Windows Server 2008
Virtualisation de présentation avec les services Terminal Server améliorés
Joshua Schnoll
À une vue d'ensemble :
- Nouvelles fonctionnalités dans les services Terminal Server Windows Server 2008
- L'aide de TS Gateway pour l'accès à distance
- Équilibrage de charge avec Broker session Terminal Server
Contenu
Nouveautés dans les services Terminal Server
Fonctionnalités de sécurité
Fonctionnalités d'expérience utilisateur
Plus facilement accès à distance
La passerelle des services Terminal Server
Broker session Terminal Server
La virtualisation est un terme à chaud de nos jours, bien que la plupart des personnes temps pense qu'il est lié uniquement à ordinateurs virtuels et la virtualisation des systèmes d'exploitation. Toutefois, services Terminal Server a été détachant la couche de présentation des applications Exécution à distance et des postes de travail depuis la version de Windows NT 4.0. Les services Terminal Server a sont un moyen long depuis et Windows Server 2008 propose une plate-forme de virtualisation présentation arrivent à maturité, robuste. Je me concentrerai les zones clés d'amélioration dans les services Terminal Server.
Nouveautés dans les services Terminal Server
Les services Terminal Server dans Windows Server 2008 comprend de nouvelles fonctionnalités et capacités suivants :
Terminal Services RemoteApp Une seule modification très dans Windows Server 2008 est la capacité à distance une application unique. Dans les versions antérieures des services Terminal Server, le Bureau à distance en entier a été transmis, même si vous souhaitez uniquement accéder à une application unique. Il était souvent confusion pour les utilisateurs étant donné que certaines applications apparaissaient sur le Bureau à distance (via les services Terminal Server) et certaines sur le bureau local, et sans oublier le bureau avait quelle application peut être difficile. À présent, applications accessibles par le biais des services Terminal Server rechercher et se comportent comme si elles ont été exécuté sur ordinateur local l'utilisateur final.
l'accès Web aux services Terminal Server Élevé sur liste de souhaits de tout le monde était un moyen simple pour les utilisateurs finaux de lancer des applications. TS Web Access répond à ce besoin en permettant administrateurs publier des applications individuelles à une page Web. TS Web Access inclut une page Web par défaut qui peuvent être déployée droite de la boîte de, mais elle aussi peut être personnalisé et intégrée à un site SharePoint. Pour lancer un RemoteApp Terminal Server avec TS Web Access, l'utilisateur visite une page Web (accessible soit à partir d'Internet ou intranet), voit la liste des toutes les applications disponibles et clique sur le qu'il souhaite lancer.
Dans Windows Server 2003, un contrôle ActiveX distinct appelé le RDWC (Desktop Web Connection) à distance était nécessaire pour activer une connexion à partir d'un navigateur. Maintenant le contrôle a été intégré directement dans le client Connexion Bureau à distance (RDC) principal, donc rien ne doit être téléchargé ou installé pour le client. En outre, l'ensemble de fonctionnalités RDP (Remote Desktop Protocol) est pris en charge, qui n'était pas le cas avec le client RDWC ancien.
la passerelle des services Terminal Server TS Gateway font partie des fonctionnalités nouvelles plus significatives dans Windows Server 2008. Le trafic RDP s'exécute sur le port 3389 et un des problèmes majeurs administrateurs a dû lorsque le déploiement d'un serveur Terminal Server sur utilisateurs en dehors du pare-feu a été devoir soit ouvrir ce port dans le pare-feu (non recommandé) ou utiliser une solution VPN distincte (coûteuse). Avec TS Gateway, le trafic RDP est par tunnel via HTTPS (port 443) pour établir une connexion chiffrée entre les utilisateurs à distance sur Internet et le serveur Terminal Server (ou ordinateur distant). Mieux encore, le scénario fonctionne tant mieux même si l'utilisateur ou le serveur Terminal Server se trouve derrière un routeur réseau adresse (translation) en fonction de parcours.
TS Gateway peut être associé à une autre fonctionnalité de Windows Server 2008, la protection NAP (Network Access), afin de garantir l'intégrité des ordinateurs clients avant l'accès aux ressources services Terminal Server.
Broker de session services Terminal Server Windows Server 2000 introduites charge (Network BALANCING) et, bien que cela fonctionne vraiment bien pour les serveurs Web, il n'idéal pour équilibrage de charge Terminal Services. Le nouveau Broker de session Terminal Server propose une alternative très à étendre les capacités de l'annuaire de session de Windows Server 2003 pour activer équilibrage de charge session-based.
Avec Terminal Server session Broker, nouvelles sessions sont distribuées vers le serveur moins chargé dans la batterie de serveurs et les utilisateurs n'ont pas de savoir où une session a été établie afin de vous reconnecter à une session existante. Responsables INFORMATIQUES peuvent utiliser la fonctionnalité pour mapper l'adresse IP de chaque serveur Terminal Server sur une seule écriture DNS. Cette configuration peut également fournir tolérance aux pannes ; si un des serveurs de batterie de serveurs est indisponible, les utilisateurs se connecter au suivant serveur moins chargé de la batterie de serveurs.
Terminal Services Easy Print L'impression a été traditionnellement le bane d'existence de nombreux un administrateur dans un environnement de services Terminal Server. En respectant les pilotes d'imprimante requis sur le serveur et les ordinateurs clients, les utilisateurs finaux devait moins flexibilité pour installer des imprimantes bien que les administrateurs subi à vous soucier de gestion des pilotes d'impression sur le serveur. Avec impression fichiers et paramètres Terminal Server, en revanche, les utilisateurs peuvent maintenant fiable imprimer à partir RemoteApp Terminal Server ou d'une session Bureau complète sur un périphérique local impression, si elle est attachée directement ou via un réseau. La meilleure partie est qu'imprimantes peuvent désormais être pris en charge sans qu'il est nécessaire pour installer des pilotes sur le serveur Terminal Server.
Lorsqu'un utilisateur souhaite imprimer à partir un programme RemoteApp Terminal Server ou d'une session bureau, il est la imprimante complet propriétés boîte de dialogue à partir du client local s'affiche et ont accès à toutes les la fonctionnalités imprimante (comme les filigranes d'interclassement, agrafage. Lorsque l'utilisateur imprime, le travail d'impression est affichée avec le format de fichier Microsoft XPS sur le serveur et envoyée au client. En outre, avec TS Easy Print, les administrateurs permet stratégie de groupe de limiter le nombre d'imprimantes redirigées vers simplement l'imprimante par défaut, ainsi réduire surcharge et améliore l'évolutivité.
Les sont les fonctionnalités « bon grand » dans Windows Server 2008. Nous reviendrons sur RemoteApp Terminal Server, TS Web Access TS Gateway et Terminal Server session Broker plus loin dans cet article. Tout d'abord, jetons un coup à certains autres très mais moins de fonctionnalités visible dans cette version.
Fonctionnalités de sécurité
Sécurité a été beefed haut dans la nouvelle version des services Terminal Server.
Authentification au niveau de réseau (NLA) et Authentification de serveur (SA) Avec les versions précédentes de Terminal Server, une attaque de refus de service ou homme en milieu peut avoir été lancée sur l'écran d'ouverture de session du serveur Terminal Server, que les utilisateurs ont été présentées avec l'écran d'ouverture de session après avoir cliqué sur se connecter sur le client RDC. Maintenant NLA authentifie l'utilisateur, ordinateur client et informations d'identification par rapport à l'autre du serveur avant une session Terminal Server est lancée haut sur le serveur et de l'écran d'ouverture de session est présentée à l'utilisateur. Authentification du serveur utilise TLS (Transport Layer Security) pour vous assurer que les clients vous connectez à un serveur Terminal Server légitime et pas une machine non autorisés.
Authentification unique Utilisateurs souhaitent pouvoir utiliser un ensemble d'informations d'identification (une combinaison utilisateur / mot de passe ou une carte à puce et combinaison de code) pour authentifier une seule fois et ne pas pour la demande maintes et maintes fois afin d'obtenir des informations d'identification chaque fois à utiliser une nouvelle ressource. Avec cette version, ordinateurs joint au domaine exécutant Windows Vista ou Windows Server 2008, vous connecter à un serveur Terminal Server Windows Server 2008-basé ou passerelle TS, peuvent utiliser maintenant l'authentification unique.
Renforcement du niveau du système À la fois Windows Vista et Windows Server 2008 ont renforcement nouveau au niveau du système des, qui en fait modularizes composants du système d'exploitation et les exécute au niveau de privilège inférieur. Dans les services Terminal Server, cette fonctionnalité a été implémentée en fractionnant le moteur de Terminal Server de base (termsrv.dll) en deux composants distincts (lsm.exe, le Gestionnaire de sessions noyau et termsrv.dll pour la connectivité à distance).
Termsrv.dll s'exécutaient précédemment, au niveau de privilège du plus élevé de système. À présent, uniquement un tiers du code termsrv.dll d'origine s'exécute à ce niveau dans la nouvelle lsm.exe ; les autres deux tiers exécutée à la quantité réseau service privilège niveau inférieur. Cette modification réduit considérablement la surface d'attaque par rapport à Windows Server 2003.
Fonctionnalités d'expérience utilisateur
Un certain nombre d'améliorations aide les utilisateurs :
Résolution Affichage personnalisé La croissance nombreuses de moniteurs grands et un large éventail de ratios de résolution d'affichage, les services Terminal Server Windows Server 2008 étapes à vos besoins.
L'utilisateur final a la possibilité pour définir des résolutions d'affichage personnalisés (haut à 4096 x 2048) ou modifier les proportions à 16: 9 ou 16:10 pour obtenir une expérience widescreen. Tous types de nouvelles configurations moniteur peuvent pris en charge, tels que les moniteurs avec des résolutions de 1680 x 1050 ou 1920 x 1200. C'est une nette amélioration sur Windows Server 2003, qui pris en charge une résolution maximale de 1600 x 1200 et uniquement 4: 3 afficher ratios de résolutions. Vous pouvez définir une résolution d'affichage personnalisé à partir de la boîte de dialogue client RDC, dans un fichier .rdp, ou à partir d'une invite de commande.
Pour définir une résolution d'affichage personnalisé dans un fichier .rdp, ouvrez le fichier .rdp dans un éditeur de texte et ajouter ou modifier les paramètres suivants (Notez que <value> est la résolution, tels que 1680 ou 1050) :
desktopwidth:i:<value>
desktopheight:i:<value>
<width>Pour définir une résolution d'affichage personnalisé à partir d'une invite de commandes, utilisez la commande mstsc.exe avec la syntaxe suivante (Notez que <largeur> et <height> sont la résolution, tels que 1680 ou 1050) :
mstsc.exe /w:<width> /h:<height>
moniteur Spanning Sessions bureautiques à distance sont maintenant capables de s'étendre sur plusieurs moniteurs. Il existe quelques conditions requises pour cette fonctionnalité pour fonctionner correctement :
- Tous les moniteurs doivent utiliser la même résolution. Par exemple, deux moniteurs à l'aide de 1024 x 768 peuvent être fractionnés. Mais un seul moniteur au moniteur 1024 x 768 et un à 800 x 600 et ne peut pas être couvertes.
- Tous les moniteurs doivent être alignés horizontalement (c'est-à-dire, côte à côte). Il n'existe actuellement aucune prise en charge pour sur plusieurs moniteurs verticalement sur le système client.
- La résolution totale sur tous les moniteurs ne peut pas dépasser la résolution maximale de 4096 x 2048.
Pour activer le moniteur sur dans un fichier .rdp, ouvrir le fichier .rdp dans un éditeur de texte et ajouter ou modifier les paramètres suivants (Remarque : si <valeur> = 0, écran fractionné est désactivé si <valeur> = 1, il est activé) :
Span:i:<value>
Pour définir le moniteur sur à partir d'une invite de commandes, utilisez la commande mstsc.exe avec la syntaxe suivante :
mstsc.exe /span
expérience du bureau Environnement bureau rend un Bureau des services Terminal Server beaucoup de façon analogue à la Windows Bureau Vista. Cette fonction ajoute un certain nombre de composants sur le Bureau à distance, y compris le lecteur Windows Media 11, thèmes du bureau et gestion des photos. Voici comment activer l'expérience du bureau :
- Ouvrez Server Manager. Cliquez sur Démarrer, pointez sur Outils d'administration et puis cliquez sur Gestionnaire de serveur.
- Sous le résumé des fonctionnalités, cliquez sur Ajouter des composants.
- Sur la page Fonctionnalités de sélection, activer la case à cocher expérience Bureau et puis cliquez sur Suivant.
- Dans la page confirmer la sélection de l'installation, vérifiez que la fonctionnalité Expérience Bureau sera installé et cliquez sur Installer.
- Sur la page Résultats de l'installation, vous êtes invité à redémarrer le serveur pour terminer le processus d'installation. Cliquez sur Fermer, puis cliquez sur Oui pour redémarrer le serveur.
Une fois que le serveur a redémarré, vous devez ensuite confirmer que la fonctionnalité Expérience Bureau est installée.
lissage des polices Lissage des polices est le nom pour le support services Terminal Server de ClearType, les polices d'ordinateur complet permet plus précisément, en particulier sur un écran LCD surveiller. Lissage des polices est activé par défaut dans Windows Server 2008, et peut être activé lorsqu'un ordinateur client se connecte à une case à cocher dans la connexion Bureau à distance, comme illustré figure 1 .
Figure 1 lissage des polices d'activation
Notez que le lissage des polices augmente la bande passante (de 4 pour 10 fois, selon le scénario) utilisée entre l'ordinateur client et le serveur Terminal Server. Cette augmentation de la bande passante se produit car les polices ClearType sont transférée à distance en tant que bitmaps au lieu de glyphes qui RDP gère beaucoup plus efficacement.
Affichage données hiérarchisation Avec Windows Server 2003, l'impression d'un travail grand a pu souvent faire de votre écran expérience pâtir. Hiérarchisation des données Affichage détermine automatiquement le trafic du canal virtuel ainsi qu'afficher, clavier, et données de la souris sont attribuées une priorité plus élevée sur le trafic, tels que les transferts l'impression ou le fichier. Cette priorité est conçue en ordre pour garantir que votre écran, le clavier et souris performances n'est pas affectée par des actions impliquant beaucoup de bande passante, telles que les travaux d'impression volumineux.
De la zone, le paramètre est 70:30. Affichage et Entrée données sont allouées 70 % de la bande passante tandis que tout autre trafic, tels que transfert de fichiers ou des travaux d'impression, sera allouée 30 %.
Vous pouvez ajuster les paramètres en modifiant le Registre du serveur Terminal Server. Pour ce faire, modifiez la valeur des entrées suivantes sous la sous-clé HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\TermDD :
FlowControlDisable
FlowControlDisplayBandwidth
FlowControlChannelBandwidth
FlowControlChargePostCompression
Si ces écritures n'apparaissent pas, vous pouvez les ajouter en cliquant avec le bouton droit sur TermDD, pointez sur Nouveau et puis cliquez sur Valeur DWORD (32-bit) valeur.
Vous pouvez désactiver afficher données priorités en attribuant la valeur FlowControlDisable = 1. Si hiérarchisation de données d'affichage est désactivée, toutes les demandes sont gérées sur la base premier de première sortie. La valeur par défaut de FlowControlDisable = 0.
Vous pouvez définir la priorité relative de bande passante pour afficher (et données d'entrée) en définissant la valeur FlowControlDisplayBandwidth. La valeur par défaut est 70 ; la valeur maximale autorisée est 255. De même, vous pouvez définir la priorité relative de bande passante pour autres canaux virtuel (tels que le Presse-papiers, les transferts de fichiers ou les travaux d'impression) en définissant la valeur FlowControlChannelBandwidth. La valeur par défaut est 30 ; la valeur maximale autorisée est 255.
Le rapport de bande passante pour affichage données hiérarchisation est basé sur les valeurs de FlowControlDisplayBandwidth et FlowControlChannelBandwidth. Par exemple, si FlowControlDisplayBandwidth est définie à 150 et FlowControlChannelBandwidth est définie à 50, le rapport est 150:50. En raison de cela, affichage et les données entrées seront ventilées 75 % de la bande passante.
La valeur FlowControlChargePostCompression détermine si le contrôle de flux calculera l'allocation de bande passante en fonction de pré- ou post-compression octets. La valeur par défaut est 0, ce qui signifie que le calcul sera apportée des octets pre-compression.
Si vous apportez des modifications aux valeurs du Registre, vous devez redémarrer le serveur Terminal Server pour que les modifications prennent effet.
la redirection de périphérique Plug-and-Play Dans les services Terminal Server Windows Server 2008, la redirection de périphérique a été améliorée et développée. Vous pouvez désormais rediriger des appareils mobiles Windows, en particulier les baladeurs multimédias basés sur le protocole MTP (Media Transfer Protocol) et les appareils photo numériques basés sur l'image PTP (Transfer Protocol).
Cette fonctionnalité peut être activée avec le bouton Options dans la connexion Bureau à distance. Lorsque qu'il est activé, une liste des périphériques Plug-and-Play pris en charge qui sont actuellement branchés apparaît. Périphériques non pris en charge n'apparaîtront pas. Vous pouvez également sélectionner l'option pour rediriger les périphériques n'ont pas été branchés encore. figure 2 illustre comment activer ces à partir du client RDC.
La figure 2 périphériques Activation qui ne sont pas encore branchés
Lorsque la session à l'ordinateur distant est lancée, vous devriez voir le périphérique Plug and Play qui est redirigé obtenir automatiquement installées sur l'ordinateur distant, notifications Plug-and-Play sont affiche dans la barre des tâches. Une fois le périphérique Plug-and-Play redirigé est installé, est disponible pour les utiliser dans votre session avec l'ordinateur distant. Par exemple, si vous êtes rediriger un périphérique portable Windows comme un appareil photo numérique, il est accessible directement à partir d'une application telle que l'Assistant Scanneur et appareil photo sur l'ordinateur distant.
Vous pouvez contrôler la redirection de périphérique Plug-and-Play à l'aide des paramètres de stratégie de groupe suivants :
- N'autorisent pas la redirection de périphérique Plug-and-Play pris en charge située dans l'ordinateur d'administration\Composants Windows\Services Terminal Terminal Server\Device et redirection de ressources.
- Les paramètres de stratégie situés dans les restrictions d'installation Installation\Device d'administration\Système\Installation de travail.
Vous pouvez également contrôler la redirection de périphérique Plug-and-Play sous l'onglet Paramètres de client dans l'outil de configuration des services Terminal Server (tsconfig.msc) en utilisant la case à cocher pris en charge Plug-and- et périphériques de lecture.
Plus facilement accès à distance
J'AI indiqué précédemment que RemoteApp Terminal Server permet aux utilisateurs à distance une application unique et TS Web Access permet les accéder aux applications facilement à partir d'une page Web; à présent prise examinons quelques affichage rapproché de ces fonctionnalités et des détails de configuration.
RemoteApp Terminal Server RemoteApp programmes peuvent être déployés par le biais des méthodes différentes pour les postes de travail des utilisateurs. En outre TS Web Access, vous pouvez également :
- Créer un fichier de Remote Desktop Protocol.
- Créer une icône de programme sur le Bureau ou démarrer menu via un package Windows Installer (.msi) précédemment distribué.
- Exécuter un fichier où l'extension de nom de fichier est associée à un programme RemoteApp. Cela peut être configuré par l'administrateur avec un package Windows Installer.
Pour savoir comment les utilisateurs peuvent accéder programmes RemoteApp, consultez « Comment doit je déployer programmes RemoteApp? » dans le Guide pas-à-pas Windows Server 2008 Terminal Server RemoteApp au go.microsoft.com/fwlink/?LinkID=84895.
TS Web Access TS Web Access permet le déploiement des programmes RemoteApp d'un serveur unique ou d'une batterie de serveurs Terminal Server. Le Gestionnaire de RemoteApp Terminal Server fournit un processus très rapide et efficace pour publier des applications dans TS Web Access, tout d'abord vous installez les services Terminal Server, puis vous installez les applications à ordinateur hôte.
Gestionnaire de RemoteApp Terminal Server permet d'ajouter des programmes RemoteApp qui sont activés pour TS Web Access. Ensuite, installez TS Web Access sur le serveur sur lequel vous souhaitez que les utilisateurs à se connecter via le Web. Ajoutez le compte ordinateur du serveur TS Web Access au groupe d'ordinateurs de TS Web Access sur le serveur Terminal Server. Enfin, configurez le serveur TS Web Access pour remplir sa liste de programmes de RemoteApp à partir d'un seul serveur Terminal Server ou la batterie unique.
Une fois que les applications ont été installées via la méthode traditionnelle ou remises au serveur terminal server avec la virtualisation d'applications (anciennement SoftGrid), il est très simple de publier ces applications à TS Web Access. L'Assistant RemoteApp guide l'administrateur via quelques étapes rapides et faciles et les applications puis apparaissent dans la liste des programmes RemoteApp publiés.
Par défaut, les applications sont publiées à TS Web Access. RemoteApp Gestionnaire s'affiche ensuite une liste des applications qui ont été publiées et toutes les applications qui sont disponibles pour les utilisateurs via TS Web Access.
Maintenant examinons un aperçu rapide à l'expérience utilisateur final emploi-la. Le premier onglet TS Web Access affiche les icônes des applications qui sont publiées (voir figure 3 ); l'onglet deuxième permet aux utilisateurs de se connecter à un ordinateur de bureau spécifique à l'aide de site Web frontal. Comme indiqué précédemment, cette interface Web est entièrement personnalisable et le » TS Web Access pas-à-pas Guide : personnalisation TS Web Access par à l'aide Windows SharePoint Services, » disponible à go.microsoft.com/fwlink/?LinkID=111241, est une ressource de très vous guide à travers une personnalisation avec SharePoint Services.
La figure 3 Paramètres de saisie pour les fichiers .rdp (cliquez sur l'image pour l'agrandir)
autres méthodes de déploiement Outre TS Web Access, vous pouvez déployer des programmes RemoteApp avec des fichiers .RDP ou les packages Windows Installer. Ces packages peuvent être distribuées via partage de fichiers ou des distribution de logiciels Microsoft Systems Center Operations Manager ou Active Directory. La section suivante vous guide les étapes clés pour créer les packages de droit pour la distribution d'application.
Pour préparer des programmes RemoteApp pour la distribution via un partage de fichiers ou un autre mécanisme distribution, vous devez installer les services Terminal Server et les applications que vous souhaitez publier et vérifier les paramètres de connexion à distance. L'Assistant RemoteApp Terminal Server vous aidera pour ajouter des programmes RemoteApp et configurer des paramètres de déploiement global. Vous pouvez ensuite créer des fichiers .RDP ou les packages Windows Installer.
Nous allons étudier rapidement l'Assistant RemoteApp. Dans l'étape 1, vous configurez les paramètres Terminal Server, TS Gateway et certificats des fichiers .rdp (voir figure 4 ).
La figure 4 Définition des options pour le package du programme (cliquez sur l'image pour l'agrandir)
Dans l'étape 2, vous spécifier dans lequel les icônes de raccourci sont affiche sur le Bureau ou démarrer menu ou associer client extensions de fichier pour que les fichiers locaux sont lancera avec la RemoteApp (voir La figure 5 ).
La figure 5 RemoteApp Affichage des programmes de TS Web Access (cliquez sur l'image pour l'agrandir)
Dans l'étape finale, l'Assistant RemoteApp ouvre le dossier programmes package afin de vous pouvez facilement déployer ces applications package sur les ordinateurs client avec le logiciel de distribution de votre choix (voir La figure 6 ).
La figure 6 programmes distribué pour le déploiement (cliquez sur l'image pour l'agrandir)
La passerelle des services Terminal Server
Maintenant, je vais examiner comment TS Gateway peut aider vos utilisateurs distants les accéder à des applications, les données ou les postes de travail d'extérieur du pare-feu. figure 7 montre à un niveau très élevé, le scénario classique pour le déploiement TS Gateway afin d'offrir l'accès aux utilisateurs via Internet.
La figure 7 travail connexion à partir de portable chez à un réseau d'entreprise (cliquez sur l'image pour l'agrandir)
En gros, la passerelle Terminal Server se trouve dans le périmètre de réseau et acheminent le trafic RDP sur HTTPS. Sinon, vous pouvez placer un terminateur SSL (tels que Microsoft Internet Security et Acceleration Server, ISA) dans le réseau périmètre et avant le trafic RDP entrant à votre passerelle Terminal Server de l'autre côté.
Voici les étapes illustrées La figure 7 :
- Un utilisateur sur un ordinateur portable personnel peut se connecter via Internet en cliquant sur dans un fichier RDP ou un RemoteApp publié icône de programme située sur le bureau, sur l'icône d'un RemoteApp Terminal via TS Web Access, ou en ouvrant le client Connexion Bureau à distance.
- Un tunnel SSL est établi entre l'ordinateur portable personnel et les serveurs Terminal Server à l'aide SSL certificat du serveur de passerelle TS. Avant établissement d'une connexion, l'utilisateur doit être authentifié et autorisé selon pour les services Terminal Server ressource autorisation stratégies (RAP Terminal Server) et de stratégies d'autorisation connexion Services Terminal Server (Cap Terminal Server). Une fois le RAP Terminal Server et Terminal Server CAP stratégies (décrite ci-dessous) a été appliquée, l'utilisateur peut ouvrir une session.
- L'ordinateur portable personnel échange paquets RDP chiffrés encapsulées dans SSL avec la passerelle Terminal Server sur le port 443. La passerelle TS transmet les paquets RDP sur serveur terminal server sur le port 3389.
Vous pouvez créer une batterie de serveurs de passerelle TS serveurs pour les installations plus grandes, mais vous devez une solution distincte (telle que NLB ou un équilibreur de charge tiers) afin d'équilibrer la charge entre les systèmes de batterie de serveurs server. Broker session Terminal Server ne gère pas équilibrage de charge pour serveur TS Gateway.
Maintenant voyons un rapidement comment faire pour déployer cette fonctionnalité. En bref, vous devez obtenir et configurer un certificat pour le serveur de passerelle TS et créer deux types de stratégies d'autorisation mentionné précédemment: CAP Terminal Server et Terminal Server RAP.
obtenir un certificat Vous pouvez utiliser un certificat existant ou demander une autre. Un certificat valide est requis pour la passerelle Terminal Server de la fonction et que vous avez le choix lors de l'installation pour importer un certificat ou créer un certificat auto-signé.
L'option auto-signé est bien si vous effectuez des tests internes, mais bon déploiement nécessite un certificat émis par une autorité de certification entreprise (telles que VeriSign). Une fois que vous avez le certificat installé, vous pouvez ensuite considérer votre déploiement stratégies d'autorisation.
stratégies d'autorisation Cap Terminal Server déterminent qui peut se connecter à la passerelle Terminal Server et spécifiez sous ce que les utilisateurs de conditions peuvent se connecter. Par exemple, vous pouvez spécifier qu'un groupe d'utilisateur qui existe sur le serveur passerelle des services Terminal local ou dans Active Directory peuvent se connecter à une passerelle TS et regrouper les membres doit utiliser des cartes à puce.
RAPs Terminal Server, déterminent d'autre part, les ressources internes, les utilisateurs peuvent accéder via la passerelle des services Terminal. Par exemple, vous pouvez créer un groupe d'ordinateurs (comme une batterie de serveurs Terminal Server) et l'associer avec votre RAP Terminal Server.
Vous devez créer Cap Terminal Server et Terminal Server RAPs pour donner à distance aux utilisateurs l'accès aux ressources internes, comme un utilisateur doit respecter les conditions au moins un CAP Terminal Server et un RAP Terminal Server afin d'avoir accès. Les administrateurs peuvent créer deux types via le Gestionnaire de passerelle Terminal Server, comme illustré figure 8 et 9 de figure .
La figure 8 Création d'une stratégie d'autorisation de connexion (cliquez sur l'image pour l'agrandir)
La figure 9 Création d'une stratégie d'autorisation de ressource (cliquez sur l'image pour l'agrandir)
Ensemble, Cap Terminal Server et Terminal Server RAPs fournissent deux types différents d'autorisation vous permettent de configurer un niveau plus finement connecté de contrôle d'accès aux ordinateurs sur un réseau interne. Pour plus d'informations, consultez le « Terminal Services Gateway pas-à-pas Guide » à go.microsoft.com/fwlink/?LinkID=85872.
Broker session Terminal Server
Le dernier sujet que je souhaite couvrir est session Broker, qui fournit une solution simple à déployer, session, équilibrage de charge. La fonctionnalité repose sur les fonctionnalités de l'annuaire de session de Windows Server 2003 reconnecté à une session existante, un utilisateur et l'ajoute la possibilité de créer une nouvelle session sur le serveur moins chargé dans la batterie de serveurs.
Examinons un scénario typique dans quels tous les serveurs Terminal Server dans une batterie de serveurs ont enregistrements de ressource ordinateur hôte dans DNS mapper à un nom de batterie de serveurs terminal server particulier, dites Farm1. N'importe quel serveur Terminal Server de la batterie de serveurs peut donc servir un redirecteur et traiter les demandes de connexion initiale.
Supposons qu'un utilisateur démarre un client RDC, spécifiant une batterie de serveurs Terminal Server nommé Farm1. Le client contacte le serveur DNS pour résoudre le nom Farm1 à une adresse IP et le serveur DNS, qui est configuré pour utiliser répétition alternée pour équilibrer la charge les demandes de connexion initiale, renvoie une liste d'adresses IP qui sont enregistrés pour Farm1.
Le client envoie la demande de connexion de la première adresse IP dans la liste qui est renvoyée par le serveur DNS. Le serveur Terminal Server avec cette adresse joue le redirecteur en interrogeant le serveur Terminal Server session Broker pour déterminer lequel le client doit ouvrir une session sur le serveur Terminal Server. Le serveur Terminal Server session Broker vérifie sa base de données, et si l'utilisateur a ouvert une session existante, session Broker renvoie l'adresse IP de ce serveur Terminal Server. Si l'utilisateur ne dispose pas d'une session existante, Broker session détermine le serveur Terminal Server de la batterie est la plus basse charger (en se basant sur le nombre de sessions et la valeur du poids relative de serveur), puis elle renvoie l'adresse IP de ce serveur particulier.
Le Redirecteur envoie le client de cette adresse IP, le client puis envoie la demande de connexion à ce serveur, qui traite la demande d'ouverture de session et en informe Broker de session Terminal Server de l'ouverture de session réussie.
Notez que bien que n'importe quel mécanisme d'équilibrage de charge peut être utilisé pour distribuer les connexions initiales, DNS arrondir tour de rôle est le mécanisme plus simple à déployer. Cependant, être conscient que DNS arrondir tour de rôle possède certaines limitations, notamment la mise en cache des demandes DNS sur le client, peut entraîner clients en utilisant la même adresse IP pour chaque demande de connexion initiale, et le risque d'un délai de 30 secondes Délai d'expiration si un utilisateur est redirigé vers un serveur Terminal Server qui est en mode hors connexion mais toujours répertoriée dans DNS.
Déploiement de Terminal Server session Broker charge Équilibrage de la avec une solution équilibrage de charge réseau de niveau telle que NLB ou un équilibreur de charge matériel évite les limitations de DNS tout en toujours tirant parti des fonctionnalités Broker session Terminal Server. La fonctionnalité d'équilibrage de charge Broker session Terminal Server vous permet à affecter une valeur de pondération relative à chaque serveur, qui permet de distribuer la charge entre plus puissant et moins serveurs puissantes de la batterie. Par exemple, si vous avez un serveur qui peut traiter deux fois en tant que nombre de sessions comme un autre serveur de la batterie de serveurs, vous devez donner ce serveur une épaisseur de 200 par rapport à l'autre à 100.
Sessions Terminal Server Broker charge Équilibrage définit une limite de 16 pour le nombre maximal d'en attente d'ouverture de session demande à un serveur Terminal Server particulier. Cette fonctionnalité permet d'empêcher submerger un seul serveur avec les nouvelles demandes d'ouverture de session lorsque, par exemple, vous ajoutez un nouveau serveur à la batterie de serveurs ou lorsque vous activez des ouvertures de session utilisateur sur un serveur où il avaient été précédemment refusées.
En outre, un nouveau mécanisme « serveur Purge » est fourni qui vous permet d'empêcher nouveaux utilisateurs d'ouvrir une session sur un serveur Terminal Server qui est planifiée pour prendre vers le bas pour des raisons de maintenance. Nouvelles ouvertures de session sont refusées sur un serveur Terminal Server particulier, Broker session Terminal Server va autoriser les utilisateurs aux sessions existantes à vous reconnecter, mais redirigera nouveaux utilisateurs à des serveurs qui ont été configurées pour autoriser les nouvelles connexions Terminal Server.
Pour plus d'informations, consultez le « Terminal Server session Broker Load Balancing pas-à-pas Guide » à go.microsoft.com/fwlink/?LinkID=92670. Il y a pas suffisamment d'espace ici pour m'en dirons plus sur les nouvelles fonctionnalités de Windows Server 2008 Terminal Server. Toutefois, il est beaucoup plus contenu, notamment webcasts approfondie sur le site Web des services Terminal Server. Pour en savoir plus, vous devez passez sur à technet.microsoft.com/ts.
Schnoll Joshua a plus de 15 ans de marketing et technologie expérience, concentrer les dernières années 6 sur calcul basé sur le serveur. Il est le responsable de produit senior dans le monde de services Terminal Server Windows Server. Avant d'arrive à Microsoft, il conservés positions par Sun Microsystems, y compris les déterminants marketing produit pour les clients ultra-thin Sun il.