Налаштування обмежень (тайм -аутів) для активних/відключених сеансів RDP/RDS у Windows

Коли користувач з комп'ютера закриває вікно свого сеансу RDP/RDS у клієнта терміналу.EXE, RDCMAN або RDP HTML Веб -клієнт) з простим клацанням на хрест у вікні, без виходу (Logoff), його сеанс переходить від активного режиму до режиму Роз'єднаний (Відключений сеанс). У цьому режимі всі програми, запущені користувачем, відкриті документи та Windows продовжують працювати на віддаленому сервері та споживати ресурси.

Зміст:

• Автоматичне завершення неактивних сеансів RDP у Windows
• Повідомлення про перевищення тривалості сеансів RDP

Захищаючи RDP, сеанс користувача в Windows може перебувати у відключеному стані перед перезавантаженням комп'ютера або його явним завершенням користувачем або адміністратором. Це досить зручно, t.до. Користувач може в будь -який час підключитися до свого старого сеансу та продовжувати працювати з занедбаними програмами та відкритими документами.

Наступний скріншот показує, що відключені сеанси користувачів на сервері RDS з Windows Server 2019 споживають близько 35% пам'яті сервера.

Крім того, неповні сеанси можуть блокувати відкриті файли на файлових серверах, викликати проблеми з правильним збереженням даних у програмах, профілях або дисках профілю користувача. Окрім наявності старих сеансів RDP, це часто викликає проблему блокування облікового запису користувача в домені після зміни пароля (коли сеанс RDS продовжує працювати під старим паролем користувача).

За допомогою команди QUSER Ви можете дізнатися, коли розпочато сеанс користувача, тривалість простою та стан сеансу.

Ви також можете відображати інформацію про тривалість сеансів користувачів у фермі RDS за допомогою сценарію PowerShell (вкажіть FQDN вашого сервера брокера RDS -з'єднання)

$ ConnectionBrocker = "MSK-RDSMAN.Winitpro.Ru "
Get -rdusersession -connectionbroker $ connectionbrocker | Select -object -property CollectionName, HostServer, DomainName, Ім'я користувача, ServerPaddress, CreateTime, DisconnectTime, SessionState, Idletime, SessionId, '
@Name = 'sessionage ([дні.] години: хвилина) '; exmanse = ((get -date) - $ _.CreateTime)

Ви можете налаштувати максимальну тривалість активного, відключеного та простою (без активності користувачів) для служб віддаленого робочого столу.

Автоматичне завершення неактивних сеансів RDP у Windows

Щоб автоматично завершити сеанси RDP/RDS через певний проміжок часу, потрібно правильно налаштувати межі (тайм -аути).

Якщо у вас на сервері Windows на сервері Windows є повноцінна ферма віддалених настільних послуг, ви можете налаштувати параметри сеансів користувачів у налаштуваннях колекцій RDS на вкладці Сеанс.

Вкажіть час, через який потрібно завершити сеанс інвалідів у параметрі Закінчити відключений сеанс (За замовчуванням тривалість сеансу RDP не обмежена - ніколи). Ви також можете встановити максимальну тривалість активного сеансу RDP (Обмеження активного сеансу) та відключення неактивного сеансу (Обмеження бездіяльного сеансу). Ці важкі тайм -аути використовуються для всіх сесій у колекції RDS.

У Windows Server 2012 R2/2016/2012/22 ви можете налаштувати RDP Sessions Times з груповою політикою. Може використовуватися як редактор доменного GPO GPMC.MSC та редактор місцевих групових політики (GPEDIT.MSC) на конкретному сервері RDS (або на настільній версії Windows, якщо ви дозволили до нього кілька з'єднань RDP).

Сеанси RDP знаходяться в розділі GPO Конфігурація комп'ютера -> Політика -> Шаблони адміністрування -> Компоненти Windows -> Послуги віддаленого робочого столу -> Хост віддаленого робочого столу -> Часові обмеження сеансу (Конфігурація комп'ютера -> Політика -> Адміністративні шаблони -> Компоненти Windows -> Служби віддаленого робочого столу -> Вузок сеансів віддаленого робочого столу -> Обмеження часових сеансів). Доступні такі політики Taimout:

• Встановити Час Обмежувати для Роз'єднаний Сеанс (Встановити обмеження часу для інвалідів);
• Встановити Час Обмежувати для Активний але Безтурботний Віддалений Настільний Послуги Сеанси (Встановіть обмеження часу для активних, але неактивних сеансів служб віддаленого робочого столу) - Політика дозволяє виконати бездіяльні сеанси RDP, в яких немає входу користувача (рух миші, запис символів з клавіатури) ;
• Встановити Час Обмежувати для Активний Віддалений Настільний Послуги Сеанси (Встановіть обмеження часу для активних сеансів служб віддалених настільних комп'ютерів) - це максимальний термін для будь -якого (навіть активного) сеансу користувачів RDP, після чого він переданий у відключений стан;
• Кінець Сеанс коли Час Обмеження є Утриманий (Завершіть сеанс, досягнувши обмеження часу) - через який час необхідно завершити сеанс RDS (Logoff), а не передавати його на відключення;
• Встановіть обмеження часу для входу в сеанси RemoteApp (Встановіть ліміт для виходу з сеансів RemoteApp).

За замовчуванням ці параметри не налаштовані. Щоб автоматично завершити сеанси RDP за 8 годин, увімкніть політику "Встановіть обмеження часу для відключеного сеансу"= Увімкнено, і виберіть у списку Drop -Down 8:00.

Збережіть зміни та оновіть налаштування групової політики в Windows (GPUPDATE /FORCE). Нові налаштування тайм -аутів будуть застосовані лише до нових сесій RDP, поточні сесії повинні бути завершені вручну.

Налаштування GPO мають більший пріоритет, ніж налаштування тайм -аутів у колекції RDS.

Подібні параметри управління Timaus знаходяться в розділі GPO з налаштуваннями користувача: Конфігурація користувача -> Шаблони адміністрування -> Компоненти Windows. Використовуючи політику з розділу користувача, ви можете більш гнучко налаштувати групи користувачів з різними межами протягом тривалості сеансів RDP.

Параметри Paramaut для сеансів RDP, які встановлюються політиками, також можуть бути налаштовані безпосередньо через реєстр. Наведені вище політики відповідали наступним параметрам DWORD у HKLMachine \ Software \ Polices \ Microsoft \ Windows NT \ Реєстр служб терміналів

• MaxDisconnection
• Maxidletime
• MaxConnectionTime
• MaxDisconnection
• Remoteaplogofftimelimit

Наприклад, для встановлення максимальної тривалості сеансу RDP відключений за 15 хвилин (90 000 мс), потрібно змінити параметр реєстру за допомогою такої команди PowerShell:

Set -Itemproperty hklm: \ програмне забезпечення \ polichies \ microsoft \ windows nt \ terminal services "-name maxdisconnection -vord '-value 900000

Ви також можете встановити обмеження на сеансі RDP на депозиті сеансів у властивостях локальної (Lusrmgr Console.MSC) або доменний користувач (консоль DSA.MSC - Aduc). Тут доступні такі параметри:

• Закінчити відключений сеанс
• Обмеження активного сеансу
• Обмеження бездіяльного сеансу
• Коли буде досягнуто обмеження сеансу або з’єднано з'єднання: Від'єднайте від сеансу або кінцевого сеансу
• Дозволити повторне з'єднання: від будь -якого клієнта або лише від похідного клієнта

Не робіть тайм -аутів на час сеансу RDP занадто малим, інакше сеанси користувачів закінчаться найменшою бездіяльністю.

Якщо у вас є сервер шлюзу RD для доступу до серверів RDS, ви можете налаштувати окремі тайм -аути для користувачів, підключених через RDGW (відкрити політику авторизації з'єднання та перейти на вкладку.

У Windows Server 2008 R2 також можна було встановити сеанси RDP на хості за допомогою спеціальних обмежень консолі Tsconfig.MSC (Конфігурація хоста сеансу RD). Це було достатньо, щоб запустити консоль, натисніть на RDP -TCP -> Властивості правою кнопкою. Налаштування тривалості сеансів знаходяться на вкладці Сеанси. Але в наступних версіях Windows Server ця консоль відсутня (хоча ви можете вручну копіювати файли Tsadmin.MSC та TSConfig.MSC та використовуйте ці консолі та новіші версії Windows Server).

Повідомлення про перевищення тривалості сеансів RDP

Після того, як ви налаштовуєте політиків з таймами RDS, користувачі побачать таке повідомлення до кінця сеансу:

Сеанс, що закінчився таймера, що працює на холостому періоді, не працює протягом свого часу. Він буде відключений через 2 хвилини. Натисніть будь -яку клавішу, щоб продовжити сеанс.

У той же час ідентифікатор події 26 з’являється в журналах хоста.

Детальніше про журнали з'єднання RDP читайте. [/eler]

Ви можете відключити це попередження, встановивши WMI Win32_Tssesittings значення EnabletimeoutWarning = 0.

Set -wmiinstance -path "\\ localhost \ root \ cimv2 \ terminalservices: win32_tssisionsetting.Terminalname = 'rdp -tcp' "-argument @enabletimeoutwarning = 0

Тепер, коли Windows автоматично завершить сеанси очікування в режимі очікування, користувач отримає це повідомлення від клієнта RDP:

Ваш сеанс віддалених настільних послуг закінчилося, оскільки віддалений комп'ютер VID не отримує від вас жодного введення.

У деяких випадках ви можете зіткнутися з такою помилкою у клієнта RDP:

Ваш сеанс віддалених настільних послуг закінчився. Ще один користувач, підключений до віддаленого комп'ютера, тому ваше з'єднання було втрачено. Спробуйте підключити ще раз або зв’яжіться з адміністратором мережі.

Це означає, що хтось інший ввів комп'ютер через RDP (коли кількість одночасних сеансів RDP на комп’ютері обмежена параметр Обмежувати Число на З'єднання, Наприклад, у настільних версіях Windows доступний лише один сеанс). Або ви знову вступили в хост віддаленого RDP/RDS з нового комп'ютера.

Ви можете дозволити декілька з'єднань під одним користувачем хоста RDP за допомогою параметра GPO Обмежте користувачів віддалених настільних послуг на одному сеансі віддалених настільних послуг = Відключено (у розділі Конфігурація комп'ютера -> Шаблони адміністрування -> Компоненти Windows -> Послуги віддаленого робочого столу -> Хост віддаленого робочого столу -> з'єднання).