Что нового в Terminal Services в Windows Server 2003
Введение
Компонент терминальных служб в Windows Server 2003 простроен на фундаменте Windows 2000 Terminal Services. Сервер терминалов позволяет доставлять приложения Windows или рабочий стол виртуально на любое устройство, даже если оно не запускает у себя Windows.
Терминальный сервер может расширить возможности распространения программного обеспечения в разных сценариях, которые часто бывает сложно реализовать традиционными способами. При работе пользователя с сервером терминалов, приложение выполняется на сервере, а по сети передаются только события клавиатуры, мыши и отображаемая информация. Пользователи видят только свои индивидуальные сеансы, которые управляются операционной системой независимо от других сеансов.
Режим удаленного администрирования (remote administration mode), бывший в Windows 2000 Terminal Services, теперь в Windows Server 2003 называется «Remote Desktop for Administration» и поддерживает обновленный протокол Remote Desktop Protocol (RDP) 5.1.
| Быстрое развертывание приложений | Сервер терминалов отлично подходит для быстрого развертывания Windows-приложений на ппредприятии — особенно тех, которые приходится часто обновлять, редко используемых или трудно управляемых. При управлении приложением на сервере терминалов отпадает необходимость обслуживать его на множестве клиентских устройств. |
| Возможность низкоскоростного доступа | Сервер терминалов существенно снижает требования к пропускной способности сети, требуемой для удаленного доступа к данным. Можно эффективно использовать терминалы по модемным соединениям или WAN. |
| Windows повсюду | Сервер терминалов помогает пользователям работать более продуктивно, разрешая доступ с самых разных устройств. |
Нововведения
| Удобство в использовании | Возможность переназначения драйвов, локальных и сетевых принтеров, последовательных устройств, смарт-карт, буфера обмена, временной зоны, аудиовыхода. Проддержка 24-битного цвета. |
| Улучшенная масштабируемость | Сервер терминалов поддерживает больше пользователей, чем Windows 2000, а в Windows Server 2003, Enterprise Edition поддерживается балансировка нагрузки Microsoft и других производителей. Улучшена масштабируемость в больших многопроцессорных системах. |
| Улучшенная управляемость | Сервер терминалов предлагает непревзойденную управляемость за счет преимуществ таких технологий, как групповые политики. Удаленное управление доступно через провайдера WMI. Поддержка o Microsoft Windows System Resource Manager (WSRM), включенного в состав Windows Server 2003. |
| Улучшенная безпасность | 128-битное двунаправленное шифрование RC4. Уровень шифрования FIPS. Поддержка смарт-карт. |
| Новый клиент | Новый клиент RDP, Remote Desktop Connection (ранее известный как «Terminal Services Client») поддерживает протокол RDP 5.1 и содержит улучшенный пользовательский интерфейс, позволяя пользователям сохранять настройки соединения, легко переключаться между полноэкранным и оконным режимами, динамически подстраиваться под ширину канала. |
| Улучшенный протокол RDP | При использовании RDP 5.1 в удаленном сеансе доступны локальные ресурсы — файловая система клиента, смарт-карты, аудивывод, последовательные порты, принтеры (включая сетевые), а также буфер обмена. |
| Большее количество цветов и разрешение экрана | RDP 5.1 поддерживает TrueColor (24-bit) и разрешение до 1600х1200ю |
| Улучшения Windows 2003 | Сервер терминалов также заимствует ряд улучшений Windows Server 2003 — таких как политики ограничения программного обеспечения, новые режимы совместимости ПО. |
Особенности нового клиента
Remote Desktop Connection
Клиент службы терминалов, называемый теперь «Remote Desktop Connection» (RDC) содержит ряд существенных улучшений по сравнению с предыдущими версиями.
RDC — это та же программа, которая используется для связи компьютеров на базе Windows XP Professional через Remote Desktop, и может использоваться для соединения с ранними версиями Terminal Services (Windows NT 4 TSE и Windows 2000) .
Для использования RDC просто введите имя удаленного компьютера и выберите Connect:
Переключение между удаленным сеансом и рабочим столом
По умолчанию удаленный сеанс выполняется в полный экран и полном цвете (True Color). Панель Connection в верхней части полноэкранного RDC позволяет легко переключаться между удаленным сеансом и локальным рабочим столом.
Оптимизация производительности по низкоскоростным соединениям
Для оптимизации производительности по низкоскоростным соединениям вы сожете выбрать вашу скорость соединения и убрать ненужные компоненты удаленного сеанса (например, темы рабочего стола, настроить кеширование изображений и т.п.)
Connection Manager больше не требуется, поскольку его функциональность расширена и интегрирована непосредственно в RDC. Это позволяет пользователям и администраторам сохранять и открывать файлы соединений. Сохраняемые пароли надежно шифруются и могут быть расшифрованы только на том компьютере, на котором они были сохранены.
Автоматическое восстановление связи
Для лучшей защиты от внезапных разрывов соединений (особенно в беспроводных и модемных соединениях) RDC автоматически пытается восстановить соединение в случае его потери.
Перенаправление ресурса клиента
RDC поддерживает широкий тип перенаправлений. По соображениям безпасности часть из них запрещена как на сервере, так и на клиенте. Сюда относится перенаправление файловой системы, портов, смарт-карт. Впрочем, эти функции можно включить.
Ниже перечислены некоторые особенности перенаправления ресурсов. Если не оговорено специально, они действительны только для клиентов, подключающихся к Windows Server 2003 или использующие Windows XP Professional. Любой компьютер, выполняющий Remote Desktop Connection, может использовать эти особенности.
| Файловая система | В сеансе можно монтировать драйвы клиентов, включая сетевые. Это позволяет пользователям сохранять файлы на своих локальных дисках. |
| Порты | На сервере можно примонтировать последовательные порты клиента. Это позволяет использовать программами, работающими на сервере, разнообразные устройства клиента. |
| Принтеры | Все принтеры, инсталлированные у клиента, видны на сервере — включая сетевые. В Windows 2000 Terminal Services перенаправлялись только локальные принтеры клиента. Принтерам даются более удобочитаемые имена, например, «printername on printserver (from clientname) in session 9«; тогда как в Windows 2000 они были видны в виде «_printserver_printername/clientname/Session 9.» Перенаправление принтеров также работает на серверах Windows 2000. |
| Звук | Такие звуки, как «ошибка» или «новая почта» перенаправляются клиенту. |
| Смарт-карты | Можно регистрироваться в удаленном сеансе при помощи смарт-карт, содержащих учетную информацию пользователя. Эта функция работает только с ОС, поддерживающими смарт-карты — т.е. Windows 2000, Windows XP и Windows CE. |
| Клавиши Windows | Такие клавиши, как Alt-tab и Control-Escape посылаются в удаленный сеанс. Комбинация Control-Alt-Del всегда обрабатывается на локальном компьютере. Эти переназначения также работают в терминальных службах Windows 2000, но только при использовании у клиента ОС на базе Windows NT; они не работают с Windows 9x. |
| Временная зона | RDC может сообщать временную зону клиента на сервер или пользователи сами могут выставлять свои временные зоны. Это позволяет использовать сервер в одновременно в нескольких временных зонах. Это также полезно для некоторых приложений, например, календарей. Эта особенность по умолчанию отключена, поскольку зависит от правильности установки временной зоны на компьютере клиента. |
| Виртуальные каналы | Виртуальные каналы могут использоваться для передачи данных между клиентом и сервером. Эта функция доступна в Windows Server 2003 и Windows 2000 Server. Информацию о виртуальных каналах можно найти в MSDN http://msdn.microsoft.com/default.asp. |
RDC встроен в сервер Windows Server 2003 и в Windows XP
Установка RDC на другие платформы
Если у клиента нет установленного RDC, вы можете поступить одним из следующих способов:
- Используйте инструменты, например, Microsoft Systems Management Server или групповые политики Windows 2000 для публикации/назначения RDC
- Создайте инсталляцию клиента в общей папке на сервере Windows Server 2003 (можно и на Windows 2000 Server.)
- Инсталлируйте непосредственно с CD Windows XP или Windows Server 2003, используя ‘Perform Additional Tasks’ программы автозапуска CD (для этого не требуется установка операционной системы)
- Загрузите клиента RDC из http://www.microsoft.com/windowsxp/remotedesktop/.
Remote Desktop Web Connection
Remote Desktop Web Connection представляет собой улучшенный объект ActiveX® control/COM object. Он может использоваться провайдерами приложений (ASP) и другими организациями, распространяющие веб-страницы, включающие компоненты Win32® (См. http://msdn.microsoft.com/default.asp )
Версия RDC для Windows CE
Версия RDC для Windows CE включена в Windows CE .NET Platform Builder
Особенности сервера
В Windows Server 2003 намного легче управлять серверами независимо от того, есть на них Terminal Services или нет.
Удаленный рабочий стол для администрирования
Remote Desktop for Administration построен на базе режима удаленного администрирования в Windows 2000 Terminal Services. Помимо двух виртуальных сеансов, доступных в режиме удаленного администрирования в Windows 2000 Terminal Services, администратор может удаленно подключиться к настоящей консоли сервера. Раньше это было недоступно.
Подключение к консоли
Для подключения к консоли администратор может выбрать один из следующих способов:
- Использовать Remote Desktop Microsoft Management Console (MMC).
- Запустить Remote Desktop Connection (mstsc.exe) с ключом /console .
- · Create Remote Desktop Web Connection pages that set the ConnectToServerConsole property.
Активация Remote Desktop и Terminal Services
В отличие от Windows 2000 Server, в котором служба терминалов могла работать в одном из двух режимов, Windows Server 2003 разделяет функционал удаленного администрирования и терминальных служб на два разных компонента.
Remote Desktop for Administration включается через системную контрольную панель на закладке Remote:
.
В свою очередь, Terminal Services включаются посредством добавления компонента «Terminal Server» в Панели Управления в Add/Remove Programs:
Дополнительные функции управления
Следующие функции улучшают управление терминальными службами:
- Групповые политики
Политики используются для настройки свойств терминальных служб. Это позволяет конфигурировать сразу группы серверов, включая такие особенности, как путь к профилю терминальных служб, запрет обоев. - Провайдер WMI
Провайдерl Windows Management Instrumentation (WMI) позволяет настраивать службы терминалов посредством скриптов. - Интерфейсы к Active Directory
Провайдер Active Directory Service® Interface (ADSI) предоставляет программируемый доступ к пользовательским настройкам терминальных служб.
Управление принтерами улучшено в следующую сторону:
- Улучшен маппинг драйверов принтеров.
- Если не найдено соответствие драйвера принтера, Trusted Driver Path позволит вам выбрать другой стандартный драйвер принтера, который наиболее подходит к вашему.
- Поток печати подвергается компресии для лучшей производительности на низкоскоростных каналах
Terminal Services Manager
Улучшенный Terminal Services Manager позволяет легко управлять большими массивами серверов, уменьшая их автоматическое перечисление. Можно получать непосредственный доступ к серверу по имени, а таже создавать список предпочтительных серверов.
Terminal Server License Manager
Значительно улучшен Terminal Server License Manager; упрощена процедура активации сервера лицензирования и добавления лицензий.
Single Session Policy
Настройка политики единичного сеанса позволяет администратору ограничивать пользователей только одним сеансом.
Сообщения об ошибках
Более 40 сообщений об ошибках клиента облегчают диагностику проблем.
Remote Desktop Users Group
Вместо добавления пользователей в список в программе Terminal Services Connection Configuration (TSCC), вы просто делаете их членами группы Remote Desktop Users (RDU). Например, администратор может добавить группу «Everyone» в группу RDU, чтобы позволить всем пользоваться терминальным сервером.
(Замечание: Для использования разрешений на базе NIC, если сервер содержит несколько NIC, все равно требуется TSCC.)
Security Policy Editor
Права пользователей терминальных служб могут быть назначены отдельным пользователям и группам посредством редактора Политик. Это позволяет пользователям пользоваться терминальным сервером, не будучи членом группы Remote Desktop Users.
По умолчанию соединение с сервером шифруется 128-битным двунаправленным алгоритмом RC4.
В сервер терминалов Windows Server 2003 добавлен новый уровень шифрования — «FIPS Compliant». На этом уровне данные, передаваемые от сервера клиенту и наоборот шифруются на основе алгоритма Federal Information Processing Standard (FIPS), используя криптографические модули Microsoft. Этот уровень шифрования предназначен для организаций, требующих соответствия стандартам FIPS 140-1 (1994) и FIPS 140-2 (2001)
Политики ограничения программного обеспечения
Администраторы могут использовать групповые политики для блокировки сервера терминалов, разрешая запуск на них только предопределенных приложений отдельными пользователями.
Подробнее см. http://www.microsoft.com/windowsxp/pro/techinfo/administration/restrictionpolicies/default.asp
Эта новая особенность заменяет инструмент AppSec предыдущих версий Terminal Services.
Терминальные серверы могут быть организованы в «фермы». Это позволяет создавать кластеры компьютеров с балансировкой между ними нагрузки и повысить надежность.
Новая функция Session Directory позволяет пользователям повторно подключаться к отдельным отключенным сеансам, вместо того, чтобы подключаться к последнему.
Session Directory может использовать Windows Load Balancing Service или систему балансировки нагрузки другой фирмы, а служба может работать на любом компьютере с Windows Server 2003. Однако, члены фермы терминальных серверов должны работать на базе Windows Server 2003 Enterprise Edition.
Лицензии (Microsoft Windows Server 2003 Terminal Services CAL) могут быть выдаваться либо на пользователя (User CAL), либо на устройство (Device CAL). Однако, Terminal Services не сможет сделать downgrade для User CAL (т.е. Windows 2003 Server Terminal Services User CAL нельзя сконвертировать в Windows 2000 Windows Terminal Services User CAL), поскольку Windows 2000 Terminal Services (и ранние версии) поддерживают только лицензии на устройства.
Windows 2000 не может выдавать лицензии Windows 2003. Поэтому если у вас смешанная ферма серверов из WS2K3 и W2K, то в первую очередь вы должны установить службу лицензирования Windows Server 2003. Служба лицензирования WS2K3 может выдавать лицензии W2K. В отличие от W2K, службу лицензирования не обязательно устанавливать на контроллер домена.
