Конфигурация узла сеансов удаленных рабочих столов

Конфигурация узла сеансов удаленных рабочих столов

В нашу жизнь уже давно влились сервера удаленных рабочих столов, также известные всем как терминальные серверы. Сама по себе, служба удаленных рабочих столов позволяет пользователям работать с приложениями, которые установлены на сервере удаленных рабочих столов, а также получать доступ к рабочему столу самого сервера.

В большинстве случаев, одним из основных компонентов, с которым работают как администраторы, так и конечные пользователи, выступает сервер удаленных рабочих столов с компонентом «Узел сеансов удаленных рабочих столов». Его можно смело назвать основным компонентом данной серверной роли, который включает в себя такие ключевые возможности, как многопользовательскую поддержку и компонент RemoteApp. Что это такое?

Как понятно из названия первой ключевой возможности данного компонента службы удаленных рабочих столов, для пользователей, которые будут подключаться к данному серверу, предоставляется обеспечение поддержки одновременного подключения множества пользователей. Помимо этого, такой компонент как RemoteApp позволяет удаленно развертывать приложения для пользователей, как будто бы эти приложения были установлены на компьютерах пользователей. Другими словами, при подключении к таким приложениям, пользователям будет предоставляться доступ не ко всему рабочему столу сервера удаленного рабочего стола, а лишь интерфейс запускаемого приложения. Также, думаю, уместно отметить и то, что в компоненте «Узел сеансов удаленных рабочих столов» операционной системы Windows Server 2008 R2 по сравнению с предыдущей серверной операционной системой появились такие несущественные улучшения, как перенаправление воспроизведения выходных потоков аудио и видео файлов с локального компьютера в сеанс сервера удаленного рабочего стола, перенаправление записи звуковых файлов с локального компьютера на сервер, а также композиция рабочего стола, предоставляющая элементы Windows Aero в сеансе сервера удаленного рабочего стола.

В принципе, о компонентах и новшествах серверов удаленных рабочих столов, как Windows Server 2008 R2, так и Windows Server 2012 вы узнаете из статей специально выделенного цикла, а в этой статье мне хотелось бы остановиться непосредственно на настройке узла сеансов удаленных рабочих столов. Естественно, при помощи функциональных возможностей групповой политики.

Настройка узла сеансов удаленных рабочих столов

Для управления серверами рабочих столов в подавляющем большинстве случаев используется оснастка «Конфигурация узла сеансов удаленных рабочих столов». Именно благодаря возможностям этой оснастки, а также групповой политики, вы можете указывать параметры, отвечающие за взаимодействие с подключаемыми клиентами, временные папки и сеансы пользователей, за перенаправление устройств, параметров входа в систему. Помимо этого, вы также можете указывать параметры, связанные с серверами лицензирования, посредников подключений к удаленному рабочему столу и серверов виртуализации удаленных рабочих столов. Буквально несколько слов об этих настройках:

Параметры, отвечающие за взаимодействие с подключенными клиентами. Это параметры, отвечающие за глубину цвета для удаленного сеанса, то есть, это те настройки, которые могут настраиваться не только со стороны клиента, а и со стороны серверов удаленных рабочих столов. Помимо этого, к данной группе можно отнести настройки, отвечающие за автоматически запускаемые вместе с сеансом приложения.

Параметры, отвечающие за временные папки и сеансы пользователей. По умолчанию, если вы не будете выполнять дополнительные настройки, на сервере удаленных рабочих столов создается отдельная временная папка для каждого активного сеанса пользователя и эта папка хранится на самом сервере удаленных рабочих столов. При помощи возможностей данной оснастки вы можете управлять этими временными папками.

Параметры, отвечающие за перенаправление устройств. Очень важный момент для пользователей ­– это возможность использования различных локальных ресурсов на сервере удаленных рабочих столов. К ним относятся буфер обмена, LPT- и COM-порты, устройства ввода и вывода звука и многое другое.

Параметры входа в систему и параметры безопасности. Естественно, для возможности авторизации на сервере удаленных рабочих столов, пользователи должны предоставлять определенные учетные данные. Данная оснастка предоставляет вам возможность определения учетной записи, требуемой от пользователей для выполнения входа на данный сервер. И естественно, для выполнения проверки подлинности, вы можете повысить безопасность предоставляемыми методами шифрования данных.

Параметры, связанные с серверами лицензирования. У пользователей или пользовательских компьютеров, которые подключаются к серверам удаленных рабочих столов, должны быть установлены клиентские лицензии, то есть RDS CAL-ы. При помощи этой оснастки вы можете указать тип клиентской лицензии, а также выбрать серверы лицензировании, которые будут в этом всем участвовать.

Ну и, в конце концов, параметры, связанные с настройками посредника подключений к удаленному рабочему столу и параметры виртуализации. Если у вас в организации развернута ферма серверов удаленных рабочих столов, для балансировки нагрузки вам придется воспользоваться возможностями посредника подключений к удаленному рабочему столу. Другим словами, опять же, при помощи оснастки «Конфигурация узла сеансов удаленных рабочих столов» вы можете присоединить сервер к ферме, указать ее имя, а также установить вес для настраиваемого вами сервера. Параметры виртуализации же, в свою очередь, отвечают за настройки нового компонента, появившегося в операционной системе Windows Server 2008 R2.

Групповая политика и конфигурация удаленных рабочих столов

Большинство настроек, которые вы можете задать в данной оснастке, также конфигурируются при помощи функциональных возможностей групповой политики. Предположим, что в данной лабораторной среде развернуто несколько серверов, а именно: Первый сервер – это Server03, где установлена роль удаленных рабочих столов, и который выступает узлом сеансов удаленных рабочих столов, а также сервер DC, на котором и будут настраиваться параметры групповой политики. Для начала следует познакомиться с тем, как выглядит сама оснастка «Конфигурация узла сеансов удаленных рабочих столов».

Рис. 1. Оснастка «Конфигурация узла сеансов удаленных рабочих столов»

Как видно на предыдущей иллюстрации, интерфейс данной оснастки довольно-таки простой и разобраться, как я считаю, с ним не составит каких-то особых сложностей. Что мы можем сейчас сделать. Эта оснастка предоставляет для изменений две отдельные области: то есть, параметры подключений RDP-Tcp, а также область настройки параметров самого сервера удаленных рабочих столов. Начнем с параметров подключений RDP-Tcp.

Диалоговое окно настроек подключений RDP-Tcp позволяет настраивать все параметры, о которых речь шла в предыдущем разделе, помимо настроек временных папок, лицензирования, посредника и виртуализации удаленных рабочих столов. В следующем подразделе, будут рассмотрены возможности этого диалогового окна, а также вы узнаете о том, каким образом могут помочь функциональные возможности групповой политики в настройке общих параметров.

Вкладка «Общие» параметров подключений RDP-Tcp

Первая вкладка этой оснастки, которая рассматривается в данной статье, это вкладка «Общие». На этой вкладке присутствуют настройки, отвечающие за уровень безопасности, уровень шифрования, а также за проверку подлинности на уровне сети. В целях безопасности, все подключения к серверам удаленных рабочих столов автоматически шифруются. Это необходимое требование и выполняется оно независимо от того, какая опция из текущего раскрывающегося списка будет выбрана. Как видно на следующей иллюстрации, из данного списка можно выбрать один из трех следующих уровней:

Рис. 2. Вкладка «Общие» параметров подключений RDPTcp

  • Согласование. Данный уровень безопасности является самым слабым. В том случае, если и клиент, подключаемый к серверу, и сам сервер поддерживают SSL, то сервер удаленных рабочих столов будет использовать SSL. Ну а, если SSL не поддерживается подключаемым клиентом, будет использован уровень безопасности RDP. Кстати, именно этот уровень и используется по умолчанию на узлах сеансов удаленных рабочих столов;
  • SSL(TLS1.0). Этот уровень безопасности считается самым безопасным из всех доступных, так как именно благодаря ему выполняется самое строгое шифрование, а клиентские версии RDP должны быть не ниже версии 6.0. Для шифрования и для проверки подлинности требуется сертификат компьютера, выданный доверенным центром сертификации. Это обязательное условие;
  • Уровень безопасностиRDP. В этом случае используется шифрование исключительно встроенными средствами протокола RDP. Другими словами, от вас не требуется дополнительная настройка уровня шифрования, а также производительность в этом случае будет существенно выше. Однако, существует и вторая сторона медали: проверка подлинности выполняется для операционных систем не ниже Windows Vista.
Читайте также:  Как наклеить стекло без салфетки

Далее, на этой вкладке вы еще можете настраивать алгоритм уровня шифрования, который будет использоваться для RDP‑подключений. Есть четыре различных уровня. Посмотрим, что они собой представляют:

  • Низкий уровень шифрования. В этом случае будут шифроваться только данные, пересылаемые от клиента серверу, используя 56-битное шифрование. То есть, данные, которые пересылаются от сервера клиенту, в этом случае не шифруются. Соответственно, данный метод невозможно назвать безопасным на 100%;
  • Уровень шифрования, совместимый с клиентом. Если вы выберите этот уровень шифрования (между прочим, он установлен по умолчанию), то в таком случае все данные между клиентом и сервером будут шифроваться при помощи ключа с такой стойкостью, которую поддерживает клиентский компьютер. Другими словами, если у вас в организации развёрнуты клиенты с разными операционными системами, следует выбирать этот уровень;
  • Высокий уровень. При помощи текущего уровня шифрования, пересылаемые от клиента серверу и наоборот данные, шифруются при помощи 128-разрядного шифрования. Целесообразно выбирать этот уровень лишь тогда, когда вы уверены на 100%, что все клиенты, которые будут подключаться к серверу удаленного рабочего стола, могут поддерживать такой уровень шифрования
  • FIPS-совместимый уровень шифрования. Ну и, в конце концов, в этом случае данные шифруются при помощи методов шифрования, которые основаны на стандарте FIPS 140-1. О данном стандарте вы можете почитать, например, на сайте http://csrc.nist.gov.

Естественно, это не все опции, которые можно настраивать на данной вкладке диалогового окна свойств подключений RDP-Tcp. Еще вам предоставляется возможность указать проверку подлинности на уровне сети. Собственно, проверка подлинности на уровне сети – это метод проверки подлинности, выполняющий саму проверку подлинности пользователя, перед тем как будет установлено подключение к удаленному рабочему столу.

Теперь рассмотрим, можно ли выполнить те же настройки при помощи функциональных возможностей групповой политики. Прежде всего, естественно, в оснастке «Управление групповой политикой» следует создать объект групповой политики, привязать его к требуемому подразделению, а затем вызвать оснастку «Редактор управления групповыми политиками».

Находясь в редакторе управления групповыми политиками, следует перейти к узлу Конфигурация компьютераПолитикиАдминистративные шаблоныКомпоненты WindowsСлужбы удаленных рабочих столовУзел сеансов удаленных рабочих столов, а затем выбрать узел «Безопасность». Здесь можно обнаружить семь различных параметров политики. Рассмотрим некоторые из них:

Так как изначально на вкладке «Общие» свойств подключения RDP-Tcp рассматривались уровни безопасности, первый, рассматриваемый в данной статье параметр политики, отвечает именно за эту настройку. Для того, чтобы указать уровень безопасности, следует выбрать параметр политики «Требовать использование специального уровня безопасности для удаленных подключений по методу RDP». Как видно на следующей иллюстрации, установив переключатель на опцию «Включить», вы сможете выбрать рассмотренные ранее уровни безопасности из соответствующего списка. Выберем значение «Согласовать» и перейдем к следующему параметру политики:

Рис. 3. Параметр политики, отвечающий за уровень безопасности

Теперь следует определиться с уровнем шифрования. Для этой цели предназначен параметр политики «Установить уровень шифрования для клиентских подключений». В отличие от настроек диалогового окна параметров подключений RDP-Tcp, здесь вам предоставляется возможность выбора трех различных уровней шифрования. Например, в этом случае выберем значение «Совместимый с клиентом» и сохраним выполненные изменения:

Рис. 4. Установка уровня шифрования для клиентских подключений

Если вам нужно еще установить флажок около настройки, отвечающий за проверку подлинности на уровне сети, следует выбрать параметр политики «Требовать проверку подлинности пользователя для удаленных подключений путем проверки подлинности на уровне сети» и установите переключатель на опцию «Включить».

Что делать, если вы выбрали уровень безопасности «SSL»? Вам ведь нужно указать какой-то сертификат. При помощи возможностей групповой политики вы можете выбрать шаблон сертификата. Для этого воспользуйтесь параметром политики «Шаблон сертификата проверки подлинности сервера», установите переключатель на опцию «Включить», а затем в соответствующем текстовом поле введите имя самого шаблона. Тут нужно быть осторожным, так как вам не предоставляется список доступных шаблонов, а указывать имя шаблона следует без ошибок. Так как в данном примере был установлен уровень безопасности «Согласовать», нет смысла вносить какие-либо изменения в данный параметр политики. Уровень безопасности SSL вместе с настройкой сертификата будет рассмотрен в одной из следующих статей, посвященной серверам удаленных рабочих столов.

Вкладка «Параметры входа в систему» параметров подключений RDP-Tcp

После того как все настройки первой вкладки конфигурации удаленных рабочих столов были определены, следует переходить, к следующей вкладке свойств подключения RDP-TCP, а именно, ко вкладке «Параметры входа в систему». Эта вкладка, которая, собственно, изображена ниже, предназначена для того, чтобы при подключении к серверу удаленных рабочих столов использовались определенные учетные данные, а пользователи при подключении не проходили процесс авторизации. Далеко не во всех случаях следует использовать возможности этой вкладки. Это целесообразно в том случае, если, скажем, это общедоступный сервер удаленных рабочих столов и вам нужно, чтобы клиентам не приходилось постоянно указывать свои учетные данные. Совершенно несущественно можно обезопасить подключение, если установить соответствующий флажок и заставить своих пользователей принудительно вводить пароль для определенной вами учетной записи.

Рис. 5. Вкладка «Параметры входа в систему» параметров подключений RDPTcp

За этот флажок также отвечает определенный параметр групповой политики. В этом же узле, то есть, в узле «Безопасность», есть такой параметр политики, как «Всегда запрашивать пароль при подключении». Установив переключатель на опцию «Включить», вы тем самым задизаблите текущую опцию на данной вкладке.

Рис. 6. Настройка единственного параметра, отвечающего за возможности вкладки «Параметры входа в систему»

Продолжаем выжимать все соки из Windows-сервера. В этот раз я расскажу про настройку сервера удаленных рабочих столов, более известного как терминальный сервер. В качестве «вишенки на торте» остановимся еще на тюнинге системы дедупликации томов Windows.

В инфраструктуре удаленных рабочих столов основной ролью является узел сеансов Remote Desktop Session Host (далее – RDSH). Начну с подбора аппаратной части для этой роли.

С процессором и памятью все довольно просто: больше памяти, больше процессоров высокой частоты и с большим кэшем – лучше. Чуть больше внимания стоит уделить дисковой подсистеме, ведь именно она часто является узким местом. Основную нагрузку на диски можно условно разделить на три группы:

системные файлы и приложения;

  • пользовательские профили и данные.
  • В целях увеличения быстродействия имеет смысл разнести эти группы по разным физическим дискам. Про файл подкачки уже упоминалось в предыдущей статье, а вот пользовательские профили потребуют некоторых манипуляций с реестром.

    Для смены места хранения профилей нужно изменить следующий параметр реестра:

    путь: HKLMSoftwareMicrosoftWindows NTCurrentVersionProfileList;

    параметр: REG_EXPAND_SZ с именем ProfilesDirectory;

  • значение: путь к папке, например, D:Users.
  • Тогда профили всех пользователей будут создаваться уже в другом месте.

    Отдельно нужно отметить перемещаемые профили пользователей терминального сервера. Настроить их можно групповой политикой Конфигурация Windows – Административные шаблоны – Службы удаленных рабочих столов – Узел сеансов удаленных рабочих столов – Профили – Задать путь для перемещаемого профиля пользователя служб удаленных рабочих столов. В этой политике можно задать место для хранения профилей пользователей терминального сервера, но храниться будет лишь часть профиля. В частности AppDataLocal останется на старом месте.

    Помимо изменения места хранения профилей бывает полезно перенаправить ряд пользовательских папок в другое место. Как правило, это практикуется для быстродействия и настройки бэкапов – ведь «мои документы» и «рабочий стол» могут содержать важную информацию, но и не требуют повышенного быстродействия. Перенаправление удобно настраивается с помощью групповой политики.

    Читайте также:  Дом страха подсказки на айфон

    Сама групповая политика настраивается в Конфигурация пользователя – Конфигурация Windows – Перенаправление папки, и для большинства папок пользовательского профиля можно указать альтернативное расположение.

    Настройка политики перенаправления папок

    Чтобы не было проблем с созданием папок и доступом в них, я обычно делаю следующие разрешения на ресурс с перенаправленными папками:

    группа «Все» может создавать папки и читать. Разрешения применяются только для корневой папки;

    создатель-владелец (owner) имеет полный доступ, но только к подпапкам и файлам;

  • администраторы и система имеют полный доступ.
  • Разрешения на сетевой ресурс с перенаправленными папками пользователей.

    Одна из основных нагрузок на диск на сервере с ролью RDSH – синхронная запись. Причиной опять же являются пользователи: ведь при штатной работе идет регулярное обращение к профилю, а также загрузка-выгрузка пользовательских веток реестра (%userprofile%
    tuser.dat). Помимо создания разного рода производительных массивов оптимизировать производительность поможет кэш на запись.

    Если у вас нет батарейки для RAID-контроллера, стоит подумать о ее приобретении или же безгранично верить бесперебойникам. Надо сказать, что кэш можно настраивать и через Windows – на вкладке «Политика» в свойствах диска в оснастке «Управление дисками».

    Настройка кэша жесткого диска Windows.

    Вторым потенциально узким местом является сетевая подсистема. В целях оптимизации не лишним будет по возможности разделить сеть на условный frontend и backend. Через frontend пустить пользовательские подключения, а через backend – подключения к другим серверам, в том числе и к хранилищам для перенаправленных папок и перемещаемых профилей.

    Загрузка сети пользовательскими подключениями, как правило, минимальна, а для повышения производительности backend можно использовать объединение адаптеров (LACP) или установить в сервер десятигигабитные адаптеры.

    В настройке самой операционной системы можно выделить следующие моменты:

    по возможности стоит отключить фоновые процессы: такие как проверка орфографии, автосохранения, индексирование для поиска. Или хотя бы уменьшить их частоту;

    также лучше уменьшить частоту проверок статуса приложений, обновлений и прочих синхронизаций;

    меньше ненужных процессов и модулей – больше простора всему остальному. Проверить процессы и загружаемые модули можно с помощью встроенной утилиты msinfo32.exe и незабвенной Autoruns;

    антивирус на терминальном сервере – не самая лучшая идея, достаточно ограничиться защитой периметра, SRP и регулярными обновлениями. Если же Пети и Не-Пети тревожат паранойю, то стоит хотя бы исключить из проверки часть временных папок: например, с файлами, которые создают системные сервисы и доверенные приложения;

    если перенаправленные устройства, такие как воспроизведение звука, микрофон и прочие диски не используются – лучше их отключить.

    отдельного упоминания заслуживают перенаправленные принтеры. По возможности лучше не использовать перенаправление принтеров, подключать уже с локального принтсервера. Если подключить не удается – используйте проброс принтеров с помощью штатного средства EasyPrint, без установки драйвера принтера. Ставить драйвер принтера стоит при крайней необходимости, и аккуратно – многие драйвера, особенно для старых принтеров, тянут с собой свои приложения, которые запросто могут и «уронить» службу печати;

  • проверяйте «назначенные задания». Помимо системы, которая по умолчанию оставляет ряд назначенных заданий на вход пользователя и простой пользователя, приложения тоже любят добавить своих задач. Не все из них вам нужны.
  • 129 – именно столько назначенных заданий в свежеустановленной Windows 2016 + Office 2016.

    Нельзя не упомянуть возможность терминального сервера под названием RemoteFX, настройка его поведения также влияет на быстродействие.

    RemoteFX – это целый набор технологий, отвечающих за сжатие RDP, проброс устройств, работу с видеокартой и устройствами USB как в виртуальной машине, так и на терминальном сервере.

    Полезной настройкой является сжатие RemoteFX. Искать ее можно в групповых политиках по адресу Конфигурация компьютера – Административные шаблоны – Компоненты Windows – Службы удаленных рабочих столов – Узел сеансов удаленных рабочих столов – Среда удаленных сеансов – Настройка сжатия RemoteFX.

    Настройка сжатия RemoteFX через групповые политики.

    Настройка имеет следующие варианты:

    оптимизация использования памяти. Нагрузка на сервер небольшая, но повышаются требования к пропускной способности сети;

    оптимизация использования полосы пропускания сети. Сеть загружена слабо, но расход памяти составляет около 2 МБ на сессию;

    баланс памяти и полосы пропускания сети. Расход памяти составляет около 200 КБ на сессию;

  • не использовать алгоритм сжатия RDP. Сервер практически не сжимает RDP, поэтому нагрузка на сеть максимальна.
  • При небольшом количестве пользователей изнутри локальной сети настройка мало влияет на быстродействие. Но когда пользователей много или если они удаленные, стоит задуматься о ее применении.

    Рядом с этой настройкой находятся и другие опции, влияющие на быстродействие – тут и настройка кодировки, и настройка максимального разрешения экрана. Особенно интересной является настройка использования графического адаптера для отрисовки изображения – для всех сеансов службы удаленных рабочих столов используйте аппаратный графический адаптер по умолчанию. Начиная с Windows 2016, RemoteFX научился работать не только с виртуальными видеокартами в виртуальных машинах, но и с видеокартой напрямую. Да, теперь видеокарту для ускорения работы можно устанавливать даже в обычный сервер сеансов удаленных рабочих столов.

    Другие настройки отображения можно производить на клиентской стороне, в файлах .rdp. Большинство опций находится на вкладке «Взаимодействие».

    Настройки отображения, влияющие на быстродействие.

    Можно настроить вручную, можно использовать предустановки в зависимости от ориентировочной скорости соединения или же отдать управление автоматике. Самое главное – не стоит отключать «Постоянное кэширование точечных рисунков». При включенной опции клиент будет держать у себя кэш изображения и загружать только изменения рисунка.

    Перейду к быстродействию другой роли терминального сервера – шлюза удаленных рабочих столов.

    Шлюз удаленных рабочих столов (Remote Desktop Gateway, далее – RDG) удобно использовать для подключения внешних клиентов без VPN – в частности, он позволяет настроить проверку подлинности по сертификату. С примером настройки можно ознакомиться в соответствующей статье, я же ограничусь вопросами быстродействия.

    RDG может использовать транспорт TCP и UDP, но в большинстве случаев используется стандартный RPC поверх HTTP. Именно его и касаются следующие настройки в реестре:

    Параметр Путь Значение по умолчанию Комментарий
    Maxiothreads HKLMSoftwareMicrosoftTerminal Server Gateway Равняется количеству процессоров Отвечает за количество выходящих потоков, которые обрабатывает RDG
    MaxPoolThreads HKLMSystemCurrentControlSetServicesInetInfoParameter 4 Количество потоков, которые обрабатывает IIS
    ServerReceiveWindow HKLMSoftwareMicrosoftRpc 64 КБ Максимальный размер кадра, принимаемого сервером. Может варьироваться от 8 КБ до 1 ГБ.
    ClientReceiveWindow HKLMSoftwareMicrosoftRpc 64 КБ Максимальный размер кадра, принимаемого клиентом. Может варьироваться от 8 КБ до 1 ГБ.

    Понять, где есть проблемы, помогут счетчики производительности:

    шлюз служб терминалов;

    RPC/HTTP Proxy Per Server;

    сведения о процессоре;

    Скажу и пару слов про третью роль – узел виртуализации удаленных рабочих столов. Он необходим для развертывания инфраструктуры виртуальных рабочих столов (Virtual Desktop Infrastructure – VDI), чуть менее популярной, чем обычные терминальные сервера.

    Помимо общих рекомендаций для гипервизоров – быстрее, выше, сильнее – в инфраструктуре VDI в режиме пула виртуальных рабочих столов имеет смысл обратить внимание на ненужные службы и возможности в клиентских операционных системах:

    обновление WIndows. Все равно машина при подключении разворачивается из шаблона;

    автономные файлы. VDI не уходят в оффлайн;

    фоновая дефрагментация. Изменения файловой системы откатываются при отключении;

    сон или гибернация. Не поддерживается в VDI;

    аварийный дамп. При повторном включении машина будет развернута из шаблона;

    Читайте также:  Gb pocket plus отзывы

    автоконфигурация WLAN. На VDI нет Wi-Fi;

    служба общих сетевых ресурсов проигрывателя Windows Media;

    поставщик домашней группы;

    общий доступ подключения к интернету;

    служба поддержки Bluetooth;

  • дополнительные службы Windows Center.
  • Помимо отключения служб в шаблонной виртуальной машине, для оптимизации хранения не лишним будет включить дедупликацию в любом варианте развертывания VDI. Сделать это можно при помощи команды PowerShell:

    Использование дедупликации изрядно поможет сберечь место не только при использовании виртуальных рабочих столов.

    Дедупликация – это метод сжатия массива, когда повторяющиеся данные не дублируются.

    Microsoft советует включать дедупликацию в следующих случаях:

    файловые серверы общего назначения – общие папки пользователей, перенаправленные папки профилей и т.п.;

    серверы инфраструктуры удаленных рабочих столов (VDI);

  • виртуализированные приложения резервного копирования вроде Microsoft DPM.
  • Во всех прочих случаях выгоды дедупликации стоит предварительно оценить. В этом поможет утилита DDPEval.exe, которая появится после установки роли дедупликации на сервер.

    На диске с большим количеством файловых баз 1С дедупликация поможет сэкономить до 70% места.

    Установка компоненты дедупликации производится через графический режим или командлетом PowerShell:

    Install-WindowsFeature -Name FS-Data-Deduplication

    Включить удобно командлетом Enable-DedupVolume с параметром – UsageType, который может принимать значения:

    HyperV – для дисков хранения виртуальных машин и VDI;

    Backup – для виртуализированных приложений резервного копирования;

  • Default – по умолчанию.
  • Подробнее прочитать про дедупликацию и чем отличаются ее виды, предлагаю в документации Microsoft.

    Для оптимизации баланса хранения и производительности следует уделить внимание назначенным заданиям дедупликации и тонким ее настройкам.

    Механизм дедупликации использует три вида назначенных заданий:

    Название Что делает Расписание по умолчанию
    Оптимизация Выполняет дедупликацию Каждый час
    Сбор мусора Освобождает место на диске Каждую субботу в 02:35
    Проверка целостности Ищет и восстанавливает повреждения Каждую субботу в 03:35

    Посмотреть назначенные задания можно командлетом Get-DedupSchedule.

    Запланированные задания дедупликации по умолчанию.

    Разумеется такое расписание может быть неприемлемо, особенно на серверах с высокой загрузкой. В таком случае удобно будет запускать задания только в часы простоя. Отключим задания командой PowerShell:

    Добавим новое задание оптимизации в нерабочее время:

    И задания сборка мусора и проверки по нерабочим дням:

    Подробнее про синтаксис командлета New-DedupSchedule можно почитать в документации.

    Большинство тонких настроек дедупликации – то есть большинство параметров для тома – настраивается с помощью командлета Set-DedupVolume.

    Параметр Описание Допустимые значения Комментарий
    ChunkRedundancyThreshold Количество ссылок на блок до его копирования в раздел активной зоны хранилища блоков Положительные целые числа Обычно нет необходимости изменять значение по умолчанию, но увеличение значения может увеличить быстродействие томов с высокой дупликацией
    ExcludeFileType Типы файлов, исключаемые из дедупликации Массив расширений файлов Такие файлы как мультимедиа плохо поддаются дедупликации, оптимизировать их нет смысла
    ExcludeFolder Папки, исключаемые из дедупликации Массив путей к папкам Для повышения производительности можно исключить часть папок
    InputOutputScale Уровень параллелизации операций ввода-вывода 1 – 36 На сервере с высокой нагрузкой можно уменьшить количество операций ввода-вывода дедупликации, что скажется на скорости выполнения оптимизации, но ускорит общую работу сервера
    MinimumFileAgeDays Число дней после создания файла, прежде чем он будет считаться доступным для оптимизации. Положительные целые числа, включая 0 Значение по умолчанию – 3, в ряде случаев можно изменить значение для повышения оптимизации
    MinimumFileSize Минимальный размер файла, чтобы он мог считаться доступным для оптимизации Положительные целые числа (байты), большие, чем 32 КБ Для небольших файлов дедупликация не имеет особого значения
    NoCompress Сжатие дедуплицированных блоков TrueFalse Для тома, содержащего большое количество сжатых данных, вроде архивов или мультимедиа, сжатие имеет смысл отключить
    NoCompressionFileType Файлы, которые не нужно сжимать Массив расширений файлов Уже сжатые файлы сжимать нет смысла
    OptimizeInUseFiles Использование дедупликации для активных файлов TrueFalse В случае если на томе большинство файлов – большие и постоянно используемые, в которых меняется регулярно только часть файлов – лучше включить этот параметр. В противном случае эти файлы не будут оптимизированы
    OptimizePartialFiles При включении этого параметра значение MinimumFileAge применяется к сегментам файла, а не ко всему файлу TrueFalse
    Verify Проверка блока данных не только по хэшу, но и по байтово TrueFalse Включение параметра замедляет быстродействие, но обеспечивает большую гарантию сохранности данных

    Помимо настроек для тома существуют и общие настройки службы дедупликации. В частности, нас интересует два параметра, находящихся в реестре по следующему адресу:

    Параметр Описание Допустимые значения Комментарий
    WlmMemoryOverPercentThreshold Возможность использовать больше памяти, чем автооценка Положительные целые числа, в процентах. например значение 300 означает «в три раза больше» Изменение значения параметра актуально при одновременном запуске заданий дедупликации и других ресурсоемких задач
    DeepGCInterval Интервал между полными сборками мусора Положительные целые числа, -1 = отключено Полная сборка мусора оптимизирует данные тщательнее, но она более ресурсоемкая. По факту разница в свободном месте после обычной и полной сборке мусора составляет около 5%.

    Теперь, когда дедупликация настроена, можно попробовать выговорить «дедуплицировали, дедуплицировали, да не выдедуплицировали», а потом потратить бюджет не на диски, а на новые серверы в ферму удаленных рабочих столов. И начать тюнить уже их.

    А вам приходилось заниматься подобным тюнингом быстродействия терминальных серверов или все «по дефолту»? Был какой-то ощутимый результат?

    По умолчанию, на терминальном сервере RDP-сессия длится до тех пор, пока пользователь ее явно не прервет. В некоторых случаях, это может привести к зависанию профиля или некоторых запущенных приложений.

    Рекомендуется задавать лимит на сеансы, по достижении которого принудительно завершать терминальные сессии и выполнять выход пользователя из системы.

    Настройка на терминальном сервере

    Сессии можно настроить для конкретного сервера в настройках сервера терминалов. Процесс немного отличается в зависимости от версии операционной системы Windows.

    Windows 2012 и выше

    В диспетчере серверов переходим в службы удаленных рабочих столов:

    Переходим в коллекцию, для которой хотим поменять настройки сеанса:

    В свойствах коллекции кликаем по Задачи — Изменить свойства:

    Переходим в раздел Сеанс и выставляем ограничения:

    * где Окончание разъединенного сеанса — время, через которое для пользователей с завершенными сеансами произойдет выход из системы; Ограничение бездействующего сеанса — время, через которое сеанс перейдет в разъединенный, если пользователь в нем не работает (не проявляет никакой активности).

    Windows 2008 R2 и ниже

    Нажимаем ПускАдминистрированиеСлужбы удаленных рабочих столовКонфигурация узла сеансов удаленных рабочих столов:

    В разделе «Подключения» дважды кликаем по RDP-Tcp:

    На вкладке «Сеансы» ставим галочку Переопределить параметры пользователя и выставляем необходимые лимиты:

    * где Завершение отключенного сеанса — время, по достижении которого отключенный сеанс будет завершен, а для пользователя будет выполнен выход; Ограничение бездействующего сеанса — ограничение на сеанс, в котором пользователь не работает.

    Настройка через GPO

    Если терминальных серверов много или необходимо централизованно задать политику ограничения сессий, можно воспользоваться групповыми политиками Active Directory.

    Заходим в консоль управления политиками — создаем политику с любым понятным названием — переходим в настройку созданной политики.

    Используем следующие ветки для настройки:

    • Конфигурация компьютераПолитикиАдминистративные шаблоныКомпоненты WindowsСлужбы удаленных рабочих столовУзел сеансов удаленных рабочих столовОграничение сеансов по времени
      (Computer ConfigurationPoliciesAdministrative TemplatesWindows ComponentsRemote Desktop ServicesRemote Desktop Session HostSession Time Limits)
    • Конфигурация пользователяПолитикиАдминистративные шаблоныКомпоненты WindowsСлужбы удаленных рабочих столовУзел сеансов удаленных рабочих столовОграничение сеансов по времени
      (User ConfigurationPoliciesAdministrative TemplatesWindows ComponentsRemote Desktop ServicesRemote Desktop Session HostSession Time Limits)

    * если для пользователей и компьютеров используются отдельные организационные юниты, необходимо создавать отдельные политики для каждого юнита и соответствующей веткой.

    Для настройки выставляем следующие значения:

    Ссылка на основную публикацию
    Adblock detector