Windows Server 中的远程桌面服务(RDS)是一个内置平台,用于安全地向用户传送托管桌面和应用程序,无论是在办公室、从家办公还是从分支和合作伙伴位置进行连接。 通过在数据中心集中处理,并仅远程化 UI,远程桌面服务可帮助你减少管理开销,提高安全性,并为用户提供对所需资源的一致和高性能的访问。
远程桌面服务支持基于多会话服务器的桌面和单会话(或共用/个人)虚拟桌面,以及发布单个应用程序(RemoteApp)。 可以选择适当的模型组合来优化成本、性能和用户体验。
小窍门
若要评估更广泛的基于云的桌面解决方案,请参阅 Azure 虚拟桌面。 甚至可以使用 Azure 本地将 Azure 虚拟桌面扩展到本地数据中心。
什么是远程桌面服务?
远程桌面服务是 Windows Server 中基于角色的基础结构,它允许授权用户通过网络连接到:
- 完整桌面(基于会话或基于虚拟机)。
- 显示和行为类似于本地安装的应用的特定应用程序(RemoteApp 程序)。
无需在多个单个终结点上安装和修补应用程序,而是在集中式主机上管理一次应用程序。 终端仅需使用远程桌面协议(RDP)来呈现远程 UI。
主要优势
远程桌面服务集中了应用程序和桌面管理,因此可以修补和保护一次资源,而不是跨多个终结点进行修补和保护。 多会话密度降低了每个用户的成本,而混合使用会话主机和 VDI 可以灵活地满足性能或兼容性需求。 数据保留在数据中心;加密的远程访问、MFA 和审核可以增强合规性状况。 用户保持高效,因为 RemoteApp 窗口的行为类似于本地应用、支持任务栏固定、多监视器工作流和标准窗口控件。 该平台可以轻松扩展,实现配置文件管理、打印、监控、GPU 加速,并通过 PowerShell 进行广泛的自动化。
核心远程桌面服务角色和组件
远程桌面服务包括多个可以进行部署和扩展的角色:
| 角色 | 目的 |
|---|---|
| RD 会话主机 (RDSH) | 在 Windows Server 上运行支持多会话的用户桌面和 RemoteApp 程序,以实现多会话效率。 |
| RD 虚拟化主机 | 托管虚拟桌面基础结构集合(共用或个人 Windows 客户端 VM)。 与预配 Hyper-V 集成。 |
| RD 连接代理 | 维护用户会话、对连接进行负载均衡、将用户重新连接到现有会话、管理集合(会话和 VDI)。 支持高可用性。 |
| RD Web 访问 | 提供网页门户和信息源(Web 访问/RemoteApp 和桌面连接),列出用户有权使用的桌面和应用程序。 |
| RD 网关 | 通过 HTTPS(TCP 443)从外部网络启用安全加密的 RDP 访问,而无需打开内部 RDP 端口。 支持 MFA 和条件策略。 |
| RD 许可 | 管理和跟踪远程桌面服务客户端访问许可证(RDS CAL),这是合法使用(用户或设备)时所需的。 |
支持组件通常包括用户配置文件的文件服务、TLS 证书服务以及监视解决方案。
部署模型
可以根据用户角色和技术要求混合和匹配模型:
| 型号 | Description | 典型用例 | 成本与密度 |
|---|---|---|---|
| 基于会话 (RDSH) | 多个用户共享 Windows Server 实例;每个用户获得一个独立的会话。 | 任务工作者、业务线应用、季节性用户。 | 最高用户密度,每用户成本最低。 |
| VDI 池化 | 用户从池连接到动态分配的 Windows 客户端 VM。 非持久性或可重置状态。 | 需要 Windows 客户端兼容性的知识工作者;应用隔离。 | 中等密度/成本。 |
| VDI 个人版 | 每个用户分配了一个保留更改的专用 Windows 客户端 VM。 | 开发人员、强大用户、自定义密集型应用。 | 最低密度,灵活性最高。 |
| 混合 | 将 RDSH 合并为基线应用 + VDI 以满足专用需求。 | 混合角色环境。 | 优化的平衡 |
托管位置
可以在不同的环境中部署远程桌面服务:
- 本地:完全控制硬件、网络和数据区域。
- Azure 基础结构(IaaS):在 Azure VM 上部署远程桌面服务角色,实现弹性容量和简化全局访问。
常见应用场景
组织使用远程桌面服务将应用程序交付标准化到分支机构,在不广泛公开内部网络、快速载入季节性或临时员工的情况下,为承包商或合作伙伴启用安全访问,并托管不切实际的许多设备上部署的旧版或专用 Windows 应用程序。 在监管部门(财务、医疗保健)中,数据驻留和可审核性很重要,对于需要具有受限特权(而不是完整 VPN 隧道)进行远程桌面访问的 IT 管理员也很常见。
发布选项
可以发布完整的桌面(基于会话或基于 VM)来呈现特选的应用程序集,或者提供集成到用户的“开始”菜单和任务栏中的单个 RemoteApp 程序,可以跨越多个监视器,并像本地安装的软件一样显示和行为。
安全性和合规性
远程桌面服务基于 Windows 安全性构建:TLS 保护 RDP 流量(为网关、代理和 Web 访问部署有效证书),RD 网关在 HTTPS 中封装 RDP,以最大程度地减少公开的端口,同时启用条件访问和 MFA 集成。 集合和安全组有助于强制实施最低特权分段;集中执行使数据驻留在数据中心,因此只有 UI 流离开。 事件日志和 Windows 审计日志为监控或 SIEM 解决方案提供数据,用于合规性和取证分析。
规划注意事项
有效的规划从用户角色开始:为任务用户、知识型用户和高级用户估算 CPU、内存和存储 I/O 配置文件。 在此基础上,确定每个 RD 会话主机的会话容量,并调整池化或个人 VDI 的大小,同时设计连接代理的高可用性。 配置文件策略(漫游配置文件、文件夹重定向或第三方配置文件管理)会影响登录性能和磁盘增长:避免主机上不受控制的配置文件蔓延。 如果用户需要 3D 或丰富的多媒体,请规划 GPU 资源(Hyper-V DDA 或受支持的虚拟化技术)。 网络拓扑和延迟影响用户体验,因此请将 RD 网关的位置设置为最小化往返时间,并确保有足够的带宽以支持峰值并发。 尽早验证应用程序多会话行为,以捕获有关每台计算机路径或注册表项的假设,以及使用 PowerShell 进行脚本部署、缩放和维护,以减少手动工作量。
管理和监视
日常操作结合了 GUI 和自动化:服务器管理器和 PowerShell 处理角色安装、集合创建和应用程序发布,连接代理器管理跨主机的负载均衡和用户分配。 监视会话和资源消耗(CPU、内存、磁盘、GPU),并查看身份验证或断开连接事件,了解趋势。 维护共享 VDI 的自定义映像,以及对会话主机进行分步修补,以保持容量可用。 定时脚本简化了证书续订、映像刷新以及横向扩展/缩减调整。
后续步骤
若要开始使用远程桌面服务,请查看以下文章: