提交工单 
+373 79 600002 
Telegram 在线聊天 
常见问题 
中文 (中国)
English 
Русский 
Română 
Deutsch 
Français 
Türkçe 
Español 
Português 
Українська 
български 
Polski 
Indonesia 
窗口Windows Terminal Server:完整设置指南、优势和最佳实践
一个Windows 终端服务器是系统管理员工具库中最强大的工具之一,它能够让多个用户同时连接到一个集中的基于Windows的环境。无论您是在管理一个不断增长的企业、远程员工队伍,还是软件即服务平台,了解如何部署和管理Windows终端服务器可以显著降低成本、提高安全性并简化应用程序交付。
本综合指南涵盖了您需要了解的一切——从核心概念和实际优势到详细的分步配置演练。
目录
- 什么是Windows终端服务器?
- Windows终端服务器的主要优势
- 开始前的先决条件
- 分步设置指南
- 将用户连接到终端服务器
- 管理和监控您的终端服务器
- 安全最佳实践
- 选择正确的托管基础设施
1. 什么是Windows终端服务器? {#what-is}
一个Windows终端服务器是建立在Microsoft的远程桌面服务(RDS)框架上的服务器角色。它允许多个远程用户同时连接到单个集中的Windows Server实例,每个用户都获得自己的隔离、个性化的桌面会话——包括对已安装应用程序、文件和处理资源的访问。
从最终用户的角度来看,体验与在本地计算机上工作几乎没有区别。实际上,所有计算都发生在服务器上;客户端设备只是通过远程桌面协议(RDP)传输输入并接收显示输出。
与标准Windows Server的区别
| 功能 | 标准Windows Server | Windows终端服务器 |
|---|---|---|
| 并发用户会话 | 1–2(仅管理员) | 数十到数百个 |
| 应用程序交付 | 需要本地安装 | 集中式、服务器端 |
| 客户端硬件要求 | 中等到高 | 最小化(瘦客户端可用) |
| 许可证模式 | 仅服务器许可证 | 服务器 + RDS CAL 必需 |
| 理想用例 | 单角色工作负载 | 多用户远程访问 |
终端服务器广泛部署在医疗保健、金融、法律服务和教育等行业——任何需要集中、统一应用程序访问的地方。
2. Windows终端服务器的主要优势 {#benefits}
集中式应用程序管理
所有软件都在服务器上安装、更新和修补一次。无需将更新推送到各个工作站或管理整个机器群中的版本不一致。这大大减少了IT开销,并确保每个用户始终运行相同的、经过批准的应用程序版本。
显著降低成本
由于所有处理都在服务器端进行,最终用户设备可以是瘦客户端、旧PC甚至平板电脑。组织可以避免昂贵的工作站更新周期,并可以将现有硬件的使用寿命延长数年。
增强的数据安全性
敏感数据永远不会离开服务器环境。文件、数据库和应用程序数据集中存储,使得以下操作变得更加容易:
- 实施数据丢失防护(DLP)策略
- 应用统一的安全配置到所有会话
- 执行集中备份而无需接触各个端点
- 遵守GDPR、HIPAA或PCI-DSS等法规
按需扩展性
向终端服务器环境添加新用户只需要一个新用户帐户和一个RDS客户端访问许可证(CAL)——而不是新硬件。随着您的组织扩展,服务器基础设施可以随之增长,特别是在托管在灵活平台(如VPS托管解决方案或专用资源环境)上时。
简化远程工作启用
终端服务器是为远程访问而专门设计的。在家工作、出差或在多个办公室运营的员工可以从任何互联网连接的设备访问完全相同的桌面环境,只需使用内置的远程桌面连接客户端。
3. 开始前的先决条件 {#prerequisites}
在部署Windows终端服务器之前,请确保以下组件已就位:
✅ 兼容的Windows Server操作系统
您将需要Windows的服务器级版本。支持的版本包括:
- Windows Server 2019(推荐用于稳定性)
- Windows Server 2022(推荐用于现代部署)
- Windows Server 2016(遗留支持)
标准桌面版本的Windows(Windows 10/11)不支持多用户RDS部署。
✅ 远程桌面服务(RDS)许可
Microsoft要求为连接到终端服务器的每个用户或设备提供RDS客户端访问许可证(CAL)。有两种CAL模式:
- 按用户CAL — 许可特定用户帐户,无论他们使用多少设备
- 按设备CAL — 许可特定设备,无论有多少用户从中登录
在没有有效CAL的情况下运行违反Microsoft的许可协议,将导致RDS宽限期过期,之后连接将被拒绝。
✅ 充足的服务器硬件
推荐的最低规格取决于您的用户数量,但作为最多20个并发用户的一般基准:
- CPU:8个以上核心(现代Intel Xeon或AMD EPYC)
- RAM:最少32 GB(推荐64 GB)
- 存储:基于SSD的OS和应用程序卷存储
- 网络:稳定、低延迟的连接,具有足够的带宽
对于更大的部署,考虑专用服务器以保证对硬件资源的独占访问,而不会与其他租户产生争用。
✅ 网络基础设施
可靠、安全的网络是不可协商的。关键考虑因素包括:
- 服务器的静态IP地址或可靠的DNS主机名
- 防火墙规则仅允许来自授权源的RDP流量(TCP端口3389)
- 用于加密远程访问的VPN或SSL/TLS隧道
- 有效的SSL证书以保护RD Web Access和RD Gateway端点——SSL证书对于保护传输中的用户凭证至关重要
✅ Active Directory(强烈推荐)
虽然在技术上对于小型部署是可选的,但Active Directory域服务(AD DS)对于任何生产终端服务器环境都是强烈推荐的。AD提供:
- 集中式用户身份验证
- 组策略对象(GPO)管理以控制会话
- 基于角色的访问控制(RBAC)
- 与RDS组件的无缝集成
4. 分步设置指南 {#setup-guide}
步骤1:安装远程桌面服务角色
- 在您的Windows Server实例上打开服务器管理器。
- 点击管理 → 添加角色和功能。
- 选择远程桌面服务安装(不是标准的基于角色的安装)。
- 为单服务器部署选择快速启动,或为多服务器场选择标准部署。
- 选择基于会话的桌面部署(用于终端服务器功能)。
- 按照向导完成,如果出现提示,允许服务器重启。
> 专业提示:如果您在多个服务器上部署RDS(例如,将连接代理、会话主机和Web访问角色分配给不同的服务器),请使用标准部署并将每个角色分配给相应的服务器。
步骤2:配置RDS角色服务
安装后,三个核心RDS角色服务需要配置:
#### RD会话主机
这是主要的终端服务器组件——托管用户会话的角色。确保它安装在将处理实际工作负载的服务器上。
#### RD连接代理
连接代理管理会话路由、跨多个会话主机的负载平衡以及断开连接会话的重新连接。通过以下方式配置它:
Server Manager → Remote Desktop Services → Overview → RD Connection Broker#### RD Web访问
使用户能够通过Web浏览器使用RD Web门户连接。安装后,门户可在以下位置访问:
https://<server-address>/RDWeb使用受信任的SSL证书保护此端点,以防止凭证拦截。
步骤3:配置RDS许可
没有适当的许可,终端服务器将在120天宽限期内运行,然后拒绝连接。
- 在服务器管理器中,导航到远程桌面服务。
- 点击RD许可。
- 打开RD许可管理器。
- 右键单击您的服务器并选择激活服务器。
- 按照激活向导进行操作(在线或电话激活)。
- 激活后,安装您购买的RDS CAL。
- 返回RD会话主机配置并将其指向您新激活的许可证服务器。
步骤4:安装和配置应用程序
终端服务器上的应用程序必须以支持多用户访问的方式安装:
选项A——通过服务器管理器(推荐)
使用在”开始”菜单中找到的在远程桌面上安装应用程序快捷方式,它会自动将服务器置于安装模式。
选项B——通过命令行
change user /install
:: Install your application here
change user /execute> 重要:始终在安装模式下安装应用程序。在执行模式下安装的应用程序可能无法为所有用户正常运行,或者可能按会话而不是全局存储设置。
在推出到生产环境之前,请确保使用多个并发用户会话测试所有应用程序。
步骤5:为会话管理配置组策略
组策略是控制终端服务器用户体验和实施安全标准的主要工具。
在Computer Configuration → Administrative Templates → Windows Components → Remote Desktop Services下配置的关键GPO设置:
| 策略 | 推荐设置 |
|---|---|
| 设置活动会话的时间限制 | 4–8小时 |
| 设置断开连接会话的时间限制 | 30–60分钟 |
| 达到时间限制时结束会话 | 启用 |
| 限制剪贴板重定向 | 启用(用于高安全环境) |
| 限制驱动器重定向 | 启用(用于高安全环境) |
| 要求使用特定的安全层 | SSL (TLS 1.2+) |
| 设置客户端连接加密级别 | 高 |
在包含您的终端服务器计算机帐户的OU级别应用这些策略以进行有针对性的实施。
步骤6:配置Windows防火墙和网络访问
默认情况下,Windows防火墙将阻止入站RDP连接。适当地配置它:
# Enable RDP through Windows Firewall
Enable-NetFirewallRule -DisplayGroup "Remote Desktop"
# Restrict RDP access to specific IP ranges (recommended)
New-NetFirewallRule -DisplayName "RDP - Restricted" `
-Direction Inbound `
-Protocol TCP `
-LocalPort 3389 `
-RemoteAddress "192.168.1.0/24" `
-Action Allow对于面向互联网的部署,永远不要将端口3389直接暴露给公网。相反,使用:
- 带有HTTPS(端口443)的RD Gateway作为安全代理
- 一个VPN来封装RDP流量
- 防火墙或托管提供商级别的IP白名单
5. 将用户连接到终端服务器 {#connecting-users}
配置服务器后,用户可以通过多种方法连接:
方法1:远程桌面连接(内置客户端)
在所有Windows版本上可用:
- 按
Win + R,输入mstsc,按Enter - 输入服务器IP地址或主机名
- 点击显示选项以配置显示、本地资源和体验设置
- 点击连接并使用域或本地凭证进行身份验证
方法2:RD Web访问门户
具有浏览器的用户可以访问Web门户:
https://<your-server>/RDWeb此方法不需要安装客户端软件,可在Windows、macOS、Linux、iOS和Android上通过Microsoft远程桌面Web客户端工作。
方法3:Microsoft远程桌面应用
适用于macOS、iOS、Android和Windows,Microsoft远程桌面应用提供了一个精致的、功能丰富的客户端体验,支持:
- 多个已保存的连接
- 网关配置
- 显示缩放和多显示器支持
- 剪贴板和打印机重定向
方法4:第三方RDP客户端
客户端如Remmina(Linux)、Royal TSX(macOS)或mRemoteNG(Windows)为管理多个终端服务器的管理员提供高级连接管理功能。
6. 管理和监控您的终端服务器 {#managing}
持续管理对于维护性能、安全性和用户满意度至关重要。
使用远程桌面服务管理器
通过Server Manager → Remote Desktop Services → Collections访问:
- 查看活动会话 — 查看谁已连接、从哪个设备以及连接多长时间
- 影子会话 — 实时观察或协助用户的会话(具有适当权限)
- 断开会话 — 安全地断开用户连接而不终止其会话状态
- 注销会话 — 完全终止用户会话并释放其资源
- 发送消息 — 在维护窗口前向连接的用户广播通知
PowerShell管理命令
# List all active RDS sessions
Get-RDUserSession -ConnectionBroker "broker.yourdomain.com"
# Disconnect a specific session
Disconnect-RDUser -HostServer "sessionhost.yourdomain.com" -UnifiedSessionID 3
# Get RDS license usage report
Get-RDLicenseConfiguration -ConnectionBroker "broker.yourdomain.com"性能监控
使用Windows性能监视器(perfmon)和以下关键计数器来监控终端服务器健康状况:
| 计数器 | 警告阈值 |
|---|---|
| 处理器% 处理器时间 | > 80% 持续 |
| 内存可用 MB | < 总RAM的10% |
| 终端服务活动会话 | 接近许可证限制 |
| 网络接口字节总数/秒 | > 接口容量的70% |
| 物理磁盘平均磁盘队列长度 | > 每个主轴2 |
考虑与监控平台如Zabbix、PRTG或Prometheus + Grafana集成以进行警报和长期趋势分析。
7. 安全最佳实践 {#security}
终端服务器是高价值目标,因为它们提供对您内部环境的直接访问。使用这些基本实践加强您的部署:
🔐 启用网络级身份验证(NLA)
NLA要求用户在建立完整RDP会话之前进行身份验证,大大减少了暴力破解和拒绝服务攻击的攻击面。
Group Policy: Computer Configuration → Administrative Templates → Windows Components → Remote Desktop Services → Require NLA🔐 实施多因素身份验证(MFA)
通过以下方式集成MFA:
- Azure AD / Microsoft Entra ID具有条件访问策略
- Duo Security RDP网关集成
- Windows Hello for Business
🔐 更改默认RDP端口
虽然通过隐晦实现安全性不是真正安全的替代品,但更改默认端口(3389)可以显著减少自动扫描噪声:
Set-ItemProperty -Path "HKLM:SystemCurrentControlSetControlTerminal ServerWinStationsRDP-Tcp" `
-Name "PortNumber" -Value 54321记得相应地更新您的防火墙规则。
🔐 定期修补和更新
终端服务器是如BlueKeep (CVE-2019-0708)和DejaBlue等漏洞的频繁目标。维持严格的修补周期并为自动安全更新启用Windows Update。
🔐 实施会话审计
通过组策略启用登录事件、权限使用和对象访问的审计,以维护所有终端服务器活动的取证跟踪。
8. 选择正确的托管基础设施 {#hosting}
您的Windows终端服务器的性能和可靠性从根本上取决于底层基础设施的质量。以下是最常见的部署选项:
本地部署
最适合具有现有数据中心基础设施、严格数据主权要求或隔离环境的组织。需要大量的前期资本投资和持续的硬件维护。
云/VPS部署
对大多数中小型企业来说是理想的。在VPS托管平台上部署您的终端服务器提供:
- 快速配置 — 从订购到运行服务器只需几分钟
- 灵活的资源扩展 — 随着用户群的增长升级CPU和RAM
- 无硬件维护 — 托管提供商管理物理基础设施
- 高可用性选项 — SLA支持的正常运行时间保证
对于需要控制面板界面来管理其服务器环境以及终端服务器部署的组织,带cPanel的VPS提供了一个熟悉的基于Web的管理层。
专用服务器部署
对于拥有50多个并发终端服务器用户、高性能工作负载或禁止共享基础设施的合规要求的大型组织,专用服务器提供:
- 保证的、无争用的硬件资源
- 对物理机的完全root/管理员访问权限
- 自定义硬件配置(高核心数CPU、大RAM池、NVMe存储)
- 可预测、一致的性能,无嘈杂邻居效应
在托管提供商中寻找什么
选择托管提供商用于您的终端服务器基础设施时,优先考虑:
| 标准 | 为什么重要 |
|---|---|
| 低延迟网络 | RDP对延迟敏感;即使增加50ms的延迟也会降低用户体验 |
| SSD/NVMe存储 | 快速磁盘I/O对多用户应用程序性能至关重要 |
| DDoS保护 | 终端服务器是频繁的目标;上游保护至关重要 |
| Windows Server许可 | |
| 24/7技术支持 | 终端服务器上的停机会同时影响所有用户 |
| 隐私友好的司法管辖区 | 对于遵守GDPR和类似法规很重要 |
常见问题
一个Windows终端服务器可以支持多少用户?
这完全取决于可用的硬件资源和工作负载的性质。具有32 GB RAM和8个CPU核心的服务器通常可以支持20–40个轻量级用户(电子邮件、办公应用程序)。资源密集型应用程序(CAD、视频编辑、数据处理)会显著减少这个数字。
Windows终端服务器与远程桌面服务相同吗?
是的。”Windows终端服务器”是Microsoft现在正式称为远程桌面服务(RDS)中的RD会话主机角色的遗留术语。功能是相同的;只有术语发生了变化。
我可以在VPS上运行Windows终端服务器吗?
绝对可以。许多组织在VPS基础设施上运行高效的终端服务器部署。关键是选择具有足够CPU核心、RAM和低延迟网络连接的VPS计划,以支持您预期的并发用户数。
我需要为终端服务器配置域控制器吗?
严格来说不需要,但对于任何拥有超过少数用户的部署,强烈推荐。Active Directory简化了用户管理、组策略实施以及与其他Microsoft服务的集成。
RDS CAL和Windows Server CAL之间有什么区别?
Windows Server CAL授予对服务器基本服务(文件共享、打印服务等)的访问权限。