекцией в полноценном VDI. Каждая «виртуализированная станция» будет создаваться из шаблона и делать откат изменений после каждого выхода пользователя из системы. Как видим, полноценная функциональность VDI не достигается, но всё же само наличие подобной возможности расширяет область применения MPS.
FAQ
Как корректно удалить службы MPS?
Удалите роль через Server Manager, перезапустите сервер и запустите скрипт.
Что насчет модуля PowerShell для MPS?
На данный момент отдельного модуля нет. На мой взгляд, обновится уже имеющийся модуль для RDS с целью поддержки управления MPS.
Выводы
Перемещение функциональности MultiPoint Server в Windows Server 2016 довольно интересное и полезное решение, которое должно оживить применяемость MPS именно в тех сценариях, в которых его рекомендуется использовать. Помимо стандартных учебных классов MPS может применяться так же и партнерами для обеспечения демо-стендов или шоу-румов, независимыми тренерами и другими профессионалами, целью которых является грамотно донести информацию до слушателей или заказчиков.
Спасибо за внимание!
Сейчас мы с Вами рассмотрим основные компоненты сервера, которые есть в операционной системе Windows Server 2016, Вы узнаете, что такое серверные компоненты и для чего они нужны.
Напомню, ранее в материале «Описание и назначение ролей сервера в Windows Server 2016» мы с Вами рассмотрели основные роли и службы ролей сервера, но кроме ролей в Windows Server есть и компоненты сервера, которые также являются важной частью этой серверной операционной системы, и сейчас мы с Вами познакомимся с ними поближе.
Содержание
- Что такое компоненты сервера в Windows Server?
- Описание серверных компонентов Windows Server 2016
- BranchCache
- Direct Play
- Enhanced Storage
- I/O Quality of Service
- Media Foundation
- Multipath I/O
- qWave
- RPC через HTTP-прокси
- SMB Bandwidth Limit
- SMTP-сервер
- TFTP-клиент
- Windows Identity Foundation 3.5
- Windows PowerShell
- WINS-сервер
- Балансировка сетевой нагрузки
- Биометрическая платформа Windows
- Внутренняя база данных Windows
- Внутрипроцессное веб-ядро IIS
- Клиент Telnet
- Клиент для NFS
- Клиент печати через Интернет
- Контейнеры
- Монитор LPR-порта
- Мост для центра обработки данных
- Отказоустойчивая кластеризация
- Очередь сообщений
- Пакет администрирования диспетчера RAS-подключений (CMAK)
- Перенаправитель WebDAV
- Поддержка WoW64
- Поддержка общего доступа к файлам SMB 1.0/CIFS
- Поддержка опекуна узла для Hyper-V
- Программная подсистема балансировки нагрузки
- Простые службы TCP/IP
- Протокол однорангового разрешения имен (PNRP)
- Расширение IIS OData для управления
- Расширение IIS WinRM
- Реплика хранилища
- Сбор событий установки и загрузки
- Сервер управления IP-адресами (IPAM)
- Сетевая разблокировка BitLocker
- Система архивации данных Windows Server
- Служба iSNS-сервера
- Служба SNMP
- Служба Windows Search
- Служба активации процессов Windows
- Служба беспроводной локальной сети
- Соединитель MultiPoint
- Средства защиты виртуальной машины для управления структурой
- Средства миграции Windows Server
- Средства удаленного администрирования сервера
- Средство просмотра XPS
- Стандартизированное управление хранилищами Windows
- Удаленное разностное сжатие
- Удаленный помощник
- Управление групповой политикой
- Фильтр Windows TIFF IFilter
- Фоновая интеллектуальная служба передачи (BITS)
- Функции .NET Framework 3.5
- Функции .NET Framework 4.6
- Функции Защитника Windows
- Шифрование диска BitLocker
Компоненты сервера (Feature) – это функционал сервера, который не является основным на сервере, т.е. не выполняет основную роль сервера, но поддерживает или расширяет возможности одной или нескольких серверных ролей, служб ролей или управляет одной или несколькими ролями и службами.
Для установки компонентов сервера в Windows Server 2016 Вы можете использовать как графический инструмент, т.е. «Мастер добавления ролей и компонентов», так и Windows PowerShell. Для установки компонентов с помощью PowerShell, также как и для установки ролей и служб ролей используется специальный командлет Install-WindowsFeature, а для удаления Uninstall-WindowsFeature. Найти еще полезные командлеты Windows PowerShell Вы можете в материале «Справочник командлетов Windows PowerShell».
Существуют компоненты сервера, которые обязательны для функционирования некоторых ролей и служб ролей, другим словами Вы не сможете установить определенные роли без установки дополнительных компонентов сервера. Также есть компоненты сервера, для работы которых требуется установка некоторых служб ролей или других дополнительных компонентов, например «Шифрование диска BitLocker» требует наличие компонента «Enhanced Storage», а компоненту «Клиент печати через Интернет» необходимо несколько служб роли «Веб-сервер (IIS)».
Есть компоненты сервера, которые не расширяют функционал сервера, а управляют ролями и службами ролей, при этом они могут быть установлены на удаленных компьютерах, например для удаленного управления сервером существуют специальные компоненты «Средства удаленного администрирования сервера».
Описание серверных компонентов Windows Server 2016
Итак, давайте приступать к рассмотрению компонентов сервера операционной системы Windows Server 2016. К описанию компонентов я буду добавлять и их техническое название для Windows PowerShell, чтобы Вы могли устанавливать и удалять эти компоненты на PowerShell.
BranchCache
Это компонент для функционирования технологии BranchCache. BranchCache – это технология для оптимизации пропускной способности глобальной сети (WAN). Работает она следующим образом, клиентский компьютер филиала запрашивает и получает данные из главного офиса, затем содержимое кэшируется в этом филиале, благодаря чему остальные компьютеры в данном филиале могут получать данные локально, т.е. нет необходимости заново загружать их с сервера главного офиса по глобальной сети.
Название для Windows PowerShell – BranchCache
Direct Play
Direct Play – это программный интерфейс программирования (API), который предоставляет разработчикам инструменты для разработки многопользовательских приложений, например игр. Он работает на транспортном и сеансовом уровне.
Название для Windows PowerShell — Direct-Play
Enhanced Storage
Данный компонент добавляет поддержку доступа к дополнительным функциям устройств Enhanced Storage, такие устройства имеют встроенную систему безопасности, которая позволяет Вам управлять доступом к данным на устройстве, например защита USB-накопителей паролем или проверкой подлинности на основе сертификатов.
Enhanced Storage поддерживает устройства, реализующие стандарт IEEE 1667 (IEEE 1667 – это стандартный протокол аутентификации при подключении съемных устройств хранения данных), который определяет механизм аутентификации целевой системы хранения до доступа к данным.
Название для Windows PowerShell – EnhancedStorage
I/O Quality of Service
Компонент позволяет настраивать параметры качества ввода-вывода, такие как максимальный объем ввода-вывода и ограничения полосы пропускания для приложений.
Название для Windows PowerShell – DiskIo-QoS
Media Foundation
Media Foundation — это мультимедийная платформа для разработки приложений нового поколения для работы с цифровым мультимедиа, включающая Windows Media Foundation, пакет Windows Media Format SDK и серверный вариант DirectShow. Компонент Media Foundation необходим приложениям и службам для перекодировки, анализа файлов мультимедиа и создания для них эскизов. Media Foundation требуется для работы компонента «Возможности рабочего стола».
Название для Windows PowerShell – Server-Media-Foundation
Multipath I/O
Multipath I/O (Многопутевой ввод-вывод, MPIO) – это компонент для обеспечения поддержки нескольких путей к запоминающим устройствам хранения данных (в состав компонента входит специальный модуль Device Specific Module, DSM). Другими словами, одно устройство может быть подсоединено к двум контроллерам и в случае выхода из строя одного из контроллеров, MPIO будет использовать другой, альтернативный путь для доступа к устройству, при этом сохраняя для приложений доступ к данным. За счет этого данная технология повышает отказоустойчивость системы и позволяет распределять нагрузку.
Название для Windows PowerShell – Multipath-IO
qWave
Quality Windows Audio Video Experience (qWave) — это набор программных модулей ориентированных на потоковое аудио и видео (AV) в некорпоративных средах, таких как домашние сети или сети малых предприятий. Технология qWave повышает производительность и надежность потокового AV, обеспечивая сетевое качество обслуживания (quality of service, QoS) для приложений AV. qWave поддерживает одновременную передачу нескольких потоков аудио/видео и потоков данных (например, электронная почта) через сеть, в то же время, предоставляя пользователям аудио/видео высокого качества.
Название для Windows PowerShell – qWave
RPC через HTTP-прокси
Компонент RPC через HTTP-прокси позволяет клиентам подключаться через Интернет по протоколу HTTP к программам RPC-сервера и выполнять удаленный вызов процедур (RPC). Другими словами, данный компонент передает трафик RPC от клиентских приложений серверу по протоколу HTTP. Для работы компонента требуется несколько служб роли «Веб-сервер (IIS)», все необходимое будет выбрано автоматически во время установки компонента.
Название для Windows PowerShell – RPC-over-HTTP-Proxy
SMB Bandwidth Limit
SMB Bandwidth Limit – это компонент Windows Server, с помощью которого можно отслеживать и ограничивать объем трафика SMB для определенной категории SMB-трафика (например, Hyper-V или Live Migration).
Название для Windows PowerShell – FS-SMBBW
SMTP-сервер
Данный компонент добавляет возможность передачи сообщений электронной почты по протоколу SMTP. SMTP (Simple Mail Transfer Protocol) – это простой протокол передачи почты. Компонент SMTP-сервер может потребоваться, например, тогда, когда Вам необходимо реализовать отправку технических сообщений или оповещений на электронную почту от приложений или устройств. Возможность получения почты данный компонент не добавляет, для реализации полноценного почтового сервера стоит посмотреть в сторону Microsoft Exchange Server.
Для работы SMTP-сервера требуется несколько служб роли «Веб-сервер (IIS)», для управления компонентом необходимо также установить «Средства SMTP-сервера», все необходимые службы и средства будут выбраны автоматически во время установки компонента.
Название для Windows PowerShell – SMTP-Server
TFTP-клиент
TFTP (Trivial File Transfer Protocol) – простой протокол передачи файлов, основанный на протоколе UDP. Компонент TFTP-клиент предназначен для передачи данных по протоколу TFTP между TFTP-клиентом и TFTP-сервером. Протокол TFTP не поддерживает проверку подлинности и механизм шифрования, поэтому его использование небезопасно. Компания Microsoft не предоставляет полноценные возможности TFTP-сервера, а компонент TFTP-клиент является устаревшим.
Название для PowerShell – TFTP-Client
Windows Identity Foundation 3.5
Компонент Windows Identity Foundation (WIF) 3.5 – это платформа для построения приложений в среде .NET Framework 3.5 и 4.0, которые поддерживают удостоверения, основанные на утверждениях. WIF 3.5 был заменен классами WIF, предоставляемыми в рамках среды .NET 4.5, поэтому рекомендуется для поддержки таких удостоверений использовать .NET 4.5.
Название для Windows PowerShell – Windows-Identity-Foundation
Windows PowerShell
Это набор компонентов для поддержки Windows PowerShell.
Название для Windows PowerShell – PowerShellRoot
Включает следующие компоненты (в скобочках указано название для использования в Windows PowerShell):
- Windows PowerShell 5.1 (PowerShell) — компонент добавляет функционал Windows PowerShell версии 5.1 — это язык сценариев и командная оболочка Windows, которые разработаны для администрирования и конфигурирования операционных систем Windows;
- Windows PowerShell Web Access (WindowsPowerShellWebAccess) – компонент добавляет возможность использования сервера в качестве веб шлюза, с помощью которого мы можем работать с консолью Windows PowerShell в веб браузере, другими словами, управлять удаленными компьютерами. Для работы компонента требуется некоторые службы роли «Веб-сервер (IIS)»;
- Интегрированная среда сценариев Windows PowerShell (PowerShell-ISE) – компонент позволяет создавать, редактировать и отлаживать сценарии на Windows PowerShell в графической среде. С помощью ISE можно также выполнять многострочные команды PowerShell;
- Обработчик Windows PowerShell 2.0 (PowerShell-V2) – компонент предназначен для обратной совместимости с Windows PowerShell 2.0, т.е. все, что реализовано для Windows PowerShell 2.0 будет выполняться в текущей системе. Для работы требуется компонент «Функции .NET Framework 3.5»;
- Служба настройки требуемого состояния Windows PowerShell (DSC-Service) – служба DSC предназначена для получения и управления конфигурацией нескольких узлов. Для функционирования компонента необходимо несколько служб роли «Веб-сервер (IIS)», «Функции .NET Framework 4.6» и «Служба активации процессов Windows».
WINS-сервер
WINS-сервер (Windows Internet Name Service) – это служба регистрации и разрешения NetBIOS-имен компьютеров с IP-адресами. Другими словами, WINS-сервер позволяет пользователям обращаться по NetBIOS-имени компьютера к сетевым ресурсам, тем самым нет необходимости запоминать IP адреса этих ресурсов. Своего рода WINS — это аналог DNS, но только для NetBIOS. Для управления WINS-сервер используется «Средства WINS-сервера».
Название для Windows PowerShell – WINS
Балансировка сетевой нагрузки
Балансировка сетевой нагрузки (NLB) – это компонент для распределения трафика между несколькими серверами по протоколу TCP/IP. NLB позволяет обеспечить высокую масштабируемость, производительность и надежность для серверных приложений, которые используются на веб-, прокси- и FTP-серверах, а также серверах виртуальной частной сети (VPN) и других. Управляется NLB с помощью «Средств балансировки сетевой нагрузки».
Название для Windows PowerShell – NLB
Биометрическая платформа Windows
Биометрическая платформа Windows (WBF) – это набор служб, которые позволяют использовать устройства сканирования отпечатков пальцев для идентификации пользователя и входа в Windows.
Название для Windows PowerShell – Biometric-Framework
Внутренняя база данных Windows
Внутренняя база данных Windows (WID) – это реляционное хранилище данных, которое используется ролями и службами Windows, такими как:
- Службой управления правами Active Directory (AD RMS);
- Службами Windows Server Update Services (WSUS);
- Службой федерации Active Directory (AD FS).
Название для Windows PowerShell – Windows-Internal-Database
Внутрипроцессное веб-ядро IIS
Внутрипроцессное веб-ядро IIS (HWC IIS) – это компонент, который позволяет разрабатывать приложения с включением основных функциональных возможностей веб сервера IIS.
Название для Windows PowerShell – Web-WHC
Клиент Telnet
Telnet – это протокол передачи и получения по сети незашифрованных символов ASCII, основанный на документе RFC 854.
Клиент Telnet – это инструмент, который использует протокол Telnet для подключения к удаленному серверу Telnet с целью выполнения на нем команд в командной строке, например запуск приложений.
Название для Windows PowerShell – Telnet-Client
Клиент для NFS
Компонент «Клиент для NFS» предоставляет возможность взаимодействовать в роли клиента с серверами сетевой файловой системы (NFS). Другими словами, данный клиент позволяет Вам получать доступ к файлам на NFS-серверах на базе UNIX.
Название для Windows PowerShell – NFS-Client
Клиент печати через Интернет
С помощью данного компонента удаленные пользователи могут подключаться через Интернет по протоколу IPP (Internet Printing Protocol) к принтерам находящимся в локальной сети и печатать на них документы.
Для того чтобы использовать клиент печати через Интернет необходимо:
- Служба роли печати через Интернет и роль веб-сервера (IIS);
- Клиентский компьютер должен связываться с сервером печати посредством подключений по локальным сетям, глобальным сетям или по сети Интернет.
Название для Windows PowerShell – Internet-Print-Client
Контейнеры
Компонент предоставляет службы и средства для создания и управления контейнерами в Windows Server, появились они только 2016 версии. Контейнеры — это технология, которая позволяет изолировать приложения от операционной системы, обеспечивая тем самым надежность, а также улучшая их развертывание. Другими словами, контейнеры это своего рода разновидность виртуализации приложений.
Название для Windows PowerShell – Containers
Монитор LPR-порта
Монитор LPR-порта (Line Printer Remote) – это компонент Windows Server, с помощью которого пользователи, имеющие доступ к UNIX-компьютерам, могут печатать на подключенных к ним принтерах.
Название для Windows PowerShell – LPR-Port-Monitor
Мост для центра обработки данных
Компонент мост для центра обработки данных (Data Center Bridging, DCB) — это набор стандартов IEEE, которые используются для улучшения локальных сетей Ethernet путем обеспечения гарантированной аппаратной полосы пропускания и надежной передачи данных. DCB используется для распределения пропускной способности в сетевом адаптере CNA для разгруженного трафика системы хранения, например Internet Small Computer System Interface, RDMA over Converged Ethernet и Fibre Channel over Ethernet. Управление осуществляется с помощью «Инструментов DataCenterBridging LLDP».
Название для PowerShell – Data-Center-Bridging
Отказоустойчивая кластеризация
Отказоустойчивая кластеризация – это технология, позволяющая нескольким серверам работать совместно для обеспечения высокого уровня доступности и масштабируемости ролей сервера. Часто используется для файловых серверов, виртуальных машин Hyper-V, Microsoft SQL Server и Microsoft Exchange Server. Настройка и управление осуществляется с помощью «Средств отказоустойчивой кластеризации».
Название для PowerShell – Failover-Clustering
Очередь сообщений
Компонент, который представляет собой инфраструктуру для работы с сообщениями и средство разработки для создания распределенных приложений, использующих механизм обмена сообщениями.
Название для Windows PowerShell – MSMQ
Включает следующие службы (в скобочках указывается название для Windows PowerShell):
- Службы очереди сообщений (MSMQ-Services) — набор служб, который обеспечивает гарантированную доставку сообщений, эффективную маршрутизацию, безопасность и передачу сообщений между приложениями на основе приоритета;
- Сервер очереди сообщений (MSMQ-Server) – служба для выполнения основных функций очереди сообщений (гарантированная доставка сообщений, эффективная маршрутизация, безопасность и передачи сообщений между приложениями на основе приоритета). Сервер очереди сообщений требуется для всех остальных служб очереди сообщений;
- Интеграция служб каталогов (MSMQ-Directory) – служба, которая позволяет публиковать свойства очереди в Active Directory, включает стандартную проверку подлинности и шифрование сообщений с использованием сертификатов, зарегистрированных в Active Directory, а также маршрутизацию сообщений между сайтами AD;
- Поддержка HTTP (MSMQ-HTTP-Support) – компонент позволяет передавать и получать сообщения по протоколу HTTP;
- Поддержка многоадресной рассылки (MSMQ-Multicasting) – данная служба включает возможность помещения в очередь и отправки многоадресных сообщений на IP-адрес многоадресной рассылки;
- Служба маршрутизации (MSMQ-Routing) – эта служба маршрутизирует сообщения как между разными веб-сайтами, так и в пределах одного веб-сайта;
- Триггеры очереди сообщений (MSMQ-Triggers) – служба позволяет выполнять вызов COM-компонентов или исполняемых файлов в зависимости от фильтров, установленных для входящих сообщений выбранной очереди.
- DCOM-прокси очереди сообщений (MSMQ-DCOM) – компонент позволяет использовать данный компьютер в качестве клиента DCOM удаленного сервера очереди сообщений.
Пакет администрирования диспетчера RAS-подключений (CMAK)
Компонент предназначен для создания профилей для подключения к удаленным серверам и сетям.
Название для Windows PowerShell – CMAK
Перенаправитель WebDAV
Компонент позволяет манипулировать (создавать, открывать и изменять) файлами в Интернете, как если бы они существовали на подключенном сетевом диске.
Название для Windows PowerShell – WebDAV-Redirector
Поддержка WoW64
WoW64 (Windows-on-Windows 64-bit) – технология позволяющая запускать 32-битные приложения на 64-битных версиях Windows. Данный компонент добавляет поддержку WoW64, т.е. включает все подсистемы WoW64.
Название для Windows PowerShell – WoW64-Support
Поддержка общего доступа к файлам SMB 1.0/CIFS
Компонент добавляет поддержку протокола общего доступа к файлам SMB 1.0/CIFS и протокола браузера компьютеров. Протокол SMB (Server Message Block) – это сетевой протокол общего доступа к файлам, который позволяет обращаться к файлам или другим ресурсам на удаленном сервере.
Название для Windows PowerShell – FS-SMB1
Поддержка опекуна узла для Hyper-V
Служба предоставляет компоненты, необходимые серверу Hyper-V для выделения экранированных виртуальных машин. Чтобы установить компонент должен быть развернут сервер Hyper-V, а также некоторые компоненты, такие как: «Enhanced Storage» и «Шифрование диска BitLocker».
Название для Windows PowerShell – HostGuardian
Программная подсистема балансировки нагрузки
Компонент для равномерного распределения трафика сети, другими словами, он обеспечивает балансировку сетевых ресурсов.
Название для Windows PowerShell – SoftwareLoadBalancer
Простые службы TCP/IP
Компонент обеспечивает поддержку дополнительных служб протоколов TCP/IP таких как: Character Generator (RFC 864), Daytime (RFC 867), Discard (RFC 863), Echo (RFC 862) и Quote of the Day (RFC 865). Он необходим для обеспечения обратной совместимости и если нет необходимости, то устанавливать его не нужно.
Название для Windows PowerShell – Simple-TCPIP
Протокол однорангового разрешения имен (PNRP)
Данный компонент предназначен для поддержки протокола PNRP, с помощью которого приложения в одноранговых сетях регистрируют и разрешают имена на компьютере таким образом, чтобы другие компьютеры могли взаимодействовать с этими приложениями.
Название для Windows PowerShell – PNRP
Расширение IIS OData для управления
Компонент представляет собой инфраструктуру для упрощенного доступа к командлетам Windows PowerShell с помощью веб-службы, которая работает на базе протокола ODATA под управлением IIS. Для работы компонент требуется соответственно службы роли «Веб-сервер (IIS)», а также компоненты «Служба активации процессов Windows» и «Функции .NET Framework 4.6».
Название для PowerShell – ManagementOdata
Расширение IIS WinRM
Этот компонент позволяет серверу принимать запросы управления от клиента с помощью WinRM. WinRM (Windows Remote Management) – это технология для удаленного управления Windows, которая обеспечивает безопасный способ связи с локальными и удаленными компьютерами с помощью веб-служб IIS. Чтобы функционировал данный компонент, необходимы некоторые службы роли «Веб-сервера (IIS)».
Название для PowerShell – WinRM-IIS-Ext
Реплика хранилища
Компонент добавляет серверу функцию «Storage Replica» (Реплика хранилища). Реплика хранилища – это новая технология, которая обеспечивает синхронную репликацию томов между серверами или кластерами для аварийного восстановления. Также для создания отказоустойчивых кластеров Storage Replica позволяет использовать асинхронную репликацию. Для управления компонентом существуют специальные средства удаленного администрирования, а именно «Модуль реплики хранилища для Windows PowerShell».
Название для PowerShell – Storage-Replica
Сбор событий установки и загрузки
Эта функция позволяет осуществлять сбор различных важных событий, возникающих на других компьютерах в данной сети во время загрузки или процесса установки. Затем собранные данные можно будет проанализировать с помощью Event Viewer (окно просмотра событий), Message Analyzer, Wevtutil или Windows PowerShell.
Название для Windows PowerShell – Setup-and-Boot-Event-Collection
Сервер управления IP-адресами (IPAM)
Данный компонент включает набор инструментов, которые предназначены для централизованного управления пространством IP-адресов и соответствующими серверами инфраструктуры, такими как DHCP и DNS, а также они позволяют осуществлять мониторинг и аудит служб DNS и DHCP. Для того чтобы развернуть сервер IPAM, необходимы такие дополнительные компоненты как: «Внутренняя база данных Windows», «Служба активации процессов Windows», «Управление групповой политикой», «Функции .NET Framework 4.6».
Название для Windows PowerShell – IPAM
Сетевая разблокировка BitLocker
Данная возможность позволяет упростить управление компьютерами и серверами в домене, которые защищены технологией BitLocker, за счет автоматической разблокировки томов операционной системы при ее перезагрузке. Это может потребоваться тогда, когда необходимо выполнять операции обслуживания в нерабочее время без участия пользователя. Для работы компонента требуется роль сервера «Службы развертывания Windows».
Название для Windows PowerShell – BitLocker-NetworkUnlock
Система архивации данных Windows Server
Компонент предназначен для выполнения задач резервного копирования и восстановления данных на сервере. Архивировать и восстанавливать можно тома, папки, файлы, приложения и состояние операционной системы.
Название для Windows PowerShell – Windows-Server-Backup
Служба iSNS-сервера
Служба имён хранилищ Интернета (Internet Storage Name Service, iSNS) – это протокол, который используется для взаимодействия между серверами и клиентами iSNS. Служба iSNS-сервера предоставляет возможность автоматического обнаружения, управления и настройки устройств iSCSI.
Название для Windows PowerShell – ISNS
Служба SNMP
SNMP (Simple Network Management Protocol) – это простой протокол сетевого управления, который используется для управления устройствами в сетях TCP/IP. В качестве устройств могут выступать серверы, рабочие станции, маршрутизаторы, концентраторы, коммутаторы и другие. Компонент «Служба SNMP» предоставляет возможность отслеживать работу сетевых устройств и передавать сведения на управляющий компьютер. Для управления компонентом используются «Средства SNMP».
Название для Windows PowerShell – SNMP-Service.
Служба SNMP включает дополнительный компонент:
- Поставщик WMI для SNMP (SNMP-WMI-Provider) – он позволяет клиентским приложениям и сценариям WMI получать доступ к данным SNMP.
Служба Windows Search
Компонент обеспечивает быстрый поиск файлов на сервере, рекомендуется его использовать на небольших файловых серверах, для крупных компаний он не предназначен.
Название для Windows PowerShell – Search-Service
Служба активации процессов Windows
Компонент обобщает модель обработки IIS, устраняя зависимость от HTTP. Возможности IIS, которые ранее были доступны только для HTTP-приложений, теперь доступны и для приложений, включающих службы Windows Communication Foundation (WCF), которые используют отличные от HTTP протоколы.
Название для Windows PowerShell – WAS
Служба активации процессов Windows включает следующие компоненты:
- Модель процесса (WAS-Process-Model) – обеспечивает размещение веб-служб и служб WCF, исключая зависимость от HTTP;
- API конфигурации (WAS-Config-APIs) – позволяют разработчикам использовать в своих приложениях программный интерфейс настройки модели активации процессов Windows;
- Платформа .NET 3.5 (WAS-NET-Environment) – компонент поддерживает управляемый код активации в модели процессов. Платформа требует наличие компонентов «Функции .NET Framework 3.5» и «Функции .NET Framework 4.6».
Служба беспроводной локальной сети
Служба беспроводной локальной сети (WLAN) – это компонент, который настраивает и запускает службу автонастройки WLAN, независимо от наличия беспроводных адаптеров на компьютере. Служба автонастройки WLAN динамически выбирает беспроводную сеть и настраивает необходимые параметры адаптера беспроводной сети для автоматического подключения.
Название для Windows PowerShell – Wireless-Networking
Соединитель MultiPoint
Набор компонентов для работы с MultiPoint.
Название для Windows PowerShell – MultiPoint-Connector
Включает следующие службы:
- Службы соединителей MultiPoint (MultiPoint-Connector-Services) — позволяет приложениям «Диспетчер MultiPoint» и «Панель мониторинга MultiPoint» выполнять мониторинг Вашего компьютера и управлять им;
- Приложения «Диспетчер MultiPoint» и «Панель мониторинга MultiPoint» (MultiPoint-Tools) – инструменты с графическим интерфейсом для управления MultiPoint.
Средства защиты виртуальной машины для управления структурой
Компонент включает служебные программы экранированный виртуальной машины, которые используются для управления структурой и должны быть установлены на сервере управления структуры.
Название для Windows PowerShell – FabricShieldedTools
Средства миграции Windows Server
Данный компонент включают командлеты Windows PowerShell, которые упрощают миграцию ролей сервера, параметров операционной системы, файлов и общих папок с серверов, работающих под управлением более ранних версий Windows Server, на Ваш конечный сервер с новой версией ОС.
Название для Windows PowerShell – Migration
Средства удаленного администрирования сервера
Набор средств, который включает оснастки и программы командной строки для удаленного управления ролями и компонентами сервера.
Название для Windows PowerShell – RSAT
Средства администрирования компонентов
Средства администрирования компонентов включают оснастки и программы командной строки для удаленного управления компонентами.
Название для Windows PowerShell – RSAT-Feature-Tools
- Средства SMTP-сервера (RSAT-SMTP) — добавляют оснастку «Диспетчер служб Internet Information Services (IIS) 6.0». Для работы данных средств необходимы некоторые службы роли «Веб-сервер IIS»;
- Инструменты DataCenterBridging LLDP (RSAT-DataCenterBridging-LLDP-Tools) – добавляет командлеты PowerShell для управления агентами LLDP на сервере;
- Инструменты экранированных ВМ (RSAT-Shielded-VM-Tools) — добавление мастера подготовки файлов данных и мастера создания шаблонов дисков. Для функционирования требуется дополнительные компоненты: «Шифрование диска BitLocker» и «Enhanced Storage»;
- Клиент управления IP-адресами (IPAM) (IPAM-Client-Feature) – данный инструмент используется для управления локальным или удаленным IPAM-сервером. Для работы требуются средства DHCP и DNS сервера;
- Модуль реплики хранилища для Windows PowerShell (RSAT-Storage-Replica) — включает поставщика CIM и модуль реплики хранилища для Windows PowerShell;
- Средства SNMP (RSAT-SNMP) — инструменты для управления SNMP;
- Средства WINS-сервера (RSAT-WINS) — добавляет оснастку «Диспетчер WINS» и программу командной строки для управления WINS-сервером;
- Средства администрирования программы шифрования дисков BitLocker (RSAT-Feature-Tools-BitLocker) – данные средства включают оснастки и программы командной строки, предназначенные для управления функциями шифрования дисков BitLocker.
- Средства шифрования диска BitLocker (RSAT-Feature-Tools-BitLocker-RemoteAdminTool) – добавление командлетов Windows PowerShell для работы с BitLocker, а также программ командной строки manage-bde и repair-bde;
- Средство просмотра пароля восстановления BitLocker (RSAT-Feature-Tools-BitLocker-BdeAducExt) – это инструменты, для того чтобы находить пароли восстановления шифрования дисков BitLocker для компьютеров в домене Active Directory (AD DS). Для работы требуется оснастки и программы командной строки AD DS;
- Средства балансировки сетевой нагрузки (RSAT-NLB) — добавляют оснастку «Диспетчер балансировки сетевой нагрузки», модуль балансировки сетевой нагрузки для Windows PowerShell, а также программы командной строки nlb.exe и wlbs.exe;
- Средства отказоустойчивой кластеризации (RSAT-Clustering) – инструменты управления отказоустойчивой кластеризацией;
- Модуль отказоустойчивости кластеров для Windows PowerShell (RSAT-Clustering-PowerShell) – включает командлеты Windows PowerShell для управления отказоустойчивыми кластерами, а также модуль кластерного обновления для Windows PowerShell, предназначенный для установки обновлений программного обеспечения на отказоустойчивых кластерах;
- Средства управления отказоустойчивыми кластерами (RSAT-Clustering-Mgmt) – добавляют оснастку диспетчера отказоустойчивости кластеров и интерфейс кластерного обновления;
- Командный интерфейс отказоустойчивого кластера (RSAT-Clustering-CmdInterface) – включает программу командной строки cluster.exe для поддержки отказоустойчивой кластеризации. Но ее не рекомендуют использовать, так как существует модуль отказоустойчивой кластеризации для Windows PowerShell;
- Сервер автоматизации отказоустойчивого кластера (RSAT-Clustering-AutomationServer) — это программный COM-интерфейс MSClus, который также не рекомендуют использовать.
- Средства серверных расширений BITS (RSAT-Bits-Server) — добавляют оснастки «Диспетчер служб IIS 6.0» и «Диспетчер служб IIS». Для работы компонента требуется служба «Метабаза совместимости с IIS 6».
Средства администрирования ролей
Средства администрирования ролей включают оснастки и программы командной строки для удаленного управления серверными ролями.
Название для Windows PowerShell – RSAT-Role-Tools
- Средства AD DS и AD LDS (RSAT-AD-Tools) — добавляют оснастки и программы командной строки для удаленного управления службой Active Directory (AD DS) и службой Active Directory облегченного доступа к каталогам (AD LDS);
- Модуль Active Directory для Windows PowerShell (RSAT-AD-PowerShell) – добавляет командлеты Windows PowerShell для управления доменными службами Active Directory (AD DS). Пример установки данного модуля мы с Вами рассматривали в материале «Установка модуля Active Directory для Windows PowerShell (RSAT-AD-PowerShell) на Windows Server 2016»;
- Оснастки и программы командной строки AD LDS (RSAT-ADLDS) – инструменты включают оснастку «Active Directory — сайты и службы», редактор ADSI, диспетчер схемы и другие средства, предназначенные для управления службами AD LDS;
- Средства AD DS (RSAT-ADDS) — включают оснастки и программы командной строки для удаленного управления службами Active Directory;
- Оснастки и программы командной строки AD DS (RSAT-ADDS-Tools) — инструменты включают оснастки «Пользователи и компьютеры Active Directory», «Active Directory — домены и доверие», «Active Directory — сайты и службы» и другие средства, предназначенные для удаленного управления контроллерами домена Active Directory;
- Центр администрирования Active Directory (SAT-AD-AdminCenter) – средства добавляют расширенные возможности по управлению данными Active Directory;
- Средства служб Windows Server Update Services (UpdateServices-RSAT) – включают инструменты графического интерфейса и командлеты Powershell для управления WSUS.
- API и командлеты PowerShell (UpdateServices-API) – средства добавляют .NET API и командлеты Windows PowerShell для удаленного управления WSUS;
- Консоль управления (UpdateServices-UI) — графический интерфейс управления WSUS;
- Средства служб удаленных рабочих столов (RSAT-RDS-Tools) — включают оснастки для управления службами удаленных рабочих столов.
- Средства диагностики лицензирования удаленных рабочих столов (RSAT-RDS-Licensing-Diagnosis-UI) – это инструменты, которые позволяют определить, какие серверы лицензирования будет использовать сервер узла сеансов удаленных рабочих столов или сервер узла виртуализации удаленных рабочих столов, а также есть ли у этих серверов лицензии, которые можно выдавать пользователям или устройствам, подключающимся к серверам;
- Средства лицензирования удаленных рабочих столов (RDS-Licensing-UI) – инструменты для управления лицензиями, необходимыми для подключения к серверу узла сеансов удаленных рабочих столов или к виртуальному рабочему столу;
- Средства шлюза удаленных рабочих столов (RSAT-RDS-Gateway) – инструменты позволяющие отслеживать состояние и события сервера шлюза удаленных рабочих столов и управлять ими. Для функционирования компонента требуется служба «Метабаза совместимости с IIS 6»;
- Средства управления Hyper-V (RSAT-Hyper-V-Tools) – включают графический интерфейс и программы командной строки для управления Hyper-V.
- Модуль Hyper-V для Windows PowerShell (Hyper-V-PowerShell) – добавляет командлеты Windows PowerShell для управления Hyper-V;
- Средства управления Hyper-V с графическим интерфейсом (Hyper-V-Tools) — добавляют оснастку диспетчера Hyper-V и средство подключения к виртуальной машине;
- Средства DHCP-сервера (RSAT-DHCP) — добавляют оснастку «DHCP», контекст netsh для DHCP-сервера и модуль Windows PowerShell для DHCP-сервера;
- Средства DNS-сервера (RSAT-DNS-Server) — добавляют оснастку «Диспетчер DNS», программу командной строки dnscmd.exe и модуль Windows PowerShell для управления DNS-сервером;
- Средства активации корпоративных лицензий (RSAT-VA-Tools) – добавляют инструменты, с помощью которых Вы можете устанавливать, активировать один или несколько лицензионных ключей активации корпоративных лицензий и управлять ими, а также настраивать параметры KMS;
- Средства служб печати и документов (RSAT-Print-Services) – добавляют оснастку «Управление печатью» для администрирования сервера печати;
- Средства служб политики сети и доступа (RSAT-NPAS) – эти средства используются для управления службами политики сети и доступа и включают оснастку сервера политики сети;
- Средства служб развертывания Windows (WDS-AdminPack) – добавляют оснастку «Службы развертывания Windows», программу командной строки wdsutil.exe и расширение «Удаленная установка» для оснастки «Пользователи и компьютеры Active Directory»;
- Средства служб сертификации Active Directory (RSAT-ADCS) – добавляют инструменты управления службами сертификатов Active Directory.
- Средства сетевого ответчика (RSAT-Online-Responder) — добавляют оснастку «Управление сетевым ответчиком»;
- Средства управления центра сертификации (RSAT-ADCS-Mgmt) — добавляют оснастки «Центр сертификации», «Шаблоны сертификатов» и «PKI предприятия»;
- Средства службы управления правами Active Directory (RSAT-ADRMS) – добавляют оснастку «Служба управления правами Active Directory»;
- Средства управления сетевого контроллера (RSAT-NetworkController) – добавляют командлеты Windows Powershell для управления ролью сетевого контроллера;
- Средства управления удаленным доступом (RSAT-RemoteAccess) – включают графические инструменты и командлеты PowerShell для управления удаленным доступом.
- Графический интерфейс пользователя удаленного доступа и программы командной строки (RSAT-RemoteAccess-Mgmt) — включает графический интерфейс и программы командной строки для управления удаленным доступом;
- Модуль удаленного доступа для Windows PowerShell (RSAT-RemoteAccess-PowerShell) – добавляет командлеты Windows PowerShell для управления удаленным доступом;
- Средства файловых служб (RSAT-File-Services) — добавляют оснастки и программы командной строки для удаленного управления файловыми службами.
- Службы для средств управления NFS (RSAT-NFS-Admin) — добавляет оснастку NFS, а также команды nfsadmin, showmount и rpcinfo;
- Средства диспетчера ресурсов файлового сервера (RSAT-FSRM-Mgmt) — добавляют оснастку «Диспетчер ресурсов файлового сервера», а также команды dirquota, filescrn и storrept;
- Средства управления DFS (RSAT-DFS-Mgmt-Con) — добавляют оснастку «Управление DFS», службу репликации DFS, командлеты Windows PowerShell для пространств имен DFS, а также команды dfsutil, dfscmd, dfsdiag, dfsradmin и dfsrdiag;
- Средства факс-сервера (RSAT-Fax) – для администрирования факс-сервера добавляют оснастку «Диспетчер службы факсов».
Средство просмотра XPS
Компонент позволяет просматривать и управлять XPS-документами. XPS-документ – это документ, который сохранен в формате XML Paper Specification (XPS). Создавать такие документы можно с помощью любой программы Windows, которая умеет печатать.
Название для Windows PowerShell – XPS-Viewer
Стандартизированное управление хранилищами Windows
Компонент позволяет обнаруживать, управлять и осуществлять мониторинг устройств хранения с использованием интерфейсов управления, соответствующих стандарту SMI-S. Эта функциональность доступна в виде набора классов инструментария управления Windows (WMI) и командлетов Windows PowerShell.
Название для Windows PowerShell – WindowsStorageManagementService
Удаленное разностное сжатие
Технология удаленного разностного сжатия (RDC) – это набор интерфейсов (API), который позволяет приложениям определить и передать различия между двумя объектами в сети (т.е. изменения в наборе файлов или части файлов), при этом полоса пропускания используется минимально.
Название для Windows PowerShell – RDC
Удаленный помощник
Данный компонент позволяет осуществлять подключение к удаленному компьютеру пользователя с возможностью просматривать рабочий стол в режиме реального времени. Удаленный помощник активно используется представителями тех поддержки для управления компьютером пользователя с целью устранения неполадок.
Название для Windows PowerShell – Remote-Assistance
Управление групповой политикой
Это инструмент для простого и эффективного управления групповой политикой домена (оснастка «Управление групповой политикой»).
Название для Windows PowerShell – GPMC
Фильтр Windows TIFF IFilter
Компонент позволяет выполнять поиск TIFF-документов (по стандарту TIFF 6.0) на основе текстового содержимого. Фильтр Windows TIFF IFilter выполняет распознавание текста в файлах, а также индексирует их.
Название для Windows PowerShell – Windows-TIFF-IFilter
Фоновая интеллектуальная служба передачи (BITS)
Служба позволяет асинхронно передавать файлы в обычном или фоновом режиме, управлять потоком передач для сохранения работоспособности других сетевых приложений и автоматически возобновляет передачу файлов после разрыва соединения или перезагрузки компьютера. Для работы службы необходимы некоторые службы роли WEB сервера IIS.
Название для Windows PowerShell – BITS
Включает следующее компоненты:
- Расширение сервера IIS (BITS-IIS-Ext) – это модуль IIS, который позволяет серверу принимать файлы, отравляемые клиентами BITS;
- Облегченный сервер загрузки (BITS-Compact-Server) — это изолированный файловый HTTPS-сервер, который позволяет приложениям размещать файлы для загрузки клиентами BITS, а также асинхронно передавать ограниченное число больших файлов между компьютерами внутри одного домена.
Функции .NET Framework 3.5
Добавляет возможность использования платформы .NET Framework 3.5.
Название для Windows PowerShell – NET-Framework-Features
Включает следующие компоненты:
- .NET Framework 3.5 (включает .NET 2.0 и 3.0) (NET-Framework-Core) – сама платформа, включает также возможности API .NET Framework 2.0 и 3.0, необходима для работы некоторых ролей сервера;
- Активация не по HTTP (NET-Non-HTTP-Activ) — поддерживает активацию процессов с помощью очереди сообщений, протокола TCP и именованных каналов. Приложения, в которых используется активация без HTTP, могут динамически запускаться и останавливаться в ответ на рабочие элементы, получаемые по сети с помощью очереди сообщений, протокола TCP и именованных каналов. Для работы требуется компонент «Служба активации процессов Windows»;
- Активация по HTTP (NET-HTTP-Activation) – поддержка активации процессов по протоколу HTTP. Приложения, в которых используется активация по HTTP, могут динамически запускаться и останавливаться в ответ на рабочие элементы, получаемые по сети по протоколу HTTP. Для работы требуется компонент «Служба активации процессов Windows» и некоторые службы роли веб сервера IIS.
Функции .NET Framework 4.6
Добавляет возможность использования платформы .NET Framework 4.6.
Название для Windows PowerShell — NET-Framework-45-Features
Включает следующие компоненты:
- .NET Framework 4.6 (NET-Framework-45-Core) – программная платформа, предназначенная для разработки и запуска приложений на персональных компьютерах, серверах, смартфонов, а также облачных системах;
- ASP.NET 4.6 (NET-Framework-45-ASPNET) — добавляет основные возможности поддержки для выполнения автономных приложений ASP.NET 4.6, а также приложений с интегрированными службами IIS;
- Службы WCF (NET-WCF-Services45) — Windows Communication Foundation (WCF) для удаленного вызова приложений по сети использует службы активации процессов Windows с помощью таких протоколов, как HTTP, TCP, очередь сообщений или именованные каналы.
- Активация по HTTP (NET-WCF-HTTP-Activation45) — поддерживает активацию процессов по протоколу HTTP. Для работы требуется «Служба активации процессов Windows» и некоторые службы роли веб сервера IIS;
- Активация по MSMQ (очередь сообщений) (NET-WCF-MSMQ-Activation45) — поддерживает активацию процессов с использованием очереди сообщений. Для работы требуется «Сервер очереди сообщений» и «Служба активации процессов Windows»;
- Активация по TCP (NET-WCF-TCP-Activation45) — поддерживает активацию процессов по протоколу TCP. Для функционирования требуется «Служба активации процессов Windows»;
- Активация по именованным каналам (NET-WCF-Pipe-Activation45) — поддерживает активацию процессов с помощью именованных каналов. Для функционирования требуется «Служба активации процессов Windows»;
- Совместное использование портов TCP (NET-WCF-TCP-PortSharing45) – возможность позволяет нескольким приложениям net.tcp использовать один и тот же порт TCP. Поэтому такие приложения могут одновременно работать на одном и том же физическом компьютере в отдельных изолированных процессах, но при этом совместно использовать сетевую инфраструктуру, необходимую для передачи и получения трафика через порт TCP (например, порт 808).
Функции Защитника Windows
Компонент «Защитник Windows» обеспечивает защиту компьютера от вредоносных программ.
Название для Windows PowerShell — Windows-Defender-Features
Включает:
- Защитник Windows (Windows-Defender) – основной компонент, который и защищает систему от вредоносных программ;
- Графический пользовательский интерфейс Защитника Windows (Windows-Defender-Gui) — функционал «Защитника Windows» с графическим интерфейсом.
Шифрование диска BitLocker
Шифрование BitLocker – это функционал, который обеспечивает безопасность системы путем защиты (шифрования) данных хранящихся на жестком диске, а также съемных дисках компьютера. BitLocker обеспечивает чтение и запись данных на диск только для пользователей, которые прошли проверку (пароль, смарт-карта, ключ). Данная возможность позволяет защитить данные, хранящиеся на дисках компьютера, даже тогда когда эти устройства были потеряны, украдены или неверно списаны и так далее. Компонент управляется с помощью «Средства шифрования диска BitLocker» и «Средство просмотра пароля восстановления BitLocker». Для функционирования данного компонента требуется дополнительный компонент «Enhanced Storage».
Название для Windows PowerShell — BitLocker
Все, вот мы с Вами и рассмотрели все компоненты сервера в Windows Server 2016, удачи!
Содержание
- Новые возможности Windows Server 2019
- Общие
- Windows Admin Center
- Возможности рабочего стола
- Системная аналитика
- Гибридное облако
- Функция совместимости приложений основных серверных компонентов по требованию
- Безопасность
- Advanced Threat Protection в Защитнике Windows (ATP)
- Безопасность программно-конфигурируемых сетей (SDN)
- Улучшения экранированных виртуальных машин
- HTTP/2 для более быстрого и безопасного просмотра веб-страниц
- Хранение
- Служба миграции хранилища
- Дисковые пространства прямого подключения
- Реплика хранилища
- Отказоустойчивая кластеризация
- Платформы приложений
- Контейнеры Linux в Windows
- Встроенная поддержка Kubernetes
- Улучшения контейнеров
- Зашифрованные сети
- Повышение производительности сети для виртуальных рабочих нагрузок
- Передача данных с помощью алгоритма Low Extra Delay Background Transport
- служба времени Windows
- Высокопроизводительные шлюзы SDN
- Новый пользовательский интерфейс развертывания и расширение Windows Admin Center для SDN
- Поддержка энергонезависимой памяти для виртуальных машин Hyper-V
- Возможности рабочего стола windows server 2019 как включить
- Возможности рабочего стола в Windows Server 2019
- Как вернуть Photo Viewer в Windows Server 2019/2016
- Как сделать Photo Viewer программой по умолчанию через групповую политику
- Устанавливаем GUI на Windows Server Core
- Оболочка сторонними средствами
- 1. Сложный, но наиболее экономичный способ
- Способ 2. Запускаем родной Explorer
Новые возможности Windows Server 2019
В этой статье описаны некоторые новые функции Windows Server 2019. В основе операционной системы Windows Server 2019 лежит надежная платформа Windows Server 2016. Она предоставляет множество инновационных возможностей для работы с четырьмя основными областями: гибридное облако, безопасность, платформа приложений и гиперконвергентная инфраструктура (HCI).
Общие
Windows Admin Center
Windows Admin Center представляет собой локально развертываемое браузерное приложение для управления серверами, кластерами, гиперконвергентной инфраструктурой и ПК под управлением Windows 10. Оно поставляется без дополнительной платы в составе Windows и готово для использования в рабочей среде.
Вы можете установить Windows Admin Center в Windows Server 2019, а также в Windows 10 и более ранних версиях Windows и Windows Server, и использовать это решение для управления серверами и кластерами с Windows Server 2008 R2 и более поздних версий.
Подробные сведения см. в статье Hello, Windows Admin Center! (Привет, Windows Admin Center!).
Возможности рабочего стола
Поскольку Windows Server 2019 — это выпуск Long-Term Servicing Channel (LTSC), он включает возможности рабочего стола. (Выпуски Semi-Annual Channel (SAC) не включают возможности рабочего стола по умолчанию. Они представляют собой исключительно выпуски образа контейнеров основных серверных компонентов и сервера Nano Server.) Как и в случае с Windows Server 2016, во время настройки операционной системы вы можете выбрать установку основных серверных компонентов или установку сервера с возможностями рабочего стола.
Системная аналитика
Системная аналитика — это новая функция, доступная в Windows Server 2019, за счет которой в Windows Server реализуется встроенная поддержка локальных возможностей прогнозной аналитики. Эти возможности прогнозирования, каждая из которых основана на модели машинного обучения, выполняют локальный анализ системных данных Windows Server, например счетчиков производительности и событий, предоставляя аналитические сведения о работе ваших серверов, а также помогают сократить эксплуатационные затраты, связанные с активным управлением проблемами в развертываниях Windows Server.
Гибридное облако
Функция совместимости приложений основных серверных компонентов по требованию
Функция совместимости приложений основных серверных компонентов по требованию (FOD) значительно улучшает совместимость приложений для установки основных серверных компонентов Windows путем включения подмножества двоичных файлов и компонентов из Windows Server с возможностями рабочего стола без добавления самой графической среды возможностей рабочего стола Windows Server. Это делается для расширения функциональных возможностей и улучшения совместимости основных серверных компонентов практически без усложнения процесса их установки.
Эта дополнительная функция по требованию доступна в отдельном ISO-файле, и ее можно добавлять только в образы и установки основных серверных компонентов Windows с помощью DISM.
Безопасность
Advanced Threat Protection в Защитнике Windows (ATP)
Датчики глубокого анализа и ответные действия платформы ATP выявляют атаки на уровне памяти и ядра и реагируют на них путем подавления вредоносных файлов и завершения вредоносных процессов.
Подробные сведения об ATP в Защитнике Windows см. в статье Overview of Microsoft Defender ATP capabilities (Обзор возможностей ATP в Защитнике Windows).
Подробные сведения о подключении серверов см. в статье Onboard servers to the Microsoft Defender ATP service (Подключение серверов к службе ATP в Защитнике Windows).
Exploit Guard для ATP в Защитнике Windows представляет собой новый набор средств предотвращения вторжений в узлы. Четыре компонента Exploit Guard в Защитнике Windows предназначены для блокировки различных векторов атак на устройство, а также блокировки поведений, которые часто используются в атаках с использованием вредоносных программ, при одновременном сохранении баланса между активным реагированием на угрозы безопасности и производительностью.
Сокращение направлений атак (ASR) — это набор элементов управления, которые предприятия могут использовать для предотвращения попадания вредоносных программ на компьютер путем блокировки подозрительных вредоносных файлов (например, файлов Office), скриптов, бокового смещения, программ-шантажистов и угроз на основе электронной почты.
Функция Защита сети защищает конечные точки от веб-угроз, блокируя любые процессы на устройстве, идущие к недоверенным узлам и IP-адресам, с помощью фильтра SmartScreen Защитника Windows.
Функция Контролируемый доступ к файлам защищает конфиденциальные данные от программ-шантажистов, блокируя доступ недоверенных процессов к защищенным папкам.
Защита от эксплойтов — это набор мер защиты от уязвимостей (замена EMET), которые можно легко настроить для обеспечения безопасности системы и приложений.
Функция Управление приложениями в Защитнике Windows (также известна как политика целостности кода (CI) была представлена в Windows Server 2016. Пользователи сообщали, что это отличное решение, которое, однако, сложно развернуть. Для решения этой проблемы мы создали политики целостности кода по умолчанию, которые разрешают исполнение всех файлов, по умолчанию входящих в состав Windows, и приложений Microsoft (например, SQL Server) и блокируют исполнение известных исполняемых файлов, способных обойти политику целостности кода.
Безопасность программно-конфигурируемых сетей (SDN)
Функция Безопасность для SDN предоставляет множество возможностей для безопасного выполнения рабочих нагрузок клиентами как в локальной среде, так и в качестве поставщика услуг в облаке.
Эти усовершенствования безопасности интегрированы в многофункциональную платформу SDN, появившуюся в Windows Server 2016.
Улучшения экранированных виртуальных машин
Улучшения для филиалов
Теперь экранированные виртуальные машины можно запускать на компьютерах с периодическими разрывами подключения к службе защиты узла, используя новый резервный сервер HGS и автономный режим. Резервный сервер HGS позволяет настроить второй набор URL-адресов для Hyper-V, который будет использоваться в случае невозможности установить подключение к основному серверу HGS.
Автономный режим дает возможность продолжить запуск экранированных виртуальных машин, даже если не удается установить подключение к HGS при условии, что виртуальная машина была успешно запущена хотя бы один раз и в конфигурацию системы безопасности узла не вносились изменения.
Дополнительные возможности устранения неполадок
Мы также упростили процесс устранения неполадок в работе экранированных виртуальных машин за счет добавления поддержки режима расширенного сеанса VMConnect и PowerShell Direct. Эти средства будут особенно полезны при потере сетевого подключения к виртуальной машине и возникновении необходимости обновить ее конфигурацию, чтобы восстановить доступ.
Эти функции не нужно настраивать, они становятся доступны автоматически, когда экранированная виртуальная машина размещается на узле Hyper-V под управлением Windows Server версии 1803 или выше.
Поддержка Linux
Теперь Windows Server 2019 поддерживает выполнение систем Ubuntu, Red Hat Enterprise Linux и SUSE Linux Enterprise Server внутри экранированных виртуальных машина при работе в средах со смешанными ОС.
HTTP/2 для более быстрого и безопасного просмотра веб-страниц
Улучшенное объединение подключений исключает сбои при работе в Интернете, а также обеспечивает правильное шифрование веб-сеансов.
Обновленный процесс согласования наборов шифров на стороне сервера в HTTP/2 обеспечивает автоматическое устранение сбоев подключений и удобство развертывания.
Мы сделали CUBIC поставщиком контроля перегрузки протокола TCP по умолчанию, чтобы еще больше повысить пропускную способность!
Хранение
Вот некоторые изменения, которые мы внесли в хранилище в Windows Server 2019. Подробные сведения см. в статье What’s new in Storage in Windows Server (Новые возможности хранилища в Windows Server).
Служба миграции хранилища
Служба миграции хранилища — это новая технология, которая упрощает перенос серверов в более новую версию Windows Server. Она предоставляет графическое средство, которое выполняет инвентаризацию данных на серверах, передает данные и конфигурации на новые серверы, а затем при необходимости перемещает удостоверения старых серверов на новые серверы, чтобы пользователям и приложениям не требовалось вносить какие-либо изменения. Подробные сведения см. в разделе Storage Migration Service overview (Обзор службы миграции хранилища).
Дисковые пространства прямого подключения
Ниже приведен список новых возможностей в Локальных дисковых пространствах. Подробные сведения см. в разделе Storage Spaces Direct (Windows Server 2019 only) (Локальные дисковые пространства (только для Windows Server 2019). Информацию о приобретении проверенных систем с Локальными дисковыми пространствами см. в статье Общие сведения об Azure Stack HCI.
Реплика хранилища
Новые возможности в реплике хранилища. Подробные сведения см. в разделе Storage Replica (Реплика хранилища).
Отказоустойчивая кластеризация
Ниже приведен список новых возможностей отказоустойчивой кластеризации. Подробные сведения см. в статье What’s new in Failover Clustering (Новые возможности отказоустойчивой кластеризации).
Платформы приложений
Контейнеры Linux в Windows
Теперь можно запускать контейнеры на основе Windows и Linux на одном и том же узле контейнера с помощью одной управляющей программы Docker. Это позволяет работать в разнородной среде узлов контейнеров и повысить гибкость разработчиков при создании приложений.
Встроенная поддержка Kubernetes
В Windows Server 2019 улучшены функции вычислений, сети и хранилища выпусков Semi-Annual Channel, необходимых для реализации поддержки платформы Kubernetes в Windows. Дополнительная информация будет доступна в следующих выпусках Kubernetes.
Средства работы с сетевыми подключениями контейнеров в Windows Server 2019 значительно повышают удобство использования Kubernetes в Windows за счет улучшения устойчивости сети платформы и поддержки подключаемых модулей сетевых подключений контейнеров.
Развернутые в Kubernetes рабочие нагрузки могут использовать средства сетевой безопасности для защиты служб Linux и Windows с помощью встроенных механизмов безопасности.
Улучшения контейнеров
Улучшенные интегрированные удостоверения
Мы упростили процесс встроенной проверки подлинности Windows в контейнерах и повысили ее надежность, устранив некоторые ограничения предыдущих выпусков Windows Server.
Улучшенная совместимость приложений
Упрощено создание контейнеров приложений Windows: улучшена совместимость приложений для имеющегося образа windowsservercore. Приложениям с дополнительными зависимостями API теперь доступен третий базовый образ, windows.
Уменьшение размера и повышение производительности
Были уменьшены размеры файлов для скачивания базовых образов контейнеров и необходимое пространство на диске, а также ускорено время запуска. Это ускоряет рабочие процессы контейнеров.
Интерфейс администрирования в Windows Admin Center ((предварительная версия))
Мы значительно упростили мониторинг контейнеров, запущенных на вашем компьютере, а также управление отдельными контейнерами с помощью нового расширения для Windows Admin Center. Найдите расширение «Контейнеры» в общедоступном веб-канале Windows Admin Center.
Зашифрованные сети
Зашифрованные сети — функция шифрования виртуальных сетей, позволяющая шифровать трафик виртуальной сети между виртуальными машинами, которые обмениваются данными между собой в подсетях с пометкой Включено шифрование. Для шифрования пакетов с помощью этой возможности также используется протокол DTLS в виртуальной подсети. Протокол DTLS обеспечивает защиту от перехвата, несанкционированных изменений и подделки со стороны любых лиц, имеющих доступ к физической сети.
Повышение производительности сети для виртуальных рабочих нагрузок
Повышение производительности сети для виртуальных рабочих нагрузок обеспечивает максимальную пропускную способность сети для виртуальных машин без необходимости постоянной настройки или избыточного предоставления ресурсов узла. За счет этого сокращаются расходы на эксплуатацию и обслуживание и одновременно повышается доступная плотность узлов. Новые функции:
динамическое управление несколькими очередями виртуальных машин (d.VMMQ).
объединение полученных сегментов в виртуальном коммутаторе;
Передача данных с помощью алгоритма Low Extra Delay Background Transport
Low Extra Delay Background Transport (LEDBAT) — это поставщик управления перегрузкой сети с низкой задержкой, разработанный для автоматического повышения пропускной способности для пользователей и приложений и потребления всей доступной пропускной способности, когда сеть не используется. Эта технология предназначена для применения при развертывании крупных критических обновлений в ИТ-среде без ущерба для служб, использующихся пользователями, и связанной с ними пропускной способности.
служба времени Windows
В службе времени Windows реализована полноценная поддержка UTC-совместимой корректировочной секунды, новый протокол времени под названием «Протокол точного времени» (Precision Time Protocol), а также трассировка в сквозном режиме.
Высокопроизводительные шлюзы SDN
Высокопроизводительные шлюзы SDN в Windows Server 2019 значительно повышают производительность подключений IPsec и GRE, обеспечивая сверхвысокую пропускную способность при гораздо меньшей нагрузке на ЦП.
Новый пользовательский интерфейс развертывания и расширение Windows Admin Center для SDN
Теперь в Windows Server 2019 можно легко выполнять развертывание и управление с помощью нового пользовательского интерфейса для развертывания, а также расширения Windows Admin Center, которое предоставляет возможности SDN всем пользователям.
Поддержка энергонезависимой памяти для виртуальных машин Hyper-V
Чтобы получить преимущества высокой пропускной способности и низкой задержки энергонезависимой памяти (также известна как память класса хранилища) на виртуальных машинах, теперь вы можете проецировать ее непосредственно на виртуальные машины. Это позволяет существенно уменьшить задержку транзакций базы данных и сократить время восстановления баз данных с низкой задержкой в памяти в случае сбоя.
Источник
Возможности рабочего стола windows server 2019 как включить
Добрый день! Уважаемые читатели и гости одного из крупнейших IT блогов в рунете Pyatilistnik.org. В прошлый раз мы с вами разобрали, как изменить формат файла в Windows системах. Движемся дальше и сегодня я вас научу возвращать в видимый состав Windows Server 2016 или Windows Server 2019, такого компонента Photo Viewer ( средство просмотра фотографий Windows). Он как выяснилось отсутствует в системе есть, но воспользоваться вы им не можете пока не произведете некоторые манипуляции, в очередной раз удивляюсь для чело Microsoft опять все усложнило.
Возможности рабочего стола в Windows Server 2019
Ранее мы с вами устанавливали Windows Server 2012 R2, это хорошая операционная система, которая после инсталляции имеет минимальный функционал, который можно расширять за счет ролей и компонентов. Когда вы установите роль удаленных рабочих cтолов и запустите пользователей на ваш RDS сервер, то первое на что они пожалуются, это будет отсутствие компонента средства просмотра фотографий, к которому они привыкли на клиентских версиях. И это нормально, кому удобно открывать файлы формата jpeg, png, bmp и другие через встроенный, классический paint.
Для решения данной проблемы мы устанавливали компонент «Возможности рабочего стола (Desktop Experience)«. Возможности рабочего стола возвращал в систему:
Все это великолепно, до тех пор когда вы не установите службу удаленных рабочих столов на Windows Server 2019, посмотрев список компонентов, вы не обнаружите «Возможности рабочего стола (Desktop Experience)», по простой причине, что он якобы уже устанавливается во время установки Windows с графическим режимом. Но вы же понимаете, что пользователям по барабану на вашу ситуацию, им нужна комфортная работа на хостах RDSH, и тут у вас два выхода, либо поставить сторонний софт, что не очень хорошо, дополнительная сущность для обновления, и второй вариант раскопать внутренности Windows Server 2019 и попытаться найти там встроенный, но спрятанный PhotoViewer. Я пошел по второму варианту.
Как вернуть Photo Viewer в Windows Server 2019/2016
По умолчанию в Windows Server 2019 не зарегистрирована специальная библиотека отвечающая за работу компонента «Средство просмотра фотографий Windows«. Перейдите в:
Тут есть библиотека PhotoViewer.dll, которая и отвечает за «Средство просмотра фотографий Windows». Чтобы ее зарегистрировать, вам нужно открыть командную строку от имени администратора и ввести:
Windows Registry Editor Version 5.00
[HKEY_CLASSES_ROOTApplications photoviewer.dllshellopencommand]
@=hex(2):25,00,53,00,79,00,73, 00,74,00,65,00,6d,00,52,00,6f,00,6f,00,74,00,25,
00,5c,00,53,00,79,00,73,00,74,00, 65,00,6d,00,33,00,32,00,5c,00,72,00,75,00,
6e,00,64,00,6c,00,6c,00,33,00,32, 00,2e,00,65,00,78,00,65,00,20,00,22,00,25,
00,50,00,72,00,6f,00,67,00,72,00, 61,00,6d,00,46,00,69,00,6c,00,65,00,73,00,
25,00,5c,00,57,00,69,00,6e,00,64, 00,6f,00,77,00,73,00,20,00,50,00,68,00,6f,
00,74,00,6f,00,20,00,56,00,69,00, 65,00,77,00,65,00,72,00,5c,00,50,00,68,00,
6f,00,74,00,6f,00,56,00,69,00,65, 00,77,00,65,00,72,00,2e,00,64,00,6c,00,6c,
00,22,00,2c,00,20,00,49,00,6d,00, 61,00,67,00,65,00,56,00,69,00,65,00,77,00,
5f,00,46,00,75,00,6c,00,6c,00,73, 00,63,00,72,00,65,00,65,00,6e,00,20,00,25,
00,31,00,00,00
[HKEY_CLASSES_ROOTApplications photoviewer.dllshellopenDropTarget]
«Clsid»=»«
[HKEY_CLASSES_ROOTApplications photoviewer.dllshellprintcommand]
@=hex(2):25,00,53,00,79,00,73,00, 74,00,65,00,6d,00,52,00,6f,00,6f,00,74,00,25,
00,5c,00,53,00,79,00,73,00,74,00, 65,00,6d,00,33,00,32,00,5c,00,72,00,75,00,
6e,00,64,00,6c,00,6c,00,33,00,32, 00,2e,00,65,00,78,00,65,00,20,00,22,00,25,
00,50,00,72,00,6f,00,67,00,72,00, 61,00,6d,00,46,00,69,00,6c,00,65,00,73,00,
25,00,5c,00,57,00,69,00,6e,00,64, 00,6f,00,77,00,73,00,20,00,50,00,68,00,6f,
00,74,00,6f,00,20,00,56,00,69,00, 65,00,77,00,65,00,72,00,5c,00,50,00,68,00,
6f,00,74,00,6f,00,56,00,69,00,65, 00,77,00,65,00,72,00,2e,00,64,00,6c,00,6c,
00,22,00,2c,00,20,00,49,00,6d,00, 61,00,67,00,65,00,56,00,69,00,65,00,77,00,
5f,00,46,00,75,00,6c,00,6c,00,73, 00,63,00,72,00,65,00,65,00,6e,00,20,00,25,
00,31,00,00,00
[HKEY_CLASSES_ROOTApplications photoviewer.dllshellprintDropTarget]
«Clsid»=»<60fd46de-f830-4894-a628-6fa81bc0190d>«
Чуть не забыл для любителей PowerShell, есть возможность подключить библиотеки и с его помощью. Создайте скрипт с таким содержимым, только не забудьте отключить защиту запуска неподписанных скриптов или же откройте PowerShell ISE в режиме администратора и введите:
После скачивания вам нужно распаковать архив, в итоге у вас будет вот такой состав.
Для того, чтобы ваша Windows Server 2019 могла правильно использовать средство просмотра фотографий в Windows, вам нужно добавить ключи реестра отвечающие за эти ассоциации. Сама ветка реестра находится по пути:
По умолчанию, там есть два ключа отвечающие за tif и tiff.
По их аналогии я создаю ключи для:
Запустите файл «ON_Windows_2016_2019_Photo_Viewer.reg«. Подтвердите добавление ключа реестра.
В результате чего у вас прибавится ключей реестра.
Далее вы можете уже запускать файлы под свои форматы, или же запустить PhotoViewer.all.reg, который сопоставит ассоциации для bmp, jpe, jpeg, jpg, png, tif, tiff со средством просмотра фотографий Windows (Применяется сразу и не требует перезагрузку сервера, применяется для всех пользователей). В результате файлы данных форматов будут открываться для пользователей в привычном режиме.
Как сделать Photo Viewer программой по умолчанию через групповую политику
Еще можно сделать отдельную политику, которая будет делать ассоциацию файлов jpeg, jpg, png, bmp, tif, tiff со средством просмотра фотографий через GPO.
Источник
Устанавливаем GUI на Windows Server Core
В прошлом нашем посте мы рассказали как готовим стандартные клиентские виртуальные машины и показали на примере нашего нового тарифа с Ultralight windows vds за 99 рублей, как мы создавали стандартный образ Windows Server 2019 Core.
В службу поддержки стали поступать заявки как работать с Server 2019 Core без привычной графической оболочки. Мы решили показать работу с Windows Server 2019 Core и как установить на него GUI.
Не повторяйте это на рабочих машинах, не используйте Server Core как рабочий стол, отключите RDP, обезопасьте свою информационную систему, именно безопасность — это главная фишка «Core» инсталляции.
В одной из следующих наших статей мы рассмотрим таблицу совместимости программ с Windows Server Core. В этой статье мы затронем то, как установить оболочку.
Оболочка сторонними средствами
1. Сложный, но наиболее экономичный способ
В Server Core из коробки нет привычного нам explorer.exe, чтобы облегчить нам жизнь, мы скачаем explorer++. Он заменяет все, что умеет оригинальный explorer. Рассматривался только explorer++, но подойдет почти любой файловый менеджер, в том числе Total Commander, FAR Manager и другие.
C помощью Powershell:
На сервере создаём новую папку:
Расшариваем общую папку:
На вашем ПК папка подключается как сетевой диск.
Через Windows Admin Center создаем новую папку выбрав пункт в меню.
Переходим в общую папку и жмем кнопку отправить, выбираем файл.
Добавляем оболочку в планировщик.
Если вы не хотите запускать оболочку вручную при каждом входе в систему, то нужно добавить её в планировщик задач.
Без планировщика можно запустить через CMD:
Способ 2. Запускаем родной Explorer
Remember, no GUI
Server Core App Compatibility Feature on Demand (FOD), вернет в систему: MMC, Eventvwr, PerfMon, Resmon, Explorer.exe и даже Powershell ISE. Подробнее можете ознакомиться на MSDN. Существующий набор ролей и компонентов он не расширяет.
Запустите Powershell и введите следующую команду:
Затем перезагрузите сервер:
После этого вы сможете запускать даже Microsoft Office, но потеряете примерно 200 мегабайт ОЗУ навсегда, даже если в системе нет активных пользователей.
Windows Server 2019 c установленным Features on Demand
Windows Server 2019 CORE
На этом всё. В следующей статье мы рассмотрим таблицу совместимости программ с Windows Server Core.
Предлагаем обновлённый тариф UltraLite Windows VDS за 99 рублей с установленной Windows Server 2019 Core.
Источник
Режим Shadow
Режим Shadow (теневой сеанс) – может использоваться администратором для просмотра и управления активной терминальной сессией любого пользователя.
Подключиться к сессии пользователя можно с помощью утилиты mstsc.exe или непосредственно из консоли Диспетчера серверов.
Для этого необходимо использовать коллекции сеансов, которые доступны после установки службы удалённых рабочих столов.
Для установки службы удалённых рабочих столов необходимо, чтобы Ваш VPS под управлением Windows Server 2012 / 2016 был введен в домен.
В данной инструкции сервер уже состоит в домене NEOCOMMS.RU
Установка служб RDP
(установка служб удаленных рабочих столов)
В «Диспетчере серверов» выберите «Управление» и «Добавить роли и компоненты«:
На первым шаге «Мастера добавления ролей и компонентов» и нажимаем «Далее«:
На втором шаге выбираем «Установка служб удалённых рабочих столов«:
В следующем шаге мастер попросит Вас выбрать тип развертывания. Выберите «Стандартное развертывание» и нажимаем «Далее«:
Выберите сценарий «Развертывание рабочих столов на основе сеансов» и “Далее”:
Нажмите «Далее«:
Здесь нужно выбрать сервер «Посредник подключений к удалённому рабочему столу«, выбираем сервер в «Пуле серверов» и нажимаем «Далее«.
На этом этапе выберите сервер из списка «Пул серверов» и нажмите «Далее«:
Укажите сервер «Узла сеансов удалённых рабочих столов» выбрав сервер из списка “Пул серверов” и нажмите “Далее”:
Поставте галочки напротив пункта “Автоматически перезапускать конечный сервер, если это потребуется” и нажмите «Развернуть«:
Дождитесь установки выбраных ролей, после чего компьютер будет перезагружен.
После перезагрузки автоматически запустится «Мастер добавления ролей и компонентов«, который настроит установленные службы.
Дождитесь окончания настройки и нажмите “Закрыть”:
На этом установка «Службы удалённых рабочих столов» окончена.
Коллекция сеансов
Теперь создадим коллекцию сеансов.
В разделе “Общие сведения”, выберите пункт “Создание коллекций сеансов”:
На первом шаге мастера нажмите «Далее«:
Задайте имя коллекции и нажмите «Далее«:
Укажите сервер “Узлов сеансов удалённых рабочих столов” из списка “Пул серверов” для добавления в коллекцию и нажмите «Далее«:
Здесь можно добавить пользователя или группу пользователей, которым необходим доступ к этой коллекции сеансов.
В данном примере доступ к этой коллекции сеансов имеют все пользователи домена.
После чего нажмите «Далее«:
Если диски профилей пользователей отсутствуют, — снимите галочку с пункта “Включить диски профилей пользователей” и нажмите “Далее”:
На этом шаге нажмите «Создать«:
После успешного создания, нажмите «Закрыть«:
Теперь, когда установлены все необходимые компоненты, есть возможность подключиться к теневому сеансу любого активного пользователя.
Подключение к сеансу
В «Диспетчере серверов» перейдите к созданной коллекции —> «Службы удаленных рабочих столов» —> «Коллекции» и выберите вашу коллекцию.
В данной инструкции её название «Моя коллекция«:
В списке «Подключения» выберите пользователя за которым вы хотите наблюдать или управлять,
кликните на нём правой кнопкой мыши и нажмите «Теневая копия«:
В открывшемся окне выберите нужное Вам действие «Просмотреть» или «Управление«:
Далее увидите следующее сообщение:
В этот момент на экране пользователя vasya всплывет окно запроса на удаленное наблюдение:
У нас появится доступ, как только пользователь vasya примет запрос.
Чтобы подключаться без запроса, необходимо изменить параметры удалённого управления конкретного пользователя, в данном примере это vasya.
Перейдите по ветке: «Диспетчер серверов» —> «Средства» —> «Пользователи и компьютеры Active Directory» —> Ваш домен —> «Users«.
Кликните дважды по имени пользователя и выберите вкладку «Удалённое управление».
В параметре «Запрашивать разрешение пользователя» снимите галочку и выберите желаемый уровень управления сеансом пользователя.
Нажмите «Применить» —→ «Ок»:
Теперь Вы сможете подключаться, управлять или наблюдать за сеансом пользователя без его ведома.
Полный список параметров RDPклиента mstsc.exe, определяющих возможность удаленного теневого подключения к сессии конечного пользователя:
Mstsc.exe [/shadow:sessionID [/v:Servername] [/control] [/noConsentPrompt]]
/shadow:ID – подключится к RDP сессии с указанным ID.
/v:servername – имяRDP/RDS терминального сервера (если не задано, используется текущий).
/control – возможность взаимодействия с сеансом пользователя (если не указано, используется режим просмотра сессии пользователя).
/noConsentPrompt – не запрашивать у пользователя подтверждение на подключение к сессии.
/prompt –используется для подключения под другими учетными данными. Запрашивается имя и пароль пользователя для подключения к удаленному компьютеру.
Использование Remote Desktop Shadow из графического GUI
Подключиться к сессии пользователя можно с помощью утилиты mstsc.exe или непосредственно из консоли Server Manager. Для этого в консоли Server Manager откройте коллекцию QuickSessionCollection
выберите в контекстном меню Shadow (Теневая копия)
Возможен просмотр (View) и управление (Control) сессией. Кроме того, можно включить опцию Prompt for user consent (Запрашивать согласие пользователя на подключение к сессии)
Если пользователь подтвердит, подключение, в режиме просмотра администратор увидит его рабочий стол, но не сможет взаимодействовать с ним.
Совет. Для отключения от сессии пользователя и выхода из shadow-режима нужно нажать ALT+* на рабочей станции или Ctrl+* на терминальном сервере (если не заданы альтернативные комбинации).
Если попытаться подключиться к сессии пользователя без запроса подтверждения, появится ошибка, сообщающая, что такое это запрещено групповой политикой:
Shadow Error: The Group Policy setting is configured to require the user’s consent. Verify the configuration of the policy settings.
Параметры удаленного управлениями RDS сессиями пользователя настраиваются политикой Set rules for remote control of Remote Desktop Services user sessions (Установить правила удаленного управления для пользовательских сеансов служб удаленных рабочих столов), которая находится в разделе Policies -> Administrative Templates -> Windows components -> Remote Desktop Services -> Remote Session Host -> Connections (Административные шаблоны –> Компоненты Windows –> Службы удаленных рабочих столов – Узел сеансов удаленных рабочих столов –> Подключения) в пользовательской и «компьютерной» секциях GPO. Данной политике соответствует dword параметр реестра Shadow в ветке HKLMSOFTWAREPoliciesMicrosoftWindows NTTerminal Services.
Этой политикой можно настроить следующие варианты теневого подключения через теневое подключение RD Shadow::
- No remote contol allowed — удаленное управление не разрешено (значение ключа реестра Shadow = 0);
- Full Control with users’s permission — полный контроль с разрешения пользователя (1);
- Full Control without users’s permission — полный контроль без разрешения пользователя (2);
- View Session with users’s permission – наблюдение за сеансом с разрешением пользователя (3);
- View Session without users’s permission – наблюдение за сеансом без разрешения пользователя (4).
Теневое подключение RDS Shadow из PowerShell
Воспользоваться функционалом теневого подключения к сессии пользователя через теневое подключение Remote Desktop Services можно и из Powershell.
В первую очередь покажем, как получить список сессий на терминальном сервере (сессии пользователей будут сгруппированы в группы в зависимости от их статуса):
Get-RDUserSession | ft Username, UnifiedSessionId, SessionState, HostServer, ApplicationType -GroupBy Sessionstate
На данном сервере мы обнаружили три активных терминальных сессии. Подключимся к сессии пользователя с ID сессии 3:
Mstsc /shadow:3 /control
Также для получения списка всех сессии на сервере можно выполнить команду
quser
Или
qwinsta
На экране отобразится список RDP сессий, их ID и статус: активная сесиия (Active) или отключенная (Disconnected).
Для получения списка сессий на удалённом сервере выполните команду:
query session /server:servername
Для более удобного теневого подключения к сессиям можно использовать следующий скрипт. Скрипт предложит ввести имя удаленного компьютера и выведет список всех сеансов и предложит указать сеанс, к которому нужно подключится:
shadow.bat
@echo off
set /P rcomp="Enter name or IP of a Remote PC: "
query session /server:%rcomp%
set /P rid="Enter RDP user ID: "
start mstsc /shadow:%rid% /v:%rcomp% /control
Можно поместить данный файл в каталог %Windir%System32, в результате для теневого подключения достаточно выполнить команду shadow.
Для подключения к консольной сессии можно использовать такой скрипт:
@echo off
set /P rcomp="Enter name or IP of a Remote PC: "
for /f "tokens=3 delims= " %%G in ('query session console /server:%rcomp%') do set rid=%%G
start mstsc /shadow:%rid% /v:%rcomp% /control
Как разрешить обычном пользователям использовать теневое подключение
В рассмотренных выше примерах для использования теневого подключения к терминальным сессиям необходимы права локального администратора на RDS сервере. Однако можно разрешить использовать теневое (shadow) подключение для подключения к сессиям пользователей и простым пользователям (не давая им прав локального администратора на сервере).
К примеру, вы хотите разрешить членам группы AllowRDSShadow использовать теневое подключение к сессиям пользователей, выполните команду:
wmic
/namespace:rootCIMV2TerminalServices PATH
Win32_TSPermissionsSetting WHERE (TerminalName=”RDP-Tcp”) CALL
AddAccount “corpAllowRDSShadow”,2
В январе 2018 года после установки обновления KB4056898 (патч Windows против Meltdown и Spectre) пользователи столкнулись, что в Windows Server 2012 R2 перестал работать теневой доступ. При попытке выполнить теневое подключение к чужой сессии появляется сообщение «Неопознанная ошибка» (в логах присутствует ошибка STATUS_BAD_IMPERSONATION_LEVEL). Аналогичная проблема возникала и на RDS ферме на базе Windows Server 2016.
Для решения проблемы нужно установить отдельные обновления:
- для Windows Server 2016 — KB4057142 (от 17 января 2018)
- для Windows Server 2012 R2 — KB4057401 (от 17 января 2018)
Теневое shadow подключение к RDP/RDS сеансам позволяет администраторам подключиться к сессии любого пользователя для просмотра рабочего стола пользователя и взаимодействия с ним. Режим Remote Desktop Shadowing (теневого подключения) работает во всех современных версиях Windows, начиная с Windows 2012 R2 и Windows 8.1 (кроме версии Windows Server 2012, в которой стек rdp перенесен из режима ядра в пользовательский режим). В этой статье мы рассмотрим, как настроить и использовать RDS Shadowing для подключения к RDP сессиям пользователей в Windows Server 2016 и Windows 10
В Windows Server 2016/Windows 10 в стандартном RDP клиенте (mstsc.exe) есть несколько специальных параметров, которые можно использовать для удаленного теневого (RDS Shadow) подключения к RDP сессии любого пользователя:
Mstsc.exe [/shadow:sessionID [/v:Servername] [/control] [/noConsentPrompt] [/prompt]
- /shadow:sessionID – подключиться к RDP сессии пользователя по ID;
- /v:servername – можно указать имя удаленного хоста (RDP/RDS терминального сервера). Если имя сервера не указано, выполняется подключение к локальным сеансам на текущем хосте;
- /control – включает возможность взаимодействия с сеансом (рабочим столом) пользователя. Администратор может управлять мышкой пользователя, вводить данные с клавиатуры. Если эта опция не указана, используется режим просмотра сессии пользователя;
- /noConsentPrompt – опция позволяет администратору принудительно подключиться к любой сессии, не запрашивая у пользователя подтверждение на подключение;
- /prompt – позволяет использовать для подключения другую учетную запись, отличную от текущей. Запрашивается имя и пароль пользователя для подключения к сеансу.
Теневые сеансы можно использовать для подключения к сессиям пользователей на компьютерах и серверах как в домене Active Directory, так и в рабочей группе. Кроме того, не обязательно обладать правами администратора на RDS хосте, на котором работает пользователь. Администраторы могут делегировать полномочия RDS Shadowing любым, даже не-административных учетным записям (об этом ниже).
Использование Remote Desktop Shadow из графического GUI
Подключиться к сессии пользователя можно с помощью утилиты mstsc.exe или графической консоли Server Manager. Для этого в консоли Server Manager на RDS сервере перейдите в раздел Remote Desktop Services -> выберите свою коллекцию, например QuickSessionCollection.
В списке справа будет перечислен список пользователей у которых имеются сессии на данном RDS сервере. Щелкните правой кнопкой по сессии нужно пользователя, выберите в контекстном меню Shadow (Теневая копия).
Вы можете подключиться только к активной сессии пользователя. Если сессия находится в состоянии Disconnected (отключена по таймауту), подключиться к такой сессии нельзя:
Shadow Error - The specified session is not connected.
Появится окно c параметрами теневого подключения. Возможен просмотр (View) и управление (Control) сессией. Кроме того, можно включить опцию Prompt for user consent (Запрашивать согласие пользователя на подключение к сессии).
Если выбрана опция «Запрашивать согласие пользователя», в сессии у пользователя появится запрос:
Запрос на удаленное наблюдение/ Remote Monitoring Request Winitproadministrator запрашивает удаленный просмотр вашего сеанса. Вы принимаете этот запрос?
Winitproadministrator is requesting to view your session remotely. Do you accept the request?
Если пользователь подтвердит подключение, то администратор увидит его рабочий стол в режиме просмотра, но не сможет взаимодействовать с ним.
Совет. Для отключения от сессии пользователя и выхода из shadow-режима, нужно нажать ALT+* на рабочей станции или Ctrl+* на RDS сервере (если не заданы альтернативные комбинации).
Если пользователь отклонил административное Shadow RDS подключение, появится окно:
Shadow Error: The operator or administrator has refused the request.
Если попытаться подключиться к сессии пользователя без запроса подтверждения, появится ошибка, сообщающая, что это запрещено групповой политикой:
Shadow Error: The Group Policy setting is configured to require the user’s consent. Verify the configuration of the policy settings.
Если вам нужно вести аудит RDS Shadow подключений к пользователям, используйте в качестве фильтра следующие события из журнала Microsoft-Windows-TerminalServices-RemoteConnectionManager/Operational:
- Event ID 20508: Shadow View Permission Granted
- Event ID 20503: Shadow View Session Started
- Event ID 20504: Shadow View Session Stopped
Групповые политики управления теневыми подключениями к RDS сессиям в Windows
Параметры удаленного управлениями RDS сессиями пользователя настраиваются отдельным параметром групповых политик — Set rules for remote control of Remote Desktop Services user sessions (Установить правила удаленного управления для пользовательских сеансов служб удаленных рабочих столов). Данная настройка находится в разделе Policies -> Administrative Templates -> Windows components -> Remote Desktop Services -> Remote Session Host -> Connections (Административные шаблоны –> Компоненты Windows –> Службы удаленных рабочих столов – Узел сеансов удаленных рабочих столов –> Подключения) в пользовательской и компьютерной секциях GPO. Данной политике соответствует DWORD параметр реестра Shadow в ветке HKLMSOFTWAREPoliciesMicrosoftWindows NTTerminal Services (значения этого параметра, соответствующие параметрам политики указаны в скобках).
Этой политикой можно настроить следующие варианты теневого подключения RD Shadow:
- No remote control allowed — удаленное управление не разрешено (значение параметра реестра
Shadow = 0
); - Full Control with users’s permission — полный контроль сессии с разрешения пользователя (
1
); - Full Control without users’s permission — полный контроль без разрешения пользователя (
2
); - View Session with users’s permission – наблюдение за сеансом с разрешением пользователя (
3
); - View Session without users’s permission – наблюдение за сеансом без разрешения пользователя (
4
).
Вы можете настроить правила удаленного подключения в домене из консоли gpmc.msc
с помощью рассмотренного параметра политики, либо групповой политикой, вносящей изменения напрямую в реестр системы (последний вариант позволяет более тонко нацелить политику на компьютеры с помощью Group Policy Item Level Targeting).
Теневое подключение RDS Shadow из PowerShell
Воспользоваться функционалом теневого подключения к сессии пользователя через теневое подключение Remote Desktop Services можно и из Powershell.
В первую очередь нужно получить список пользовательских сессий на терминальном RDS сервере (сессии пользователей будут сгруппированы в группы в зависимости от их статуса):
Get-RDUserSession | ft Username, UnifiedSessionId, SessionState, HostServer, ApplicationType -GroupBy Sessionstate
На данном сервере мы обнаружили три активных RDP сессии пользователей. Чтобы подключиться к сессии пользователя с ID сессии 3, выполните команду:
Mstsc /shadow:3 /control /noConsentPrompt
Также для получения списка всех RDP сессии на сервере (или десктопной редакции Windows 10 к которой разрешены множественные RDP подключения) можно использовать команду:
quser
Или
qwinsta
На экране отобразится список RDP сессий, их ID и статус: активная сессия (Active) или отключенная (Disconnected).
Для получения списка сессий на удалённом сервере выполните команду:
query session /server:servername
Чтобы подключиться к сессии пользователя на удаленном сервере, используйте команду:
Mstsc /v:rdsh2:3389 /shadow:3 /control
Для более удобного теневого подключения к RDP сессиям пользователей можно использовать следующий скрипт. Скрипт предложит ввести имя удаленного компьютера и выведет список всех пользователей с активными RDP сеансами. Вам нужно будет указать ID сеанса, к которому нужно подключится через Shadow сессию:
shadow.bat
@echo off
set /P rcomp="Enter name or IP of a Remote PC: "
query session /server:%rcomp%
set /P rid="Enter RDP user ID: "
start mstsc /shadow:%rid% /v:%rcomp% /control
Можно поместить данный файл в каталог %Windir%System32. В результате для теневого подключения к пользователю достаточно выполнить команду shadow.
Для подключения к консольной сессии можно использовать такой скрипт:
@echo off
set /P rcomp="Enter name or IP of a Remote PC: "
for /f "tokens=3 delims= " %%G in ('query session console /server:%rcomp%') do set rid=%%G
start mstsc /shadow:%rid% /v:%rcomp% /control
Также для теневого подключения можно использовать следующий PowerShell скрипт с простым графическим интерфейсом (rdp_shadow_connection.ps1):
Add-Type -assembly System.Windows.Forms
$Header = "SESSIONNAME", "USERNAME", "ID", "STATUS"
$dlgForm = New-Object System.Windows.Forms.Form
$dlgForm.Text ='Session Connect'
$dlgForm.Width = 400
$dlgForm.AutoSize = $true
$dlgBttn = New-Object System.Windows.Forms.Button
$dlgBttn.Text = 'Control'
$dlgBttn.Location = New-Object System.Drawing.Point(15,10)
$dlgForm.Controls.Add($dlgBttn)
$dlgList = New-Object System.Windows.Forms.ListView
$dlgList.Location = New-Object System.Drawing.Point(0,50)
$dlgList.Width = $dlgForm.ClientRectangle.Width
$dlgList.Height = $dlgForm.ClientRectangle.Height
$dlgList.Anchor = "Top, Left, Right, Bottom"
$dlgList.MultiSelect = $False
$dlgList.View = 'Details'
$dlgList.FullRowSelect = 1;
$dlgList.GridLines = 1
$dlgList.Scrollable = 1
$dlgForm.Controls.add($dlgList)
# Add columns to the ListView
foreach ($column in $Header){
$dlgList.Columns.Add($column) | Out-Null
}
$(qwinsta.exe | findstr "Active") -replace "^[s>]" , "" -replace "s+" , "," | ConvertFrom-Csv -Header $Header | ForEach-Object {
$dlgListItem = New-Object System.Windows.Forms.ListViewItem($_.SESSIONNAME)
$dlgListItem.Subitems.Add($_.USERNAME) | Out-Null
$dlgListItem.Subitems.Add($_.ID) | Out-Null
$dlgListItem.Subitems.Add($_.STATUS) | Out-Null
$dlgList.Items.Add($dlgListItem) | Out-Null
}
$dlgBttn.Add_Click(
{
$SelectedItem = $dlgList.SelectedItems[0]
if ($SelectedItem -eq $null){
[System.Windows.Forms.MessageBox]::Show("Выберите сессию для подключения")
}else{
$session_id = $SelectedItem.subitems[2].text
$(mstsc /shadow:$session_id /control)
#[System.Windows.Forms.MessageBox]::Show($session_id)
}
}
)
$dlgForm.ShowDialog()
Данный скрипт отобразить графическую форму со списком активных RDP сеансов на локальном сервере. Вам останется только выбрать учетную запись пользователя и нажать Connect.
Вы можете использовать теневое подключение к пользователю не только в Windows Server с ролью Remote Desktop Services, но и для подключения к рабочим столам пользователей на компьютерах с Windows 10 .
Как разрешить обычном пользователям использовать теневое подключение?
В рассмотренных выше примерах для использования теневого подключения к RDP сессиям пользователей необходимы права локального администратора на RDS сервере. Однако вы можете разрешить использовать теневое (shadow) подключение и для непривилегированных пользователей (не предоставляя им прав локального администратора на компьютере/сервере).
К примеру, вы хотите разрешить членам доменной группы AllowRDSShadow использовать теневое подключение к RDP сессиям. Выполните команду в cmd.exe с правами администратора:
wmic /namespace:rootCIMV2TerminalServices PATH Win32_TSPermissionsSetting WHERE (TerminalName='RDP-Tcp') CALL AddAccount 'corpAllowRDSShadow',2
В январе 2018 года после установки обновления KB4056898 (патч Windows против Meltdown и Spectre) пользователи столкнулись, что в Windows Server 2012 R2 перестал работать теневой доступ. При попытке выполнить теневое подключение к чужой сессии появляется сообщение «Неопознанная ошибка» (в логах присутствует ошибка STATUS_BAD_IMPERSONATION_LEVEL
). Аналогичная проблема возникала и на RDS ферме на базе Windows Server 2016.
Для решения проблемы нужно установить отдельные обновления:
- для Windows Server 2016 — KB4057142 (от 17 января 2018)
- для Windows Server 2012 R2 — KB4057401 (от 17 января 2018)
Обновлено 15.03.2022
Добрый день! Уважаемые читатели и гости одного из крупнейших IT блогов по системному администрированию Pyatilistnik.org. В прошлый раз мы с вами разобрали установку Hyper-V в Windows 11. Сегодня я хочу с вами разобрать тему удобной поддержки пользователей встроенными средствами Windows. Речь пойдет, о теневом подключении RDP или Remote Desktop Shadowing. Мы рассмотрим, как она реализована, как предоставляются права и многое другое. Статья получиться большой, но поверьте оно того стоит. Благодаря этому вы сможете сэкономить бюджеты компании, отказавшись от стороннего ПО.
💻 Что такое теневой сеанс Remote Desktop Shadowing?
Все мы прекрасно помним 2020 год, когда массово вводились ограничения и все пользователи переходили на дистанционное положение. Это заставило все компании организовать для сотрудников рабочее окружение, и самое главное это отслеживание и предоставление удаленной помощи, при возникших проблемах. Для удаленной помощи используется много различного программного обеспечения, например teamviewer, VNC, Dameware и многое другое, большая проблема в том, что все они платные для коммерческого использования. Не все компании готовы платить за это деньги, но в Windows есть и встроенная возможность, о которой многие просто не знают.
Режим Shadow (теневой сеанс RDP/RDS) — Это встроенное средство, позволяющее системным администраторам производить подключение в RDP сессию любого пользователя, видя его экран, имея возможность производить любые манипуляции курсором и сеансом, одним словом полное взаимодействие. Remote Desktop Shadowing идет в составе начиная с Windows 8.1, Windows Server 2012 R2 и выше.
Теневое копирование служб удаленных рабочих столов имеет как графический интерфейс, так и утилиту командной строки. Есть две версии функции. Так как устаревшая версия Remote Desktop Services Shadowing несовместима с последней версией утилиты, то я не буду подробно описывать предыдущую версию, а лишь упомяну несколько слов в качестве исторической справки. В более ранних версиях Windows файл shadow.exe позволял пользователю подключаться к удаленному узлу с помощью метода теневого копирования служб удаленных рабочих столов. Короче говоря, это предшественник утилиты mstsc и ее параметра /shadow. Он был представлен в Windows Server 2003 и доступен во многих версиях Windows.
Кроме того, есть два приложения с графическим интерфейсом, и они делают одно и то же: управление службами терминалов (TSAdmin), которое присутствует с Windows Server 2003, и диспетчер служб удаленных рабочих столов (RDSM), который является частью инструментов удаленного администрирования сервера (RSAT) и заменяет TSAdmin в Windows Server 2012.
Ключевое различие между версиями RDS Shadowing заключается в том, что в устаревшей версии вы должны сначала установить соединение RDP, чтобы получить сеанс на удаленном хосте, прежде чем вы сможете затенить чей-либо еще сеанс на этом хосте. В последней версии вы можете затенить сеанс пользователя на удаленном хосте с консоли вашего собственного хоста. В этой статье мы рассмотрим, как настроить и использовать RDS Shadowing для подключения к RDP сессиям пользователей в Windows Server 2022 и Windows 11.
⚙️ Какие порты использует теневое копирование служб удаленных рабочих столов
Функция теневого копирования служб удаленных рабочих столов не использует порт 3389/TCP (RDP), вместо этого он использует порт 445/TCP (SMB) и эфемерные порты, также известные как динамический диапазон портов (RPC). Так же на удаленном компьютере, куда вы будите производить подключения должны быть добавлены правила:
- Первое правило называется «File and Printer Sharing (SMB-In)», которое позволяет подключаться к порту 445/TCP;
- Второй есть «Remote Desktop — Shadow (TCP-In)». Это позволяет %SystemRoot%system32RdpSa.exe двоичному файлу обрабатывать входящие соединения на любом локальном TCP-порту. Динамический диапазон портов в Windows обычно включает TCP-порты с 49152 по 65535.
Какой уровень прав необходим для использования Remote Desktop Services Shadowing
Для того, чтобы вы могли производить теневое подключение к пользователям RDS фермы или отдельным серверам, вам нужны права администратора на конечных серверах, но и это можно обойти, произведя точечное делегирование прав на функцию shadow, не имея при этом административного доступа на конечных серверах. Как это организовать я покажу, немного ниже.
⚒ Настройка групповой политики управления теневыми подключениями к RDS сессиям в Windows
Перед тем, как мы с вами разберем практические методы подключения Remote Desktop Shadow, нам нужно настроить групповую политику, которая будет определять, как оператор, кто будет помогать конечному пользователю, будет с ним взаимодействовать. У системного администратора есть возможность оставить пользователю одобрение подключения или же можно сделать без уведомления, существует пять вариантов политики.
- No remote control allowed — удаленное управление не разрешено (значение параметра реестра 0) — Идет по умолчанию, если политика не задана
- Full Control with users’s permission — полный контроль сессии с разрешения пользователя (значение параметра реестра 1 )
- Full Control without users’s permission — полный контроль без разрешения пользователя (значение параметра реестра 2)
- View Session with users’s permission – наблюдение за сеансом с разрешением пользователя (значение параметра реестра 3)
- View Session without users’s permission – наблюдение за сеансом без разрешения пользователя (значение параметра реестра 4).
Данный ключ реестра можно найти в разделе HKEY_LOCAL_MACHINESOFTWAREPoliciesMicrosoftWindows NTTerminal Services под названием «Shadow«
Найти данную политику можно по пути:
Конфигурация Компьютера — Политики — Административные шаблоны — Компоненты Windows — Службы удаленных рабочих столов — Узел сеансов удаленных рабочих столов — Подключения (Policies — Administrative Templates — Windows components — Remote Desktop Services — Remote Session Host — Connections)
Она будет иметь название «Установить правила удаленного управления для пользовательских сеансов служб удаленных рабочих столов (Set rules for remote control of Remote Desktop Services user sessions)«
Чтобы получить текущее значение ключа Shadow, вам необходимо на конечном компьютере открыть командную строку и ввести:
reg query «HKEY_LOCAL_MACHINESOFTWAREPoliciesMicrosoftWindows NTTerminal Services» /v Shadow
Его также можно установить вручную с помощью командной строки, введя следующую команду:
reg add «HKEY_LOCAL_MACHINESOFTWAREPoliciesMicrosoftWindows NTTerminal Services» /v Shadow /t REG_DWORD /d 4
Чтобы удалить тип теневого ключа:
reg delete «HKEY_LOCAL_MACHINESOFTWAREPoliciesMicrosoftWindows NTTerminal Services» /v Shadow /f
🌐 Подключение Remote Desktop Shadow из графического интерфейса
Данный метод является наверное самым удобным, так как позволяет визуально все видеть, контролировать. Все, что вам нужно это собранная оснастка по управлению RDS фермой в диспетчере серверов, как это делать смотрите по ссылке слева. В качестве тестового пользователя я буду использовать Барбоскина Геннадия Викторовичу (Barboskin.g). Для начала давайте его найдем, для этого в оснастке выберите нужную коллекцию, в области «Подключения» произведите поиск вашего пользователя. После его нахождения кликните по нему правым кликом, в контекстном меню вы увидите пункт «Теневая копия (Shadow)«.
У вас появится дополнительное окно с параметрами теневой копии:
- Удаленный сеанс — Просмотреть/Управление. Тут либо вы просто наблюдатель, все действия делает сам пользователь или же полный контроль.
- Запрашивать согласие пользователя
У пользователя на удаленном сервере появится окно «Запрос на удаленное наблюдение. Пользователь запрашивает удаленный просмотр вашего сеанса. Вы принимаете этот запрос? (User is requesting to view your session remotely. Do you accept the request?) «, тут он может подтвердить или отказаться.
Хочу напомнить, что вы можете управлять данным окном, будет оно требоваться или нет, через групповые политики.
Если у вас явным образом не задано отсутствие данного окна, то вы получите ошибку, если захотите подключиться без уведомления.
Согласно настройкам групповой политики требуется согласие пользователя. Проверьте настройки групповой политики (The Group Policy setting is configured to require the user’s consent)
Если конечный пользователь подтвердил запрос на удаленное наблюдение, то у вас должно открыться новое RDP окно, где будет отображена сессия удаленного пользователя и с ней можно взаимодействовать.
Если пользователь закроет окно RDP подключения, то он перейдет в статус «Отключен (Disconnected)«, то вас выкинет из сессии теневого копирования. Вы увидите:
Сеанс с теневым доступом был отключен
Подключиться к сеансу в статусе «Отключен (Disconnected)» не получиться, опция «Теневая копия (Shadow)» просто не будет присутствовать в списке
Чтобы завершить сессию пользователя и выйти из shadow-режима, нужно нажать сочетание клавиш ALT+* на рабочей станции или Ctrl+* на RDS сервере (Так же можно переопределить данные комбинации).
Второй вариант, которым я могу пользоваться при теневом копировании к пользователю RDP, это использование бесплатного ПО по работе с RDS. Оно называется Terminal Services Manager, о нем я вам делал подробный обзор. Найдите в списке пользователей нужного вам, кликните по нему правым кликом и выберите пункт «Shadow«.
У вас так же появится окно, где вы должны запросить доступ с нужным уровнем, а далее все как описано выше.
🔍 Логирование сессий теневого копирования
Если у вас появится желание отслеживать данные, о подключениях с использованием теневого копирования, то вам необходимо на сервере куда производилось затемнение сеанса перейти в журнал:
Microsoft-Windows-TerminalServices-RemoteConnectionManager/Operational
Вот такая будет последовательность.
- Событие ID 20508
Событие ID 20508: Предоставлено разрешение на теневой просмотр. Пользователь barboskin.g (идентификатор сеанса: 440) предоставил разрешение пользователю Сёмину Ивану
- Событие ID 20503
Событие ID 20503: Запущен теневой просмотр сеанса. Просмотр пользователем (Иван Сёмин) на компьютере c-10-.root.pyatilistnik.org сеанса пользователя ROOTbarboskin.g (идентификатор сеанса: 440)
- Событие ID 20504
Событие ID 20504 : Остановлен теневой просмотр сеанса. Просмотр пользователем (Семин Иван) на компьютере c-10.root.pyatilistnik.org сеанса пользователя ROOTbarboskin.g (идентификатор сеанса: 440)
- Событие ID 20513
Событие ID 20513: Сбой теневого доступа к сеансу. Пользователю (Иван Сёмин) не удалось получить теневой доступ к сеансу пользователя Rootbarboskin.g (идентификатор сеанса: 440) из-за настроек групповой политики.
- Событие ID 20510
Событие ID 20510: Предоставлено разрешение на теневое управление. Пользователь ROOTbarboskin.g (идентификатор сеанса: 440) предоставил разрешение пользователю (Иван Сёмин)
Как использовать теневое подключение через PowerShell и командную строку
Напоминаю, что в качестве клиентской ОС у меня установлена Windows 11, а подключаться я буду к сессия пользователя работающего за Windows Server 2022. Для того, чтобы мы могли из PowerShell или командной строки использовать теневое копирование, мы должны вызвать утилиту mstsc.
mstsc — это по сити встроенный RDP клиент в операционной системе Windows. Запустите оболочку PowerShell и введите:
В результате вы получите полную справку по данной утилите со всеми ключами. Тут нас будут интересовать из всего перечня 4 ключа:
- /prompt — По сути это ключ для запуска процедуры от другого пользователя. Например вы локально сидите под обычной учетной записью, а команду хотите запускать из под административной.
- /shadow:sessionID – подключиться к указанной сессии пользователя по ID;
- /control – Дает вам возможность полного управления мышкой и клавиатурой при теневой сессии.
- noConsentPrompt — Разрешает удаленное управления без согласования пользователем
- /v:servername – можно указать имя удаленного хоста (RDP/RDS терминального сервера). Если имя сервера не указано, выполняется подключение к локальным сеансам на текущем хосте;
Перед использованием RDS Shadowing мне нужно выяснить SessionID клиента к которому буду подключаться, как это сделать я уже рассказывал. Я для своего обзора буду использовать камандлет Get-TSSession.
Get-TSSession -ComputerName Имя сервера
Нужный мне SessionID 517.
Теперь подключаемся к сессии пользователя на удаленном сервере, для этого конструкция будет такой:
mstsc /v:term /shadow:517 /control /prompt
Кстати если будет писать, что не правильное имя компьютера, то уберите в команде номер порта
Если вы запускаете с запросом учетных данных другого пользователя, то появится всплывающее окно с вводом логина и пароля.
У удаленного пользователя работающего по RDP появится всплывающее окно, где он должен подтвердить ваш запрос:
Пользователь запрашивает удаленное управление вашим сеансом. Вы принимаете этот запрос?
Удобный Bat файл для использования Remote Desktop Services Shadowing в командной строке
Создайте из текстового файла batник, поменяв расширение. И добавьте вот такое содержимое, теперь при его запуске будет выводиться список сеансов и удобный запрос ID.
@echo off
mode con:cols=100 lines=30
query session
echo
set /p usersession= Enter the session ID:
mstsc /shadow:%usersession% /control /noconsentprompt
Как дать права на теневые сеансы не администраторам
Как я указывал выше, теневое копирование можно использовать по умолчанию, только администраторам конечного сервера, НО если у вас есть, например техническая поддержка, которая помогает пользователям удаленного рабочего стола устранять через теневые сеансы их проблемы, и вы не хотите их делать администраторами на серверах, то вы можете делегировать им права, только на данный функционал.
И так, режим shadow для непривилегированного пользователя в Windows Server организовывается через PowerShell. Вам необходимо имя группы, для которой будут делегированы права и выполнить команду на конечном сервере. Но для начала давайте посмотрим у кого уже есть такие права. Для этого в оболочке PowerShell выполните:
Get-WmiObject Win32_TSAccount -Namespace rootCIMV2TerminalServices -Filter «TerminalName=’RDP-Tcp’»
Для cmd:
Обратите тут на поле _GENUS — это как раз разрешение. Данная команда вам будет полезна, когда вы добавите группу и проверите, появилась ли она тут. Цифра 2 в конце определяет тип доступа:
- 0 = WINSTATION_GUEST_ACCESS
- 1 = WINSTATION_USER_ACCESS
- 2 = WINSTATION_ALL_ACCESS
Далее я дам права для группы ROOTRDP-SHADOW-SESSION, чтобы она могла использовать Remote Desktop Services Shadowing.
wmic /namespace:rootCIMV2TerminalServices PATH Win32_TSPermissionsSetting WHERE (TerminalName=»RDP-Tcp») CALL AddAccount «ROOTRDP-SHADOW-SESSION«,2
Не забываем, что вам потребуется произвести перезагрузку сервера, чтобы все вступило в силу
Проверим, что они появились
Чтобы удалить права, выполните:
$Group = @(gwmi —Namespace RootCIMv2TerminalServices —query «select * from Win32_TSAccount where TerminalName=»RDP-TCP» AND AccountName=»ROOTRDP-SHADOW-SESSION«)
$Group.Delete()
Массовая настройка теневого подключения для не администраторов
Если у вас, как в моей компании RDS ферма состоит из 50 и более RDSH хостов, то чтобы вам не ходить по каждому из них, нужно воспользоваться вот таким моим скриптом PowerShell.
function Date {Get-Date -Format «yyyy.MM.dd HH:mm:ss»}
# Тут подгружаем файл со списком серверов
$comps_file = «$PSScriptRootservers.txt»
foreach ($server in (Get-Content $comps_file))
{
«$(Date) Trying to process server $server»
# wmic /namespace:rootCIMV2TerminalServices PATH Win32_TSPermissionsSetting WHERE (TerminalName =»RDP-Tcp») CALL AddAccount ,2
$status = $null
$rds = Get-WmiObject -Namespace root/cimv2/terminalservices -Class Win32_TSPermissionsSetting -Filter «TerminalName = ‘RDP-Tcp’» -ComputerName $server
$status = $rds.AddAccount(«ROOTRDP-SHADOW-SESSION«,2)
if ($status.ReturnValue -eq 0)
{
«$(Date) All good»
}
else
{
«$(Date) Something went wrong»
}
}
Устранение непредвиденной ошибки
В Windows Server 2012R2-2016 вы можете получить ошибку «Неопознанная ошибка или Произошла внутренняя ошибка» при попытке использования функционала shadow. Тут все дело в том, что у вас не установлены обновления от 2018 года.
в логах вы можете обнаружить события STATUS_BAD_IMPERSONATION_LEVEL
- Windows Server 2016 — KB4057142 (от 17 января 2018)
- Windows Server 2012 R2 — KB4057401 (от 17 января 2018)
Previous Story
Mikrotik сохранение.
Next Story
Настройка удаленного доступа MySQL и MariaDB
Latest from Blog
Связка из Postfix и Dovecot плюс стандартный обвес из антивируса, антиспама и прочих утилит. Доменные имена
Keycloak + PostgreSQL Keycloak — продукт с открытым кодом для реализации single sign-on с возможностью управления
перевод статьи: https://cloudinfrastructureservices.co.uk/install-keycloak-sso-on-ubuntu-20-04/ Keycloak – это бесплатное решение для управления идентификацией и доступом с открытым исходным кодом
Вне зависимости от того, как долго и тщательно программное обеспечение проверяется перед запуском, часть проблем проявляется
Что такое сервер freeRADIUS? RADIUS — это протокол AAA (аутентификация, авторизация и учет), который помогает контролировать
Теневое подключение к сеансам RDP / RDS позволяет администраторам подключаться к любому сеансу пользователя для просмотра рабочего стола пользователя и взаимодействия с ним. Режим теневого копирования удаленного рабочего стола работает во всех современных версиях Windows, начиная с Windows 2012 R2 и Windows 8.1 (за исключением Windows Server 2012, в которой стек rdp переместился из режима ядра в режим пользователя). В этой статье мы рассмотрим, как настроить и использовать RDS Shadowing для подключения к пользовательским сеансам RDP в Windows Server 2016 и Windows 10
В Windows Server 2016 / Windows 10 в стандартном клиенте RDP (mstsc.exe) есть несколько специальных параметров, которые можно использовать для удаленного теневого подключения (RDS Shadow) к сеансу RDP любого пользователя:
Mstsc.exe /shadow:sessionID [/v:Servername] [/control] [/noConsentPrompt] [[/prompt]]
- / shadow: sessionID – подключиться к RDP-сессии пользователя по ID;
- / v: servername – вы можете указать имя удаленного хоста (терминальный сервер RDP / RDS). Если имя сервера не указано, выполняется подключение к локальным сеансам на текущем хосте;
- / control – включает возможность взаимодействия с сеансом пользователя (рабочий стол). Администратор может управлять мышью пользователя, вводить данные с клавиатуры. Если этот параметр не указан, используется режим просмотра сеанса пользователя;
- / noConsentPrompt – этот параметр позволяет администратору принудительно подключиться к любому сеансу, не запрашивая у пользователя подтверждение подключения;
- / prompt – позволяет использовать для подключения учетную запись, отличную от текущей. Имя пользователя и пароль необходимы для подключения к сеансу.
Теневые сеансы можно использовать для подключения к пользовательским сеансам на компьютерах и серверах как в домене Active Directory, так и в рабочей группе. Кроме того, необязательно иметь права администратора на хосте RDS, на котором работает пользователь. Администраторы могут делегировать полномочия теневого копирования RDS кому угодно, даже не административным учетным записям (подробнее см. Ниже).
Использование Remote Desktop Shadow из графического GUI
вы можете подключиться к пользовательскому сеансу с помощью утилиты mstsc.exe или графической консоли Server Manager. Для этого в консоли Server Manager на сервере RDS перейдите в раздел Remote Desktop Services -> выберите свою коллекцию, например QuickSessionCollection.
Список справа будет содержать список пользователей, у которых есть сеансы на этом сервере RDS. Щелкните правой кнопкой мыши сеанс, который нужен пользователю, выберите «Тень» в контекстном меню).
Вы можете подключиться только к активному пользовательскому сеансу. Если сеанс находится в отключенном состоянии (отключен из-за тайм-аута), вы не можете подключиться к этому сеансу:
Ошибка тени - указанный сеанс не подключен.
Появится окно с параметрами теневого подключения. Вы можете просматривать (Просмотр) и управлять (Управлять) сеансом. В качестве альтернативы вы можете включить опцию Требовать согласия пользователя).
Если выбрана опция «Запросить согласие пользователя», пользователю будет предложено в сеансе:
Запрос удаленного мониторинга Winitpro администратор запрашивает удаленный мониторинг вашей сессии. Вы принимаете этот запрос?
Winitpro администратор требует удаленного просмотра сеанса. Вы принимаете запрос?
Если пользователь подтвердит подключение, администратор увидит свой рабочий стол в режиме просмотра, но не сможет с ним взаимодействовать.
Совет. Чтобы выйти из сеанса пользователя и выйти из теневого режима, необходимо нажать ALT + * на рабочей станции или Ctrl + * на сервере RDS (если не указаны альтернативные комбинации).
Если пользователь отказался от административного подключения Shadow RDS, появится окно:
Теневая ошибка: оператор или администратор отклонил запрос.
В современных версиях Windows графическая оснастка tsadmin.msc из Windows Server 2008 R2 не может использоваться для теневых подключений к сеансам RDP.
Если вы попытаетесь подключиться к сеансу пользователя без запроса подтверждения, появится сообщение об ошибке о том, что это запрещено групповой политикой:
Теневая ошибка: параметр групповой политики настроен на требование согласия пользователя. Проверьте конфигурацию параметров политики.
Если вам нужно проверить подключения пользователей RDS Shadow, используйте следующие события из журнала Microsoft-Windows-TerminalServices-RemoteConnectionManager / Operational в качестве фильтра:
- Событие с кодом 20508: разрешение на просмотр теней предоставлено
- Событие с кодом 20503: сеанс просмотра теней запущен
- Событие с кодом 20504: сеанс теневого просмотра остановлен
Параметры для удаленного управления сеансами RDS пользователя настраиваются с помощью отдельного параметра групповой политики «Установить правила для управления сеансом пользователя служб удаленных рабочих столов». Этот параметр находится в разделе «Политики» -> «Административные шаблоны» -> «Компоненты Windows» -> «Службы удаленных рабочих столов» -> «Узел удаленного сеанса» -> «Подключения» в разделах «Пользователь» и «Компьютер» объекта групповой политики. Эта политика соответствует параметру DWORD теневого реестра в ветке HKLM SOFTWARE Policies Microsoft Windows NT Terminal Services (в скобках указаны значения этого параметра, соответствующие параметрам политики).
С помощью этой политики вы можете настроить следующие параметры подключения к теневому удаленному рабочему столу:
- Дистанционное управление запрещено – дистанционное управление запрещено (значение регистрового параметра
Shadow = 0
);
- Полный контроль с разрешения пользователя – полный контроль над сеансом с разрешения пользователя (
1
);
- Полный контроль без разрешения пользователя – полный контроль без разрешения пользователя (
2
);
- Просмотр сеанса с авторизацией пользователя – сеанс мониторинга с авторизацией пользователя (
3
);
- Просмотр сеанса без авторизации пользователя – мониторинг сеанса без авторизации пользователя (
4
).
После изменения настроек не забудьте обновить настройки групповой политики на хосте RDP / RDS.
вы можете настроить правила для удаленного подключения в домене из консоли
gpmc.msc
, используя рассматриваемый параметр политики, или групповую политику, которая вносит изменения непосредственно в реестр (последний вариант позволяет более точно настроить таргетинг политики на компьютеры с помощью Group Таргетинг на уровень элемента политики).
Теневое подключение RDS Shadow из PowerShell
вы также можете использовать функцию теневого подключения к пользовательскому сеансу через теневое подключение к службам удаленных рабочих столов из Powershell.
Прежде всего, вам необходимо получить список пользовательских сессий на RDS-сервере терминала (пользовательские сессии будут сгруппированы по их статусу):
Get-RDUserSession | ft Username, UnifiedSessionId, SessionState, HostServer, ApplicationType -GroupBy Sessionstate
На этом сервере мы обнаружили три активных пользовательских сеанса RDP. Чтобы подключиться к пользовательскому сеансу с идентификатором сеанса 3, выполните команду:
Mstsc /shadow:3 /control /noConsentPrompt
Кроме того, чтобы получить список всех сеансов RDP на сервере (или в настольной версии Windows 10, в которой разрешено несколько подключений RDP), вы можете использовать команду:
quser
ИЛИ
qwinsta
На экране отобразится список сеансов RDP, их идентификаторы и статус: сеанс активен (Активен) или отключен (Отключен).
Чтобы получить список сессий на удаленном сервере, выполните команду:
query session /server:servername
Чтобы подключиться к пользовательскому сеансу на удаленном сервере, используйте команду:
Mstsc /v:rdsh2:3389 /shadow:3 /control
Для более удобного теневого подключения к пользовательским сеансам RDP вы можете использовать следующий скрипт. Сценарий попросит вас ввести имя удаленного компьютера и отобразит список всех пользователей с активными сеансами RDP. Вам нужно будет указать идентификатор сеанса, к которому вы хотите подключиться через теневой сеанс:
shadow.bat
@eco выкл
set / P rcomp = "Введите имя или IP-адрес удаленного ПК: "
сеанс запроса / сервер:% rcomp%
set / P rid = "Введите идентификатор пользователя RDP: "
запустить mstsc / shadow:% rid% / v:% rcomp% / control
Вы можете поместить этот файл в каталог% Windir% System32. Поэтому для теневого подключения к пользователю достаточно запустить теневую команду.
Для подключения к сеансу консоли вы можете использовать следующий скрипт:
@eco выкл
set / P rcomp = "Введите имя или IP-адрес удаленного ПК: "
for / f "tokens = 3 delims =" %% G in ('query session console / server:% rcomp%') установить rid = %% G
запустить mstsc / shadow:% rid% / v:% rcomp% / control
Вы также можете использовать следующий сценарий PowerShell с простым графическим интерфейсом (rdp_shadow_connection.ps1) для теневого подключения):
Добавить тип -assembly System.Windows.Forms
$ Header = "SESSIONNAME", "USERNAME", "ID", "STATUS"
$ dlgForm = Новый объект System.Windows.Forms.Form
$ dlgForm.Text = 'Сессионное соединение'
$ dlgForm.Width = 400
$ dlgForm.AutoSize = $ true
$ dlgBttn = Новый объект System.Windows.Forms.Button
$ dlgBttn.Text = 'Контроль'
$ dlgBttn.Location = Новый объект System.Drawing.Point (15,10)
$ dlgForm.Controls.Add ($ dlgBttn)
$ dlgList = Новый объект System.Windows.Forms.ListView
$ dlgList.Location = Новый объект System.Drawing.Point (0.50)
$ dlgList.Width = $ dlgForm.ClientRectangle.Width
$ dlgList.Height = $ dlgForm.ClientRectangle.Height
$ dlgList.Anchor = "Сверху, слева, справа, снизу"
$ dlgList.MultiSelect = $ False
$ dlgList.View = 'Подробности'
$ dlgList.FullRowSelect = 1;
$ dlgList.GridLines = 1
$ dlgList.Scrollable = 1
$ dlgForm.Controls.add ($ dlgList)
# Добавить столбцы в ListView
foreach (столбец $ в заголовке){
$ dlgList.Columns.Add ($ column) | Out-Null
}
$ (qwinsta.exe | findstr "Active") -replace "^ [ s>]", "" -replace " s +", "," | ConvertFrom-Csv -Header $ Header | ForEach-Object {
$ dlgListItem = новый объект System.Windows.Forms.ListViewItem ($ _. SESSIONNAME)
$ dlgListItem.Subitems.Add ($ _. USERNAME) | Out-Null
$ dlgListItem.Subitems.Add ($ _. ID) | Out-Null
$ dlgListItem.Subitems.Add ($ _. STATUS) | Out-Null
$ dlgList.Items.Add ($ dlgListItem) | Out-Null
}
$ dlgBttn.Add_Click(
{
$ SelectedItem = $ dlgList.SelectedItems [0]
if ($ SelectedItem -eq $ null){
[System.Windows.Forms.MessageBox] :: Show («Выберите сеанс для подключения")
} Другие{
$ session_id = $ SelectedItem.subitems [2] .text
$ (mstsc / shadow: $ идентификатор_сеанса / элемент управления)
# [System.Windows.Forms.MessageBox] :: Show ($ session_id)
}
}
)
$ dlgForm.ShowDialog()
Этот сценарий отображает графическую форму со списком активных сеансов RDP на локальном сервере. Все, что вам нужно сделать, это выбрать учетную запись пользователя и нажать «Подключиться.
Чтобы запускать сценарии PowerShell (Ps1) на вашем компьютере, вам необходимо настроить политику выполнения PowerShell.
Вы можете использовать теневое подключение пользователя не только на Windows Server с ролью служб удаленных рабочих столов, но и для подключения к рабочим столам пользователей на компьютерах с Windows 10 .
Как разрешить обычном пользователям использовать теневое подключение?
В предыдущих примерах для использования теневого подключения к пользовательским сеансам RDP требуются права локального администратора на сервере RDS. Однако вы также можете включить теневые подключения для непривилегированных пользователей (без предоставления им прав локального администратора на компьютере / сервере).
Например, вы хотите разрешить членам группы домена AllowRDSShadow использовать теневое подключение к сеансам RDP. Выполните команду в cmd.exe с правами администратора:
@echo off
set /P rcomp="Enter name or IP of a Remote PC: "
query session /server:%rcomp%
set /P rid="Enter RDP user ID: "
start mstsc /shadow:%rid% /v:%rcomp% /control
В январе 2018 года после установки обновления KB4056898 (патч Windows против Meltdown и Spectre) пользователи обнаружили, что теневой доступ перестал работать в Windows Server 2012 R2. При попытке установить теневое соединение с другим сеансом отображается сообщение «Неопознанная ошибка» (в журналах есть ошибка
@echo off
set /P rcomp="Enter name or IP of a Remote PC: "
for /f "tokens=3 delims= " %%G in ('query session console /server:%rcomp%') do set rid=%%G
start mstsc /shadow:%rid% /v:%rcomp% /control
). Аналогичная проблема возникла в ферме RDS на базе Windows Server 2016.
Чтобы это исправить, вам необходимо установить отдельные обновления:
- для Windows Server 2016 – KB4057142 (17 января 2018 г)
- для Windows Server 2012 R2 – KB4057401 (17 января 2018 г)
Источник изображения: winitpro.ru
Remote Desktop Protocol (RDP) is a Microsoft-proprietary remote access protocol that is used by Windows systems administrators to manage Windows Server systems remotely. What sets RDP apart from, say, Windows PowerShell or Secure Shell (SSH) remoting is the presence of the full graphical desktop, as shown in Figure 1.
MORE: Best Remote Access Software and Solutions
By default, the RDP server component listens for incoming connections on TCP port 3389 by default, although this can be changed by the administrator for security reasons.
To be sure, Microsoft’s current push is for admins to reduce their reliance upon RDP and instead (a) deploy Windows Servers in Server Core or Nano mode; and (b) employ Windows PowerShell command-line remote administration instead of RDP.
Microsoft’s justification for this advice is two-fold:
- A GUI layer consumes unnecessary system resources
- A GUI layer broadens the attack surface of your servers
Regardless, many admins are accustomed to RDP-based remote administration, and seek to do so even in the newly released Windows Server 2016 operating system. Let’s learn how to enable RDP in Server 2016 (tl;dr: the process is identical to Windows Server 2012 R2).
Server Manager
Open the Server Manager console, navigate to the Local Server node, and click the Remote Desktop hyperlink as shown in Figure 2.
The Remote Desktop hyperlink is simply a shortcut to the System Properties sheet from the System Control Panel item. Select Allow remote connections to this computer, and optionally enable Allow connections only from computers running Remote Destkop with Network Level Authentication (recommended).
Network Level Authentication (NLA) protects Windows Server against denial-of-service (DoS) attacks by requiring authentication to take place before any graphical session is established by the server. NLA also conserves server system resources.
Windows PowerShell
From a lower-level perspective, incoming RDP connections are enabled on a server through two Registry values and a Windows Firewall rule.
Open an elevated Windows PowerShell session and run the following commands. This first one creates the fDenyTSConnections value and sets it to 0 (off). This makes sense, because we don’t want to deny Terminal Services (TS) connections.
New-ItemProperty -Path ‘HKLM:SystemCurrentControlSetControlTerminal Server’ -Name ‘fDenyTSConnections’ -Value 0 -PropertyType dword -Force
The next command creates and enables the UserAuthentication (Network Layer Authentication) value; NLA is a good idea and you should consider enabling it by default on your servers.
New-ItemProperty -Path ‘HKLM:SystemCurrentControlSetControlTerminal ServerWinStationsRDP-Tcp’ -Name ‘UserAuthentication’ -Value 1 -PropertyType dword -Force
The next command enables the predefined «Remote Desktop» Windows Firewall rule. We can then invoke the Get-NetFirewallRule PowerShell cmdlet to verify as shown in Figure 3.
Enable-NetFirewallRule -DisplayGroup ‘Remote Desktop’
Group Policy
The chances are good that you want to standardize RDP behavior across all your infrastructure servers. Therefore, we turn to Group Policy to accomplish this goal.
Start by creating, linking and scoping a new Group Policy Object (GPO) that targets the servers that should share RDP server settings.
Next, navigate to the following Group Policy path and add a new Restricted Groups entry (shown in Figure 4):
Computer ConfigurationPoliciesWindows SettingsSecurity SettingsRestricted Groups
You can customize the membership in the servers’ built-in Remote Desktop Users group; members of this group can establish RDP sessions to the server. Note that the local Administrators group (and, by extension, the Domain Admins global group) is automatically granted this privilege in Active Directory.
The following three Group Policy settings govern:
- Windows Firewall incoming RDP exceptions
- User right to establish RDP sessions
- Requiring NLA
Computer ConfigurationAdministrative TemplatesNetworkNetwork ConnectionsWindows FirewallDomain ProfileWindows Firewall: Allow Inbound Remote Desktop exceptions
Computer ConfigurationAdministrative TemplatesWindows ComponentsRemote Desktop ServicesRemote Desktop Session HostConnectionsAllow user to connect remotely by using Remote Desktop Services
Computer ConfigurationAdministrative TemplatesWindows ComponentsRemote Desktop ServicesRemote Desktop Session HostSecurityRequire user authentication for remote connections by using NLA
Creating the Client Connection
Windows Client and Windows Server both include the Microsoft RDP client, called Remote Desktop Connection. My favorite way to invoke this tool is to:
Press WINDOWS KEY+R
Type mstsc (which stands for «Microsoft Terminal Services Client»)
Press ENTER
I show you the Remote Desktop Connection user interface in Figure 5.
What’s cool about RDP clients is that they are available for just about every desktop or mobile operating system. Here is a representative list:
- Android: Microsoft Remote Desktop
- iOS: Microsoft Remote Desktop
- Linux: rdesktop
- macOS: Microsoft Remote Desktop
- Windows Phone: Microsoft Remote Desktop
Note that Windows Server supports only two simultaneous RDP sessions at once. If you need more than that, then you’ll have to install the Remote Desktop Services (RDS) Session Host server role and purchase additional RDS connection licenses from Microsoft.
Final Thoughts
If you’ve configured RDP on previous Windows Server versions, then you’ll find that Windows Server 2016 behaves the exact same way. Keep in mind, however, that Microsoft’s ever-widening embrace of «assume breach» security posture and the hybrid cloud scenario and its accompanying «manage herds, not pets» philosophy means the emphasis is on command-line automation rather than on-off RDP GUI sessions.
- 10 Best New Features in Windows Server 2016
- Windows 10 for IT Pros: Tutorials, Tips and Tricks
- Top 6 Windows 10 Apps for IT Pros
Get instant access to breaking news, in-depth reviews and helpful tips.