Настройка фермы RDP в Windows Server 2022: установка и балансировка

Ферма RDP (Remote Desktop Services) — это кластер терминальных серверов, работающих как единое целое. Пользователь подключается к одному адресу, а система автоматически направляет его на наименее загруженный сервер. В Windows Server 2022 архитектура RDS включает несколько ключевых ролей.

Основные компоненты фермы:

• RD Connection Broker — распределяет подключения между серверами, отслеживает сессии и обеспечивает переподключение к существующим сессиям
• RD Session Host — серверы, на которых непосредственно работают пользователи
• RD Web Access — веб-портал для запуска приложений и рабочих столов через браузер
• RD Gateway — обеспечивает безопасный доступ извне через HTTPS (порт 443)
• RD Licensing — управляет клиентскими лицензиями (CAL)

Для продуктивной среды рекомендуется минимум 3 сервера: один для Connection Broker + Web Access, два для Session Host. При высокой нагрузке Connection Broker разворачивается в режиме High Availability с базой данных SQL Server.

Развёртывание фермы выполняется централизованно через Server Manager с любого сервера, входящего в домен. Откройте Server Manager, выберите Manage → Add Roles and Features, затем выберите тип установки Remote Desktop Services installation.

Выберите режим Standard deployment — он позволяет распределить роли по разным серверам. Quick Start размещает все роли на одном сервере и не подходит для фермы.

На каждом шаге мастера укажите серверы для соответствующих ролей:

# Пример распределения ролей:
RD-BROKER.domain.local  → Connection Broker, Web Access
RD-HOST01.domain.local  → Session Host
RD-HOST02.domain.local  → Session Host

После завершения мастера серверы будут автоматически перезагружены. Установка занимает 10-15 минут. Проверить статус можно в Server Manager → Remote Desktop Services → Overview.

Коллекция сессий — это логическая группа серверов Session Host, обслуживающих пользователей с одинаковыми настройками. В ферме может быть несколько коллекций, например: «Бухгалтерия» с 1С и «Менеджеры» с офисными приложениями.

# Создание коллекции
New-RDSessionCollection `
  -CollectionName "Accounting" `
  -SessionHost @("RD-HOST01.domain.local", "RD-HOST02.domain.local") `
  -ConnectionBroker "RD-BROKER.domain.local" `
  -CollectionDescription "Коллекция для бухгалтерии"

# Ограничение доступа группой AD
Set-RDSessionCollectionConfiguration `
  -CollectionName "Accounting" `
  -UserGroup "DOMAIN\RDP-Accounting" `
  -ConnectionBroker "RD-BROKER.domain.local"

Для каждой коллекции настраиваются параметры сессий: таймауты, перенаправление устройств, ограничения по ресурсам.

Connection Broker поддерживает два режима балансировки: Round Robin и по весам (Relative Weight). Round Robin распределяет подключения поровну, что не учитывает разницу в мощности серверов.

Режим весов позволяет направлять больше пользователей на более мощные серверы:

# Назначение весов серверам
Set-RDSessionHost `
  -SessionHost "RD-HOST01.domain.local" `
  -NewConnectionAllowed Yes `
  -ConnectionBroker "RD-BROKER.domain.local"

# Через реестр задаём вес (значение 100-999, по умолчанию 100)
# На RD-HOST01 (мощный сервер, 64 ГБ RAM):
Set-ItemProperty -Path "HKLM:\SYSTEM\CurrentControlSet\Control\Terminal Server" `
  -Name "LBWeight" -Value 200

# На RD-HOST02 (стандартный сервер, 32 ГБ RAM):
Set-ItemProperty -Path "HKLM:\SYSTEM\CurrentControlSet\Control\Terminal Server" `
  -Name "LBWeight" -Value 100

После изменения весов перезапустите службу Remote Desktop Services на каждом хосте. Broker будет направлять на RD-HOST01 вдвое больше новых подключений.

Сертификаты необходимы для шифрования подключений и предотвращения предупреждений безопасности у клиентов. В ферме RDS настраиваются четыре типа сертификатов:

• RD Connection Broker — Enable Single Sign On
• RD Connection Broker — Publishing
• RD Web Access
• RD Gateway (при наличии)

Рекомендуется использовать SAN-сертификат (Subject Alternative Name) с именами всех серверов и DNS-именем фермы:

# Создание запроса на сертификат
$params = @{
  Subject = "CN=rdp.domain.com"
  DnsName = "rdp.domain.com", "RD-BROKER.domain.local", "RD-HOST01.domain.local", "RD-HOST02.domain.local"
  CertStoreLocation = "Cert:\LocalMachine\My"
  KeyLength = 2048
  KeyExportPolicy = "Exportable"
  NotAfter = (Get-Date).AddYears(3)
}
$cert = New-SelfSignedCertificate @params

# Экспорт в PFX для установки на других серверах
$password = ConvertTo-SecureString -String "P@ssw0rd!" -Force -AsPlainText
Export-PfxCertificate -Cert $cert -FilePath "C:\Certs\rdp-farm.pfx" -Password $password

В продуктивной среде используйте сертификат от внутреннего CA (Active Directory Certificate Services) или публичного центра сертификации.

Без лицензий Remote Desktop Services работает только 120 дней в grace-period. Для фермы необходимы лицензии RDS CAL (Client Access License) — Per User или Per Device.

Per User — лицензия привязана к учётной записи AD. Пользователь может подключаться с любого количества устройств. Подходит для сотрудников с несколькими устройствами (ПК + ноутбук + планшет).

Per Device — лицензия привязана к устройству. Подходит для сменной работы, когда один компьютер используют несколько сотрудников.

# Установка роли лицензирования
Add-RDServer `
  -Server "RD-BROKER.domain.local" `
  -Role "RDS-LICENSING" `
  -ConnectionBroker "RD-BROKER.domain.local"

# Указание сервера лицензий для развёртывания
Set-RDLicenseConfiguration `
  -LicenseServer "RD-BROKER.domain.local" `
  -Mode PerUser `
  -ConnectionBroker "RD-BROKER.domain.local" `
  -Force

Активируйте сервер лицензий через Remote Desktop Licensing Manager (licmgr.exe) и установите пакеты CAL, полученные через Volume Licensing.

При большом количестве пользователей необходима тонкая настройка серверов Session Host. Ключевые параметры оптимизации:

# Групповая политика: Computer Configuration → Admin Templates → 
# Windows Components → Remote Desktop Services → 
# Remote Desktop Session Host → Remote Session Environment

# Ограничение глубины цвета для снижения нагрузки на сеть
Set-ItemProperty -Path "HKLM:\SOFTWARE\Policies\Microsoft\Windows NT\Terminal Services" `
  -Name "ColorDepth" -Value 3  # 16 бит

# Отключение визуальных эффектов
Set-ItemProperty -Path "HKLM:\SOFTWARE\Policies\Microsoft\Windows NT\Terminal Services" `
  -Name "fDisableWallpaper" -Value 1
Set-ItemProperty -Path "HKLM:\SOFTWARE\Policies\Microsoft\Windows NT\Terminal Services" `
  -Name "fDisableCam" -Value 1

# Ограничение перенаправления принтеров (частая причина зависаний)
Set-ItemProperty -Path "HKLM:\SOFTWARE\Policies\Microsoft\Windows NT\Terminal Services" `
  -Name "fDisableCpm" -Value 1

Отключайте индексацию Windows Search, службу Superfetch и анимации на серверах Session Host. Используйте UPD (User Profile Disks) вместо роуминг-профилей для ускорения входа.

При эксплуатации фермы RDS регулярно возникают типовые проблемы. Рассмотрим их диагностику и решение.

Пользователь не переподключается к существующей сессии:

# Проверка, видит ли Broker сессию
Get-RDUserSession -ConnectionBroker "RD-BROKER.domain.local" |
  Where-Object { $_.UserName -eq "ivanov" }

# Если сессия «зависла» — принудительное завершение
Invoke-RDUserLogoff -HostServer "RD-HOST01.domain.local" `
  -UnifiedSessionID 3 -Force

Ошибка «No Remote Desktop License Servers available»:

• Проверьте, активирован ли сервер лицензий: Get-WmiObject Win32_TSLicenseServer
• Убедитесь, что порт 135 (RPC) открыт между хостами и сервером лицензий
• Проверьте принадлежность компьютеров к группе Terminal Server License Servers в AD

Медленный вход: основные причины — тяжёлые GPO, перенаправление принтеров, антивирус сканирующий профиль. Используйте логирование: eventvwr.msc → Applications and Services Logs → Microsoft → Windows → TerminalServices-LocalSessionManager.