- Что именно настраивают в Windows Server 2019 для удалённых рабочих столов
- Базовые требования и подготовка
- Шаг 1. Включите удалённый доступ на уровне сервера (RDP)
- Шаг 2. Установите роли служб удаленных рабочих столов
- Шаг 3. Настройте лицензирование RDS (RD Licensing)
- Шаг 4. Создайте/проверьте коллекции (если используете Session Host)
- Шаг 5. Настройте шлюз удаленных рабочих столов (RD Gateway), если нужен доступ извне
- Шаг 6. Сертификат для RD Gateway (обязательно)
- Шаг 7. Подключение клиента через RD Gateway
- Типичная ошибка: в диспетчере шлюза «0 подключённых пользователей», хотя вы входили
- Чек-лист устранения проблем (когда “не подключается”)
- Надёжные источники (куда смотреть точнее)
- Итог
Что именно настраивают в Windows Server 2019 для удалённых рабочих столов
Когда говорят «настроить службы удаленных рабочих столов», обычно имеют в виду связку из нескольких частей:
| Компонент | Зачем нужен | Что проверять, если не работает |
|---|---|---|
| Терминальные службы (Remote Desktop Services) | Дают пользователям удалённую сессию | Подключение есть/нет, права пользователей, состояние коллекций |
| RD Session Host | На нём живут сессии и приложения | Лицензирование, политики доступа, включён ли режим лицензий |
| RD Connection Broker | Раздаёт пользователям сессии (актуально в коллекциях) | В типовых сценариях для одной коллекции обычно работает без «тонких» настроек |
| RD Web Access | Доступ через веб | Доступ в браузере и корректность URL |
| RD Licensing | Лицензирование RDS | Ошибки лицензирования, режим лицензий, доступ к серверу лицензий |
| RD Gateway (шлюз) | Пускает пользователей извне через брандмауэр | Политики авторизации, сертификат шлюза, порты, CAP/RAP |
Чаще всего проблемы возникают не в «самом RDP», а в лицензировании, сертификате шлюза и в правах (кто к чему может подключиться).
Базовые требования и подготовка
Перед настройкой убедитесь, что у вас есть:
- установленная и активированная Windows Server 2019 (и выполнены обновления);
- понятная схема сети: кто и откуда будет подключаться;
- домен Active Directory или рабочая группа (в инструкции ниже упор на типовую схему с доменными пользователями, но многие шаги применимы и иначе);
- план по лицензиям RDS: будет отдельный сервер лицензий или локальный.
Шаг 1. Включите удалённый доступ на уровне сервера (RDP)
Это базовый слой: чтобы вообще разрешить вход на server, нужно разрешить удалённые подключения.
- Откройте «Панель управления» → «Система».
- Перейдите в «Настройки удаленного доступа» (или аналогичный пункт).
- В разделе «Удаленный рабочий стол» включите:
- Разрешить удаленные подключения к этому компьютеру
- Добавьте пользователей (или группы), кому разрешать вход.
Проверка:
- с рабочей станции попробуйте открыть «Подключение к удалённому рабочему столу» и войти под тем пользователем, которого добавили.
Шаг 2. Установите роли служб удаленных рабочих столов
Дальше включается именно RDS-часть (терминальный доступ и шлюз).
- Откройте «Диспетчер серверов» (Server Manager).
- «Управление» → «Добавить роли и компоненты».
- Выберите тип установки и сервер.
- В «Роли сервера» отметьте:
- Службы удаленных рабочих столов
- В «Службы ролей» отметьте минимум:
- Лицензирование удаленных рабочих столов
- Узел сеансов удаленных рабочих столов
- Шлюз удаленных рабочих столов (если нужен доступ извне)
- (по ситуации) RD Web Access и RD Connection Broker
- Дальше «Далее» → «Установить».
- Если сервер перезагрузится - перезагрузите.
Шаг 3. Настройте лицензирование RDS (RD Licensing)
Без нормального лицензирования сессии часто либо не стартуют, либо работают нестабильно.
- Откройте:
«Средства» → Remote Desktop Services → Диспетчер лицензирования удаленных рабочих столов - Активируйте сервер лицензий:
- ПКМ по серверу → Активировать сервер
- Пройдите мастер активации:
- подключение (часто через Web Browser)
- получите Product ID
- на странице активации получите код сервера лицензирования
- затем установите лицензии в мастере лицензирования
- После установки проверьте диагностику:
- откройте Remote Desktop Licensing Diagnoser
- если видите ошибку про режим лицензирования, настройте его политиками.
Если диагностика ругается на режим:
1. Откройте gpedit.msc
2. Перейдите к настройке лицензирования узла сеансов:
- Computer Configuration → Administrative Templates → Windows Components → Remote Desktop Services → Remote Desktop Session Host → Licensing
3. Включите:
- Set the Remote Desktop licensing mode
- укажите режим (чаще всего Per User или Per Device - как соответствует вашим лицензиям)
4. Включите настройку сервера лицензий:
- Use the specified Remote Desktop license servers
- укажите адрес сервера лицензий (часто localhost, если лицензирование на этом же server)
5. Перезагрузите сервер.
6. Повторно запустите Diagnoser.
Шаг 4. Создайте/проверьте коллекции (если используете Session Host)
В типовой настройке после установки роли Session Host создаётся коллекция:
- откройте «Службы удаленных рабочих столов»
- проверьте коллекцию (Quick Session Collection или вашу)
- убедитесь, что нужные пользователи/группы имеют доступ
Проверка:
- если пользователей видно на сервере, а в шлюзе их «0», это не значит, что пользователей нет (см. раздел с типичной ошибкой ниже).
Шаг 5. Настройте шлюз удаленных рабочих столов (RD Gateway), если нужен доступ извне
Шлюз нужен, когда пользователи подключаются с внешней сети и вы хотите, чтобы доступ проходил через единое входное окно.
Сетевые порты и расположение в архитектуре
Типовая логика такая:
- на внешнем брандмауэре открывают 443 для шлюза (HTTPS);
- на внутреннем брандмауэре должен быть доступ к 3389 на сервере RDS Session Host (или к нужным адресам/портам).
RD Gateway размещают между внешней сетью и внутренней инфраструктурой, а дальше он уже проксирует RDP в нужное место.
Политики авторизации (CAP / RAP)
Создайте политики:
- Откройте «Диспетчер шлюза удаленных рабочих столов».
- В «Политики» → «Создание новых политик авторизации».
- Создайте:
- Policy авторизации подключений (CAP)
- имя политики
- кто может подключаться (группа пользователей или компьютеров)
- что перенаправлять (устройств/портов) - по вашей безопасности
- время ожидания по умолчанию или как требуется
- Policy авторизации ресурсов (RAP)
- имя политики
- к каким ресурсам разрешён доступ (какие серверы/коллекции)
- разрешённые порты (обычно RDP - 3389, если он нестандартно не менялся)
Идея простая: CAP решает «кто», RAP решает «куда».
Шаг 6. Сертификат для RD Gateway (обязательно)
Шлюз без корректного сертификата будет работать плохо или вообще не пропустит соединения.
В большинстве сценариев используют:
- сертификат от центра сертификации (CA), или
- автоматизацию получения через Let’s Encrypt (если вы умеете пробрасывать порты и контролируете домен).
Что проверить:
- сертификат привязан к доменному имени шлюза;
- в диспетчере шлюза сертификат отображается как установленный;
- цепочка доверия корректная на клиентских устройствах (иногда приходится импортировать CA, если самоподписной).
Шаг 7. Подключение клиента через RD Gateway
На клиенте откройте:
- «Подключение к удалённому рабочему столу»
Заполните:
- адрес server (или IP/имя RDS-сервера, к которому подключаетесь)
- имя пользователя и пароль
Дальше самое важное:
1. вкладка «Дополнительно»
2. «Параметры» → укажите имя сервера шлюза (RD Gateway)
3. убедитесь, что указан именно шлюз, а не просто RDP-хост
После этого подключение пройдёт через шлюз, а не напрямую.
Типичная ошибка: в диспетчере шлюза «0 подключённых пользователей», хотя вы входили
Такое встречается часто. Причина простая: вы смотрите не туда.
Правильная логика:
- в диспетчере шлюза могут отображаться данные не так, как ожидается;
- а список активных пользователей надёжнее смотреть на стороне RDS, в сессиях/коллекциях терминального сервера.
Как проверить быстро:
- откройте «Диспетчер серверов» → «Службы удаленных рабочих столов» → «Коллекции»
- посмотрите, есть ли пользователи в активных сессиях/кто залогинен
Часто оказывается, что пользователи есть, просто вы смотрели «витрину» с другим смыслом.
Чек-лист устранения проблем (когда “не подключается”)
| Симптом | Что проверить в первую очередь |
|---|---|
| Подключение не устанавливается | разрешены ли пользователи на сервере (RDP), нет ли блокировок по сети |
| Через шлюз не работает | 443/3389 в брандмауэрах, сертификат шлюза, корректность CAP/RAP |
| Лицензирование ломает сессию | активирован ли RD Licensing, установлен ли режим лицензий (Per User/Per Device), указан ли правильный license server |
| В шлюзе “0 пользователей” | проверьте сессии на RD Session Host/в коллекциях, а не только в диспетчере шлюза |
Надёжные источники (куда смотреть точнее)
- Документация Microsoft по Remote Desktop Services (RDS) и RD Gateway:
https://learn.microsoft.com/windows-server/remote/remote-desktop-services/ - Справка Microsoft по RD Licensing и настройке режимов:
https://learn.microsoft.com/windows-server/remote/remote-desktop-services/
Итог
Чтобы успешно настроить службы удаленных рабочих столов на Windows Server 2019, нужно пройти цепочку:
RDP-доступ → установка ролей RDS → лицензирование → коллекции/Session Host → (если нужен внешний доступ) RD Gateway с сертификатом и политиками CAP/RAP.
А если что-то «не видно», почти всегда причина в том, что смотрят не в тот компонент (шлюз vs сессии на терминальном сервере) или упёрлись в лицензирование/сертификат.