Настройка через GPO
Если терминальных серверов много или необходимо централизованно задать политику ограничения сессий, можно воспользоваться групповыми политиками Active Directory.
Заходим в консоль управления политиками — создаем политику с любым понятным названием — переходим в настройку созданной политики.
Используем следующие ветки для настройки:
-
Конфигурация компьютера\Политики\Административные шаблоны\Компоненты Windows\Службы удаленных рабочих столов\Узел сеансов удаленных рабочих столов\Ограничение сеансов по времени
(Computer Configuration\Policies\Administrative Templates\Windows Components\Remote Desktop Services\Remote Desktop Session Host\Session Time Limits) -
Конфигурация пользователя\Политики\Административные шаблоны\Компоненты Windows\Службы удаленных рабочих столов\Узел сеансов удаленных рабочих столов\Ограничение сеансов по времени
(User Configuration\Policies\Administrative Templates\Windows Components\Remote Desktop Services\Remote Desktop Session Host\Session Time Limits)
* если для пользователей и компьютеров используются отдельные организационные юниты, необходимо создавать отдельные политики для каждого юнита и соответствующей веткой.
Для настройки выставляем следующие значения:
Параметр | Описание | Значения |
---|---|---|
Завершать сеанс при достижении ограничения по времени (End session when time limits are reached) |
Задает глобальную настройку, которая разрешает или запрещает лимиты, в принципе. | Включено — включает режим ограничения сессий (для нашей цели выбираем это значение).Отключено — выключает и запрещает лимиты.Не задано — выключает для политик, но разрешает локальные настройки на сервере. |
Задать ограничение по времени для активных, но бездействующих сеансов служб удаленных рабочих столов (Set time limit for active but idle Terminal Services sessions) |
Если пользователь завершил работу с сервером, но не завершил сеанс, можно установить ограничение сессии этим параметром. Таким образом, пользователи, которые не завершают сеанс будут автоматически выкинуты из сессии. | Включено — активируем лимит для бездействующих сеансов (выставляем ее). И в выпадающем списке указываем время бездействия, например 3 часа.Отключено — отключает лимит на бездействующие сессии.Не задано — настройка задается локально на сервере. |
Задать ограничение по времени для отключенных сеансов (Set time limit for disconnected sessions) |
Если пользователь отключил сеанс, но не вышел из системы, можно автоматически его разлогинить с помощью этой опции. | Включено — активируем лимит для завершенных сеансов (выставляем ее). И в выпадающем списке указываем время, например 3 часа.Отключено — отключает лимит на завершенные сессии.Не задано — настройка задается локально на сервере. |
Ошибка «Удаленный сеанс отключен, поскольку отсутствуют клиентские лицензии удаленного рабочего стола»
Доброго времени суток! Иногда при подключении у к серверу терминалов через клиент «Подключение к удаленному рабочему столу», может возникнуть ошибка: «Удаленный сеанс отключен, поскольку отсутствуют клиентские лицензии удаленного рабочего стола.» В данной статье я хочу описать причины возникновения данной ошибки и предложу возможные решения этой проблемы.
Итак, при подключению к серверу терминалов по протоколу RDP возникает ошибка: «Удаленный сеанс отключен, поскольку для данного компьютера отсутствуют клиентские лицензии удаленного рабочего стола.»
Данное сообщение можно увидеть в следующих случаях:
- Для службы удаленных рабочих столов на сервере терминалов не настроен сервер лицензирования.
- На сервере лицензирования не осталось клиентских лицензий доступа (CAL).
Рассмотрим эти ситуации более подробно, а также обозначим способы их устранения .
1. Настройка сервера лицензирования
Об установке сервера терминалов, а также о настройке сервера лицензирования удаленных рабочих столов и об активации лицензий можно прочитать в статьях:
Если прежде подключение через удаленный рабочий стол к серверу терминалов работало, то возможно данному клиенту была выдана временная лицензия на 180 дней, и срок этой лицензии уже истек. Для того чтобы заново получить временную лицензию необходимо на клиентской машине удалить из реестра сведения о действующей просроченной лицензии.
Запускаем редактор реестра. Сделать это можно выполнив команду regedit.exe («Пуск» — «Найти программы и файлы», либо «Пуск» — «Выполнить» или нажать комбинацию клавиш Win+R и вписать имя команды в окне «Выполнить»).
Настоятельно рекомендуется при любом изменении реестра делать его копию, для восстановления работоспособности Windows либо программ в случае возникновении проблем.
В запустившемся редакторе реестра необходимо удалить следующий каталог:
После удаления, нужно обязательно запустить клиента «Подключение к удаленному рабочему столу» с правами «Администратора», для того чтобы в реестре прописалась новая временная лицензия.
2. Нехватка CAL-лицензий
Если на сервере лицензирования, который лицензирует данный сервер терминалов, закончились лицензии, необходимо дождаться пока кто-либо освободит лицензию, либо приобрести и активировать необходимое число CAL-лицензий.
Просмотреть общее, занятое и доступное количество лицензий можно в оснастке «Лицензирование сервера терминалов». Чтобы открыть данную оснастку в MS Windows Server 2008 нужно последовательно зайти в меню «Пуск» — «Администрирование» — «Службы удаленных рабочих столов» — «Диспетчер лицензирования удаленных рабочих столов»
Далее следует выбрать свой сервер лицензирования, нажать «Действие» и «Создать отчет». Этот отчет покажет:
- дату и время создания отчета;
- область отчета, например Domain, OU=Sales или All trusted domains;
- число Клиентских лицензий служб удаленных рабочих столов «на пользователя», установленных на сервере лицензирования;
- число Клиентских лицензий служб удаленных рабочих столов «на пользователя», выданных сервером лицензирования с учетом заданной области отчета.
Созданные отчеты отображаются на вкладке «Отчеты» в Диспетчере лицензирования удаленных рабочих столов.
В данной статье будет подробно описан набор действий, который необходимо выполнить для получения программной лицензии для клиента «1С:Предприятие» версии 8.3 (в версиях 8.2 и 8.1 набор действий аналогичен) в автоматическом режиме. …
Наряду с аппаратными LPT и USB-ключами типа HASP4 Net, программные продукты «1С:Предприятие» могут быть защищены от копирования при помощи системы программного лицензирования. Данная система обеспечивает совместную работу пользователей без каких-либо дополнительных физических…
Отсутствует клиентская лицензия удалённого рабочего стола
Такая ошибка появляется в уже настроенных системах. Как правило, при подключении выдаётся временная лицензия на 120 или 180 дней. По истечении этого периода, клиент сталкивается с ошибками в работе системы. Для исправления ошибки необходимо приобрести новую временную лицензию. Но для этого нужно стереть старую из реестра программ.
Как удалить старую лицензию:
-
Воспользуемся комбинацией клавишей Win + R. Откроется окошечко со строкой для запроса, вписываем туда regedit. Жмём О. К. .
- Теперь нужно сделать бэкап реестра. Нажимаем в открывшемся окне реестра Файл — Экспорт — Диапазон (весь реестр) — в строке «Имя файла» вписываем «бэкап» и сохраняем.
- Теперь нужно открыть ветку HKEY_LOCAL_MACHINESOFTWAREMicrosoftMSLicensing. Убираем оттуда файл под названием MSLicensing.
- Теперь открываем подключение к серверу. Запускаться необходимо от имени администратора. Открывая подключения, пользователь сможет увидеть новую лицензию.
Стоит отметить: перед тем, как убрать ветку, её необходимо экспортировать. Это необходимо для возможности восстановить настройки.
Чтобы восстановить настройки реестра, необходимо:
- Найти файл *. reg с предыдущей версией.
- Два раза нажать на файл и подтвердить импорт.
Также восстановить исходные данные можно из самого реестра. Для этого необходимо выбрать Файл->Импорт и указать ранее созданный файл.
Иногда после удаления ветки реестра может появиться новая ошибка, которая укажет на то, что удалённый компьютер отключил сеанс из-за ошибки в протоколе лицензии.
Для решения проблемы необходимо запустить RDP-клиент из учётной записи или из командной строки. В обоих случаях заходить необходимо от имени администратора.
Если средство контроля пользовательских учётных записей работает, его необходимо отключить:
- Открываем Пуск — Панель управления — Учётные записи пользователей и семейная безопасность — Учётные записи пользователей.
- Теперь нужно изменить параметры контроля записей. Для этого внизу страницы будет находиться аналогичная ссылка.
- Нажимаем на ОК и перезагружаем компьютер.
Эта инструкция актуальная для компьютеров с Windows 7. Есть такие пользователи, у которых ещё есть Windows Vista, для них особых изменений в инструкции нет. Единственное отличие — это другое название отключаемой опции (Использование учётных записей для защиты компьютера). Также нажимаем на ОК и перезагружаем компьютер.
После выполнения таких действий проблема должна решиться.
Шлюз удаленных рабочих столовRemote Desktop Gateway
Шлюз удаленных рабочих столов предоставляет пользователям в общедоступных сетях доступ к рабочим столам и приложениям Windows, размещенным в облачных службах Microsoft Azure.Remote Desktop Gateway (RD Gateway) grants users on public networks access to Windows desktops and applications hosted in Microsoft Azure’s cloud services.
Компонент шлюза удаленных рабочих столов использует протокол SSL для шифрования канала связи между клиентами и сервером.The RD Gateway component uses Secure Sockets Layer (SSL) to encrypt the communications channel between clients and the server. Виртуальная машина шлюза удаленных рабочих столов должна быть доступна через общедоступный IP-адрес, который разрешает входящие TCP-подключения через порт 443 и входящие UDP-соединения через порт 3391.The RD Gateway virtual machine must be accessible through a public IP address that allows inbound TCP connections to port 443 and inbound UDP connections to port 3391. Это позволяет пользователям подключаться через Интернет с помощью транспортного протокола связи HTTPS и протокола UDP соответственно.This lets users connect through the internet using the HTTPS communications transport protocol and the UDP protocol, respectively.
Для правильной работы системы цифровые сертификаты, установленные на сервере и клиенте, должны совпадать.The digital certificates installed on the server and client have to match for this to work. При разработке или тестировании сети можно использовать самостоятельно созданный самозаверяющий сертификат.When you’re developing or testing a network, you can use a self-generated and self-signed certificate. Тем не менее при выпуске службам требуется сертификат из доверенного корневого центра сертификации.However, a released service requires a certificate from a trusted certification authority. Имя сертификата должно соответствовать полному доменному имени, используемому для доступа к шлюзу удаленных рабочих столов,будь то внешнее DNS-имя общедоступного IP-адреса или запись CNAME DNS, указывающая на общедоступный IP-адрес.The name of the certificate must match the FQDN used to access RD Gateway, whether the FQDN is the public IP address’ externally facing DNS name or the CNAME DNS record pointing to the public IP address.
Для клиентов с меньшим числом пользователей роли веб-доступа к удаленным рабочим столам и шлюза удаленных рабочих столов можно сочетать на одной виртуальной машине, чтобы сократить затраты.For tenants with fewer users, the RD Web Access and RD Gateway roles can be combined on a single virtual machine to reduce cost. Также можно добавить дополнительные виртуальные машины шлюза удаленных рабочих столов в ферму шлюза удаленных рабочих столов для повышения доступности служб и масштабирования до большего числа пользователей.You can also add more RD Gateway virtual machines to an RD Gateway farm to increase service availability and scale out to more users. Виртуальные машины в больших фермах шлюза удаленных рабочих столов должны быть настроены в наборе с балансировкой нагрузки.Virtual machines in larger RD Gateway farms should be configured in a load-balanced set. Соответствие IP-адресам не требуется при использовании шлюза удаленных рабочих столов на виртуальной машине Windows Server 2016, но необходимо при его запуске на виртуальной машине с Windows Server 2012 R2.IP affinity isn’t required when you’re using RD Gateway on a Windows Server 2016 virtual machine, but it is when you’re running it on a Windows Server 2012 R2 virtual machine.
См. сведения в следующих статьях:For more information, see the following articles:
- Реализация высокой доступности в веб-интерфейсе удаленного рабочего стола и веб-интерфейсе шлюза удаленного рабочего столаAdd high availability to the RD Web and Gateway web front
- Службы удаленных рабочих столов — доступ из любого местаRemote Desktop Services — Access from anywhere
- Службы удаленных рабочих столов — многофакторная проверка подлинностиRemote Desktop Services — Multi-factor authentication
Сервер лицензирования удалённых рабочих столов недоступен
Подобный вид ошибки может сопровождаться сообщениями о том, что отсутствуют доступные серверы или серверы лицензирования. В этом случае требуется выполнить ряд несложных действий:
- Подсоединитесь к RDP-серверу по IP-адресу вместо DNS-имени. Если ошибка возникает на этапе проверки логина и пароля, то используйте не доменные, а локальные учетные данные.
- Далее следует установить, распознаёт ли DNS-сервер FQDN название RDP-сервера. Запустите командную строчку и пропишите: «Nslookup rdpserver», где вместо rdpserver пишем имя сервера. Удостоверьтесь, что отобразился IP-адрес сервера.
- Если команда возвратила неверные данные, тогда произведите сброс кэша DNS (ipconfig/flushdns в командной строке) на клиенте и разрешите наименование RDP-сервера, воспользовавшись снова «Nslookup».
- Если «Nslookup» всё так же будет указывать неверные данные, проверьте файл «hosts» командой: «Notepad C:\Windows\System32\drivers\etc\hosts».
- Если в файле не присутствуют статические записи для RDP-сервера, можно попытаться внести их самостоятельно, добавив строчку формата: «IP-адрес сервера rdpserver.xxx.ru», где rdpserver.xxx.ru – имя сервера.
- Если неполадка исправится — причина в DNS-сервере. Проведите проверку записей на нём, либо уведомите о неполадке администратора DNS. Убедитесь, имеется ли доступ к RDP-серверу, используя «ping rdpserver.xxx.ru».
- Убедитесь, что с клиента на сервере имеется доступ к RDP-порту 3389 с применением «PowerShell». Введем команду «Test—NetConnection rdpserver —port 3389».
- Если команда возвращает «TcpTestSucceededFalse», значит RDP-служба на удалённом ПК не запущена либо соединение запрещается межсетевым экраном или брандмауэром.
Также, если сервер лицензирования удаленных рабочих столов недоступен, можно выполнить ряд рекомендаций:
- Произведите обновление RDP-клиента.
- Воспользуйтесь альтернативным RDP-клиентом, например Remote Desktop Manager.
- Отключите защитные программы у клиента и сервера и проверьте подключение.
- Если подключение происходит с клиента Windows XP, а на сервере запущена опция NLA, то у клиента XP необходимо запустить поддержку NLA через реестр.
- Проверьте, что для учётной записи определён пароль.
- Если ошибка «Удалённый рабочий стол не сумел отыскать ПК» появилась при попытке выполнить RDP-подключение со странички «RD Web Access», в опциях RDP-соединения нужно ввести верный адрес сервера RD Gateway (подключение через RDWebAccess осуществляется через 443 порт HTTPS) и попытаться подключиться. Если получилось, значит неверные настройки сервера RDWebAccess.
Чтобы ликвидировать неполадку, запустите консоль IIS на сервере «RDWebAccess». Переходите в Sites – Default Web Site — RDWeb — Pages, запустите «Application Settings» и в «DefaultTSGateway» указывайте внешнее DNS-имя сервера «RD Gateway».
Произошла ошибка проверки подлинности. Не удается связаться с локальным администратором безопасности».
Причина: целевой виртуальной машине не удается найти администратор безопасности, указанного в части имени пользователя ваших учетных данных.
Если имя пользователя указано в формате система_безопасности
\имя_пользователя
(например, CORP\User1), то система_безопасности
в этой записи обозначает имя компьютера виртуальной машины (для локальной системы безопасности) или имя домена Active Directory.
Возможные решения
- Если учетная запись является локальной для виртуальной машины, проверьте правильность написания имени виртуальной машины.
- Если учетная запись относится к домену Active Directory, проверьте правильность написания имени домена.
- Если она является учетной записью домена Active Directory и имя домена указано правильно, убедитесь, что контроллер домена доступен для этого домена. В виртуальных сетях Azure с контроллерами домена этот компонент может быть часто недоступен, так как он не запущен. В качестве решения вместо учетной записи домена используйте учетную запись локального администратора.
The Remote Desktop Session Host server does not have a Remote Desktop License Server Specified
У одного из клиентов появилась проблема с развернутой фермой терминальных серверов Remote Desktop Services на базе Windows Server 2012 R2. По какой-то причине RDS сервер перестал выдавать терминальные лицензии пользователям, хотя роль сервера лицензий была установлена и настроена, а RDP CAL активированы.
При попытке пользователя подключиться к терминальному серверу, у него появляется ошибка:
The remote session was disconnected because there are no Remote Desktop License Servers available to provide a license.
Please contact the server administrator.
На русской версии Windows ошибка выглядит так:
На самом сервере при этом регистрируется ошибка:
PerUser
Утилита RD Licensing Diagnoser также не видит каких-то проблем с настройками сервера RD и лицензиями.
Количество дней до окончания RDS Grace Period можно узнать командой:
wmic /namespace:\rootCIMV2TerminalServices PATH Win32_TerminalServiceSetting WHERE (__CLASS !=»») CALL GetGracePeriodDays
Теперь щелкаем ПКМ по ключи L$RTMTIMEBOMB и удаляем его.
Перезагружаем сервер, подключаемся с клиента по RDP. Успешность выдачи лицензии проверяем в консоли Remote Desktop Licensing Manager.
$obj = gwmi -namespace «Root/CIMV2/TerminalServices» Win32_TerminalServiceSetting$obj.GetSpecifiedLicenseServerList()
$obj = gwmi -namespace «Root/CIMV2/TerminalServices» Win32_TerminalServiceSetting$obj.SetSpecifiedLicenseServerList(«msk-rdslic.winitpro.ru»)
Нет клиентской лицензии удалённого рабочего стола
Для исправления подобной ошибки можно использовать несколько способов.
В первом случае потребуется удалить определённые ключи реестра, которые связаны с лицензиями RDP:
- нажмите «Win+R» и укажите «regedit»;
- в реестре откройте ветку «HKEY_LOCAL_MACHINE» и переключайтесь к блоку «SOFTWARE».
На 32-битной ОС нужно перейти в папку «Microsoft» и дойти до «MSLicensing».
Затем щёлкните правой клавишей мышки по строке с данной папкой и нажмите на «Удалить».
Процедуру удаления нужно подтверждать вручную.
В ситуации с 64-битной ОС особенность в том, что после перехода к блоку «SOFTWARE», нужно добавочно раскрывать «Wow6432Node».
После проделанных процедур перезапустите ПК.
Во избежание вторичного возникновения ошибки, откройте клиент «От имени администратора». Это нужно проделать лишь в первый раз.
Если всё сделано верно, стабильная работа RDP восстановится.
Во втором случае можно скопировать ветки реестра, однако делать это нужно между одинаковыми версиями системы. Процедура устранения проблем с отсутствием лицензий следующая:
- Запустите реестр и отыщите «MSLicensing» (как в предыдущем случае). Щёлкните по блоку правой клавишей мышки и нажмите на опцию «Экспортировать».
- Указывайте директорию сохранения документа, на собственный выбор задайте наименование и щёлкните по «Сохранить».
- Необходимо переместить созданный файл на другой ПК и 2 раза щёлкнуть по документу.
- В окне уведомления согласитесь на импорт, нажимая на «Да».
- При успешном выполнении процедуры появится уведомление, и тогда ПК можно перезагрузить.