RDS-сервер: архитектура и развертывание фермы удаленных рабочих столов

Иван Корнев·03.05.2026·6 мин

RDS (Remote Desktop Services) — это технология Microsoft, позволяющая запускать приложения и полные рабочие столы на центральном сервере, предоставляя пользователям доступ к ним через сеть. Вместо покупки мощных ПК для каждого сотрудника, вычисления происходят на сервере, а на устройства пользователей передается только изображение экрана. Это снижает затраты на «железо», упрощает администрирование и повышает безопасность данных, так как они не покидают периметр сервера.

В этом руководстве мы разберем, из каких компонентов состоит ферма RDS, как происходит процесс подключения, и приведем пошаговый алгоритм развертывания инфраструктуры на базе Windows Server 2019/2022.

Ключевое отличие: Обычный удаленный рабочий стол (административный) позволяет подключиться максимум 2 пользователям одновременно. Полноценная ферма RDS требует отдельных лицензий CAL и поддерживает сотни одновременных сессий.

Как работает RDS: основные компоненты

Архитектура RDS модульная. Для построения отказоустойчивой системы используются следующие роли:

  1. RD Session Host (RDSH) — «рабочая лошадка». На этом сервере выполняются приложения и размещаются рабочие столы. Один сервер RDSH может обслуживать десятки пользователей одновременно.
  2. RD Connection Broker (RDCB) — «диспетчер». Он распределяет нагрузку между серверами RDSH, запоминает, на каком сервере находится сессия пользователя, и восстанавливает разорванные соединения. В небольших инсталляциях может стоять на одном сервере с другими ролями, но в продакшене выделяется отдельно.
  3. RD Licensing — сервер лицензий. Хранит и выдает клиентские лицензии доступа (RDS CAL). Без настроенного лицензирования пользователи смогут подключаться только в течение льготного периода (обычно 120 дней).
  4. RD Gateway — «шлюз безопасности». Позволяет подключаться к ферме из интернета через защищенный HTTPS-туннель (порт 443), избавляя от необходимости поднимать полноценный VPN для сотрудников.
  5. RD Web Access — веб-интерфейс, через который пользователи могут запускать приложения или подключаться к рабочему столу прямо из браузера.

Схема взаимодействия

  1. Пользователь запускает клиент RDP (или заходит на веб-портал).
  2. Запрос проходит через RD Gateway (если подключение извне).
  3. RD Connection Broker проверяет права доступа и загруженность серверов.
  4. Брокер перенаправляет пользователя на свободный RD Session Host.
  5. Сервер лицензий (RD Licensing) выдает временную или постоянную лицензию CAL устройству/пользователю.
  6. Устанавливается графическая сессия.

Подготовка к развертыванию

Перед установкой убедитесь, что выполнены базовые требования:

  • ОС: Windows Server 2019 или 2022 (Standard или Datacenter).
  • Домен: Все серверы фермы должны быть членами одного домена Active Directory.
  • Статические IP: Назначьте статические адреса всем серверам фермы.
  • Лицензии: Приобретены RDS CAL (User или Device). Примечание: лицензии Windows Server CAL не покрывают доступ к RDS.

Важно по лицензированию: Существует два типа лицензий CAL:

  • Per User: Одна лицензия на одного человека (можно подключаться с разных устройств). Удобно для мобильных сотрудников.
  • Per Device: Одна лицензия на одно устройство (могут подключаться разные люди). Выгодно для посменной работы (например, колл-центры). Выбрать режим нужно при настройке сервера лицензий, изменить его позже будет сложно.

Пошаговая инструкция по развертыванию

Рассмотрим классическую схему для среднего бизнеса:

  • Server 1: RD Connection Broker + RD Licensing + RD Web Access
  • Server 2 & 3: RD Session Host (для балансировки нагрузки)
  • Server 4 (опционально): RD Gateway (можно совместить с Server 1 в малых сетях, но лучше выносить)

Шаг 1. Установка ролей через Server Manager

  1. Откройте Server Manager на сервере, который будет брокером (Server 1).
  2. Выберите Manage -> Add Roles and Features.
  3. В мастере выберите тип установки Role-based or feature-based installation.
  4. Выберите серверы из пула (добавьте все будущие узлы фермы в управление, если еще не добавлены).
  5. На этапе выбора ролей отметьте галочкой Remote Desktop Services.
  6. Мастер предложит добавить необходимые службы. Нажмите Add Features.
  7. Далее мастер предложит выбрать службы для установки. Выберите стандартный набор:
    • RD Connection Broker
    • RD Web Access
    • RD Session Host (если этот сервер тоже будет хостом)
    • RD Licensing
  8. Завершите установку и перезагрузите сервер при необходимости.
  9. Повторите процедуру для остальных серверов, устанавливая на них только роль RD Session Host.

Шаг 2. Создание коллекции удаленных рабочих столов

После установки ролей в Server Manager появится раздел Remote Desktop Services.

  1. Перейдите в Overview -> Tasks -> Deploy Standard Deployment.
  2. Следуйте указаниям мастера, указывая, какой сервер выполняет какую роль (Брокер, Шлюз, Лицензирование).
  3. После развертывания перейдите в Collections -> Tasks -> Create Session Collection.
  4. Дайте имя коллекции (например, MainOffice).
  5. Выберите серверы, которые будут входить в эту коллекцию (ваши RDSH-серверы).
  6. Укажите пользователей или группы AD, которым разрешен доступ.

Шаг 3. Настройка лицензирования

Без этого шага через 120 дни доступ прекратится.

  1. В Server Manager перейдите в Remote Desktop Services -> Overview.
  2. Нажмите на задачу Edit Deployment Properties.
  3. Перейдите во вкладку RD Licensing.
  4. Укажите сервер лицензий (обычно это тот же сервер, где стоит брокер).
  5. Выберите режим лицензирования: Per User или Per Device.
  6. Нажмите OK.

Теперь нужно активировать сам сервер лицензий и установить купленные ключи:

  1. Откройте оснастку Remote Desktop Licensing Manager (на сервере лицензий).
  2. Нажмите правой кнопкой на сервер -> Activate Server. Следуйте мастеру (выберите метод подключения к интернету).
  3. После активации нажмите правой кнопкой -> Install Licenses.
  4. Введите полученные от Microsoft ключи RDS CAL.

Шаг 4. Настройка RD Gateway (для доступа из интернета)

Если доступ нужен только из локальной сети, этот шаг можно пропустить.

  1. В свойствах развертывания (Deployment Properties) перейдите во вкладку RD Gateway.
  2. Выберите Use the specified RD Gateway server settings и укажите FQDN вашего шлюза.
  3. Создайте политики авторизации (RD CAP) и ресурсов (RD RAP) в консоли Remote Desktop Gateway Manager:
    • RD CAP: Кто может подключаться (группы AD).
    • RD RAP: К каким ресурсам можно подключаться (группа компьютеров или "все").
  4. Настройте SSL-сертификат на шлюзе. Для публичного доступа необходим доверенный сертификат (не самоподписанный), иначе клиенты будут получать ошибки предупреждения.

Совет по безопасности: Настоятельно рекомендуется включить двухфакторную аутентификацию (MFA) для доступа через RD Gateway. Это можно реализовать через интеграцию с NPS (Network Policy Server) и сторонними Radius-провайдерами или использовать Azure MFA Extension.

Частые ошибки при настройке

ОшибкаПричинаРешение
"Лицензирование удаленных рабочих столов истекло"Не настроен сервер лицензий или не установлены CAL.Проверьте настройки в Deployment Properties -> RD Licensing. Убедитесь, что статус сервера лицензий "Активирован".
"Удаленный компьютер отключил сеанс"Проблемы с сетью, брандмауэром или несовпадение версий шифрования.Проверьте доступность портов 3389 (внутри сети) и 443 (для Gateway). Обновите клиенты до актуальной версии.
Медленная работа интерфейсаНехватка ресурсов на RDSH или плохой канал связи.Проверьте загрузку CPU/RAM на хостах. Включите сжатие RDP в групповых политиках. Ограничьте глубину цвета до 16 бит.
Невозможно подключить принтер/дискЗапрет в групповых политиках.Проверьте GPO: Computer Configuration -> Policies -> Admin Templates -> Windows Components -> Remote Desktop Services.

FAQ

В чем разница между RDS и VDI? RDS (Session Host) предоставляет пользователям общие ресурсы одного сервера (как в терминале). VDI (Virtual Desktop Infrastructure) выделяет каждому пользователю отдельную виртуальную машину. RDS дешевле и проще в поддержке, VDS дает полную изоляцию и персонализацию ОС.

Можно ли использовать RDS без домена Active Directory? Официально — нет. Ферма RDS требует домена AD для управления учетными записями, политиками и безопасностью. Для рабочих групп существует только ограничение в 2 одновременных подключения.

Какой сервер выбрать для RDSH? Критически важна оперативная память (из расчета 2–4 ГБ на пользователя + резерв ОС) и быстрые диски (обязательно SSD/NVMe для профиля и файла подкачки). Процессор должен иметь много ядер, так как RDS хорошо масштабируется по ядрам.

Что делать, если пользователи жалуются на "лагание" видео? По умолчанию RDS не оптимизирован для видео. Включите политику Optimize for video quality в групповых политиках RDS. Для серьезных задач используйте технологию RemoteFX (с осторожностью из-за уязвимостей) или переходите на решения вроде AVD (Azure Virtual Desktop), которые лучше работают с мультимедиа.