Технология Microsoft FSLogix используется для управления профилями пользователей и позволяет заменить перемещаемые профили (Roaming Profiles) и User Profile Disks (UPD) в сценариях RDS, VDI и Windows Virtual Desktop (WVD). Сервис FSLogix позволяет динамически подключать контейнеры с профилями пользователей из сетевых ресурсов. Возможно использование как в on-premises решениях, так и в Azure (в качестве хранилища профилей можно использовать Azure Files). В этой статье мы рассмотрим, как использовать перемещаемые профили пользователей FSLogix вместо User Profile Disks в RDS развертываниях Windows Server 2019/2022.
Для чего нужные контейнеры FSLogix?
Концепция FSLogix похоже на привычную технологию RDS User Profile Disks (UPD), когда профили пользователей хранятся в виде виртуальных VHDX дисков и подключаются по сети при входе пользователя в систему. Однако FSLogix позволяет преодолеть многие недостатки UPD в средах RDS и позволяет:
- Существенно увеличить скорости загрузки профиля по сети, и как следствие уменьшается время входа/выхода в систему для пользователя;
- Оптимизирован для приложений Office 365 (Microsoft 365 for Enterprise);
- Один и тот же профиль можно использовать в разных RDS коллекциях, и фермах RDS VDI и даже физических компьютерах;
- Профиль FSLogix можно подключать сразу в несколько сессий (на чтение);
- В UPD поисковый индекс Windows очищается при выходе пользователя и его нужно генерировать заново в следующий раз. В FSLogix можно сохранять индекс в перемещаемом профиле;
- Обеспечивает доступность файлов кэша Outlook (OST, Outlook Cached Mode), индекса (поиска) Outlook, кэша и данных MS Teams и т.д.
- Перемещаемые FSLogix профили можно исопльзовать даже на отдельностоящих хостах RDSH.
Решение FSLogix бесплатно для использования в on-premises развертываниях RDS, при условии, что у вас приобретены RDS CAL и установлены на сервере лицензирования RDS.
Установка и настройка FSLogix для профилей пользователей на Windows Server 2019 RDS
Рассмотрим, как установить и настроить FSLogix для терминальной RDS фермы на базе Windows Server 2019.
- Скачайте FSLogix по этой ссылке (https://aka.ms/fslogix/download, около 180 Мб). Доступ к утилите свободный;
- Распакуйте архив и установите агент FSLogic \FSLogix_Apps\x64\Release\FSLogixAppsSetup.exe на RDSH сервера;
- Затем скопируйте файлы административных политик FSLogix в центральное хранилище административных шаблонов GPO на контроллере домена (fslogix.admx в \PolicyDefinitions, и fslogix.adml в \PolicyDefinitions\en-US).Подробнее про установку и обновление ADMX шаблонов GPO.
Создайте на файловом сервере сетевую папку, в которой будут хранится контейнеры с профилями пользователей FSLogic. Например, \\msk-fs\Share\Profiles.
Задайте следующие NTFS права доступа на сетевую папку:
| User Account | Folder | Permissions |
|---|---|---|
| Users | This Folder Only | Modify |
| Creator / Owner | Subfolders and Files Only | Modify |
Теперь вы можете создать GPO для настройки параметров FSLogix для RDS серверов.
Откройте консоль управления доменными GPO (
gpmc.msc
), создайте новую политику и назначьте ее на OU с вашими RDSH серверами. Разверните Computer Configuration -> Policies -> Administrative Templates -> FSLogix. Настройте следующие параметры GPO:
- Profile Containers -> Enabled – включить профили FSLogix;
- Profile Containers -> VHD Location – указать UNC путь к каталогу профилей (\\msk-fs\Share\Profiles);
- Profile Containers -> Delete local profile when FSLogix Profile should apply – удалить локальный профиль при использовании FSLogix;
- Profile Containers -> Size in MB – максимальный размер файла профиля, по умолчанию 30000 (30 Гб);
- Profile Containers -> Dynamic VHD(X) allocation = Enabled. Если не включить эту политику, то VHD/VHDX диски профилей пользователей сразу создаются максимального размера;
- Profile Containers -> Advanced -> Prevent login with temporary profile – не создавать временные профили пользователей;
- Profile Containers -> Advanced -> Prevent login with failure – запретить вход при неполадках FSLogix;
- Profile Containers -> Advanced -> Locked VHD retry count = 3, указать количество попыток VHD(X) файл, если он заблокирован другим процессом;
- Profile Containers -> Container and Directory Naming -> Virtual disk type – использовать VHDX тип виртуального диска для профиля вместо стандартного VHD;
- Profile Containers -> Container and Directory Naming -> Swap directory name components – использовать %username%_SID в качестве формата для каталогов профилей пользователей (вместо SID_%username%);
- Profile Containers -> Store search database in profile container = Disabled (не хранить в профиле индексную базу Windows Search);
- Enable logging = All logs enabled — включить логи FSLogix
- Path to logging files – путь к логам FSLogix (\\msk-fs\Share\FSLogixLogs\ %COMPUTERNAME%);
- Days to keep log files – сколько дней хранить логи (7 дней достаточно).
Перезагрузите Windows Server, чтобы применить новые настройки GPO. Системные настройки профилей FSLogix хранятся в следующей ветке реестра HKLM\SOFTWARE\FSLogix\Profiles.
Теперь при входе RDP пользователя на экране должно появляться уведомление:
Please wait for the FSLogix Apps Services
После входа вы можете запустить консоль управления дисками (Disk Management) и убедиться, что FSLogix профиль пользователя смонтирован как VHDX диск. В указанном сетевом каталоге при этом появился новый каталог для профиля пользователя.
В каталоге
C:\Program Files\FSLogix\App
s есть несколько дополнительных утилит для администратора:
- frxtray.exe – утилита, отображающая окно FSLogix в системном трее и позволяющая проверить, что пользователь вошел с профилем FSlogix;
- ConfigurationTool.exe – утилита для настройки профилей FSLogix.
Расширенная настройка профилей FSLogix на Windows Server RDS
При установке агента FSLogixAppsSetup на сервере, в списке локальных групп появляются несколько дополнительных групп. Вы можете вывести этот список с помощью командлета Get-LocalGroup:
Get-LocalGroup -Name "*fslo*"
- FSLogix ODFC Exclude List — Members of this group are on the exclude list for Outlook Data Folder Containers
- FSLogix ODFC Include List — Members of this group are on the include list for Outlook Data Folder Containers
- FSLogix Profile Exclude List — Members of this group are on the exclude list for dynamic profiles
- FSLogix Profile Include List — Members of this group are on the include list for dynamic profiles
Эти группы позволяют указать пользователей или группы, для которых нужно включить или отключить создание профилей FSLogix.
По умолчанию перемещаемые профили создаются для всех пользователей. Чтобы иметь возможность локального входа на сервер для группы администраторов при неполадках FSLogix, нужно добавить группу администраторов в локальную группу FSLogix Profile Exclude List.
Проще всего это сделать с помощью групповой политики Restricted Group (Computer Configuration -> Windows Settings -> Security Settings -> Restricted Groups -> Add Group -> FSLogix Profile Exclude List) или Group Policy Preferences (Computer Configuration –> Preferences –> Control Panel Settings –> Local Users and Group –> New -> Local Group -> FSLogix Profile Exclude List).
Чтобы исключить определенные каталоги из перемещаемого профиля FSLogix, вы можете использовать файл redirection.xml. Каталоги из этого файла перенаправляются в локальные папки на диске сервера.
Путь к этому XML файлу с настройками задается в параметре GPO FSLogix -> Profile Containers -> Advanced -> Provide RedirXML file to customize redirections. Можно исключить Temp папки, каталоги кеша IE, Chrome и т.д.
Пример такого файла указан ниже:
<?xml version="1.0"?> <FrxProfileFolderRedirection ExcludeCommonFolders="0"> <Excludes> <Exclude Copy="0">AppData\LocalLow\</Exclude> <Exclude Copy="0">AppData\Local\Packages\</Exclude> <Exclude Copy="0">AppData\Local\Microsoft\Windows\Temporary Internet Files\</Exclude> <Exclude Copy="0">AppData\Local\Microsoft\Windows\Explorer\</Exclude> <Exclude Copy="0">AppData\Local\Microsoft\Windows\WebCache\</Exclude> <Exclude Copy="0">AppData\Local\Temp\</Exclude> <Exclude Copy="0">AppData\Local\Diagnostics\</Exclude> <Exclude Copy="0">AppData\Local\Comms\</Exclude> <Exclude Copy="0">AppData\Local\Google\Chrome\User Data\Default\Cache\</Exclude> </Excludes> </FrxProfileFolderRedirection>
Проанализируйте профили пользователей и установленные программы и добавьте в файл новые исключения.
Добавьте исполняемые файлы FSLogix в исключения вашего антивируса (frxdrv.sys, frxdrvvt.sys, frxccd.sys, frxccd.exe, frxccds.exe, frxsvc.exe).
Ну прям вовремя со статьй, как раз думали про внедрение 🙂
Хорошая технология, но много подводных камней. На пример, то что профиль имеет версионность и может использоваться только на компьютерах с одной версией ОС. То есть нельзя использовать один профиль для 2012R2 и 2019. Это ограничение самих профилей а не fslogix. Касательно несовместимости 2016-2019-2022 и разнообразных билдов Windows 10 я не в курсе. Так же год назад у технологии были проблемы с индексированием и в мануалах настоятельно рекомендовали делать специальные настройки под индексирование, включая индексирование в Outlook. Совместимость с приложениями 365 это фактически настройка под эти приложения, иными словами с Office 365 на компьютере настройки fslogix рекомендуются одни, если же офиса нет — то другие, хотя возможно тоже доработали.
Интересно бы почитать, как использовать на физ компах.
Вообще информации мало ищется по этому FSLogix
Для конвертации UPD -> FSLogix можно есть готовый скрипт Migrate UPD Profiles to FSLogix (https://github.com/andif888/convert-udp-fslogix)
а как можно прикрутить диск пользователя когда он не онлайн?(например чтобы добавить ярлыки или файлы)
Также интересует поведения принтеров в профиле пользователя(в том числе установленного по умолчанию) подключенных с принтсервера и почтовых профилей(outlook/thunderbird)
Спасибо за статью, неплохо бы добавить еще информацию по поводу разных размеров профилей, если требуется такая настройка. Регулируется это все записями в реестре. Более подробно тут:
https://jkindon.com/fslogix-and-per-user-group-object-specific-configurations/
Кто-нибудь знает как сделать чтобы закрепленные плитки меню пуск можно между всему терминальными серверами синхронизировать? По умолчанию получается если пользователь закрепит ярлык программы в меню Пуск, то подключившись на другой сервер, закрепленного ярлыка там не будет.
Заметил баг и хотел бы попросить кого-нибудь его проверить у себя. Если любую политику FXLogix включить, а затем выключить (установить значение «не задана»), то внесенные этой политикой изменение в реестр остаются, хотя по идее должны удалятся.
Установить значение отключена и уберите галочки которые активируют те или иные функции, затем обновите политику, должно помочь
Это работает, я проверил. Только вот доставляет проблем, так как ожидается что ключи в реестре сами должны удалиться после того, как групповую политику переводят в значение не задана.
Просто некорректное ожидание — все политики, всегда (начиная с 2000, как минимум, NT4 мне рулить не довелось, хотя пользаком побыть успел) при выключении просто переставали вносить изменения, но никогда не возвращали ранее внесённые в «исходное» состояние.
Есть РДС-ферма с профилями на FSlogix
появился юзер который не може зайти с ошибкой — не возможно запустить клиент груповой политики.
Сам сеанс юзера завершен но от его имени на RDSH-хосте висит много процессов ctfmon.exe которые не возможно завершить (
есть идеи как пофиксить, кроме как ребутать хост ?)
Пришел к выводу, что юзер прервал сессию в момент входа. В итоге папку с его профилем, который local держит система. Помогает только ребут rdsh хоста 🙁
Но случается крайне редко на самом деле. Просто этого юзера пускаю принудительно на другой хост, а на ночь ставлю в планировщике задачу перезагрузить сервер
PS.
помогло: _https://techcommunity.microsoft.com/t5/azure-virtual-desktop/wvd-logon-issues-the-group-policy-client-service-failed-the-sign/m-p/1876481
I can confirm that setting up the RefCount value to 0 solved the issue and the user is able to log in without rebooting the server.
Let’s see how long will take to happen again.
HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\ProfileService\References\
RefCount
имеет смысл включить политику на удаление локального профиля, если он существует)
На vdi-ках помогло с этой ошибкой.
Если вам не нужно это — пусть прочтут те, кто будет сталкиваться с этим)
есть какие либо подводные камни при обновлении FSLogix ?)
Ставь поверх
А что будет если пользователь превысит размер профиля, и как такой вопрос решать? Увеличивать постоянно не вариант.
Здесь все почти все тоже самое
Пользователь не сможет сохранить новые файлы в свой профиль.
Нужно работать с пользователями, объяснять что они должны чистить свои файлы, или добавлять скрипты автоматической очиску старых (или больших) файлов. + можно включить fsrm, чтобы запретить сохранять файлы с определенным разрешением mp3, avi, iso и т.д.
Так с этим понятно, а профиль будет продолжать открываться в даенмл случае? И можно как-то посмотреть, не подклчбаясь к пользователю что занимает место?
Профиль должен загружаться нормально. Чем занят профиль — запустите Computer Management на хосте куда смотирован образ с профилем. Можно открыть сам VHD или папку, куда он смонтирован
нашел кстати два неплохих гайда по траблшутингку проблема с fslogix. Оставлю здесь.
_https://www.amorales.org/2020/04/fslogix-troubleshooting-guide.html
_https://social.msdn.microsoft.com/Forums/en-US/8a495cb9-d025-4b34-a122-e1c387d35a0b/faq-fslogix-troubleshooting-guide?forum=FSLogix
Странно, сделал вроде все как описано. Создал нового пользователя, захожу под ним с ПК — никаких контейнеров не создается. Куда копать?
«Теперь при входе RDP пользователя на экране…» что за RDP пользователь? В какой группе он должен быть?
С профилем FSLogix для консольного входа не сталкивался. По идее все должно работать.
Начните с того что проверьте, применилась ли ваша политика FSLogix к компьютеру ( команда gpresult — https://winitpro.ru/index.php/2014/08/15/gpresult-diagnostika-primeneniya-gruppovyx-politik/)
Включите через GPO логи FSLogix, изучите ошибки:
Enable logging = All logs enabled — включить логи FSLogix
Path to logging files – путь к логам FSLogix (\\msk-fs\Share\FSLogixLogs\ %COMPUTERNAME%);
Спасибо. Посмотрел.
В общем нужно установить FSLogixApp на локальный ПК. Лог показал что диски не подключаются т.к. локальный профиль уже есть. Выставил DeleteLocalProfileWhenVHDShouldApply в «Delete …» все заработало. Правда frxtray показывал что диски не используются. Вообще непонятно что система работает, только контейнер на файлсервере появился и все папки что на рабочем столе создал в контейнере тоже появились.
кто нибудь сталкивался с проблемой при входе на терминальный сервер нового пользователя не создается vmdk диск. папка создается, а сам файл внутри не создается. FSLogix выдает ошибку :
The user profile failed to attach. Please contact support.
Profiles
status: 0x0000001F. message: unkown status
reason: 0x00000005. message: Reason initialized to empty state
error code: 0x00000000, message: операция успешно завершена.
через какое-то время или после перезагрузки сервера профиль может нормально создаться. и такая проблема массово происходит у новых пользователей.
Посмотрите на статус профиля в контейнере HKLM\Software\FSLogix\Profiles\Sessions
_https://learn.microsoft.com/en-us/fslogix/fslogix-error-codes-reference
status 0x0000001F(31) на сервере хранения папка создается внутри пусто.
А можно ли маунтить диски с шары, напрмер, что бы служба безопастности смогла посомтреть что у скомпроментированого юзера на диске?
Да, это обычные VHDX файлы, которые можно подключить через диспетчер дисков.
Спасибо. Точно Вы правы. Также в догонку скажу ( по крайней мере в моей ситуации) после примонтирования диска который лежит на шаре, через диспетчер дисков нужно назначить букву этому диску, иначе не откроется смонтированый диск.
Добрый день! Подскажите правильно ли я понимаю что для разворачивания фермы терминальных серверов и использования профилей FSLogix в настройках коллекции не нужно включать «Enable user profile disks» и указывать «Location of user profile disks» к каталогу с профилями VHD\VHDX а путь к профилям в этом случае задается исключительно политикой FSLogix «Profile Containers -> VHD Location» и соответственно при конвертировании профилей существущей фермы где профиля развернуты на основе UPD в формат FSLogix данную настройку в свойствах коллекции необходимо отключить?
Второй вопрос касается совместимости профилей. На данный момент у нас развернут один сервер терминалов на базе WS2022 на основе сеансов с профилями UPD. Режим работы домена последний — Windows Server 2016. Есть необходимость переехать на ферму терминальных серверов на основе сеансов, но в силу определенных причин ферма на базе WS2019 (WS2022 оказался слишком проблемным), заодно хотелось бы перейти и на использование FSLogix. Есть ли у нас шанс конвертировав существующие профиля UPD в FSLogix использовать их для новой фермы на базе WS2019 или профиля необходимо будет пересоздавать?
Заранее благодарю.
1) Да, верно UPD не включайте
2) В теорее профили от 2016 будут рабоатать на 2019. Я видел скрипт конвертации профилей UPD в FSlogix, но сам не пробовал.
Попробуйте на тестовом окружении _https://github.com/andif888/convert-udp-fslogix/blob/master/Convert-UPDtoFSLogix.ps1
Столкнулся с проблемой что не происходит проверка уже открытой сессии. Если между открытиями сеансов проходит пару часов. И пользователя при открытом rds\app соединении, пытается закинуть на другой терминальный сервер.
Из-за чего выскакивает ошибка: «Процесс не может получить доступ к файлу, так как этот фаил занят другим процессом»
В самом FSlogix, я не нашел параметра, принудительно открываться на том же терминале где уже есть развернутый профиль.
Есть идеи?
По идее за корректность рекконккта отвечает не FSLogix а RDS Connection Broker — смотрите в этом направлении.
Да. «Проблема» в Broker, он балансировкой занимается.
А вот как сделать чтобы он не балансировал новый сеанс, если от такого пользователя уже есть открытый сеанс, я не смог найти.
Добрый день. Удалось побороть? Столкнулся с аналогичной проблемой. Спасибо.
Добрый день!
Большое спасибо за статью!
Планируем у себя внедрять FSlogix. У нас ситуация следующая: мы не используем UPD, у нас используется более старая технология: Folder Redirection. Скажите, пожалуйста, как можно организовать автоматизированную миграцию в FSlogix? Не нашел в сети похожего скрипта…
Можно эти две технологии вместе использовать.
Настройте, как в статье описано. В итоге у вас в контейнере FsLogix будет лежать профиль пользователя без Рабочего стола и Документов (или какие папки у вас перенаправлены). Внутри будут AppData. Потом, просто отключите политику Folder Redirection и ваши перемещаемые папки переедут в профиль FsLogix. Но сразу предупреждаю, что делать так без тестов не стоит (отключать старую политику) Можно парализовать контору на много часов если объемы файлов пользователей большие и политика настроена сразу на всех разом
Настроил FsLogix
Профили на шаре создаются
вроде бы все работает нормально, с одним «НО», данные в профиле не сохраняются. Например вошел пользователь в 1С, развернул ее на весь экран, зашел из нее в какие-то папки. Завершил сеанс, зашел заново, 1С на весь экран не развернута, последняя папка в которую входил не запомнилась, и т.п. Как будто вошел в свежесозданный профиль. Сохраненный на рабочем столе файл тоже не сохранился.
Не подскажете куда копать?
FSLogix_Apps_2.9.8440.42104
Добрый день почему то не работает поиск
Ставлю с чистого листа
Profile Containers -> Store search database in profile container = Disabled (не хранить в профиле индексную базу Windows Search); —это просто не нашел
При установке сервера 2019 терминал служба по умолчанию не запущена
Поставил outlook 2019
Запускаю службу windows search
Пользователь подключается поиск в outlook через службу не работает
Запускаю рестарт службы выдаешь ошибку
Не удалось запустить службу windows search на локальный компьютер
ошибка 2 не удается найти указанный файл
То есть службу не рестартнуть. А если она работает когда пользователь подключается( когда я 1 на серваке то могу запустить) то она не работает outlook ругается он ищет но не через нее
На 2022 серваке другая история все ок но не ищет в теле письма))Что делать я просто хз)))
Честно говоря после полугода использования FSLogix + WinServer 2019 в боевой среде на 130-150 пользователей остался не очень доволен: ошибки в журналах Windows связанные с индексированием, часто не отключается файл профиля при выходе пользователя, что приводит к ошибке следующего входа на другой сервер фермы и самое главное — непозволительно долгое время логона пользователя. Пока на эту связку было переведено около 60 пользователей первые несколько месяцев было нормально, но при полной нагрузке через пол года вход пользователя занимает от 3 до 15 минут (!!) (реально засекал). При входе все это время пользователь видит строку «Работает служба FSLogix Services». Настройки минимальные: путь хранения профилей, формат файла, именование и т.п.
Путем долгих поисков удалось выяснить, что столь длительное время требуется службе для очистки каких то записей в реестре. В самой политике есть параметр, отключающий эту очистку, но там прямо сказано — что его нельзя использовать на постоянной основе.
В общем если кто то сталкивался с этим и смог победить, прошу дать свои комментарии. А то уже собираюсь переезжать обратно на UPD.
недавно столкнулся с аналогичной проблемой — очень долгий вход пользователей. При изучении логов FSlogix обнаружил, что зависает процесс Cleaning out notifications. Стал копать и оказалось, что забивается ветка реестра HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Notifications. Сама ветка долго раскрывается по времени. Удалил ветку, создал новую, ребутнул сервера и всё заработало. Можно создать скрипт чтоб чистил эту ветку при перезагрузке серверов.
Да, тоже смотрел логи, именно на Cleaning out notifications большая задержка. Спасибо за подсказку с веткой, попробую почистить
Подтверждаю, после удаления записей в ветке пользователи начали нормально входить, задержки больше нет! Спасибо за подсказку. Уточнение — можно удалять и создавать заново всю ветку Notifications ? Я вручную сделал групповое удаление записей внутри, но саму ветку не трогал, т.к. там еще внутри ветка Data и параметр SequenceNumber. Хочу поставить powershell скрипт в планировщик для очистки записей. Всю ветку Notifications удалить/создать конечно проще, чем вычищать из нее отдельные записи. Можно ее полностью удалять ?
я удалял всю ветку и создавал заново. Никаких проблем не заметил.
Есть ли способ пользователям показывать используемое пространство на его FSLogix диске?
Всем доброго.
Подскажите, а можно ли как-то регулировать кому выдавать профиль а кому нет?
Ситуация следующая — есть несколько десятков ПК (рабочие станции), по умолчанию выдает профили fslogix каждому залогинившимуся в AD, но они не нужны всем, можно ли пользователей для которох fslogix нужен при логине монтировать, а тех кому не нужен профиль оставить на доменной учетке без монтирования диска fs.
Добавление пользователей в группы include\exclude никак не влияет при логине создается fs профиль
Странно, что у вас не работает. Это как раз предусмотренный способо делать исключения использования профилей fslogix. Разбирайтесь почему у вас не работает.
Вам нужно добавлять пользователя в локальную группу «FSLogix Profile Exclude List».
Попробуйте добавить пользователя персонально (не через вложенную группу). Проверьте что группа заполнена и попробуйте войти на хост
Fslogix развернут на AD, пользователи и политики там же.
Моделирую ситуацию. Если при подключении к РДП пишем AD, вводим логин пароль то профили fs работают. Если вместо AD указать другой RDS сервер в домене то срабатывает стандартная служба профилей. На тестовой RDS виртуалке отдаем политики с AD — и тут оно уже срабатавает как угодно. На рабочей станции установлена аппка fs и применены политики AD (В коментах выше писали, что без этого не работает). Включаем комп вводим логин пароль и по логике профиль fs должен быть подключен к рабочей станции, на одной станции он подключился на второй нивкакую не захотел. При этом админские учотки в exclude группе на одной станции монтирует через fs на другой через стандартную службу профилей.
В моем случае все политики и службы fs на AD, RDS серверав домене — по логике они получают политики с AD и пользователи должны логинится, в РДП например, через службу fs. Тоже самое и с локальными станциями — при включении, вводе логина пароля, должен прилетать профиль FS, но это работает как попало, с одной сработало, на второй нивкакую.
На тестовом стенде небыло кучи RDS, и при конекте например в РДП с указанием имени\ip машины на которой развернут fs все отрабатывало на ура при разных сценариях. А когда есть несколько разных RDS оно ведет себя описаным выше образом. Тоже самое при попытке входа пользователя рабочей станции.