Udostępnij za pośrednictwem

Role usług pulpitu zdalnego

W tym artykule opisano role w środowisku usług pulpitu zdalnego.

Host sesji usług pulpitu zdalnego

Host sesji usług pulpitu zdalnego (RD Session Host) zawiera aplikacje i pulpity oparte na sesji, które są udostępniane użytkownikom. Użytkownicy uzyskują dostęp do tych komputerów stacjonarnych i aplikacji za pośrednictwem jednego z klientów pulpitu zdalnego, które działają w systemach Windows, MacOS, iOS i Android. Użytkownicy mogą również łączyć się za pośrednictwem obsługiwanej przeglądarki przy użyciu klienta internetowego.

Pulpity i aplikacje można organizować w jednym lub kilku serwerach hosta sesji usług pulpitu zdalnego, zwanych "kolekcjami". Te kolekcje można dostosować dla konkretnych grup użytkowników w każdej dzierżawie. Możesz na przykład utworzyć kolekcję, w której określona grupa użytkowników może uzyskiwać dostęp do określonych aplikacji, ale każda osoba spoza wyznaczonej grupy nie będzie mogła uzyskać dostępu do tych aplikacji.

W przypadku małych wdrożeń można instalować aplikacje bezpośrednio na serwerach RD Session Host. W przypadku większych wdrożeń zalecamy utworzenie obrazu podstawowego i aprowizowanie maszyn wirtualnych z tego obrazu.

Kolekcje można rozszerzyć, dodając maszyny wirtualne serwera hosta sesji usług pulpitu zdalnego do farmy kolekcji, przy czym każda maszyna wirtualna RDSH w tej farmie jest przypisana do tego samego zestawu dostępności. Zapewnia to większą dostępność kolekcji i zwiększa skalę w celu obsługi większej liczby użytkowników lub aplikacji intensywnie korzystających z zasobów.

W większości przypadków wielu użytkowników współużytkuje ten sam serwer RD Session Host, który najefektywniej wykorzystuje zasoby platformy Azure do hostingu pulpitu. W tej konfiguracji użytkownicy muszą logować się do kolekcji przy użyciu kont innych niż administracyjne. Możesz również przyznać niektórym użytkownikom pełny dostęp administracyjny do pulpitu zdalnego, tworząc osobiste kolekcje pulpitów sesji.

Pulpity można dostosować w jeszcze większym stopniu, tworząc i przesyłając wirtualny dysk twardy z systemem operacyjnym Windows Server, którego można użyć jako szablonu do tworzenia nowych wirtualnych maszyn Host Sesji Zdalnej.

Aby uzyskać więcej informacji, zobacz następujące artykuły:

Broker połączeń pulpitu zdalnego

Broker połączeń usług pulpitu zdalnego zarządza przychodzącymi połączeniami pulpitu zdalnego do farm serwerów hosta sesji RD. Broker połączeń RD Connection Broker obsługuje połączenia zarówno z kolekcjami pełnych pulpitów, jak i kolekcjami aplikacji zdalnych. Broker połączeń usług pulpitu zdalnego może równoważyć obciążenie między serwerami kolekcji podczas nawiązywania nowych połączeń. Jeśli broker połączeń usług pulpitu zdalnego jest włączony, użycie okrężnego wywołania DNS do balansowania obciążenia między hostami sesji usług pulpitu zdalnego nie jest obsługiwane. Jeśli sesja zostanie rozłączona, broker połączeń RD ponownie połączy użytkownika z właściwym serwerem RD Session Host oraz ich przerwaną sesją, która nadal istnieje w farmie hostów RD Session.

Aby obsługiwać logowanie jednokrotne i publikowanie aplikacji, należy zainstalować odpowiednie certyfikaty cyfrowe zarówno na serwerze pośredniczącym połączeń, jak i na kliencie. Podczas tworzenia lub testowania sieci można użyć certyfikatu generowanego i podpisywanego samodzielnie. Jednak wydane usługi wymagają certyfikatu cyfrowego od zaufanego urzędu certyfikacji. Nazwa, którą podasz certyfikatowi, musi być identyczna jak wewnętrzna w pełni kwalifikowana nazwa domeny (FQDN) maszyny wirtualnej brokera połączeń RD (usług pulpitu zdalnego).

Broker połączeń usług pulpitu zdalnego systemu Windows Server 2016 można zainstalować na tej samej maszynie wirtualnej co usługi AD DS, aby zmniejszyć koszty. Jeśli musisz zwiększyć skalę, aby obsłużyć więcej użytkowników, możesz także dodać dodatkowe maszyny wirtualne brokera połączeń pulpitów zdalnych w tej samej grupie dostępności, aby utworzyć klaster brokera połączeń pulpitów zdalnych.

Przed utworzeniem klastra brokera połączeń pulpitu zdalnego należy wdrożyć bazę danych Azure SQL w środowisku dzierżawy lub utworzyć grupę dostępności AlwaysOn SQL Server.

Aby uzyskać więcej informacji, zobacz następujące artykuły:

Brama pulpitu zdalnego (Remote Desktop Gateway)

Brama usług pulpitu zdalnego udziela użytkownikom dostępu do komputerów stacjonarnych i aplikacji systemu Windows hostowanych w usługach w chmurze platformy Microsoft Azure.

Składnik bramy usług pulpitu zdalnego używa protokołu Secure Sockets Layer (SSL) do szyfrowania kanału komunikacji między klientami i serwerem. Maszyna wirtualna brama RD musi być dostępna za pośrednictwem publicznego adresu IP, który umożliwia połączenia przychodzące TCP na porcie 443 i połączenia przychodzące UDP na porcie 3391. Dzięki temu użytkownicy mogą łączyć się za pośrednictwem Internetu przy użyciu protokołu transportowego HTTPS i protokołu UDP.

Certyfikaty cyfrowe zainstalowane na serwerze i kliencie muszą być zgodne, aby to działało. Podczas tworzenia lub testowania sieci można użyć certyfikatu wygenerowanego i podpisanego własnoręcznie. Jednak wydana usługa wymaga certyfikatu od zaufanego urzędu certyfikacji. Nazwa certyfikatu musi być zgodna z nazwą FQDN używaną do uzyskiwania dostępu do RD Gateway, niezależnie od tego, czy nazwa FQDN jest zewnętrzną nazwą DNS przypisaną publicznemu adresowi IP, czy rekordem DNS CNAME wskazującym publiczny adres IP.

W przypadku dzierżawców z mniejszą liczbą użytkowników role RD Web Access i RD Gateway można łączyć na jednej maszynie wirtualnej, aby zmniejszyć koszty. Możesz dodać więcej maszyn wirtualnych RD Gateway do farmy RD Gateway, aby zwiększyć dostępność usługi i zwiększyć skalę obsługi większej liczby użytkowników. Maszyny wirtualne w większych farmach bram RD Gateway powinny być skonfigurowane w zestawy o zrównoważonym obciążeniu. Koligacja adresów IP nie jest wymagana.

Aby uzyskać więcej informacji, zobacz następujące artykuły:

Dostęp do pulpitu zdalnego przez sieć Web

Dostęp do sieci Web pulpitu zdalnego (RD Web Access) umożliwia użytkownikom dostęp do komputerów stacjonarnych i aplikacji za pośrednictwem portalu internetowego, uruchamiając je poprzez natywną aplikację klienta Pulpitu Zdalnego Microsoft na urządzeniu. Za pomocą portalu internetowego można publikować komputery stacjonarne i aplikacje systemu Windows na urządzeniach klienckich z systemem Windows i innych niż Windows, a także selektywnie publikować pulpity lub aplikacje dla określonych użytkowników lub grup.

Dostęp do sieci Web usług pulpitu zdalnego wymaga prawidłowego działania usług Internet Information Services (IIS). Połączenie protokołu bezpiecznego przesyłania hipertekstów (HTTPS) zapewnia szyfrowany kanał komunikacji między klientami a serwerem sieci Web usługi Pulpit Zdalny (RD). Maszyna wirtualna RD Web Access musi być dostępna poprzez publiczny adres IP, który umożliwia nawiązywanie przychodzących połączeń TCP do portu 443, co pozwala użytkownikom najemcy łączyć się z Internetem przy użyciu protokołu transportu komunikacji HTTPS.

Dopasowane certyfikaty cyfrowe muszą być zainstalowane na serwerze i urządzeniach klienckich. W celach programistycznych i testowych może to być certyfikat wygenerowany samodzielnie i podpisany własnoręcznie. W przypadku wydanej usługi certyfikat cyfrowy musi zostać uzyskany z zaufanego urzędu certyfikacji. Nazwa certyfikatu musi być zgodna z w pełni kwalifikowaną nazwą domeny (FQDN) używaną do uzyskiwania dostępu do RD Web Access. Możliwe nazwy FQDN obejmują zewnętrznie dostępną nazwę DNS dla publicznego adresu IP i rekord DNS CNAME wskazujący publiczny adres IP.

W przypadku dzierżawców z mniejszą liczbą użytkowników można zmniejszyć koszty, łącząc obciążenia aplikacji RD Web Access i bramy Remote Desktop Gateway w jedną maszynę wirtualną. Możesz również dodać dodatkowe maszyny wirtualne RD Web do farmy dostępu do sieci Web usług pulpitu zdalnego, aby zwiększyć dostępność usług i rozszerzyć działanie dla większej liczby użytkowników. W farmie dostępu do sieci Web usług pulpitu zdalnego z wieloma maszynami wirtualnymi należy skonfigurować maszyny wirtualne w zestawie o zrównoważonym obciążeniu.

Aby dowiedzieć się więcej na temat konfigurowania RD Web Access, zobacz następujące artykuły:

Licencjonowanie pulpitu zdalnego

Aktywowane serwery licencjonowania usług Remote Desktop (licencjonowanie RD) umożliwiają użytkownikom łączenie się z serwerami hostującymi sesje RD, które udostępniają pulpity i aplikacje dla dzierżawcy. Środowiska dzierżawców zwykle mają zainstalowany serwer Licencjonowania Pulpitu Zdalnego, ale w przypadku środowisk hostowanych należy skonfigurować serwer w trybie na użytkownika.

Dostawca usług potrzebuje wystarczającej liczby licencji dostępu subskrybenta RDS, aby uwzględnić wszystkich autoryzowanych unikatowych użytkowników (nie jednoczesnych), logujących się do usługi każdego miesiąca. Dostawcy usług mogą bezpośrednio zakupić infrastrukturalne usługi platformy Microsoft Azure, a także zakupić licencje dostępu dla subskrybentów (SALs) za pośrednictwem programu Umowa Licencjonowania Dostawców Usług Microsoft (SPLA). Klienci, którzy szukają hostowanego rozwiązania desktopowego, muszą zakupić kompleksowe rozwiązanie hostingowe (Azure i RDS) od dostawcy usług.

Małe firmy mogą obniżyć koszty, łącząc składniki serwera plików i licencjonowania pulpitu zdalnego na jednej maszynie wirtualnej. Aby zapewnić wyższą dostępność usługi, dzierżawcy mogą wdrożyć dwie maszyny wirtualne serwera licencji Zdalnego Pulpitu w tym samym zestawie dostępności. Wszystkie serwery usług pulpitu zdalnego w środowisku dzierżawy są skojarzone z obydwoma serwerami licencji usług pulpitu zdalnego, aby zapewnić użytkownikom możliwość łączenia się z nowymi sesjami, nawet jeśli jeden z serwerów ulegnie awarii.

Aby uzyskać więcej informacji, zobacz następujące artykuły: