标签: remote-desktop-services

所以 Windows Server 2012 的发布删除了很多旧的远程桌面相关的配置实用程序。特别是，没有更多的远程桌面会话主机配置实用程序可以让您访问 RDP-Tcp 属性对话框，让您配置自定义证书以供 RDSH 使用。取而代之的是一个不错的新统一 GUI，它是新服务器管理器中整体“编辑部署属性”工作流的一部分。问题是，如果您安装了远程桌面服务角色（据我所知），您只能访问该工作流。

这对微软来说似乎有点疏忽。当 Windows Server 2012 在默认远程管理模式下运行时，我们如何为 RDP 配置自定义 SSL 证书，而无需不必要地安装远程桌面服务角色？

如何查看当前连接到具有远程桌面客户端的服务器 (Windows 2012) 的用户？我自己通过 RDP 连接到这台服务器。

此问题提供了一种通过已建立的连接获取 IP 地址的解决方案。我会对用户列表或他们的会话以及这些会话上次何时处于活动状态感兴趣。

我正在设置远程桌面服务场，但在配置要使用的证书时遇到问题。可以在步骤 #4 中找到我所看到的问题的演示。

在这一点上，我确信用户界面存在问题，并正在寻找解决方法。有没有办法在远程桌面服务中配置证书，以便设置保留并反映在 GUI 中？如果没有，我有什么方法可以验证设置是否正确？

步骤 #1 - 创建要使用的证书。

我已经配置了一个证书以用于 RD Web 访问。该证书存储在我的 RD 连接代理上的证书 MMC 中，我正在从该计算机配置场。

通过让 RD Web Access 生成自己的证书，我发现需要以下属性：

• 增强的密钥使用
  • 服务器认证
  • 客户端认证
    • 这可能不是必需的，但自签名证书包含它。
• 密钥用法
  • 电子签名
  • 密钥协议
• 主题备用名称
  • DNS 名称=domain.com

关于自签名证书生成的绕道

作为快速绕行，我能够解决使用 powershell 创建自签名证书的问题。New-RDCertificate cmdlet的文档提供了以下示例：

PS C:\> $password = ConvertTo-SecureString -string "password" -asplaintext -force
New-RDCertificate -Role RDWebAccess -DnsName "test-rdwa.contoso.com" -Password $password -ConnectionBroker rdcb.contoso.com -ExportPath "c:\test-rdwa.pfx"

将它输入到 shell 中将导致一条错误消息，声称Get-Server无法找到某个函数。在使用之前New-RDCertificate，您必须使用Import-Module RemoteDesktop.

第 2 步 - 观察开箱即用的行为

第一次通过导航到服务器管理器 -> 远程桌面服务 -> 集合并从“COLLECTIONS”分组的“任务”下拉列表中选择“编辑部署属性”来访问“部署属性”对话框时，您将看到以下屏幕：

此窗口具有误导性，因为该 …

Windows Server 2008 R2 允许在没有域的情况下部署终端服务器（远程桌面服务），并且没有任何域的坚持。这非常有用，特别是对于不需要或不希望任何 ActiveDirectory 或域功能的远程客户端远程管理的服务器的独立虚拟或云部署。

随着 Microsoft 在每个 Windows 版本中进一步限制其技术，这变得越来越困难。使用 Windows Server 2012，如果不在域中，为远程桌面服务配置许可会更加困难，但仍有可能。使用 Windows Server 2012 R2（至少在预览版中），障碍现在非常严重：

1. Windows Server 2012 R2 中的“添加/删除角色和功能”向导具有特殊的 RDS 部署模式，该模式有一条规则，如果您不在域中，则无法部署。它告诉您首先创建或加入域。这当然与 Active Directory 域控制器不应与终端服务器机器是同一台机器这一事实直接冲突。所以微软的技术与其说是一个云操作系统，不如说是一个不需要节点集群，需要支持我真正想要部署的一台机器。这太恶心了，所以我试图找到一种解决方法。

2. 但是，如果您跳过该向导并只选中主角色/功能向导中的复选框，您可以部署这些功能，但 UI 不存在配置它们，当您返回到角色向导上的 RDS 配置页面时，当您以本地计算机管理员身份登录时，您会收到一条消息，提示您无法管理远程桌面服务系统，因为尽管您拥有所有可能拥有的管理员权限（在基于工作组的系统中），但 RDS 配置 UI 将不接受这些凭据并让您继续。

简而言之，我的问题是，我还能以某种方式获得以下最终结果：

• 我需要允许每个系统 10-20 个用户进行 RDS (TS) 会话。
• 我不需要任何花哨的 RDS 选项，除非微软以某种方式依赖于这些功能的存在。我相信我需要“RDS Session Host”，因为这是“终端服务器”的核心。微软称它是“远程桌面服务客户端的完整 Windows 桌面。
• 我需要配置许可，以便宽限期不会过期而使我的 RDS 无法运行，所以这可能意味着我需要一种配置 TS CAL 的方法。

如果以上所有这些在技术上都可以通过明智地使用 PowerShell 来完成，那么我什至准备考虑开发我需要执行上述操作的所有 PowerShell 脚本。我不是要别人为我写那个。我要问的是，除了故意破坏 Workgroup 用户的 2012 R2 UI 之外，有没有人知道我上面要做的事情是否存在技术障碍？如果我通过 PowerShell 脚本操作和控制底层技术，它们是否仍然有效？

显然，1 个词是或否的答案对任何人都没有那么有用，所以问题是真的，是或否，为什么？如果答案是肯定的，那么如何。

我们有超过 350 名用户抱怨他们的鼠标光标在打字时不断跳动。当协议缺乏带宽时，这似乎正在发生，但我还不太确定。

如果只是光标移动它会很好 - 问题是它也会移动焦点，以便他们突然在文档中的不同位置书写文本而没有注意到为时已晚（老年人，他们盯着键盘）。

大多数用户都有笔记本电脑，我也怀疑触控板没有感应到打字（因此不会停用触控板上的一键式点击），但我今天收到一份报告，称桌面用户也遇到了同样的情况。

什么可能导致这种情况？有没有办法调整 RDP 使其不会发生？我迷路了..

编辑：

关于我们如何设置 RDP 的更多背景信息：

• RDP 加密级别通过 GPO 设置为“客户端兼容”，以支持较旧的 CE 瘦客户端
• RDP 压缩设置为“平衡内存和网络带宽”。与上述相同的原因，以支持较旧的 RDP 客户端
• 用户的所有 RDP 快捷方式都配置为仅使用视觉样式 + 持久位图缓存。我们在没有视觉样式的情况下测试过，鼠标仍然跳来跳去
• 所有 RDS 服务器限制为 16bpp 颜色，不允许桌面合成和背景
• 我们的 MPLS 提供商制定了 QoS 规则，以保持 RDP 高于尽力而为（参见 EDIT2）

编辑2：

我检查了 MPLS 提供程序的 QoS 设置，感觉这里有些不对劲（pastebin）。内部 RFC1918 流量在 RDP 以下的类中被优先考虑，但具有相同的丢弃概率。我认为这应该在列表中更靠后的一个类中，具有更高的掉落概率。

我今天与几位员工进行了交谈，如果他们同时启动大量加入域的计算机（组策略、WSUS 更新等），这个问题似乎是可以重现的。

已联系 MPLS 提供商，我正在等待免费技术人员更改 QoS 设置，看看这是否有帮助。我要将单个站点上除 RDP 之外的所有流量转储到 Best-Effort 中，看看它是否有帮助。

更新 19.07.2013 仍然没有解决。发现几乎每台笔记本电脑都缺少触摸板驱动程序，因此在用户键入时触摸板不会被停用。巴阿德。此外，它也发生在台式 PC 上，以及任何类型的带有带宽受限管道的 PC 上。我问了一个关于网络工程的新问题：https : //networkengineering.stackexchange.com/questions/2427/qos-woes-managed-ip-vpn

最近设置了一个新的 2012 服务器。在我使用普通用户帐户（不是管理员）创建到服务器的两个远程 Windows 连接后，当我尝试创建第三个连接时出现此错误：

Select a user to disconnect so you can sign in
There are too many users signed in

我读到您只能拥有两个管理员连接（一个物理连接和一个虚拟连接），但这些不是管理员用户。在该产品的数据表中，它说我可以拥有unlimitedRDS 用户。希望消息有更多关于此服务器的信息！

注意：我已阅读Windows 服务器需要重新启动的频率？但是这个问题特别与我们的远程桌面服务器有关。

我们有一台 Windows Server 2008R2 服务器 - 一台 VMware ESX VM - 获得远程桌面服务许可，25 个用户也执行 RRAS (SSTP)。在平均工作日，在工作时间内，有 8 到 12 个登录的活跃用户以及 4-6 个“断开连接”的用户。它具有 12 GHz CPU 硬预留和 16 GB RAM，也完全预留。需要时，CPU 预留可扩展至最大 24 GHz。

我们的许多用户完全依赖服务器来工作。他们也对它的性能抱怨不已，但许多人不愿意改变工作习惯或软件来提高其性能。具体来说：

• 用户拒绝注销而不是断开连接
• 用户坚持使用 Lync 2013 而不是 Lync 2010（Lync 2013 是臭名昭著的资源猪）

我不能夸大他们拒绝注销的重要性。断开连接的用户在断开连接时继续占用 RAM，这意味着在任何给定时间，我们有多达 16 个正在运行的某些程序实例。

我还根据经验注意到，远程桌面服务器运行的时间越长，泄漏/僵尸事件的累积就越多。重新启动后，即使在许多用户登录后比较性能时，服务器也是新鲜的并且速度更快。我还读到定期重新启动可能会有所帮助。

所以我建议定期重启虚拟机——我想每周重启一次，比如周六晚上——因为我觉得这些重启可以解决很多问题。

我想知道，如果您是 Windows 管理员，

• 即使在用户断开连接/重新连接之后，垃圾/僵尸/泄漏也会随着会话时间的推移而累积这一事实是否正确？

• 多久你重新启动一个类似的充分利用的Windows Server远程桌面服务？

根据shadow：

C:\Users\mark.henderson>shadow /?
Monitor another Remote Desktop Services session.

SHADOW {sessionname | sessionid} [/SERVER:servername] [/V]

  sessionname         Identifies the session with name sessionname.
  sessionid           Identifies the session with ID sessionid.
  /SERVER:servername  The server containing the session (default is current).
  /V                  Display information about actions being performed.

/V是为了Display information about actions being performed.但对于我的生活，我无法让这面旗帜做任何事情。Technet 并不比上面的文字更有帮助；并且也不是谷歌。

执行，说shadow 3 /server:myts1.example.com /V只是正常隐藏帐户。

我习惯了tsconfig.msc和tsadmin.msc（又名终端服务配置/终端服务管理MMC snapins）从以前的Windows版本，从而深刻地恨新型根据关系数据库管理系统，其目的是作为置换用户界面的文件（的Hyper-V作为一项要求? 为什么我需要在终端服务器上安装 Hyper-V？！）。

使用 Server 2012，它们似乎永远消失了。有什么办法让他们回到本地？尽管来自 Server 2008 R2 计算机的远程连接似乎可以使用两个控制台进行工作，但我更希望它们也可以在 Server 2012 远程桌面角色持有者上本地运行。

由于远程控制（又名会话阴影）在 Server 2012 远程桌面会话主机中一去不复返了，我正在寻找替代品来支持跨域环境中的用户。

由于远程协助应该也适用于远程桌面会话，我尝试通过组策略为所有远程桌面会话主机启用未经请求的远程协助来实现支持目的。

一切似乎都运行良好，只是当从远程桌面会话本身启动远程协助会话时，“专家”似乎无法实际行使任何鼠标或键盘控制。即使在辅助用户确认控制请求之后，来自“专家”会话（Server 2012）的鼠标点击和键盘敲击似乎也被忽略了。

由于多种原因，我希望通过支持人员的 RD 会议看到这一点：

• 并非每个支持代理都有合适的客户端系统版本来支持特定终端服务器上的用户（例如，代理可能拥有 Windows Vista 或 Windows 7 工作站，因此无法为 Server 2012 RDSH 上的用户提供帮助）
• 支持代理不一定有作为特定目标域成员的站点（主要是因为支持多个域的用户）

我错过了什么？