Remotedesktopdienste: RollenRemote Desktop Services roles

Gilt für: Windows Server (halbjährlicher Kanal), Windows Server 2019, Windows Server 2016Applies to: Windows Server (Semi-Annual Channel), Windows Server 2019, Windows Server 2016

In diesem Artikel werden die Rollen in einer Remotedesktopdienste-Umgebung beschrieben.This article describes the roles within a Remote Desktop Services environment.

Remotedesktop-SitzungshostRemote Desktop Session Host

Der Remotedesktop-Sitzungshost (RD-Sitzungshost) enthält die sitzungsbasierten Apps und Desktops, die du für Benutzer freigibst.The Remote Desktop Session Host (RD Session Host) holds the session-based apps and desktops you share with users. Benutzer können auf diese Desktops und Apps über einen der Remotedesktopclients zugreifen, die unter Windows, macOS, iOS und Android ausgeführt werden.Users get to these desktops and apps through one of the Remote Desktop clients that run on Windows, MacOS, iOS, and Android. Außerdem können Benutzer eine Verbindung über einen unterstützten Browser herstellen, indem sie den Webclient verwenden.Users can also connect through a supported browser by using the web client.

Du kannst Desktops und Apps zu einzelnen oder mehreren RD-Sitzungshostservern (sogenannten Sammlungen) zusammenfassen.You can organize desktops and apps into one or more RD Session Host servers, called "collections." Diese Sammlungen kannst du für bestimmte Gruppen von Benutzern in den einzelnen Mandanten anpassen.You can customize these collections for specific groups of users within each tenant. So kannst du beispielsweise eine Sammlung erstellen, in der eine bestimmte Benutzergruppe auf bestimmte Apps zugreifen kann, Benutzer außerhalb der Gruppe jedoch keinen Zugriff auf diese Apps haben.For example, you can create a collection where a specific user group can access specific apps, but anyone outside of the group you designated won't be able to access those apps.

Bei kleinen Bereitstellungen kannst du Anwendungen direkt auf den RD-Sitzungshostservern installieren.For small deployments, you can install applications directly onto the RD Session Host servers. Bei größeren Bereitstellungen empfiehlt es sich, ein Basisimage zu erstellen und virtuelle Computer auf der Grundlage dieses Images bereitzustellen.For larger deployments, we recommend building a base image and provisioning virtual machines from that image.

Du kannst Sammlungen erweitern, indem du virtuelle RD-Sitzungshost-Servercomputer einer Sammlungsfarm hinzufügst, in der jeder virtuelle RDSH-Computer innerhalb einer Sammlung der gleichen Verfügbarkeitsgruppe zugewiesen ist.You can expand collections by adding RD Session Host server virtual machines to a collection farm with each RDSH virtual machine within a collection assigned to same availability set. Dadurch erreichst du eine höhere Verfügbarkeit der Sammlung sowie eine höhere Skalierung und kannst mehr Benutzer oder ressourcenintensive Anwendungen unterstützen.This provides higher collection availability and increases scale to support more users or resource-heavy applications.

In den meisten Fällen wird ein RD-Sitzungshostserver von mehreren Benutzern gemeinsam verwendet. Dadurch wird eine möglichst effiziente Nutzung der Azure-Ressourcen für eine Desktophostinglösung erreicht.In most cases, multiple users share the same RD Session Host server, which most efficiently utilizes Azure resources for a desktop hosting solution. In dieser Konfiguration müssen sich die Benutzer bei Sammlungen mit einem Konto ohne Administratorrechte anmelden.In this configuration, users must sign in to collections with non-administrative accounts. Du kannst auch persönliche Sitzungsdesktopsammlungen erstellen, um einigen Benutzern uneingeschränkten Administratorzugriff auf ihren Remotedesktop zu gewähren.You can also give some users full administrative access to their remote desktop by creating personal session desktop collections.

Außerdem kannst du zur weiteren Desktopanpassung eine virtuelle Festplatte mit dem Windows Server-Betriebssystem erstellen, hochladen und als Vorlage für die Erstellung neuer virtueller RD-Sitzungshostcomputer verwenden.You can customize desktops even more by creating and uploading a virtual hard disk with the Windows Server OS that you can use as a template for creating new RD Session Host virtual machines.

Weitere Informationen findest du in den folgenden Artikeln:For more information, see the following articles:

Remotedesktop-VerbindungsbrokerRemote Desktop Connection Broker

Der Remotedesktop-Verbindungsbroker (RD-Verbindungsbroker) verwaltet eingehende Remotedesktopverbindungen für RD-Sitzungshost-Serverfarmen.Remote Desktop Connection Broker (RD Connection Broker) manages incoming remote desktop connections to RD Session Host server farms. Über den RD-Verbindungsbroker werden sowohl Verbindungen mit Sammlungen vollständiger Desktops als auch Verbindungen mit Sammlungen von Remote-Apps abgewickelt.RD Connection Broker handles connections to both collections of full desktops and collections of remote apps. Der RD-Verbindungsbroker kann bei der Herstellung neuer Verbindungen die Last zwischen den Servern der Sammlung ausgleichen.RD Connection Broker can balance the load across the collection's servers when making new connections. Sollte die Verbindung mit einer Sitzung unterbrochen werden, verbindet der RD-Verbindungsbroker den Benutzer erneut mit dem korrekten RD-Sitzungshostserver und der unterbrochenen Sitzung, die weiterhin in der RD-Sitzungshostfarm vorhanden ist.If a session disconnects, RD Connection Broker will reconnect the user to the correct RD Session Host server and their interrupted session, which still exists in the RD Session Host farm.

Zur Unterstützung von Anwendungsveröffentlichung und einmaligem Anmelden müssen sowohl auf dem RD-Verbindungsbrokerserver als auch auf dem Client übereinstimmende digitale Zertifikate installiert werden.You'll need to install matching digital certificates on both the RD Connection Broker server and the client to support single sign-on and application publishing. Beim Entwickeln oder Testen eines Netzwerks kannst du ein selbstgeneriertes und selbstsigniertes Zertifikat verwenden.When developing or testing a network, you can use a self-generated and self-signed certificate. Für veröffentlichte Dienste wird dagegen ein digitales Zertifikat von einer vertrauenswürdigen Zertifizierungsstelle benötigt.However, released services require a digital certificate from a trusted certification authority. Der Name des Zertifikats muss dem internen vollqualifizierten Domänennamen (Fully Qualified Domain Name, FQDN) des virtuellen RD-Verbindungsbrokercomputers entsprechen.The name you give the certificate must be the same as the internal Fully Qualified Domain Name (FQDN) of the RD Connection Broker virtual machine.

Du kannst den Remotedesktop-Verbindungsbroker von Windows Server 2016 auf dem gleichen virtuellen Computer installieren wie AD DS, um Kosten zu sparen.You can install the Windows Server 2016 RD Connection Broker on the same virtual machine as AD DS to reduce cost. Wenn du horizontal skalieren musst, um mehr Benutzer zu unterstützen, kannst du auch zusätzliche virtuelle RD-Verbindungsbrokercomputer in der gleichen Verfügbarkeitsgruppe hinzufügen, um einen RD-Verbindungsbrokercluster zu erstellen.If you need to scale out to more users, you can also add additional RD Connection Broker virtual machines in the same availability set to create an RD Connection Broker cluster.

Zuvor musst du jedoch entweder eine Azure SQL-Datenbank in der Mandantenumgebung bereitstellen oder eine SQL Server-AlwaysOn-Verfügbarkeitsgruppe erstellen.Before you can create an RD Connection Broker cluster, you must either deploy an Azure SQL Database in the tenant's environment or create an SQL Server AlwaysOn Availability Group.

Weitere Informationen findest du in den folgenden Artikeln:For more information, see the following articles:

RemotedesktopgatewayRemote Desktop Gateway

Über das Remotedesktopgateway (RD-Gateway) können Benutzer in öffentlichen Netzwerken auf Windows-Desktops und Anwendungen zugreifen, die in den Clouddiensten von Microsoft Azure gehostet werden.Remote Desktop Gateway (RD Gateway) grants users on public networks access to Windows desktops and applications hosted in Microsoft Azure's cloud services.

Die Remotedesktopgateway-Komponente verwendet Secure Sockets Layer (SSL), um den Kommunikationskanal zwischen den Clients und dem Server zu verschlüsseln.The RD Gateway component uses Secure Sockets Layer (SSL) to encrypt the communications channel between clients and the server. Der virtuelle RD-Gatewaycomputer muss über eine öffentliche IP-Adresse erreichbar sein, die eingehende TCP-Verbindungen am Port 443 sowie eingehende UDP-Verbindungen am Port 3391 zulässt.The RD Gateway virtual machine must be accessible through a public IP address that allows inbound TCP connections to port 443 and inbound UDP connections to port 3391. Dadurch können Benutzer über das Internet eine Verbindung unter Verwendung des HTTPS-Kommunikationstransportprotokolls bzw. des UDP-Protokolls herstellen.This lets users connect through the internet using the HTTPS communications transport protocol and the UDP protocol, respectively.

Hierzu müssen auf dem Server und auf dem Client entsprechende digitale Zertifikate installiert sein.The digital certificates installed on the server and client have to match for this to work. Beim Entwickeln oder Testen eines Netzwerks kannst du ein selbstgeneriertes und selbstsigniertes Zertifikat verwenden.When you're developing or testing a network, you can use a self-generated and self-signed certificate. Für einen veröffentlichten Dienst wird dagegen ein Zertifikat von einer vertrauenswürdigen Zertifizierungsstelle benötigt.However, a released service requires a certificate from a trusted certification authority. Der Name des Zertifikats muss dem FQDN entsprechen, der für den Zugriff auf das RD-Gateway verwendet wird. Das kann der nach außen gerichtete DNS-Name der öffentlichen IP-Adresse oder der CNAME-DNS-Eintrag sein, der auf die öffentliche IP-Adresse verweist.The name of the certificate must match the FQDN used to access RD Gateway, whether the FQDN is the public IP address' externally facing DNS name or the CNAME DNS record pointing to the public IP address.

Bei Mandanten mit weniger Benutzern können die Rollen „RD-Webzugriff“ und „RD-Gateway“ auf einem einzelnen virtuellen Computer zusammengefasst werden, um Kosten zu sparen.For tenants with fewer users, the RD Web Access and RD Gateway roles can be combined on a single virtual machine to reduce cost. Du kannst aber auch weitere virtuelle RD-Gatewaycomputer zu einer RD-Gatewayfarm hinzufügen, um die Dienstverfügbarkeit zu erhöhen und eine horizontale Skalierung für mehr Benutzer durchzuführen.You can also add more RD Gateway virtual machines to an RD Gateway farm to increase service availability and scale out to more users. Virtuelle Computer in größeren RD-Gatewayfarmen sollten in einer Gruppe mit Lastenausgleich konfiguriert werden.Virtual machines in larger RD Gateway farms should be configured in a load-balanced set. Wenn du das RD-Gateway auf einem virtuellen Computer mit Windows Server 2016 verwendest, ist keine IP-Affinität erforderlich. Bei Verwendung eines virtuellen Computers mit Windows Server 2012 R2 dagegen schon.IP affinity isn't required when you're using RD Gateway on a Windows Server 2016 virtual machine, but it is when you're running it on a Windows Server 2012 R2 virtual machine.

Weitere Informationen findest du in den folgenden Artikeln:For more information, see the following articles:

Remotedesktop-WebzugriffRemote Desktop Web Access

Web Access für Remotedesktop (Web Access für RD) ermöglicht Benutzern den Zugriff auf Desktops und Anwendungen über ein Webportal und startet diese über die native Microsoft-Remotedesktop-Clientanwendung des Geräts.Remote Desktop Web Access (RD Web Access) lets users access desktops and applications through a web portal and launches them through the device's native Microsoft Remote Desktop client application. Über das Webportal kannst du Windows-Desktops und Anwendungen für Windows-basierte und Windows-fremde Clientgeräte veröffentlichen. Außerdem kannst du Desktops oder Apps wahlweise für bestimmte Benutzer oder Gruppen veröffentlichen.You can use the web portal to publish Windows desktops and applications to Windows and non-Windows client devices, and you can also selectively publish desktops or apps to specific users or groups.

Web Access für RD benötigt Internetinformationsdienste (Internet Information Services, IIS).RD Web Access needs Internet Information Services (IIS) to work properly. Eine HTTPS-Verbindung (Hypertext Transfer Protocol Secure) stellt einen verschlüsselten Kommunikationskanal zwischen den Clients und dem RD-Webserver bereit.A Hypertext Transfer Protocol Secure (HTTPS) connection provides an encrypted communications channel between the clients and the RD Web server. Der virtuelle Computer für Web Access für RD muss über eine öffentliche IP-Adresse erreichbar sein, die eingehende TCP-Verbindungen am Port 443 zulässt, damit die Benutzer des Mandanten über das Internet eine Verbindung unter Verwendung des HTTPS-Kommunikationstransportprotokolls herstellen können.The RD Web Access virtual machine must be accessible through a public IP address that allows inbound TCP connections to port 443 to allow the tenant's users to connect from the internet using the HTTPS communications transport protocol.

Auf dem Server und den Clients müssen entsprechende digitale Zertifikate installiert sein.Matching digital certificates must be installed on the server and clients. Bei der Entwicklung und zu Testzwecken kann ein selbstgeneriertes und selbstsigniertes Zertifikat verwendet werden.For development and testing purposes, this can be a self-generated and self-signed certificate. Bei einem veröffentlichten Dienst muss das digitale Zertifikat dagegen von einer vertrauenswürdigen Zertifizierungsstelle bezogen werden.For a released service, the digital certificate must be obtained from a trusted certification authority. Der Name des Zertifikats muss dem vollqualifizierten Domänennamen (Fully Qualified Domain Name, FQDN) entsprechen, der für den Zugriff auf Web Access für RD verwendet wird.The name of the certificate must match the Fully Qualified Domain Name (FQDN) used to access RD Web Access. Dabei kann es sich um den nach außen gerichteten DNS-Namen für die öffentliche IP-Adresse oder um den CNAME-DNS-Eintrag handeln, der auf die öffentliche IP-Adresse verweist.Possible FQDNs include the externally facing DNS name for the public IP address and the CNAME DNS record pointing to the public IP address.

Bei Mandanten mit weniger Benutzern können die Workloads „RD-Webzugriff“ und „Remotedesktopgateway“ zu einem einzelnen virtuellen Computer zusammengefasst werden, um Kosten zu sparen.For tenants with fewer users, you can reduce costs by combining the RD Web Access and Remote Desktop Gateway workloads into a single virtual machine. Du kannst aber auch zusätzliche virtuelle RD-Webcomputer zu einer Farm für Web Access für RD hinzufügen, um die Dienstverfügbarkeit zu erhöhen und eine horizontale Skalierung für mehr Benutzer durchzuführen.You can also add additional RD Web virtual machines to an RD Web Access farm to increase service availability and scale out to more users. In einer Farm für Web Access für RD mit mehreren virtuellen Computern müssen die virtuellen Computer in einer Gruppe mit Lastenausgleich konfiguriert werden.In an RD Web Access farm with multiple virtual machines, you'll have to configure the virtual machines in a load-balanced set.

Weitere Informationen zum Konfigurieren von Web Access für RD findest du in den folgenden Artikeln:For more information about how to configure RD Web Access, see the following articles:

RemotedesktoplizenzierungRemote Desktop Licensing

Aktivierte Server für die Remotedesktoplizenzierung (RD-Lizenzierung) ermöglichen es Benutzern, eine Verbindung mit den RD-Sitzungshostservern herzustellen, auf denen die Desktops und Apps des Mandanten gehostet werden.Activated Remote Desktop Licensing (RD Licensing) servers let users connect to the RD Session Host servers hosting the tenant's desktops and apps. In Mandantenumgebungen ist der RD-Lizenzierungsserver in der Regel bereits installiert. Für gehostete Umgebungen muss der Server jedoch im Modus „Pro Benutzer“ konfiguriert werden.Tenant environments usually come with the RD Licensing server already installed, but for hosted environments you'll have to configure the server in per-user mode.

Der Dienstanbieter muss über genügend RDS-Abonnentenzugriffslizenzen (Subscriber Access Licenses, SALs) für alle autorisierten individuellen (nicht gleichzeitigen) Benutzer verfügen, die sich jeden Monat bei dem Dienst anmelden.The service provider needs enough RDS Subscriber Access Licenses (SALs) to cover all authorized unique (not concurrent) users that sign in to the service each month. Dienstanbieter können Microsoft Azure-Infrastrukturdienste direkt und SALs über das SPLA-Programm (Service Provider Licensing Agreement) von Microsoft erwerben.Service providers can purchase Microsoft Azure Infrastructure Services directly, and can purchase SALs through the Microsoft Service Provider Licensing Agreement (SPLA) program. Kunden, die eine gehostete Desktoplösung benötigen, müssen die vollständige gehostete Lösung (Azure und RDS) vom Dienstanbieter erwerben.Customers looking for a hosted desktop solution must purchase the complete hosted solution (Azure and RDS) from the service provider.

Bei kleinen Mandanten können die Dateiserver- und die RD-Lizenzierungskomponente auf einem einzelnen virtuellen Computer zusammengefasst werden, um Kosten zu sparen.Small tenants can reduce costs by combining the file server and RD Licensing components onto a single virtual machine. Um eine höhere Dienstverfügbarkeit zu erzielen, können Mandanten zwei virtuelle RD-Lizenzservercomputer in der gleichen Verfügbarkeitsgruppe bereitstellen.To provide higher service availability, tenants can deploy two RD License server virtual machines in the same availability set. Alle RD-Server in der Mandantenumgebung werden mit beiden RD-Lizenzservern verknüpft, damit Benutzer auch dann eine Verbindung mit neuen Sitzungen herstellen können, wenn einer der Server ausfällt.All RD servers in the tenant's environment are associated with both RD License servers to keep users able to connect to new sessions even if one of the servers goes down.

Weitere Informationen findest du in den folgenden Artikeln:For more information, see the following articles: