Déploiement des services Terminal Server (Chapitre 16)

Sur cette page

Déploiement des services Terminal Server (Chapitre 16)
Aperçu général des services Terminal Server
Composants de la licence des services Terminal Server
Microsoft Clearinghouse
Serveur de licences
Serveur Terminal Server
Licences des clients
Licences optionnelles des services Terminal Server
Expansion tierce partie
Création du plan de déploiement des services Terminal Server
Processus du déploiement des services Terminal Server
Équipe des services Terminal Server
Identification des spécifications pour les services Terminal Server
Scénario 1 : Administration distante par les services Terminal Server
Scénario 2 : Accès distant
Scénario 3 : applications liées à l'activité commerciale
Scénario 4 : déploiement central de bureaux
Spécifications du déploiement
Préparation de l'environnement informatique
Installation du Serveur de licences sur le contrôleur de domaine
Accès par réseau longue distance
Accès aux services du réseau
Connexion du client et du serveur services Terminal Server
Évaluation de l'environnement en place
Remarques sur le déploiement des applications
Création du modèle de déploiement des services Terminal Server
Mise en place d'un serveur de licences
Activation d'un serveur de licences
Activation d'un serveur de licences
Installation des licences
Utilisation de l'outil Gestionnaire de licences des services Terminal Server
Sauvegarde du serveur de licences
Modèle réseau de l'accès au serveur Terminal Server
Équilibrage de charge réseau et services Terminal Server
Modèle et mise en place de la structure de domaines
Utilisation des profils d'utilisateur ou des profils itinérants de Windows 2000
Profils itinérants d'utilisateurs
Stratégie de groupe
Accès aux applications
Utilisation des répertoires de base
Planification de la sécurité
Système de fichiers NTFS
Droits des utilisateurs
Droits des administrateurs
Procédures d'ouverture de session automatique
Chiffrage
Remarques supplémentaires sur la sécurité
Services Terminal Server par Internet
Coupe-feu
Configuration des serveurs pour le déploiement des services Terminal Server
Préparation au déploiement des clients
Déploiement sur des terminaux Windows CE
Déploiement sur les ordinateurs clients
Mise à niveau avec services Terminal Server
Installation et configuration des applications
Déploiement d'applications par la Stratégie de groupe
Déploiement d'applications d'un contrôleur de domaine
Utilisateurs multilingues et internationaux
Impression par les services Terminal Server
Impression sur l'imprimante locale par le protocole RDP
Imprimantes partagées par réseau
Impression par une connexion longue distance ou d'accès à distance
Pratiques recommandées pour la configuration des clients
Planification des tests et du projet pilote
Remarques sur le laboratoire des tests
Contrôle des performances
Performances des UC
Évaluation des performances de la mémoire
Évaluation des performances du réseau
Utilisation du Bureau d'aide et des outils administratifs
Contrôle distant
Outils d'administration
Liste des tâches de planification du déploiement des services Terminal Server

Déploiement des services Terminal Server (Chapitre 16)

Aperçu général des services Terminal Server

Les services Terminal Server sur un serveur Windows 2000 Server rendent possibles l'exécution des applications clientes, l'analyse de leurs données et le stockage de leurs données sur le serveur même. Ils fournissent un accès distant au bureau d'un serveur par un logiciel d'émulation de terminal. Ce dernier peut s'exécuter sur de nombreux périphériques matériels clients, tels qu'un ordinateur personnel, un ordinateur de poche Windows CE ou un terminal. Le terme Terminal Windows (TW) décrit de manière générale le terminal lui-même, qui peut avoir accès aux serveurs exécutant un système d'exploitation Windows multiutilisateurs, tel que les services Terminal Server.

Avec les services Terminal Server, le logiciel d'émulation de terminal envoie les frappes de touches et les mouvements de la souris au serveur, lequel effectue la manipulation des données de manière locale et en retourne l'affichage. Cette approche permet le contrôle distant de serveurs et une gestion centralisée des applications, réduisant les spécifications de bande passante du réseau entre serveur et client.

Les utilisateurs peuvent avoir accès aux services Terminal Server par toute connexion de protocole TCP/IP, y compris Accès distant, Éthernet, Internet, onde radio, lien longue distance ou réseau privé virtuel (VPN). La bande passante ne sera limitée que par les caractéristiques du lien le plus lent de la connexion.

Les services Terminal Server rendent possibles l'administration distante des ressources du réseau, une présentation uniforme des applications à des utilisateurs situés dans des bureaux géographiquement dispersés, et l'obtention d'une interface graphique pour les applications fonctionnant sur des ordinateurs en mode texte. Voici une partie de leurs avantages :

• Cela permet l'usage d'applications Windows à 32 bits sur des périphériques qui ne sont pas Windows tels que :

  • Windows pour Workgroups 3.11

  • Les périphériques Windows CE

  • Clients MS-DOS

  • Terminaux UNIX

  • Macintosh

• Les clients qui ne sont pas à base Windows doivent se servir d'un logiciel complémentaire tierce partie.

• Les services Terminal Server ne monopolisent qu'un faible espace disque, requièrent peu de mémoire et leur configuration est aisée pour les clients.

• En outre, ils simplifient la prise en charge des ordinateurs et bureaux distants.

• Offrent une sécurité et une gestion centralisées.

• Sont sans effet sur les applications et l'infrastructure réseau existante.

Les services Terminal Server constituent une caractéristique intégrée de Windows 2000. Vous pouvez les activer de deux manières :

Administration distante L'administration distante donne à l'administrateur système un puissant moyen d'administrer à distance chaque serveur Windows 2000 Server sur toute connexion TCP/IP. Vous pouvez administrer le partage de fichiers et d'impression, modifier le Registre d'un autre ordinateur sur le réseau, ou effectuer toute tâche comme si vous vous trouviez devant la console. Vous pouvez vous servir du mode d'administration distante pour gérer des serveurs qui ne sont pas normalement compatibles avec le mode Serveur d'applications des services Terminal Server, tels que ceux qui exécutent le service Cluster. Pour de plus amples renseignements sur Cluster de Windows, reportez-vous au chapitre 18, "Disponibilité des applications et des services", dans ce livre.

Le mode Administration distante n'installe que les composants d'accès distant de services Terminal Server, non les composants de partage des applications. Autrement dit, il n'entraîne qu'une surcharge minime sur les serveurs critiques. Les services Terminal Server permettent deux connexions d'Administration distante simultanées an maximum. Aucune licence supplémentaire n'est requise pour ces connexions et vous n'avez pas besoin d'un serveur de licences.

Serveur d'applications En mode Serveur d'applications, vous pouvez déployer et gérer des applications à partir d'un emplacement central, épargnant aux administrateurs du temps de développement et de déploiement, tout en réduisant le temps et le travail requis pour la maintenance et la mise à niveau. Une fois qu'une application est déployée dans les services Terminal Server, nombre de clients (de types différents) peuvent s'y connecter – par une connexion d'Accès distant, de réseau local ou de réseau longue distance.

Vous pouvez installer vos applications directement sur le serveur Terminal Server, ou vous servir servez de l'installation distante. Par exemple, vous utilisez la Stratégie de groupe et Active Directory pRépertoire pour publier les packages d'applications Windows Installer dans un serveur ou un groupe de serveurs Terminal Server. Les applications ne peuvent être installées que par un Administrateur, serveur à serveur, et dans le seul cas où le réglage de Stratégie de groupe approprié est activé.

Les services Terminal Server ne peuvent pas passer l'adresse IP des ordinateurs clients à une application. Or, cette information est requise par Windows Clustering. Vous ne pouvez donc pas vous servir du service Cluster en mode Serveur d'applications.

Vous devez disposer d'une licence de client quand vous déployez un serveur Terminal en tant que serveur d'applications. Chaque ordinateur client, quel que soit le protocole en usage pour se connecter à un serveur Terminal Server, doit avoir une licence d'Accès de client aux services Terminal Server, de même qu'une licence d'Accès de client Windows 2000.

Composants de la licence des services Terminal Server

Le service Terminal Server est doté de sa propre méthode de licence pour les clients ouvrant une session sur des serveurs Terminal Server, distincte de celle des clients de Windows 2000 Server. Cette licence est constituée des composants suivants : Microsoft Clearinghouse, un serveur de licences, un serveur Terminal Server et des licences de clients.

Microsoft Clearinghouse

Microsoft Clearinghouse est la base de données que Microsoft conserve pour activer les licences de serveurs et envoyer les clés de licence de clients aux serveurs de licences qui les demandent. Il stocke des informations sur toutes les clés qui ont été distribuées. Vous y accédez par l'assistant de gestion des licences.

Serveur de licences

Un serveur de licences stocke toutes les licences des clients des services Terminal Server qui ont été installées pour un serveur Terminal Server ; il assure le suivi de celles qui ont été distribuées aux ordinateurs ou aux terminaux clients. Un serveur Terminal Server doit pouvoir se connecter à un serveur de licences actif, avant que les clients puissent recevoir des licences. Un serveur de licences actif peut assurer simultanément le service de plusieurs serveurs Terminal Server.

Serveur Terminal Server

Un serveur Terminal Server est l'ordinateur sur lequel les services Terminal Server sont activés. Il fournit aux clients l'accès aux applications Windows s'exécutant entièrement sur le serveur et prend en charge de multiples sessions de clients sur le serveur. Quand les clients y ouvrent une session, il valide leur licence. Si l'un d'eux n'en a pas, le serveur Terminal Server en requiert une du serveur de licences.

Licences des clients

Chaque ordinateur ou terminal client qui se connecte à un serveur Terminal Server doit disposer d'une licence valide. Celle-ci est stockée de manière locale et présentée au serveur Terminal Server chaque fois que le client se connecte au serveur. Le serveur la valide à ce moment, et permet au client de se connecter.

La figure 16.1 montre les composants de licence des services Terminal Server.

Figure 16.1 Composants de licence des services Terminal Server

Pour de plus amples renseignements sur la mise en place des composants de licence des services Terminal Server, reportez-vous à "Mise en place d'un serveur de licences" dans la section suivante.

Licences requises

Le déploiement de clients et de services Terminal Server sur votre réseau requiert les licences suivantes :

• Licence Windows 2000 Server Elle est incluse dans l'achat du produit.

• Licence d'accès client Windows 2000 Server Elle est requise pour chaque périphérique qui se connecte à Windows 2000 Server. La licence d'accès client permet à un client d'employer les services de fichiers, d'impression et autres services du réseau fournis par Windows 2000 Server. Le composant services Terminal Server de Windows 2000 Server requiert une licence "Par siège" pour la licence d'accès client de Windows 2000 Server, hormis quand vous acquérez la licence du Connecteur Internet de services Terminal Server de Windows 2000, décrite dans la suite de cette section.

Chaque ordinateur ou terminal client requiert les licences suivantes :

• Licence d'accès client de services Terminal de Windows 2000 Server ou licence de Windows 2000 La licence d'Accès client fournit à chaque ordinateur ou terminal client le droit d'accéder aux services Terminal Server sur un serveur Windows 2000 Server. Par exemple, elle est requise pour démarrer une session de terminal et exécuter les applications Windows sur le serveur. Outre qu'elle fournit le droit d'accéder aux services Terminal Server sur un serveur Windows 2000 Server, la licence de Windows 2000 permet l'installation du système d'exploitation Windows 2000. La licence d'accès client de Terminal Server n'est pas requise pour les clients qui ne se connectent qu'aux serveurs Terminal Server en mode d'Administration distante.

Licences optionnelles des services Terminal Server

Outre les licences requises pour les services Terminal Server, il existe deux licences optionnelles : la licence de Connecteur Internet de services Terminal Server de Windows 2000 et la licence d'accès client Terminal Server de Windows 2000 pour travailler à domicile.

Licence de Connecteur Internet de services Terminal Server de Windows 2000

Au lieu de licences d'accès client, une option vous permet d'acheter la licence de Connecteur Internet de services Terminal Server de Windows 2000, une licence distincte qui s'acquiert comme licence additionnelle à Windows 2000 Server. Avec son aval, deux cents utilisateurs simultanés au maximum peuvent se connecter anonymement à un serveur Terminal Server par Internet. Cette solution sera utile aux entreprises qui souhaitent faire la démonstration d'un logiciel Windows à des utilisateurs Internet, sans devoir les réécrire en tant qu'applications Web. Les utilisateurs qui accèdent à un serveur Terminal Server doté de cette licence ne peuvent être des employés.

Quand vous vous servez de la licence Connecteur Internet avec un serveur Windows 2000 Server spécifique, les services Terminal Server ne permettent que l'accès anonyme des clients. Vous ne pouvez vous en servir avec d'autres types de licences d'accès clients pour les services Terminal Server sur le même serveur Windows 2000 Server.

Licence d'accès de Client Terminal Server de Windows 2000 pour travailler à domicile

Pour les entreprises qui entendent faire appel aux services Terminal Server pour fournir un accès au bureau Windows 2000 et aux applications Windows 32 bits à leurs employés depuis leur domicile, il existe la Licence d'accès client Terminal Server de Windows 2000 pour travailler à domicile ("Work at home") par le biais des programmes de licences Microsoft Volume. Pour chaque licence d'accès de client Windows 2000 Professionnel ou services Terminal Server dont vous faites l'acquisition, vous pouvez acheter une Licence d'accès de Client Terminal Server de Windows 2000 pour travailler à domicile.

Expansion tierce partie

MetaFrame™ est une additif tierce partie aux services Terminal Server de Windows 2000 dû à Citrix Systems, Inc. Il incorpore le protocole d'Architecture informatique indépendante de Citrix (ICA) et offre des capacités étendues pour :

• Les périphériques clients

• Les connexions réseau

• Les ressources locales du système.

MetaFrame fournit également divers outils de gestion pour services Terminal Server de Windows 2000. Pour de plus amples renseignements sur MetaFrame, contactez Citrix Systems, Inc.

Création du plan de déploiement des services Terminal Server

Une fois compris ce que représentent les services Terminal Server et leurs spécifications de licence, vous pouvez démarrer la phase de planification de leur déploiement. Nous allons dans la suite de cette section collecter les informations nécessaires à cet effet.

Processus du déploiement des services Terminal Server

Tandis que vous entreprenez la phase de planification de déploiement des services Terminal Server, référez-vous aux étapes de planification que la figure 16.2 rapporte

.

Figure 16.2 Processus du déploiement des services Terminal Server

Les tâches de ce processus sont analysées une à une dans la suite de cette section.

Équipe des services Terminal Server

L'esprit d'équipe est essentiel à la planification et au déploiement des services Terminal Server. Incluez dans la vôtre des administrateurs système pour les questions relevant du réseau, des administrateurs pour les applications de services Terminal Server et des responsables de vos unités fonctionnelles.
Cette équipe sera chargée de voir comment l'entreprise tirera profit des services Terminal Server, et d'en concevoir le déploiement.

Identification des spécifications pour les services Terminal Server

Une fois l'équipe en place, sa première tâche va consister à déterminer quels besoins de l'entreprise seront satisfaits par les services Terminal Server. Avant de commencer la planification de leur déploiement, examinez les spécifications de chaque scénario fonctionnel.

Scénario 1 : Administration distante par les services Terminal Server

L'Administration distante des services Terminal Server permet aux administrateurs système dotés des licences appropriées d'administrer à distance chaque serveur Windows 2000 Server par des connexions TCP/IP.
Dans ce scénario, un administrateur système recourt à des caractéristiques telles que l'administration du Gestionnaire de domaines et des services d'annuaires à distance de Microsoft Management Console (MMC) pour administrer des serveurs dans son propre domaine d'annuaire.

En activant les services Terminal Server en mode d'Administration distante, la gestion des serveurs s'étend aux forêts et aux domaines en mode mixte, où se trouvent des ordinateurs Windows 2000 et Microsoft Windows NT. Avec Windows Clustering, la gestion des serveurs peut être étendue aux serveurs en clusters. Si tous les serveurs exécutent Windows 2000, l'Administration distante peut être déployée sur chaque serveur de l'entreprise, ce qui rend possibles la connexion et l'administration directes.

Comme l'activation des services Terminal Server n'affecte que peu le serveur, il vous est recommandé de les activer sur tous les serveurs d'une forêt. Ainsi, si l'un d'eux connaît une panne, un autre sera disponible. Pour les environnements mixtes, ou pour ceux où le contrôle doit être restreint, l'Administration distante sera déployée sur un ensemble limité de serveurs, tels que les contrôleurs de domaine. Les autres seront administrés par le domaine à l'aide d'outils de gestion standards. Dans les deux cas, l'administration peut intervenir à partir de toute plate-forme qui prend en charge le Client Terminal Server ; celui-ci n'a pas à être sous Windows 2000.

En mode d'Administration distante, les services Terminal Server disposent de deux connexions intégrées par serveur, qui ne requièrent ni installation spéciale ni licence spécifique.

La figure 16.3 montre l'activation de l'Administration distante pour la gestion des serveurs dans les forêts et dans un domaine en mode mixte.

Figure 16.3 Administration distante étendant la gestion des serveurs

Scénario 2 : Accès distant

L'Accès distant étend les capacités des services Terminal Server sur les connexions TCP/IP externes. La communication est limitée par les caractéristiques du lien le plus lent dans la connexion.
Dans ce scénario, ces utilisateurs d'un bureau distant, équipés du logiciel client des services Terminal Server, peuvent accéder à une application comptable située sur le serveur Terminal Server dans le bureau central. Ils accèdent aux données essentielles de l'entreprise par une connexion d'Accès distant au moyen d'un modem. Comme sont avant tout échangées entre client et serveur des informations de clavier et d'affichage, les spécifications en bande passante sont faibles, et ces utilisateurs travaillent confortablement malgré le lien à faible débit. Vous pouvez ajouter davantage d'applications sans accroître les besoins en bande passante, à condition qu'elles ne soient pas gourmandes en ressources graphiques.
Avant que quiconque, situé sur un bureau distant, puisse accéder à vos ressources de réseau, il doit présenter ses informations d'identité et être entièrement authentifié. Vous pouvez fournir une couche supplémentaire de sécurité au moment du routage par un serveur Terminal Server pour l'accès aux ressources du réseau.

Un paradigme similaire pourra s'appliquer afin de permettre l'accès à des applications rarement utilisées ou en développement.
La figure 16.4 montre comment les employés d'un bureau distant vont se connecter à un bureau central par une connexion TCP/IP.

Figure 16.4 Bureau central et bureau distant relié par une connexion TCP/IP

Scénario 3 : applications liées à l'activité commerciale

Le mode Serveur d'applications de services Terminal Server est tout indiqué pour déployer des applications liées à l'activité commerciale de l'entreprise, surtout celles dont l'installation est ardue ou requièrent de fréquentes mises à jour.

Dans ce scénario, les opérateurs de saisie accèdent à une application spécialisée pour saisir des informations dans une base de données. Comme cette application réside sur un serveur Terminal Server, ils travaillent sur des terminaux Windows plutôt que sur des ordinateurs clients. En cas de panne d'un serveur, les périphériques clients peuvent se reconnecter à un autre serveur. La préservation séparée des données des serveurs Terminal Server permet cette solution, et le mécanisme d'équilibrage de charge réseau sur un groupe de serveurs Terminal Server garantit une certaine qualité de fonctionnement. Si un terminal est en panne, il sera remplacé facilement en interrompant pour très peu de temps le travail de l'utilisateur.

Dans une entreprise, l'organisation des départements veut souvent que la sécurité soit conçue pour fournir l'accès approprié aux ressources du réseau et aux informations requises par les tâches que chaque utilisateur effectue.
La figure 16.5 montre comment des opérateurs de saisie vont entrer des informations de produit dans une base de données en se servant d'une application spécialisée résidant sur un serveur Terminal Server.

Figure 16.5 Applications spécialisées sur des serveurs Terminal Server

Scénario 4 : déploiement central de bureaux

On obtient un déploiement central de bureaux en chargeant des applications bureautiques sur un serveur Windows 2000 Server où fonctionnent les services Terminal Server en mode Serveur d'applications. Chaque ordinateur client est doté d'une seule application de petite taille, qui permet l'émulation de chaque bureau Windows de l'utilisateur. Les applications s'exécutent en fait sur le serveur.
Dans ce scénario, une entreprise internationale peut fournir à ses employés dissiminés dans le monde entier un accès fiable aux applications de production, de même qu'aux outils de productivité. Les services Terminal Server étant activés sur un serveur Windows 2000 Server, les clients exécutent un ensemble contrôlé et standardisé d'applications, même s'ils se trouvent à distance ou se servent d'une matériel plus ancien. La sécurité du système leur fournit les droits d'accès appropriés.

Comme l'expérience du bureau Windows est disponible à tous les utilisateurs, les programmeurs peuvent créer des interfaces utilisateur Windows standards pour les applications internes à la firme, au moyen d'outils tels que Microsoft Visual Basic.

La figure 16.6 montre comment une entreprise fournira un accès mondial à ses applications et outils avec les services Terminal Server.

Figure 16.6 Déploiement d'un bureau central d'applications et d'outils avec les services Terminal Server

Spécifications du déploiement

Les scénarios que nous venons de considérer se recoupent en fait en plusieurs points. Par exemple, les utilisateurs qui accèdent à leur bureau par un bureau central le feront aussi au moyen d'un Accès distant grâce à un modem. Avant de déployer les services Terminal Server dans votre entreprise, vous devez donc étudier avec soin les spécifications du tableau 16.1.

Table 16.1 Spécifications du déploiement

	Administration distante	Accès distant	Applications spécialisées	Déploiement central de bureaux
Licence		X	X	X
Serveur de licences		X	X	X
Structure de domaines	X		X	X
Équilibrage de charge réseau		X	X	X
Profils itinérants		X
Impression locale	X	X	X	X
Sécurité	X	X	X	X

Préparation de l'environnement informatique

Avant de concevoir le déploiement des services Terminal Server, vous devez avoir une idée claire de votre environnement informatique. Pour de plus amples renseignements sur la documentation de cet environnement, reportez-vous au chapitre 3, "Planification du déploiement", dans ce livre. Pour des informations spécifiques au déploiement des services Terminal Server, vous devez aussi prendre en compte chacun des éléments qui suivent.

Installation du Serveur de licences sur le contrôleur de domaine

Dans les domaines Windows 2000, le serveur de licences doit être installé sur un contrôleur de domaine. Dans les groupes de travail ou les domaines Windows NT 4.0, vous pouvez l'installer sur tout serveur Windows 2000 Server. Si, cependant, vous entendez faire migrer un domaine ou un groupe de travail Windows NT dans un domaine Windows 2000, il vous est fortement recommandé de l'installer sur le contrôleur de domaine ou sur un ordinateur à même d'être promu à ce rôle.

Accès par réseau longue distance

Voyez si des filtres ont été mis en place sur les routeurs ou coupe-feu, susceptibles d'empêcher les clients d'accéder à distance à un serveur Terminal Server. Assurez-vous que le port RDP (port 3389) n'est pas bloqué au niveau du coupe-feu et que l'accès à des segments spécifiques n'est pas limité aux adresses réseau IP ou IPX. Si ce type de blocage est en place et s'il interdit des connexions distantes, l'équipe doit y remédier pendant le déploiement.

Accès aux services du réseau

Vous voudrez peut-être fournir à vos clients ou vos fournisseurs un accès à des applications ou des données ; vous déterminerez peut-être que Internet offre la manière la plus commode de permettre aux utilisateurs finals d'avoir accès aux services Terminal Server. Si vous entendez rendre disponibles des serveurs par Internet, n'omettez pas de prendre en compte les questions de sécurité.

Si votre entreprise se sert d'un coupe-feu, déterminez s'il agit au niveau des paquets ou des applications. Les coupe-feu qui fonctionnent par filtrage de paquets sont plus faciles à configurer pour les nouveaux protocoles. Si votre entreprise se sert d'un coupe-feu au niveau des applications, voyez si son vendeur a défini un filtre pour RDP ; sinon, contactez-le pour lui demander de le faire.

Documentez la méthode dont se sert le réseau pour se connecter à Internet, ce qui vous aidera à déterminer la bande passante disponible pour les services Terminal Server. La connexion est-elle permanente ? Décrivez le nombre et le type des lignes en usage (T1, RNIS, etc.)

Connexion du client et du serveur services Terminal Server

RDP prend en charge les connexions TCP/IP entre le client et le serveur de services Terminal Server. Cette connexion peut intervenir par des connexions réseau d'Accès à distance, soit en mode natif sur le réseau local, soit par une connexion VPN de longue distance. Les services Terminal Server se servent de toute connexion IP que vous fournissez. Il est important d'évaluer, toutefois, si le type de connexion que vous fournissez est adéquat au travail effectué et si la sécurité qu'elle fournit est appropriée pour les données transmises. Un même utilisateur peut se connecter par un modem avec faible bande passante et jouir de bonnes performances, mais il serait absurde de partager une ligne à 28,8 kbit/s dans un bureau comptant cent personnes.

Évaluation de l'environnement en place

Effectuez une évaluation assez minutieuse de l'environnement en cours, notamment des terminaux Windows, des ordinateurs clients, des terminaux texte, des ordinateurs Macintosh, des stations de travail UNIX, ainsi que des périphériques de poche. Au lieu de tenter de documenter chaque ordinateur individuel, il suffira d'en estimer le nombre et de décrire des normes applicables soit au niveau du département, soit de l'entreprise entière. Voici les tâches impliquées :

• Fournissez une vue d'ensemble du nombre total d'ordinateurs clients actuellement en usage.

• Décrivez la configuration des ordinateurs qui exécuteront le client de serveur Terminal Server en termes d'UC, de système d'exploitation, d'espace disque disponible, de mémoire vive et de vidéo. Enregistrez toute norme officielle ou officieuse en existence dans le département ou l'entreprise, et prenez note de toute machine qui s'y satisfait pas : elles devront être mises à niveau ou remplacées. Pensez au nombre de chaque classe de clients en usage pour déterminer la norme qui maximisera votre équilibre coûts/profits.

• Documenter la quantité et le type de terminaux dans votre environnement, notamment les terminaux Windows qui seront utilisés pour les services Terminal Server et tout terminal texte qui devra être remplacé.

• Les terminaux texte ne peuvent faire office de clients de serveur Terminal Server car ils n'ont pas de possibilités graphiques ; dans certains cas, vous pourrez les conserver pour un accès aux systèmes centraux anciens, ou choisir de les remplacer par des terminaux Windows.

• Documentez tout système avec lequel les clients de serveur Terminal Server vont entrer en contact. Si les ordinateurs clients en place y ont accès par une passerelle non-Windows 2000, vous devrez peut-être installer une nouvelle passerelle. Voyez si votre entreprise possède les licences nécessaires pour avoir accès à ces systèmes d'un environnement Windows.

Remarques sur le déploiement des applications

Documentez les applications que vous entendez déployer sur les ordinateurs clients avec les services Terminal Server. Certaines comportent des caractéristiques qui les empêcheront de fonctionner avec ces services. De ce fait, vous devrez peut-être instruire vos utilisateurs de façon à ce qu'ils les installent de manière locale. En particulier, vous devez identifier :

• Les applications qui requièrent un matériel spécial, tels que des lecteurs de cartes de crédit et de codes-barres. Vous ne pouvez vous servir de ces périphériques avec un client services Terminal Server que s'ils se connectent à l'ordinateur ou au terminal client de telle manière que l'ordinateur les reconnaisse comme périphériques de type clavier. Les périphériques qui se connectent à l'ordinateur local par le port parallèle ou série, ou par une carte spéciale, ne sont pas aujourd'hui reconnus par le client RDP de serveur Terminal Server.

• Les applications multimédias, ou celles où la sortie graphique est de quelque importance, ne s'exécutent pas bien sous les services Terminal Server. De nombreux jeux relèvent de cette catégorie, de même que les applications qui nécessitent un flux soutenu de données.

Dans d'autres cas, les applications vont fonctionner, mais exigeront des scripts d'installation ou d'exécution spéciaux. En général, ces scripts compensent certaines difficultés du programme, telles qu'un usage impropre du Registre ou l'absence de prise en charge d'un stockage de fichiers multiutilisateurs. Renseignez-vous auprès de leur programmeur. Pour de plus amples renseignements sur ce sujet, reportez-vous au lien Information concernant les applications pour services Terminal Server sur la page Windows 2000 Resource Kits - Web Resources  .
Les applications personnalisées vont peut-être requérir une modification ou des scripts de prise en charge, si elles n'ont pas été écrites pour un contexte multiutilisateurs. Pour de plus amples renseignements sur la création de ces scripts, reportez-vous au lien Création de scripts d'installation et d'exécution pour services Terminal Server sur la page  Windows 2000 Resource Kits - Web Resources .

Remarque
Les utilisateurs qui ne sont pas administrateurs ne peuvent faire appel à Windows Installer pour installer des applications sur un serveur Terminal Server.

Création du modèle de déploiement des services Terminal Server

Une fois que vos besoins ont été identifiés et que l'inventaire de votre environnement a été dressé, vous pouvez démarrer la planification des services Terminal Server. Cette section vous aidera à collecter les informations requises.

Mise en place d'un serveur de licences

Il faut un serveur de licences pour les services Terminal Server quand ceux-ci fonctionnent en mode Serveur d'applications. Le service de licence des services Terminal Server est un service à faible surcharge, qui stocke les licences des clients émises pour un serveur Terminal Server et assure le suivi de celles qui ont été distribuées aux ordinateurs ou terminaux clients.

Le serveur de licences doit être activé par Microsoft Clearinghouse et chargé avec des licences d'accès de client afin que Clearinghouse les distribue. Les serveurs Terminal Server n'y accèdent que lors de l'émission d'une nouvelle licence ; son administration se limite à l'obtention de licences de Clearinghouse.

Activation d'un serveur de licences

Vous pouvez activer le Service de licences de services Terminal Server sur votre ordinateur quand vous exécutez Install de Windows 2000 Server. Il vous est recommandé d'activer les services Terminal Server sur un serveur membre ou un serveur autonome, et d'installer le serveur de licences sur un ordinateur différent.

Il y a deux types de serveurs de licences, l'un de domaine, l'autre d'entreprise. Avant d'installer le serveur de licences, déterminez le type qui vous conviendra :

• Un serveur de licences de domaine est indiqué si vous entendez compter un serveur de licences distinct pour chaque domaine. Si vous avez des groupes de travail ou des domaines Windows NT 4.0, le serveur de licences de domaine est le seul type que vous pouvez installer. Les serveurs Terminal Server ne peuvent accéder au serveur de licences que s'ils se trouvent dans le même domaine. Par défaut, un serveur de licences est installé comme serveur de licences de domaine.

• Un serveur de licences d'entreprise peut servir des systèmes Terminal Server dans tout domaine d'un site, mais celui-ci doit être un domaine Windows 2000. Il ne peut servir que les serveurs Terminal Server d'une même site. Ce type de serveur sera indiqué si vous avez de nombreux domaines. Les serveurs de licence d'entreprise ne peuvent être installés que par Ajout/suppression de programmes, non pendant la mise en place de Windows 2000.

• Quand vous choisissez l'emplacement, sur votre réseau physique, où vous déploierez votre Serveur de licences, voyez comment un serveur Terminal Server va le découvrir et communiquer avec lui. À l'activation des services Terminal Server pour Windows 2000, il commencera à interroger le domaine et Active Directory™ à la recherche d'un tel serveur (dans un environnement de groupe de travail, le serveur Terminal Server émettra des demandes à tous les serveurs du groupe de travail sur le même sous-réseau).
  Le serveur Terminal Server envoie cette interrogation toutes les 15 minutes et vérifie le service d'annuaires toutes les heures à la recherche d'un Serveur de licences d'entreprise. S'il trouve un serveur de licences de domaine, il le contacte toutes les deux heures. Si le serveur Terminal Server ne peut trouver de serveur de licences de domaine, il envoie ses interrogations toutes les 15 minutes. S'il trouve un Serveur de licences d'entreprise, sa vérification intervient toute les heures. Ces vérifications n'entraînent qu'un très faible trafic réseau.

Remarque Dans les domaines Windows 2000, le serveur de licences de domaine doit être installé sur un contrôleur de domaine. Dans les groupes de travail ou les domaines Windows NT 4.0, il peut être installé sur tout serveur. Si vous entendez à terme faire migrer un groupe de travail ou un domaine Windows NT 4.0 dans un domaine Windows 2000, vous voudrez sans doute installer le serveur de licences sur un ordinateur susceptible d'être promu au rôle de contrôleur de domaine Windows 2000.

Pour activer rapidement le serveur de licences et accéder à Microsoft Clearinghouse par Internet, installez le serveur sur un ordinateur qui a accès à Internet.

Vous devez activer un serveur de licences Windows 2000 dans les 90 jours qui suivent l'activation d'un serveur Terminal Server Windows 2000. Si vous l'omettez au terme de cette période, vos services Terminal Server Windows 2000 cesseront de fonctionner.

Activation d'un serveur de licences

Un serveur de licences doit être activé afin d'identifier le serveur et de lui permettre de distribuer les licences de client à vos serveurs Terminal Server. Vous l'activez à l'aide de l'Assistant de licence.

Quatre méthodes permettent d'activer votre serveur de licences :

• Internet

• Web

• Télécopie

• Téléphone

Si l'ordinateur qui exécute l'outil Gestionnaire de licences des services Terminal Server est connecté à Internet, cette méthode est la plus rapide et la plus facile. Le gestionnaire va vous conduire au site Internet sécurisé de Microsoft, où sont activés les serveurs de licence. Quand vous activez le serveur de licences, Microsoft lui fournit un certificat numérique qui valide sa propriété et son identité. Avec ce certificat, il peut alors effectuer les transactions subséquentes avec Microsoft, et en recevoir les licences d'accès des clients pour les serveurs Terminal Server.
Si votre serveur de licences n'a pas de connectivité Internet, mais si vous avez la possibilité d'accéder au Web par un explorateur sur un autre ordinateur, vous pouvez activer votre serveur de licences au moyen de la méthode d'activation Web. Le Gestionnaire de licences vous conduira sur le site sécurisé de Microsoft pour obtenir le certificat.

Les autres méthodes comprennent la télécopie ou l'appel au Centre de prise en charge des clients de votre pays. Là encore, le Gestionnaire vous guidera. C'est dans ses pages que vous trouverez le numéro de téléphone ou de télécopie approprié à appeler. Si vous en passez par la télécopie, votre confirmation vous sera retournée par télécopie par Microsoft. Si vous utilisez la méthode d'activation téléphonique, elle sera complétée par un représentant Microsoft.

Vous ne devez activer le serveur de licences qu'une seule fois. En attendant que soit complété le processus d'activation, votre serveur de licences est à même de distribuer des licences temporaires aux clients, qui leur permettront de se servir des serveurs Terminal Server pendant 90 jours au plus.

Le certificat numérique qui identifie de manière unique votre serveur de licences est stocké sous forme d'ID de Serveur de licences. Placez-en un exemplaire dans un endroit sûr. Pour examiner ce numéro après activation de votre serveur de licences, sélectionnez-ce dernier, puis choisissez Propriétés dans le menu Affichage. Réglez votre méthode de communication sur Web et cliquez sur OK. Sélectionnez alors Installer les licences du menu Action et cliquez sur Suivant. L'ID du Serveur de licences est donnée au centre de l'écran du Gestionnaire.

Installation des licences

Les licences des services Terminal Server doivent être installées sur votre serveur de licences pour que le paramètre du Connecteur Internet soit activé, ou pour que les clients non-Windows 2000 puissent accéder de manière permanente à un serveur Terminal Server de Windows 2000. Pour obtenir des licences d'Accès de clients aux services Terminal Server de Windows 2000 ou au Connecteur Internet, vous devez en passer par votre méthode d'acquisition logicielle standard. Vous les installerez alors avec le Gestionnaire de licences.

De même qu'il existe quatre méthodes pour activer votre serveur de licences, il y a en quatre pour installer les licences des services Terminal Server. Quand vous y procédez, il vous sera demandé des informations sur l'achat de licences. Ces informations sont les suivantes :

• Si vous avez acheté, ou allez acheté, vos licences par un accord Microsoft Select ou Enterprise Agreement, il vous sera demandé votre numéro d'inscription.

• Si vous avez acheté vos licences par Microsoft Open License, il vous sera demandé les numéros Open License et Autorisation de votre confirmation Open License.

• Si vous avez acheté vos licences par Microsoft LicensePak, il vous sera demandé un code de licence à 25 caractères, lequel se trouve dans le coffret LicensePak de Microsoft.

Après avoir installé vos licences, votre serveur de licences peut commencer à les déployer. Les clients dotés de licences temporaires de 90 jours seront mis à niveau avec une licence d'Accès des clients aux services Terminal Server à leur prochaine ouverture de session (à moins que le nombre de licences installées d'accès des clients ne dépasse le nombre de licences temporaires pendantes).

Utilisation de l'outil Gestionnaire de licences des services Terminal Server

Le Gestionnaire de licences des services Terminal Server est un outil administratif conçu pour vous aider à activer des serveurs de licences, à installer les licences d'accès de clients et à assurer le suivi de l'usage par vos clients de vos serveurs Terminal Server. Il aide l'administrateur système à gérer et déployer avec exactitude les licences des clients pour les services Terminal Server et Connecteur Internet.

Avec cet outil, vous pouvez effectuer les tâches suivantes après vous être connecté à un serveur de licences :

• Activer un serveur de licences.

• Installer les licences des clients.

• Réactiver un serveur de licences.

• Désactiver un serveur de licences.

• Répéter l'installation des licences des clients.

Outre ces tâches, vous pouvez vous servir du Gestionnaire de licences des services Terminal Server pour vous connecter à tout serveur de licences sur votre réseau et voir celles qui s'y trouvent. Vous examinerez les informations suivantes :

• La liste des lots de clés des licences de clients installés.

• Le nombre total de licences dans chaque lot de clés de licences, et le nombre de licences disponibles et distribuées dans chacun.

• Le nom de l'ordinateur et la date à laquelle chaque licence a été distribuée.

• Le nom de l'ordinateur et la date d'expiration de chaque licence temporaire distribuée.

Quand le nombre de clients demandant une licence au serveur de licences dépasse le nombre de licences que vous avez activées, il vous est demandé d'installer de nouvelles licences. Ce rappel s'affiche en tant qu'événement dans le journal système de l'Observateur d'événements. Le nombre de licences temporaires pendantes peut servir à identifier le nombre de licences d'accès de clients dont vous aurez à terme besoin.

Sauvegarde du serveur de licences

Il est important que vous sauvegardiez votre serveur de licences pour pouvoir facilement récupérer ses informations en cas de panne. Cette sauvegarde doit intervenir régulièrement et inclure au moins l'état du système, outre le répertoire Lserver. Par défaut, il s'agit de %windir%\system32\Lserver.

Le Service de Licences doit être en exécution tandis que vous restaurez un ordinateur. La restauration de la base de données et de l'état du système sur le serveur de licences d'origine (qui est doté du même ID) restaure toutes les informations de licences, tant historiques qu'actives. Si vous restaurez une sauvegarde de base de données de licences sur un serveur de licences différent, le serveur de licences ne restaurera que les informations historiques des licences distribuées. Celles qui n'ont pas été distribuées ne seront pas restaurées. Toutefois, l'information les concernant sera placée dans un journal système que vous pourrez examiner dans l'Observateur d'événements. Elle inclura le nombre et le type des licences non distribuées qui n'ont pas été restaurées. Pour les restaurer, installez-les avec la méthode d'installation par téléphone. Un technicien Microsoft peut revalider les licences que vous avez perdues.

Modèle réseau de l'accès au serveur Terminal Server

Vous devez prendre en compte votre infrastructure réseau en déployant les services Terminal Server. Dans la plupart des cas, il ne s'agira que de concevoir son modèle d'ensemble, mais les services Terminal Server ont des exigences spécifiques.
Ils ne peuvent passer l'adresse IP de clients individuels à une application. Les applications multi-utilisateurs qui requièrent que chacun ait une adresse unique ne fonctionneront pas correctement dans un tel environnement, parce que chaque utilisateur semblera provenir de l'adresse IP du serveur même. Par exemple, certains hôtes plus anciens et certains coupe-feu se servent de l'adresse IP du client pour en déterminer la sécurité et l'emplacement physique. Vous devrez le cas échéant altérer vos plans concernant les services Terminal Server pour les prendre en charge.

Inversement, il est important de bien comprendre que tous les utilisateurs partageront la même connexion IP à un serveur Terminal Server donné. Les applications ou les services qui verrouillent ou monopolisent cette ressource, risquent d'interférer avec l'opération générale du serveur.

Équilibrage de charge réseau et services Terminal Server

L'Équilibrage de charge réseau sert à répartir le travail entre deux ou des serveurs. Il représente un groupe de serveurs sous forme d'une seule adresse IP virtuelle et fournit un mécanisme dynamique de répartition qui est utile dans les environnements où un grand nombre d'utilisateurs se connectent à un serveur pour une application spécialisée ou une base de données dans lesquelles la conservation de la session n'est pas importante. Comme les services Terminal Server sont peu indiqués pour les batteries de disques, cet équilibrage est souvent à même de fournir une solution appropriée.

Les solutions traditionnelles de répartition de la charge ne peuvent pas toujours garantir qu'un utilisateur sera reconnecté au même serveur. Dans le contexte d'une application spécialisée, il n'existe que peu (voire aucune) de données spécifiques à la session dont il faut se préoccuper. Dans un déploiement plus complexe de bureau ou dans l'accès distant, l'entreprise choisira peut-être, de toutes façons, de ne pas prendre en charge les séances déconnectées, ce qui réduira les besoins en ressources et améliorera la sécurité. Enfin, il sera peut-être possible d'employer les attributs de certains types d'équilibrage des charges pour se reconnecter de manière prévisible au même serveur Terminal Server, préservant par là la session.

Préservation d'une session et préservation des données de l'utilisateur ne sont pas la même chose. Il est tout à fait possible de gérer deux ou des serveurs Terminal Server d'une manière qui permette à un utilisateur de se connecter à tout serveur et d'y jouir de l'accès approprié, en stockant simplement ses données d'utilisateur et ses profils utilisateur en dehors des serveurs Terminal Server. Il suffit alors à ceux-ci de parcourir le dépôt commun pour les y récupérer. Les utilisateurs conservent la même expérience, quel que soit le serveur.

L'Équilibrage de charge réseau fournit une solution adéquate à de nombreux serveurs Terminal Server. Il recourt à l'affinité IP, qui permet à un utilisateur avec la même adresse de IP de se reconnecter au même ordinateur si la session s'interrompt. Autrement dit, il peut servir à la récupération de session si l'utilisateur n'a pas changé d'ordinateur. Même si le protocole DHCP est en usage, l'adresse IP de l'utilisateur demeure la même, à condition qu'il n'ait pas entre-temps quitté le réseau.

DNS offre une autre stratégie de répartition de la charge. Avec le tourniquet (round robin) DNS, un seul enregistrement de nom correspond à plusieurs adresses IP, chacune avec le serveur cloné correspondant. Si vous vous servez de DNS, désactivez Déconnecter la session sur les serveurs exécutant les services Terminal Server. Comme un client risque de se connecter à n'importe lequel d'entre eux, il se peut qu'il le fasse avec un autre que celui où une session déconnectée a été laissée en exécution.

Pour de plus amples renseignements sur l'Équilibrage de charge réseau, reportez-vous au chapitre 18, "Disponibilité des applications et des services", dans ce livre.

Modèle et mise en place de la structure de domaines

Le développement de votre modèle de réseau suppose aussi la planification de l'emplacement des services Terminal Server dans votre infrastructure Windows 2000. Il y a pour l'essentiel trois façons d'envisager la structure de domaines dans le cadre d'une installation des services Terminal Server :

Ne pas utiliser de structure de domaines Sans une architecture en domaines, les utilisateurs doivent avoir des comptes séparés sur chaque serveur Windows 2000 exécutant les services Terminal Server. L'extensibilité est alors limitée, et il est plus difficile d'administrer des groupes d'utilisateurs.

Implémenter les services Terminal Server de Windows 2000 dans l'environnement de domaines Windows NT 4.0 existant Cela vous permet de tirer parti des nouvelles caractéristiques disponibles dans les services Terminal Server de Windows 2000, sans affecter l'environnement de production. Rappelez-vous cependant que les limitations du Gestionnaire des comptes de sécurité (SAM) du modèle de domaines Windows NT 4.0 existant s'appliqueront dans ce cas. Les administrateurs ont la possibilité d'ajouter des attributs spécifiques des services Terminal Server aux comptes des utilisateurs, lesquels ne représentent qu'une faible quantité d'information, en général 1 ko ou moins, dans l'entrée de l'utilisateur de la base de données SAM du domaine.

Prendre appui sur l'infrastructure Active Directory de Windows 2000 Cette option tire un entier parti de Active Directory, lequel peut héberger des milliers d'utilisateurs dans sa base de données. Vous avez alors aussi la possibilité d'appliquer la Stratégie de groupe pour contrôler l'expérience de l'utilisateur quand il se connecte aux services Terminal Server.

Quand vous définissez votre structure Active Directory, il vous est recommandé de placer vos serveurs Terminal Server dans une unité organisationnelle (UO) distincte, séparée des autres ordinateurs et ne comportant pas d'utilisateurs. Une UO services Terminal Server ne doit renfermer que des ordinateurs services Terminal Server, sans aucun autre objet utilisateur ou machine services Terminal Server. Comme vous allez sans doute gérer vos ordinateurs portables d'une tout autre manière que vos ordinateurs clients, vous gérerez aussi différemment vos serveurs Terminal Server.

Utilisation des profils d'utilisateur ou des profils itinérants de Windows 2000

Un profil décrit la configuration Windows 2000 d'un utilisateur spécifique, notamment ses paramètres d'environnement et ses préférences. Les profils renferment d'habitude des informations telles que les applications installées, les icônes de bureau et les options de couleur. Vous pouvez configurer des profils services Terminal Server spécifiques pour un utilisateur donné en vous servant de ceux qui se trouvent sous l'onglet Profil services Terminal Server, dans la boîte de dialogue Propriétés d'utilisateur.

Il peut arriver dans certains cas que des utilisateurs aient déjà des profils Windows 2000. Il peut être également souhaitable de leur assigner des profils spécifiques aux services Terminal dans les circonstances suivantes :

• Chaque fois que l'utilisateur accède au serveur services Terminal Server par une longue distance.

• Si l'administrateur veut présenter une session à l'utilisateur qui soit différente de son environnement de bureau propre.

Quand un utilisateur ouvre une session sur un serveur services Terminal Server, ce dernier va tenter d'en charger les profils dans l'ordre suivant :

• Profil de l'utilisateur spécifique des services Terminal Server

• Profil itinérant de Windows 2000

• Profil Windows 2000 de l'utilisateur.

Profils itinérants d'utilisateurs

Avec les profils d'utilisateurs itinérants, les utilisateurs peuvent se déplacer entre ordinateurs, tout en conservant leurs mêmes préférences d'environnement. Les informations du profil sont placées en cache sur le disque dur local du serveur Terminal Server. Dans certains cas, il est recommandé que ces informations soient supprimées une fois que l'utilisateur quitte le système :

• Quand l'accès aux services Terminal est fourni par un groupe d'hôtes services Terminal Server.

• Quand l'accès aux services Terminal Server est peu fréquent et que vous voulez réduire la quantité d'espace disque utilisée.

La manière la plus efficace de supprimer les profils placés en cache consiste à placer tous les hôtes services Terminal Server dans un conteneur Active Directory de Windows 2000 et à appliquer une stratégie spécifique, amenant la suppression de ces informations au moment de la fermeture de session.

Pour faciliter l'usage des profils d'utilisateur itinérant, planifiez-les à l'avance ; voyez où ils seront stockés et comment ils seront gérés. En premier lieu, identifiez les emplacements sur un serveur de fichiers ou d'impression disposant d'assez d'espace pour les stocker, et qui est facilement disponible pour les utilisateurs des services Terminal Server. Ensuite, créez un partage Windows 2000 auquel les utilisateurs puissent accéder avec des privilèges de lecture/écriture. Vous devez stocker les profils en des emplacements réseau qui soient différents des répertoires de base des utilisateurs.

Pour employer les profils itinérants sur un groupe d'ordinateurs services Terminal Server, il est impératif que ces derniers soient identiques quant à leur configuration d'applications et de système d'exploitation (emplacement de %systemroot% et de l'installation de tous les programmes). Sinon, groupez les diverses configurations dans différentes UO, et administrez-les séparément.

Stratégie de groupe

La Stratégie de groupe est un mécanisme efficace en matière de gestion et de contrôle du comportement des services Terminal Server dans votre environnement. On y recourt pour administrer la série des valeurs de Registre et des autorisations de fichiers qui, ensemble, définissent les ressources d'ordinateur disponibles pour un site, un domaine ou une unité organisationnelle (OU) Active Directory.

La Stratégie de groupe étend la fonctionnalité de base des valeurs fondées sur le Registre pour inclure des paramètres de sécurité, d'installation de logiciels, de scripts d'ouverture/fermeture de session et de démarrage/fermeture, de déploiement de fichiers et de redirection de dossiers spéciaux. Elle s'active par Active Directory et affecte les ordinateurs et utilisateurs dans tous ces groupes : ordinateur local, sites, domaines et OU.

Si, dans votre entreprise, les mêmes utilisateurs se servent des services Terminal Server et de Windows 2000 Professionnel, utilisez avec soin les stratégies. La même stratégie s'applique aux sessions des utilisateurs sur les services Terminal Server et sur Windows 2000 Professionnel (à l'exception de la gestion des applications, utilisateur par utilisateur, qui est désactivée sur un Serveur d'applications de services Terminal Server). Dans ce cas, vous devez appliquer un ensemble différent de stratégies d'ordinateur pour les serveurs qui exécutent les services Terminal Server en plaçant l'ordinateur dans une OU distincte.

Sur un serveur Terminal Server en mode Serveur d'applications, les utilisateurs ne peuvent appeler Windows Installer pour ajouter les composants qui font défaut à une application. De ce fait, il est important d'installer tous les composants nécessaires de manière locale lors de la mise en place du programme installé. Pour ce faire, vous pouvez recourir à un fichier de transformation (.mst). Ces fichiers ressemblent à des modifications de lots .msi ; ils signalent à Windows Installer quels composants il faut installer localement.

Accès aux applications

Voici comment les administrateurs peuvent contrôler l'accès des utilisateurs aux applications de services Terminal Server :

Profils obligatoires Les profils peuvent spécifier les applications qui sont visibles à l'utilisateur. Stratégies de système Les stratégies peuvent prévenir des utilisateurs de démarrer des applications par l'Explorateur Windows ou la commande Exécuter. Elles se reposent sur les domaines et peuvent donc affecter l'ordinateur même de l'utilisateur, comme ses sessions services Terminal Server.

La Stratégie de groupe applique les stratégies d'utilisateur d'abord pour le domaine, puis soit les fusionne avec les stratégies d'ordinateur, soit les remplace, ce qui permet à un serveur Terminal Server d'altérer ou de limiter les capacités fournies.

Des stratégies mal conçues risquent d'empêcher les utilisateurs d'avoir accès aux programmes de tout ordinateur d'un domaine, plutôt que d'empêcher l'accès aux services Terminal Server. Si l'administrateur implémente une stratégie se fondant sur l'ID d'utilisateur ou un groupe Windows 2000, toute stratégie qui y est spécifiée s'appliquera à cet utilisateur ou au groupe, quel que soit le système qu'ils utilisent. Par exemple, une stratégie qui interdit aux utilisateurs du groupe Comptable de se servir de Microsoft Word va affecter tous les utilisateurs comptables de ce domaine, qu'ils emploient services Terminal Server ou leur ordinateur local.

Utilisation des répertoires de base

Il faut que vous vous serviez des répertoires de base dans un environnement services Terminal Server, car la plupart des applications doivent installer des informations spécifiques à l'utilisateur ou copier des fichiers de configuration pour chacun d'eux. Pour que les profils d'utilisateur conservent une taille raisonnable (moins de 2 Mo), il est recommandé que tous les utilisateurs de services Terminal Server aient un répertoire de base en réseau et un répertoire Mes documents en réseau, dans lesquels seront stockées leurs informations d'applications.

Par défaut, Windows 2000 définit un répertoire de base pour chaque utilisateur, sous le répertoire Documents and Settings. Ce répertoire renferme les documents et paramètres de l'utilisateur. Les documents d'utilisateur sont stockés dans le répertoire de base de l'utilisateur ou dans le dossier Mes documents. Les services Terminal Server écrivent des fichiers d'application spécifiques à l'utilisateur, tels que les fichiers .ini, dans le répertoire Windows de l'utilisateur ; par défaut, ils vont pointer toute application recherchant le répertoire système de Windows vers le répertoire Windows de l'utilisateur.

Les utilisateurs se servent habituellement de leur répertoire de base pour enregistrer leurs fichiers personnels, ce qui peut poser un problème quand on utilise des profils itinérants et que le répertoire de base est situé dans le répertoire de profil. Windows 2000 copie tout ce qui se trouve dans le répertoire de profil de l'utilisateur, dans le cache de profil, chaque fois que l'utilisateur ouvre une session. Cette opération peut prendre du temps et monopoliser des ressources considérables, particulièrement si le profil itinérant est stocké sur le réseau.

Il vous est recommandé d'employer des répertoires de base qui soient spécifiques des services Terminal Server et qui soient automatiquement disponibles pour les composants logiciels enfichables de MMC. Vous pouvez par exemple créer un répertoire sur le serveur de fichier appelé Repbase et donner l'autorisation Modifier à tout le monde. Spécifiez ensuite l'emplacement du répertoire de base des services Terminal Server en tant que p:\RebBase\%nom_utilisateur%. Les services Terminal Server créent automatiquement le sous-répertoire nom_utilisateur et lui donnent les autorisations appropriées. Par défaut, chaque utilisateur a un accès entier à son ou ses propres répertoires de base ; les administrateurs peuvent y copier des fichiers, mais non en lire ou en supprimer.

Il est utile que tous les utilisateurs aient la même lettre de lecteur virtuel comme point de redirection du répertoire de base, afin de faciliter l'usage des scripts de compatibilité d'application. La première fois que vous en exécutez un sur un serveur, celui-ci vous demandera de définir la lettre de lecteur désignant la racine du répertoire de base de l'utilisateur. Cette lettre de lecteur sert pour tous les scripts de compatibilité d'application subséquents. Il est crucial que la même lettre de lecteur serve sur tous les serveurs Terminal Server dans une ferme de serveurs.

La redirection de dossiers est une caractéristique unique de Windows 2000, qui permet aux utilisateurs et aux administrateurs de rediriger le chemin d'un dossier vers un nouvel emplacement, lequel peut être un dossier sur l'ordinateur local, ou un répertoire sur un partage du réseau. Les utilisateurs ont la possibilité de travailler avec les documents partagés sur un serveur sécurisé comme s'ils se trouvaient sur le lecteur local. Grâce à cette option, un administrateur peut rediriger le dossier Mes documents de l'utilisateur vers un partage de serveur privé, auquel il lui sera possible d'accéder soit de son ordinateur client Windows 2000 Professionnel, soit de sa session services Terminal Server. Cette caractéristique se gère par le biais de la Stratégie de groupe.

Planification de la sécurité

La sécurité est un composant essentiel de votre plan de déploiement des services Terminal Server. Elle comporte des considérations spécifiques à un environnement multiutilisateurs.

Nous allons analyser les problèmes de sécurité spécifiques aux services Terminal Server, tels que la version du système de fichiers NTFS de Windows 2000, les droits d'utilisateur et de l'administrateur, les procédures d'ouverture de session automatiques, et le chiffrage. Pour de plus amples renseignements sur la sécurité de Windows 2000, reportez-vous au chapitre 11, "Planification de la sécurité distribuée", dans ce livre.

Système de fichiers NTFS

En raison de la nature multiutilisateurs des services Terminal Server, il vous est fortement recommandé de vous servir de la version Windows 2000 de NTFS en tant qu'unique système de fichiers sur le serveur, plutôt que de vous servir du système FAT. FAT n'offre pas en effet de sécurité d'utilisateur et de répertoire, alors que NTFS vous permet de restreindre l'utilisation de sous-répertoires à certains utilisateurs ou groupes d'utilisateurs – ce qui sera d'une importance cruciale dans un système multiutilisateurs tel que les services Terminal Server. Sans la sécurité NTFS, tout utilisateur a accès à chaque répertoire et fichier sur le serveur Terminal Server.

Droits des utilisateurs

Les services Terminal Server sont distribués avec un ensemble par défaut de droits d'utilisateur, que vous pouvez modifier pour accroître la sécurité. Afin d'ouvrir une session sur un serveur Terminal Server, l'utilisateur doit avoir des droits locaux d'ouverture de session sur cet ordinateur. Par défaut, un serveur Terminal Server en mode d'Administration distante n'accorde de droits qu'aux Administrateurs de l'ordinateur ; en mode Partage d'applications, il les accorde à tous les membres du groupe Utilisateurs. Comme Windows 2000 inclut par défaut tous les utilisateurs du domaine dans le groupe Utilisateurs d'un ordinateur qui n'est pas contrôleur de domaine, tous les utilisateurs du domaine peuvent ouvrir une session sur un serveur Terminal Server fournissant le Partage d'applications. Les droits des groupes et utilisateurs, quant aux contrôle et ouverture de session qui leur sont accordés, se modifient par la caractéristique Configuration des services Terminal Server.

Les utilisateurs auquel l'accès est accordé par un protocole tel que RDP, et qui ouvrent une session interactive sur un serveur services Terminal Server, sont automatiquement inclus dans le groupe local Utilisateurs, intégré aux services Terminal Server. Un utilisateur n'appartient à ce groupe que s'il a ouvert une session interactive sur un serveur Terminal Server. Ce groupe incorporé donne aux administrateurs le contrôle de toutes les ressources de services Terminal Server auxquelles les utilisateurs peuvent accéder. Ce groupe rappelle le groupe intégré Interactif.

Évitez de configurer le serveur services Terminal Server comme contrôleur de domaine, car toute stratégie de droits d'utilisateurs que vous y définirez s'appliquera alors à tous les contrôleurs de domaine du domaine. Par exemple, pour se servir de services Terminal Server, les utilisateurs doivent être autorisés à ouvrir une session localement. Or, si le serveur services Terminal Server est un contrôleur de domaine, les utilisateurs pourront ouvrir localement une session sur tous les contrôleurs de domaine du domaine services Terminal Server.

Droits des administrateurs

Les membres du groupe Administrateurs d'un serveur Terminal Server contrôlent les accès réservés aux utilisateurs, leurs droits et les applications qu'ils peuvent exécuter. La plupart de ces contrôles font partie des droits normaux d'un administrateur sur un serveur Windows 2000 Server. Ils sont étendus sous les services Terminal Server pour inclure :

• Gestion du serveur – Servez-vous de l'outil Configuration des services Terminal Server pour définir les autorisations des utilisateurs et leur activité, ainsi que pour la déconnexion et les paramètres de session.

• Contrôle des utilisateurs – Définissez les autorisations des utilisateurs sur les services Terminal Server par la Configuration des services Terminal Server. Définissez les informations des profils spécifique des services Terminal Server par les extensions du Gestionnaire des utilisateurs.

• Contrôle des sessions – Servez-vous du Gestionnaire des services Terminal Server pour contrôler les utilisateurs, les sessions et les processus actifs ; pour masquer des sessions ; pour imposer la déconnexion.

• Installation d'applications – En mode Partage d'applications, seul un administrateur peut installer des applications sur le serveur Terminal Server. Cette restriction ne s'applique pas dans l'Administration distante.

Procédures d'ouverture de session automatique

Selon la façon dont les utilisateurs vont employer les services Terminal Server, vous devrez peut-être leur accorder l'accès au système de fichiers. Ceux qui n'ont besoin d'accès qu'à une seule application, telle qu'une base de données, peuvent être directement placés dans l'application au démarrage, en configurant le client du serveur Terminal Server par le Gestionnaire des connexions des clients de façon à ce qu'il enclenche automatiquement une application spécifique à l'utilisateur. Vous pouvez distribuer un client de serveur Terminal Server préconfiguré à un groupe particulier d'utilisateurs, au sein d'un groupe, pour leur donner la même application directe. Si un serveur Terminal Server doit donner une seule application à quiconque est autorisé à se connecter, il peut être configuré automatiquement pour enclencher cette application à l'ouverture de session, par le biais de la Configuration des services Terminal Server.

Vous pouvez aussi permettre aux utilisateurs de se connecter sans saisie de nom d'utilisateur ou de mot de passe, soit sur une base utilisateur dans le Gestionnaire des connexions des clients, soit par serveur, dans la Configuration des services Terminal Server ou les extensions du Gestionnaire des utilisateurs. En général, mieux vaut prévoir de ne se servir de cette méthode de connexion qu'au moment où les utilisateurs ont directement ouvert une session sur une application interne, surtout quand elle-même requiert un mot de passe pour son accès. N'employez cette caractéristique qu'avec prudence : quiconque est doté d'un client services Terminal Server peut alors ouvrir une session sur le serveur.

Windows 2000 dispose d'une capacité d'ouverture de session secondaire, principalement utilisée pour permettre aux utilisateurs d'exécuter des applications en utilisant un contexte de sécurité différent. Elle sera appréciable dans un environnement services Terminal Server, où les ordinateurs clients ouvrent automatiquement une session avec un compte d'utilisateur de base quand l'utilisateur doit exécuter une application requérant un niveau supérieur de sécurité. Dans cette situation, vous pouvez faire appel à la commande runas pour démarrer des applications dans un contexte différent sans fermer la session de l'utilisateur.

Vous saisissez la commande runas à l'invite de commande ; elle peut être incorporée dans un raccourci d'application. Après création de ce raccourci, la fonctionnalité runas y sera facilement incorporée en sélectionnant Exécuter en tant qu'utilisateur différent dans l'option Propriétés du raccourci. Il sera dès lors demandé à l'utilisateur son compte d'utilisateur et son mot de passe de domaine Windows 2000 avant exécution de l'application.

Modification d'information spécifiques à l'utilisateur

Quand un utilisateur ouvre une session, les services Terminal Server exécutent un fichier en lot appelé Usrlogon.cmd dans le répertoire System32. Ce fichier effectue les modifications nécessaires dans l'environnement de l'utilisateur, pour garantir qu'il puisse exécuter correctement ses applications. Si semblables modifications sont nécessaires, vous pouvez les effectuer en modifiant ce fichier. Sachez toutefois que cette opération peut entraîner des problèmes avec les scripts de compatibilité d'application, qui sont exécutés par ce fichier en lot.

Modification du processus d'ouverture de session

Dans vos scripts d'ouverture de session, pensez à vérifier la présence des variables d'environnement %CLIENTNAME% ou %SESSIONNAME%. Elles sont spécifiques aux services Terminal Server et n'apparaissent que dans l'environnement de l'utilisateur quand il ouvre une session sur un serveur Terminal Server, en mode Serveur d'applications ou Administration distante. Vous pourrez par exemple choisir d'omettre l'exécution du logiciel antiviral, si le script détermine qu'il s'exécute sur services Terminal Server.

Chiffrage

Les transferts de données entre le client et le serveur services Terminal Server fonctionnent selon trois niveaux différents de chiffrage. Le plus haut niveau n'est disponible qu'en Amérique du Nord.

Chiffrage bas

Avec le chiffrage bas, le trafic du client vers le serveur est chiffré à l'aide de algorithme RC4 et d'une clé à 56 bits (40 bits pour les clients RDP 4.0), alors que le trafic du serveur au client demeure sans chiffrage. Le chiffrage bas protège les données sensibles tels que mot de passe et données d'application. Les données envoyées du serveur au client sont des actualisations d'écran, difficiles à intercepter, même sans chiffrage.

Chiffrage moyen

Avec le chiffrage moyen, le trafic est chiffré dans les deux directions avec l'algorithme RC4 et une clé à 56 bits (40 bits pour les clients RDP 4.0).

Chiffrage haut

Le trafic dans les deux directions est chiffré avec l'algorithme RC4 et une clé à 128 bits, mais uniquement dans la version nord-américaine des services Terminal Server. Dans sa version d'exportation, le chiffrage haut se sert de RC4 et d'une clé à 56 bits (40 bits pour les clients RDP 4.0).

Remarques supplémentaires sur la sécurité

En planifiant la sécurité des services Terminal Server, pensez aux éléments suivants :

Cartes à puce
L'ouverture de session interactive de Windows 2000 est à même d'authentifier un utilisateur sur le réseau Active Directory par le biais d'un certificat X. 509 version 3, stocké sur une carte à puce avec la clé privée. Cette caractéristique n'est cependant pas disponible pour les utilisateurs qui s'authentifient au moyen des services Terminal Server – ce qui s'applique aussi aux autres périphériques d'authentification matériels.

Sécurité du réseau et des communications
L'Accès distant ne limite pas l'accès aux utilisateurs des services Terminal Server ; aussi, si l'un d'eux établit un lien modem ou VPN avec Internet ou un autre système, chaque utilisateur des services Terminal Server aura accès au lien.

Services d'informations sur les services Terminal Server
Vous devez désactiver le Protocole de transfert de fichiers anonyme (FTP), pour empêcher un accès non sécurisé au système de fichiers.

Retrait des services sans usage
La suppression des sous-systèmes IBM OS/2 et POSIX prévient les utilisateurs d'exécuter des applications de cette nature, qui circonviennent aux règles de sécurité. Pour de plus amples renseignements sur la sécurité du système, reportez-vous au chapitre 11, "Planification de la sécurité distribuée", dans ce livre.

Accès distant Les services Terminal Server peuvent fournir aux utilisateurs distants un accès aux applications qui seraient sinon inutilisables, en raison des performances médiocres qu'entraînent l'accès à distance ou les connexions longue distance lentes. L'écran, la souris et les informations du clavier envoyées par les services Terminal Server se servent en général d'une moindre bande passante qu'une application qui doit être téléchargée, puis exécutée localement, sur l'ordinateur de l'utilisateur distant.

Services Terminal Server par Internet

Les utilisateurs peuvent aussi tirer parti des protocoles L2TP et PPTP pour avoir accès aux services Terminal Server par Internet. En recourant au chiffrage, l'une et l'autre options de tunnel fournissent un accès sécurisé au réseau privé. Ces protocoles sont recommandés de par la sécurité qu'ils induisent, mais il est également possible d'accéder aux services Terminal Server sur toute implémentation de TCP/IP.

Coupe-feu

Si votre entreprise se sert d'un coupe-feu pour sa sécurité, n'oubliez pas de garder ouvert le port 3389 pour les connexions RDP entre client et serveur. Pour de meilleurs résultats, servez-vous d'un coupe-feu qui emploie l'authentification de l'utilisateur. Un coupe-feu qui accorde l'accès en fonction d'une adresse IP laissera passer des utilisateurs si l'adresse IP du serveur qui exécute les services Terminal Server a reçu cet accès.

Configuration des serveurs pour le déploiement des services Terminal Server

Il vous est recommandé d'acquérir vos ordinateurs serveurs dédiés aux services Terminal Server auprès du même vendeur et de les configurer de la même manière, afin de faciliter leur administration. Si vous déployez ces services à des fins différentes, pensez alors à les répartir en groupes, en fonction de leur finalité, et faites en sorte qu'ils soient, dans chaque groupe, aussi identiques que possible.

Si votre entreprise s'est munie de normes en termes d'équipement, respectez-les quand vous vous apprêtez à de nouvelles acquisitions matérielles pour y héberger les services Terminal Server. Si nécessaire, resserrez-les davantage pour qu'administration et maintenance matérielles et logicielles soient aussi simples que possible.

En planifiant le déploiement de vos serveurs, pensez aux problèmes de mémoire, de fichiers de pagination et d'image mémoire, d'UC et de Registre. Un fichier d'image mémoire (dump file en anglais) affiche l'état de la mémoire en cas de panne. Voici les éléments à prendre en compte :

Mémoire
Partez de 128 Mo de RAM pour les services du système d'exploitation de base, plus une quantité supplémentaire par utilisateur. Cette quantité va varier et sera comprise entre 16 et 20 Mo par session. Pour la calculer, tablez sur 13 Mo environ pour le bureau de l'utilisateur, puis ajoutez la quantité requise pour exécuter des applications. Sachez que, quand plus d'un utilisateur exécute une application donnée, le code de cette dernière n'est pas dupliqué dans la mémoire (le code exécutable est partagé entre les instances de l'application). Celles qui sont à 16 bits requièrent 25 % de mémoire supplémentaire que celles sur 32 bits.
Si les utilisateurs doivent exécuter des applications gourmandes en mémoire (applications client/serveur avec large empreinte mémorielle par exemple), vous devez accroître la quantité de mémoire vive allouée à chacun. Chaque serveur doit disposer d'assez de mémoire physique pour faire en sorte que le fichier de pagination ne soit presque jamais utilisé.

Fichiers de pagination et d'image mémoire
La quantité d'espace disque consacrée à chaque fichier de pagination du serveur doit représenter au moins une fois et demie la quantité totale de mémoire vive physique.
Il est recommandé de placer le système d'exploitation du serveur Terminal Server sur un lecteur physique, et le fichier de pagination sur un autre. Si le serveur dispose d'une large mémoire physique, vous devez vérifier que son espace disque soit suffisant pour l'enregistrement du fichier d'image mémoire sur la partition système. Prenez en compte des facteurs tels que la mémoire totale, la taille du fichier de pagination, les applications installées et la taille totale du disque dur. Pour obtenir de meilleures performances, le fichier de pagination doit se trouver sur un disque physique distinct. Pensez à désactiver le fichier d'image mémoire sur les systèmes comportant une large mémoire (habituellement, 128 Mo au moins), à moins que le lecteur C ne soit assez volumineux pour l'accueillir.

UC
Le serveur Terminal Server doit satisfaire aux spécifications de Windows 2000 Server. La quantité de traitement requise par utilisateur va dépendre des types d'applications en exécution, ce qui se déterminera de manière plus adéquate durant des déploiements de test. Pour de plus amples renseignements sur ces questions, reportez-vous au lien services Terminal Server sur la page Windows 2000 Resource Kits - Web Resources .

Registre
La taille du Registre se règle de manière dynamique pendant l'installation et se fonde sur la taille du fichier de pagination. Le quota du Registre se fonde sur la taille de la mémoire. On peut aussi définir sa taille à partir du Panneau de configuration. Effectuez un double-clic sur Système, puis cliquez sur l'onglet Avancé. Cliquez alors sur Options des performances, puis sur Modifier. Saisissez une taille de Registre.

Préparation au déploiement des clients

Les ordinateurs ou terminaux clients se connectent au serveur Terminal Server par un petit programme client, installé sur le disque ou dans le microprogramme. Le choix de la plate-forme des clients va dépendre de la base qui est installée et des besoins des utilisateurs. Au minimum, assurez-vous que chaque ordinateur ou terminal client que vous pensez connecter au serveur Terminal Server soit physiquement capable d'héberger ce logiciel client et de se connecter par réseau.

Déploiement sur des terminaux Windows CE

Les terminaux Windows CE constituent généralement les terminaux "les plus Windows" que vous puissiez employer pour accéder aux services Terminal Server. Ils sont configurés par le biais d'assistants qui exécutent l'interface utilisateur Microsoft Win32, disponible dans Microsoft Windows 95 et les systèmes d'exploitation Windows ultérieurs.

Pensez à acquérir vos terminaux auprès de vendeurs qui sont capables de fournir un outil permettant aux administrateurs d'effectuer à distance leurs mises à niveau, gestion et configuration.

Les terminaux Windows peuvent habituellement être configurés localement, ce qui inclut :

• L'utilisation de DHCP

• La connexion par connectivité LAN, protocole PPP, adresse IP, masque de sous-réseau ou passerelle

• L'activation de DNS pour rechercher le nom du serveur Terminal Server lors de l'établissement d'une connexion.

Vous pouvez vous servir de la plupart des terminaux Windows pour avoir accès aux services Terminal Server par une connexion PPP d'accès à distance. Sachez que certains ne prennent pas en charge le chiffrage pendant le processus d'ouverture de session. Dans ce cas, vous devez configurer le périphérique qui fournit la connectivité avec des mots de passe en texte simple, sans quoi aucune connexion ne s'établira. L'ouverture de session sur le serveur Terminal Server peut toujours être chiffrée.

Les terminaux Windows CE peuvent, le cas échéant, inclure des émulateurs d'autres types de terminal dans leur microprogramme. Les utilisateurs de semblables machines établiront des connexions simultanées à des types différents de serveurs, puis alterneront entre les émulateurs sur le périphérique terminal.

Le basculement entre sessions intervient au moyen des séquences de touches suivantes sur un terminal Windows CE :

• ctrl+alt+fin – Rehausse l'environnement graphique du terminal Windows CE au premier plan.

• ctrl+alt+haut – Bascule vers les sessions actives précédentes sans rehausser au premier plan l'environnement graphique.

• ctrl+alt+bas – Passe aux sessions actives suivantes sans rehausser au premier plan l'environnement graphique.

• ctrl+alt +orig – Passe à la connexion par défaut si elle est en exécution. Sinon, c'est l'environnement graphique qui la démarre.

• F2 – Active l'interface utilisateur de la Configuration des propriétés du terminal.

Pour de plus amples renseignements sur les vendeurs de terminaux Windows CE, reportez-vous au lien Vendeurs de services Terminal Server sur la page Windows 2000 Resource Kits - Web Resources .

Déploiement sur les ordinateurs clients

Les ordinateurs clients Windows qui se connectent aux services Terminal Server devraient comporte un microprocesseur 80386 cadencé à 33 MHz au moins (un 486/66 est préférable), une carte graphique VGA à 16 bits et la pile TCP/IP de Microsoft. Le client Terminal Server s'exécute sur Windows 2000, Windows pour Workgroups 3.11, Windows 95, Windows 98 et Windows NT 3.51 ou version ultérieure.
Le client services Terminal Server n'occupe que 500 ko environ d'espace disque et recourt en général à 4 Mo de mémoire vive à peu près en exécution. Si l'on active le cache de l'image bitmap du client, 10 Mo d'espace disque seront peut-être nécessaires. Pour de meilleures performances, un ordinateur exécutant le client des services Terminal Server doit compter un total de 8 Mo de mémoire vive ou davantage sous Windows pour Workgroups 3.11 ou Windows 95, 24 Mo ou davantage pour Windows 98, et 32 Mo ou davantage pour Windows 2000.

Le logiciel client RDP est désormais installé par défaut comme sous-composant des services Terminal Server. Par défaut, les divers clients sont installés dans le répertoire :

%systemroot%\system32\client\tsclient

Il existe deux options pour déployer le client :

• Créer un partage de fichiers pour l'installation par réseau.

• Sélectionner Création de client Terminal Server du menu Outils d'administration et effectuer une image du client à installer avec une disquette.

Remarque
Le client Terminal Server requiert TCP/IP pour se connecter au serveur, mais les services Terminal Server eux-mêmes peuvent employer IPX pour accéder aux serveurs Novell si nécessaire.

Mise à niveau avec services Terminal Server

La manière selon laquelle vous allez vous mettre à niveau avec services Terminal Server va dépendre de l'installation existante :

WinFrame avec ou sans MetaFrame
Il existe un chemin de mise à niveau indirect de WinFrame avec services Terminal Server. Dans ce cas, vous devez d'abord effectuer la mise à niveau avec Terminal Server 4.0 de Microsoft, puis effectuer une mise à niveau avec Windows 2000.

Terminal Server 4.0 sans MetaFrame
Terminal Server 4.0 étant installé, il existe un chemin de mise à niveau direct avec services Terminal Server. Quand vous installez Windows 2000, le serveur reconnaît Terminal Server 4.0, effectue automatiquement la mise à niveau et active automatiquement les services Terminal Server en mode Serveur d'applications. Sachez que vous devrez peut-être réinstaller des applications existantes, si vous activez services Terminal Server en mode Serveur d'applications.

Terminal Server 4.0 avec MetaFrame
La mise à niveau des services Terminal Server 4.0 avec MetaFrame est similaire à celle de Terminal Server 4.0, mais vous devez d'abord effectuer la mise mettre à niveau avec la version de MetaFrame pour Windows 2000. Ensuite, suivez la procédure de mise à niveau de Terminal Server de 4.0 sans MetaFrame.

Windows NT sans services Terminal Server
Quand vous installez Windows 2000, sélectionnez services Terminal Server en mode Administration distante ou Serveur d'applications pour activer les services Terminal Server.

Installation et configuration des applications

Un serveur Windows 2000 Server configuré pour exécuter les services Terminal Server en mode Serveur d'applications fournit de multiples connexions d'utilisateur, simultanées, pour un nombre quelconque d'applications.

Il est recommandé que ces applications soient ajoutées ou retirées par le biais de la fonction de Ajout/suppression de programmes du Panneau de configuration, afin que soient automatiquement gérées les spécifications d'installation des services Terminal Server. Il est aussi possible d'installer directement l'application, à condition que le serveur soit placé en mode Installation par la ligne de commande change user /install. On sort le serveur de ce mode par la commande change user /execute.

Ces commandes ne sont pas nécessaires quand on emploie Ajout/suppression de programmes, qui est la méthode recommandée car elle évite tout risque d'erreur ou d'omission. Si l'application est installée sans Ajout/suppression de programmes et sans ligne de commande pour régler le mode Installation, elle devra être retirée et réinstallée correctement.

Seuls les administrateurs ont le droit d'installer des applications sur un serveur d'applications services Terminal Server.

Déploiement d'applications par la Stratégie de groupe

Le déploiement d'applications par la Stratégie de groupe Active Directory et Windows Installer est aisé et offre une utilisation souple. En voici les trois principales manières disponibles :

• Installation sur l'ordinateur local par l'utilisateur.

• Attribution par l'administrateur système du contrôleur de domaine à un utilisateur ou un ordinateur.

• Publication par l'administrateur système du contrôleur de domaine pour un utilisateur.

• Avant qu'une application ne soit installée par Windows Installer, on doit mettre à sa disposition un lot d'installation .msi.

Déploiement d'applications d'un contrôleur de domaine

Pour déployer une application d'un contrôleur de domaine, l'administrateur système doit assigner un fichier .msi à un ordinateur. Les serveurs d'application ne peuvent assigner ni publier d'applications aux utilisateurs.
Des fichiers de transformation sont nécessaires si le lot d'installation original n'a pas installé tous les composants nécessaires sur le disque local. Ils vous permettent de sélectionner ce qui doit être installé.
L'administrateur système peut aussi installer une application à partir d'une session distante, ou de la console d'un serveur d'applications. On enclenche en général l'installation à l'aide de la commande suivante :

Msiexec/I NomApplication.MSITRANSFORMS= NomFichierTransform.MST ALLUSERS=1

L'installation d'une application dans un environnement multiutilisateurs diffère profondément de celle d'un utilisateur individuel. Elle ne doit pas mettre en péril le système en fonction, mais doit être configurée pour permettre des utilisateurs simultanés. Pour ces raisons, seuls les administrateurs peuvent y procéder ; les utilisateurs n'en ont absolument pas le droit.

Il est de la responsabilité de l'administrateur système de décider quelles applications sont requises et de s'assurer qu'elles sont à la fois bien installées localement et disponibles, avant de permettre des connexions distantes d'utilisateurs.

Utilisateurs multilingues et internationaux

Les services Terminal Server sont disponibles dans Windows 2000 Version MultiLanguage, qui vous permet d'installer et de configurer de multiples langues en interface utilisateur sur les ordinateurs. On simplifie ainsi le processus de déploiement et on réduit les coûts matériels des entreprises multinationales. Par exemple, une société commerciale suisse qui doit, de par la loi, fournir une interface utilisateur en anglais, français et allemand, peut fournir ces trois langues sur un serveur.

Avant d'activer services Terminal Server dans Windows 2000 Version MultiLanguage, déterminez les langues en interface utilisateur dont vous avez besoin. Si vos ordinateurs services Terminal Server servent des utilisateurs dans le monde entier qui utilisent l'anglais, vous choisirez peut-être d'y déployer la version Anglais international.

Les administrateurs peuvent régler la langue de l'interface utilisateur par la Stratégie de groupe. Les utilisateurs sélectionnent la leur à partir de l'onglet Général des Options régionales du Panneau de configuration. Quand un utilisateur doté d'un profil itinérant en spécifie une qui n'est pas installée, le système passe par défaut à l'anglais.

Les services Terminal Server suivent le temps défini par le fuseau horaire dans lequel ils ont été configurés, non celui des utilisateurs individuels. Ceux qui se trouvent dans un fuseau horaire différent devront prendre en compte cette différence.

Impression par les services Terminal Server

L'impression des services Terminal Server rappelle celle des autres versions de Windows 2000. Utilisateurs et administrateurs doivent toutefois prendre note de certaines différences importantes.

Plusieurs méthodes permettent de gérer l'impression en réseau dans un environnement services Terminal Server. Dans un petit département d'entreprise, l'administrateur configurera ses imprimantes localement sur le serveur services Terminal Server. Elles seront peut-être rattachées localement par le port parallèle ou une interface réseau, et, dès lors, automatiquement disponibles à tout utilisateur du système.

Un utilisateur qui souhaite imprimer localement sur une imprimante connectée à son ordinateur a la possibilité de faire appel au client Terminal Server qui a la capacité de rediriger un travail d'impression vers un périphérique local, ou de recourir au réseau poste à poste.

Impression sur l'imprimante locale par le protocole RDP

Les services Terminal Server permettent la redirection d'imprimante, laquelle achemine les travaux d'impression du serveur Terminal Server vers une imprimante rattachée au client. Il y a deux façons de fournir l'accès du client à l'imprimante locale au moyen de RDP : automatique et manuelle.

La redirection automatique d'imprimante est prise en charge sur toute plate-forme Win32 cliente, notamment Windows 95, Windows 98 et Windows NT. Quand un client ouvre une session sur les services Terminal Server, les imprimantes locales rattachées aux ports LPT, COM et USB sont automatiquement détectées, et des files appropriées sont créées dans sa session. Quand il se déconnecte ou termine la session, la file d'imprimante est supprimée, et tous les travaux d'impression en attente sont annulés.

On se sert de la redirection d'imprimante manuelle sur Windows pour Workgroups 3.11 et les clients TW. Dans ce cas, vous ajoutez manuellement l'imprimante à l'aide de l'Assistant Ajout d'imprimantes du Panneau de configuration. Le nom de l'ordinateur client sert à sélectionner le port d'imprimante dans la liste de ceux qui sont disponibles. La redirection d'impression peut être désactivée pour chaque connexion à l'aide de Configuration de connexion des services Terminal Server, ou utilisateur à utilisateur dans Utilisateurs et ordinateurs de Active Directory ou les Utilisateurs et ordinateurs locaux. Pour de plus amples renseignements sur la redirection d'imprimante, reportez-vous à l'aide de Windows 2000 Server.

Imprimantes partagées par réseau

Comme pour les disque locaux, la commande net share permet à l'utilisateur d'avoir accès à distance à l'imprimante du serveur. S'il installe une carte réseau dans l'imprimante locale, celle-ci devient une imprimante réseau, et il n'est pas nécessaire d'activer le partage de fichiers sur son ordinateur. Les imprimantes sont définies par utilisateur ; de ce fait, une fois que vous en avez défini une pour un utilisateur particulier, elle n'est disponible que pour lui seul pendant sa session. En outre, s'il se sert du Gestionnaire d'impression, il ne verra que celles où il a l'autorisation d'imprimer. Quand il quitte le système, le serveur abolit la redirection d'imprimante. Par ailleurs, la redirection d'imprimante n'est pas disponible pour les applications MS-DOS.

La méthode net share vise à gérer des imprimantes connectées localement à des ordinateurs personnels exécutant Windows pour Workgroups 3.11. Les utilisateurs de TW exécutant RDP ne peuvent aujourd'hui imprimer sur des imprimantes locales par ce biais.

Impression par une connexion longue distance ou d'accès à distance

Si les utilisateurs ont eu accès aux services Terminal Server par une connexion longue distance ou d'accès à distance, évaluez avec soin la bande passante de tout travail d'impression qu'elle devra traiter.

Si l'utilisateur imprime sur une imprimante locale qui réside sur son réseau local, mais par un lien lent avec le serveur services Terminal Server, son travail d'impression sera géré par le lien lent vers l'imprimante, ce qui accroîtra les besoins en bande passante pour les services Terminal Server, car c'est le réseau qui doit alors contrôler ce trafic, en plus des frappes, des événements de souris et de mise à jour d'écran.

Il vous est aussi recommandé de minimiser les grands travaux d'impression (graphiques ou en couleurs) sur les liens lents, car ils consomment de considérables quantités de bande passante.

Pratiques recommandées pour la configuration des clients

Voici quelques recommandations pour la mise en place des clients services Terminal Server :

• Réduisez l'usage des graphiques, notamment des graphiques animés, des écrans de veille, des curseurs clignotants et du compagnon Microsoft Office.

• Désactivez Active Desktop.

• Désactivez le lissage du défilement.

• Réduisez l'utilisation de graphiques et d'animations, tels que les menus en cascade, sur le bureau, et surtout le menu Démarrer. Placez des raccourcis sur le bureau et conservez aussi restreint que possible le sous-menu Programmes. Évitez l'utilisation d'images en mode point pour papier peint ; dans Propriétés de Affichage, réglez le papier peint sur Aucun dans l'onglet Arrière-plan et sélectionnez une seule couleur de l'onglet Apparence.

• Activez le partage de fichiers sur les ordinateurs clients, en partageant les lecteurs par des noms aisément identifiables tels que "disqueC". Prenez en compte les questions de sécurité en jeu.

• Évitez si possible l'utilisation d'applications MS-DOS ou Win16.

• Configurez le serveur Terminal Server pour qu'il renvoie le nom d'ouverture de session de l'utilisateur – plutôt que le nom de l'ordinateur – aux applications qui se servent d'une fonction NetBIOS le requérant.

• Formez vos utilisateurs de façon à ce qu'ils recourent aux séquences de touches de raccourci des services Terminal Server. Celles d'une session de client Terminal Server et celles d'une session Windows 2000 comportent des différences importantes.

Planification des tests et du projet pilote

C'est pendant vos tests et votre projet pilote que vous avez le plus de chance de découvrir tout problème potentiel posé par le déploiement des services Terminal Server. Ils vous donneront en outre l'occasion d'ajuster le système et de vérifier votre infrastructure et votre configuration.

Remarques sur le laboratoire des tests

Le laboratoire de test offre l'environnement idéal pour valider le déploiement d'un serveur Terminal Server, à condition qu'il ait été construit pour simuler d'aussi près que possible l'environnement du déploiement. Il fonctionnera comme une version en miniature de votre entreprise même, permettant ainsi à l'équipe de voir les services Terminal Server en action avant leur déploiement.

Prenez en compte les éléments suivants en développant votre laboratoire :

• Utilisez un serveur provenant du même vendeur et doté de la même configuration que ceux qui seront utilisés dans le déploiement effectif ;

• munissez-vous d'une sélection représentative des ordinateurs clients qui recourront aux services Terminal Server.

• Reproduisez la configuration réseau de votre entreprise. Si le réseau se sert d'Éthernet et de Token Ring, les deux devront figurer dans le laboratoire. Si possible, établissez un domaine Windows 2000 Server distinct pour le laboratoire, afin de contrôler les performances des contrôleurs de domaine sans devoir prendre en compte aucune autre activité sur le réseau. Si vous avez l'intention de déployer les services Terminal Server sur une longue distance, concevez votre laboratoire avec des routeurs et faites appel à un simulateur de lien pour simuler la latence du réseau.

• Si divers départements doivent utiliser le serveur Terminal Server de manière similaire mais non identique, vous pourrez probablement simuler ces différentes utilisations en un même test. Si la différence est toutefois significative, vous devrez sans doute procéder à des test distincts.

• Déployez un ensemble représentatif d'applications sur le serveur de test. Cette étape est cruciale en matière de détermination de toutes les questions d'interopérabilité.

Contrôle des performances

Le contrôle des performances est un élément essentiel des tests, comme le sont les opérations quotidiennes d'un environnement services Terminal Server. Vous devez établir un plancher à ne pas franchir dans la première phase du pilote, qui vous permettra de mesurer les performances effectives du déploiement, et vous aidera à identifier et résoudre rapidement tout goulot d'étranglement dans le système. Les informations suivantes ont trait aux compteurs principaux de l'Analyseur de performances requis pour analyser les performances des services Terminal Server. Trois composants du système affectent les performances dans cet environnement : les UC, la mémoire et le réseau.

Performances des UC

On détecte un goulot d'étranglement de processeur dans un serveur services Terminal Server comme on le fait dans Windows 2000 Server, mais les valeurs plancher risquent d'être différentes. Les compteurs les plus significatifs pour identifier les goulots d'étranglement sont :

% Temps processeur total (Système)
C'est une mesure de l'activité de tous les processeurs du système. Dans un ordinateur à processeurs multiples, ce compteur est égal à la somme totale des activités des processeurs, divisée par leur nombre. Ce compteur est surtout utile si vous avez vérifié que tous les processeurs de système traitaient les threads de manière égale.

Longueur de la file du processeur
C'est la longueur instantanée de la file d'attente du processeur en unités de threads. Tous les processeurs se servent d'une seule file, dans laquelle les threads attendent des cycles de processeur. Une fois qu'un processeur est disponible pour un thread en attente, celui-ci y est chargé pour son exécution. Un processeur ne peut exécuter qu'un seul thread à la fois. Les processeurs rapides acceptent des files plus longues que les processus lents.

% Temps processeur (Processeur)
C'est le pourcentage de temps que le processeur a passé à exécuter un thread autre que le thread du processus Idle. Ce compteur a une instance pour chaque processeur système disponible pour le système d'exploitation. Vous pouvez vous en servir pour vérifier que chacun contribue également au traitement des threads en attente.

Interruption/s
C'est le taux auquel l'ordinateur reçoit des interruptions matérielles et y répond. Le minuteur système, la souris, les lignes de communication de données, les adaptateurs de réseau et d'autres périphériques peuvent en produire. Servez-vous de ce compteur pour identifier tout pilote qui consomme une quantité anormalement haute de temps de processeur.

% Utilisation totale du processeur et longueur de la file d'attente processeur
Ce sont les compteurs les plus significatifs pour identifier des goulots d'étranglement d'UC. Plus les processeurs sont occupés, plus le nombre de threads en attente d'exécution augmente.

Évaluation des performances de la mémoire

Outre les compteurs de l'outil Performance, le Gestionnaire des tâches affiche des valeurs de mémoire physique, utiles pour évaluer les performances de la mémoire avec les services Terminal Server. Les valeurs Mémoire disponible, Mémoire totale et Cache système se trouvent en activant l'onglet Performance.

Les compteurs les plus importants sont Mémoire physique disponible et Lecture de page/s. Pour éviter tout problème de performance relevant de la mémoire, observez avec soin les diminutions signalées par ces compteurs : elles offrent une bonne indication de la quantité de mémoire requise par l'utilisateur. Comme indication, on estime que la mémoire d'un serveur Terminal Server est entièrement utilisée quand la mémoire physique disponible est deux fois moindre que la moyenne de spécification mémoire de l'utilisateur. S'il y a augmentation dramatique de Lecture de page/s, c'est que la capacité de mémoire a sans doute été dépassée ; il faudra alors ajouter de la mémoire supplémentaire.

Le compteur Octets disponibles (Mémoire) affiche la taille de la mémoire virtuelle actuellement dans les listes mémoire Mise à zéro, Libre et En attente. La mémoire Libre est prête à être utilisée ; la mémoire Mise à zéro contient des pages de mémoire remplies de zéros. La mémoire En attente est de la mémoire ôtée du jeu de pages de travail d'un processus, qui est toujours disponible. Notez que c'est un compteur instantané, et qu'il n'établit pas de moyenne.

Le compteur Lecture de page/s représente le nombre de pages lues sur le disque afin de résoudre des références à des pages qui n'étaient en mémoire. Ce compteur inclut le trafic de pagination intervenu dans le cache système pour accéder aux données de fichiers pour les applications. C'est un compteur important si vous craignez de ne pas avoir assez de mémoire et de subir une pagination excessive.

Évaluation des performances du réseau

Des retards dans la communication réseau, alors même que sont disponibles des ressources d'UC et de mémoire, rendront peut-être inacceptables les performances des services Terminal Server.

Les goulots d'étranglement dans les communications en réseau surviennent en quatre emplacements : interface réseau du client, support physique du réseau, interface réseau "client à serveur" du serveur ou interface réseau du serveur pour les communications serveur à serveur/hôte. Ils affectent directement l'expérience de l'utilisateur sur la station de travail cliente.

Les compteurs du Moniteur système les plus utiles pour le réseau sont ceux de Segment réseau :

• % Utilisation du réseau est le pourcentage de bande passante réseau en usage sur le segment contrôlé.

• Nombre total d'octets reçus/s est le nombre total d'octets reçus par seconde sur un segment de réseau.

• Nombre total de trames reçues/s est le nombre total de trames reçues par seconde sur un segment de réseau.

Utilisation du Bureau d'aide et des outils administratifs

Les services Terminal Server fournissent un bureau d'aide doté d'un certain nombre d'outils administratifs et d'une caractéristique de contrôle distant, qui aideront à leur prise en charge.

Contrôle distant

Cette caractéristique de contrôle distant permet aux professionnels du bureau d'aide de prendre temporairement le contrôle de la session de l'utilisateur et de voir ses actions. Ils peuvent aussi interagir avec l'utilisateur et exécuter des commandes de sa part.
Pour permettre au groupe du bureau d'aide de se servir de la fonction de contrôle distant, il est recommandé de créer ce groupe dans le domaine. Ensuite, vous vous servez du composant logiciel enfichable de MMC Configuration des services Terminal Server pour lui accorder des autorisations de groupe qui sont nécessaires pour y faire appel.

Pour tirer parti du contrôle distant avec RDP, les deux clients doivent être connectés à un serveur Windows 2000 Terminal Server.

Outils d'administration

Quand vous installez les services Terminal Server pour Windows 2000, des outils d'administration supplémentaires sont ajoutés au dossier Outils d'administration :

Créateur de client Terminal Server
Servez-vous de cet outil pour créer des disquettes permettant d'installer le logiciel Client Terminal Server sur les plates-formes Windows pour Workgroups, Windows 95, Windows 98 et Windows NT.

Gestionnaire de services Terminal Server
Avec cet outil, vous pouvez gérer tous les serveurs Windows 2000 Server qui exécutent les services Terminal Server. Les administrateurs peuvent examiner les utilisateurs, serveurs et processus en cours. En outre, ils peuvent envoyer des messages à des utilisateurs spécifiques, se servir de la caractéristique de contrôle distant et mettre un terme à des processus.

Configuration de services Terminal Server
Cet outil permet de gérer la configuration de RDP. Les options de modification de cet outil sont globales, à moins que vous ne choisissiez d'hériter des informations issues des mêmes options dans la configuration de l'utilisateur. Les options disponibles sont : réglage du chiffrage de la connexion, paramètres d'ouverture de session, pause, programmes à exécuter après ouverture de session réussie, options de contrôle distant, connexion d'imprimante Windows, connexions de port LPT, connexions du Presse-papiers et application de ces options à un adaptateur réseau local spécifique.

Gestionnaire de licences des services Terminal Server
Avec cet outil, vous stockez et assurez le suivi des licences d'accès des clients Terminal Server de Windows 2000. Il peut être installé soit pendant l'installation de services Terminal Server, soit plus tard. Quand les clients ouvrent une session sur les services Terminal Server, le serveur Terminal Server valide leur licence. Si le client n'a pas de licence ou en requiert une de remplacement, les services Terminal Server vont la demander au Serveur de licences. Ce dernier la prend dans sa réserve, puis les services Terminal Server la passent au client. S'il n'y a plus de licences disponibles, le Serveur de licences accorde une licence temporaire au client. Une fois accordée, chaque licence de client est associée à un ordinateur ou un terminal particuliers.

Liste des tâches de planification du déploiement des services Terminal Server

Le tableau 16.2 résume les tâches à effectuer quand vous planifiez le déploiement des services Terminal Server.

Tableau 16.2 Liste des tâches de planification du déploiement des services Terminal Server

Tâche	Emplacement dans le chapitre
Sélectionner le mode Administration distante ou Serveur d'applications.	Aperçu général des services Terminal Server
Déterminer les spécifications de licences.	Aperçu général des services Terminal Server
Déterminer comment seront employés les services Terminal Server dans l'environnement de l'entreprise.	Création du plan de déploiement des services Terminal Server
Documenter l'environnement informatique en place.	Création du plan de déploiement des services Terminal Server
Décrire comment le plan de déploiement satisfait aux spécifications identifiées.	Création du plan de déploiement des services Terminal Server
Développer un plan pour implémenter les services Terminal Server, notamment la mise en réseau, la sécurité et la structure de domaines.	Création du plan de déploiement des services Terminal Server
Mettre en place des recommandations et des normes pour le déploiement des serveurs, notamment quant aux UC, au stockage, etc.	Configuration des serveurs pour le déploiement des services Terminal Server
Se préparer à déployer l'environnement des clients.	Préparation au déploiement des clients
Se préparer à tester et examiner en projet pilote le plan de déploiement.	Planification des tests et du projet pilote
Mettre en place la prise en charge.	Utilisation du bureau d'aide et des outils administratifs

<< 1 2 >>

Dernière mise à jour le vendredi 1 septembre 2000

Pour en savoir plus

• D'autres chapitres du kit de ressources Techniques Windows 2000