|
|
|
|
|
|
|
Server 2008新技術
Windows Server 2008的終端機服務
文/圖 謝合宜.責任編輯/何信達
在我們談Windows Server 2008的終端機服務(Terminal Service)的功能改變之前,似乎需要先談談終端機服務到底提供了什麼好處!
|
|
|
相信大家對於終端機服務的想法可能都停留在「遠端桌面」的使用上,因為透過遠端桌面的功能,管理人員能透過「遠端桌面連線(Remote Desktop
Connection, RDC)」來連結遠端的電腦,經過登入程序後,使用者就如同坐在遠端的電腦前面來進行電腦的使用操作。在Windows Server 2003上,是透過遠端桌面協定(
Remote Desktop Protocol, RDP)來運作,不過遠端桌面是提供給管理人員進行遠端系統設定的功能,所以連線的數量被限制在兩個連線 (session)而已。而終端機服務是Windows作業系統需要另行安裝的元件,可以提供多人同時連線來進行系統的使用,而且每個使用者的使用環境是獨立而不互相干擾,在這樣的使用下,能夠提到幾個重要的好處:
1.非常方便的讓管理人員集中管理應用程式:也就是只需將使用者所需要的應用程式安裝在伺服器端,透過這樣的集中方式可方便管理程式版本與安裝。
2.隨處而一致的可存取使用:透過終端機功能,可以讓使用者不管利用怎樣的系統平台或硬體平台(Windows、非Windows或者是PDA、手機),均能存取使用伺服氣上的Windows平台應用程式。所以,即使只是非常低階的硬體配備或非Windows平台都一樣可以利用這樣的應用。
3.安全而低頻寬的應用:透過RDP協定的本身資料加密在結合VPN的方式即可達到高安全的連線使用。連線過程的資料傳輸是鍵盤、滑鼠與畫面的變動資料,而非處理的資料本身,因此即使用慢速的數據撥接亦可以得到不錯的使用經驗。
使用者經驗的改善
Windows Server 2008使用新的RDP 6.0協定(原來是5.1/5.2),所以原來Windows Server 2003的使用解析度最大只到4:3比例的
1600*1200,目前已經可以支援寬螢幕的使用 (例如16:9或16:10的1920*1200),而最高可支援螢幕解析度為4096*2048。另外現在也開始支援Monitor
Spanning,也就是多螢幕顯示功能,這個功能只能平行螢幕顯示而不能垂直多螢幕顯示,使用時需所有螢幕解析度與顯示頻率設定為一致,最高總解析度不能超過4096*2048。這個Monitor
Spanning功能大概的使用情境我想會適用在後面我們會提到的 RemoteAPP上。
Windows Server 2008的終端機服務也支援32 bit顏色顯示與ClearType字型平滑顯示
(Font Smoothing)。而如果要可以使用如 Windows Vista般的桌面使用經驗(如Aero、佈景主題、Windows Media等)則需要先在
Windows Server 2008另行安裝Desktop Experience Feature。至於週邊裝置的重導向,除了舊有的磁碟、印表機之外,現在也提供即插即用裝置的重導向,因此如支援PTP(Picture
Transfer P r o t o c o l )的數位相機或使用M T P ( M e d i a Transfer Protocol)的媒體播放器等。這些週邊裝置的重導向可以透過群組原則直接定義,也可以透過管理工具中的Terminal
Services Configuration的RDP-TCP設定的Client Setting標籤來處理。(圖1)
圖1:RDP-Tcp的用戶端設定。
而且對於印表機的轉向有個新功能 --- TS
Easy Print,這是說我們不需要先在Terminal Server安裝所需對應的印表機驅動程式,就能夠讓使用者在終端機連線階段( 不管是完整的連線或只是
RemoteApp的連線)直接使用在用戶端電腦所設定好的印表機設定。而對於終端機連線時的身份驗證 (Authentication),Windows Server
2008 提供了三個重要的功能:
1.Network Level Authentication:傳統的終端機或遠端桌面連線都是先建立連線,然後出現登入畫面來讓使用者輸入帳戶資訊。而這個方式很容易引起阻斷式服務
(DoS)攻擊,並且會造成伺服器的系統效能變差(因為已經建立連線)。因此Windows Server 2008透過這個新功能讓使用者的完整連線完成與登入畫面出現之前即可先行完成使用者認證,如此可以減少效能的浪費與被攻擊的風險。這個功能是在安裝Terminal
Service角色的過程就會詢問要不要使用。
2.Single Sign-On(SSO):原來區域網路的 SSO功能也延伸到終端機服務了!如果使用者登入電腦已經使用網域使用者帳戶(使用密碼或Smart
Card),那存取終端機伺服將可不必重複輸入帳戶資訊。(這個功能目前似乎只適用於Windows Vista與Windows Server 2008的用戶端)
3.Server Authentication:透過這個功能來驗證所連結伺服器的正確性以避免偽冒的問題。這個功能預設是啟用的。當然,目前Windows
Server 2008對於64
位元的硬體架構與應用已經提供相當程度大量支援,因此不論是32或64bit的應用程式都可以在終端機服務的架構來運行,因此可以預期的使用者使用經驗能得到更好的改善。
RemoteApp與TS Web Access
除了原來的遠端桌面連線(RDC)用戶端程式之外,還有全新的RemoteApp與改良過的 TS Web Access!RemoteApp是新的連線終端服務的方式,因為舊的連線方式為使用者先開啟RDC來建立完整的連線,然後看到連線後的視窗畫面再開啟所需使用的應用程式來完成工作。而
RemoteApp是透過終端機服務連線的方式,讓使用者可以直接開啟所需要使用的已經事先在伺服器上安裝、處理好的RemoteApp程式,這些處理好的RemoteApp程式會被處理成為所需的
.msi或 .rdp檔(這是純文字檔,描述連接所需的資訊),然後管理員將.msi或 .rdp檔佈署給使用者成為桌面的程式捷徑(利用msi檔的安裝)或桌面的檔案(rdp檔直接儲存),使用者使用時直接點按滑鼠兩下,只需透過帳戶資訊的輸入即可使用(圖2)。
圖2:TS RemoteApp連線的畫面。
如此的使用方式就如同程式是安裝在使用者本機上一樣。(因為不需先啟動RDC再開啟程式了)。建置佈署方式為管理員先透過TS RemoteApp Manager來新增要給使用者的 RemoteApp程式(畫面右方的Action Pane位置),然後選取適當程式(或自行瀏覽),程式就會出現在最下方的清單中,接著點選程式然後利用畫面中央的「Other Distribution Options」來產生所需要的msi或rdp檔即可完成(圖3)。
圖3:TS RemoteApp Manager操作畫面。
另一個對使用者來說最方便的莫過於新改良過的TS Web Access(圖4),首先可以注意到的是連結網只從以往的 http://ServerName(or IP)/ tsweb 調整成 http://ServerName (or IP)/ts,透過瀏覽器的使用也可以直接使用管理員處理好的 RemoteApp,如此更能夠方便進行應用軟體佈署, 而且啟動 RemoteApp時也會提醒使用者來進行相關週邊的重導向(圖5)。當然TS Web Access也有專屬的管理工具可以使用。
圖4:TS Web Access的畫面。
圖5:週邊裝置重導向的警告訊息。
Terminal Services Gateway (TS Gateway)
TS Gateway是Windows Server 2008的Terminal Service 的新角色服務(Role Service),也就是在新增終端機服務角色的時候會另外詢問是否安裝的一個服務。TS Gateway利用RDP over HTTPS 的運作方式,讓任何 Internet的連線使用者先連結到TS Gateway伺服器,然後再重導向到更後端的終端機伺服器(如圖6)。
圖6:TS Gateway RemoteAccess。
這樣的架構好處大致可以有:
1.直接整合現有的終端機服務架構並可穿越防火牆或NAT的限制而延伸到Internet,且以SSL加密的方式運作,因此可以讓使用者不需先建立VPN連線再進行企業內部的資源存取。
2.提供進階的管理工具,讓管理人員減少管理的負擔,並可控制企業內特定資源的存取並進行遠端連線狀態的監控。
當然我們需要知道建立TS Gateway伺服器時的需求:
1.Windows Server 2008伺服器。
2.一台NPS伺服器來集中儲存、管理與驗證 TS Gateway Policies。
3.給TS Gateway
SSL運作的伺服器憑證,可利用Certificate Server或使用自我發行 (Self-Signed)的憑證,這個部份在安裝過程會詢問。(圖7)
圖7:SSL憑證的安裝詢問畫。
圖8:TS Gateway Manager管理畫面。
安裝好TS
Gateway伺服器之後,我們可以透過TS Gateway Manager管理工具來進行後續設定。(圖8)設定的步驟如下:
1 .首先建立Connection Authentication Policy(CAP)來控制使用者是否可以通過 TS Gateway來存取內部網路。建立CAP時可以指定使用者群組(似乎不能使用Domain
Local Group)與電腦群組來控制存取權限,並能夠控制裝置重導向的情形。
2.接著建立Resource Authentication Policy (RAP),透過RAP來控制哪些使用者群組可以透過TS
Gateway連結到後端的哪些伺服器(這就是所謂的Resource Group)。
3.最後使用者透過新版支援RDP 6.0的遠端桌面連線程式(RDC)從Windows
XP(with SP2)/Windows Vista/Windows Server 2003(with SP1)/Windows Server 2008 的電腦,啟動R
D C 連線程式,點選選項 (Options)設定中的進階(Advanced)標籤最下方的[Connect from anywhere]來設定所需的TS Gateway設定。(圖9)
圖9:RDC的TS Gateway設定。
這樣的設定過程,CAP是控制哪些使用者可以連結到TS Gateway伺服器,而RAP是控制哪些使用者可以透過TS Gateway連線到哪些內部的資源(伺服器)。
結論
新的Windows Server 2008的Terminal Service提供了不少新的功能讓管理員方便、使用者高興。不過相關的授權管理(Terminal Licensing)還是需要先註冊進行啟用動作,不然只有120天的試用期。而有關於用戶端連線方式的挑選,我自己認為如果是公司內部的使用者可以使用傳統的R
D C 或新的 R e m o t e A p p ;分支辦公室的使用者使用 RemoteApp或TS Web Access會很方便;而對需要到處跑來跑去的行動工作者來說,安全的控管與監控是相當重要的,因此利用TS
Gateway功能是相對好的。
|
|
|
【原文刊載於RUN!PC雜誌:2007年十一月號】 |
|
|
|
更正啟事 |
 |
RUN!PC 七月號 (第174期)
˙第47頁「UTM產品一覽」表中內容,NUSOFT於「其他產品特色」欄,應加註 「IM/P2P控管等」。
|
|
|