File desktop remotoInformazioni su RDP
Wes Miller
Remote Desktop Protocol o RDP, consente di accedere ai computer in remoto. Rappresenta uno strumento tecnologico estremamente utile che nel corso degli anni ha fornito un'ancora di salvezza per non pochi amministratori di sistema. La storia del protocollo RDP è piuttosto lunga e nel tempo è riuscito sempre a fornire il miglior supporto per l'accesso remoto. È stato introdotto nel 1998 per Windows NT 4.0 Terminal Server
Edition (TSE) ed è stato sviluppato per quasi tutte le versioni di Windows®.
All'inizio, con Windows 2000, quasi nessuno poteva accedere facilmente in remoto a un sistema server poiché Servizi terminal è stato inizialmente introdotto come un componente opzionale di Windows che poteva essere configurato per poter utilizzare il sistema con un server terminal o per quello che oggi viene definito Desktop remoto. Windows Server® 2003 e Windows XP hanno introdotto funzionalità native di Desktop remoto, che consentono il controllo remoto del sistema come se l'utente si trovasse fisicamente sul computer. Oggi, utilizzo Desktop remoto ogni giorno per accedere al mio computer di casa e per utilizzare Media Center Extender.
Windows XP e le versioni successive di Windows hanno aggiunto la funzionalità Assistenza remota che fornisce una gestione simile a Desktop remoto ma che è stata realizzata appositamente per l'utente locale per richiedere assistenza a un utente remoto. L'evoluzione del supporto di accesso remoto è proseguita e ora Windows Vista® consente agli utenti remoti di offrire Assistenza remota se i Criteri di gruppo lo consentono.
Desktop remoto porta questa potente funzionalità a un livello del tutto nuovo e gli utenti non potranno che apprezzare tutto quello che ha da offrire. Naturalmente Desktop remoto presenta alcune limitazioni, ma anche molti vantaggi. Vediamo quali sono i vantaggi e gli svantaggi.
Il buono, il cattivo e il fantastico
In Windows XP (con l'eccezione di Media Center Edition), soltanto un utente interattivo alla volta può eseguire l'accesso e questa rappresenta la limitazione principale. Sebbene la funzione Cambio rapido utente di Windows XP consenta l'accesso simultaneo di più utenti, solo un utente può essere interattivo utilizzando il mouse o la tastiera, sia in locale che in remoto. Con le versioni di Windows Server (non in esecuzione come server Terminal), è possibile avere due sessioni di Desktop remoto contemporaneamente. Per stabilire la connessione tramite Desktop remoto alla sessione della console effettiva in Windows Server 2003, è necessario avviare l'applicazione client Servizi terminal (MSTSC.exe) con il parametro opzionale /console. La sessione della console è molto importante perché alcune vecchie applicazioni, che non prevedevano l'uso di Servizi terminal, spesso mostrano le finestre popup solo nella sessione della console (Session 0). La figura 1 mostra un utente collegato alla sessione della console in Windows Server 2003. Desktop remoto in Windows XP e in Windows Server 2003 migliorerà la gestione delle licenze per garantire che solo gli utenti autorizzati possano collegarsi in modo interattivo.
Figura 1** Connessione a Session 0 **(Fare clic sull'immagine per ingrandirla)
Inoltre, la lunghezza di banda e i Criteri di gruppo possono influire sulla gestione di Desktop remoto. Windows XP è in grado di offrire fino a 24 bit di risoluzione, reindirizzamento del suono, stampanti locali, dischi e Appunti per operazioni Taglia e Incolla. A causa della modalità con la quale Desktop remoto imposta la schermata, rimuovendo gli elementi grafici dalla sessione remota (i temi, gli sfondi e cosí via) migliora radicalmente la lunghezza di banda disponibile e, di conseguenza, la sessione è molto più dinamica. Windows Vista si basa su questo e aggiunge una risoluzione a 32 bit e il reindirizzamento del dispositivo aggiuntivo.
Alcune operazioni, ad esempio quelle che richiedono l'uso intensivo della grafica, possono mettere alla prova anche le migliori sessioni di Desktop remoto se la larghezza di banda non è sufficiente, pertanto è necessario effettuare una pianificazione adeguata.
Nuove funzionalità in Windows Vista
In Windows Vista sono state apportate significative modifiche a Desktop remoto. Come già detto, la risoluzione a 32 bit e i caratteri smussati rappresentano solo una parte delle modifiche più evidenti. Una altro miglioramento è rappresentato dalla possibilità di eseguire le sessioni di Windows Vista su più monitor, avviando il client di Servizi terminal con il comando /span. Tenere presente che il comando /span funziona solo con i sistemi host remoti di Windows Vista, richiede la stessa risoluzione del client sui monitor e richiede inoltre che i monitor siano allineati. In questo modo il sistema remoto (client) viene considerato come un unico grande display. Questo significa che ingrandendo un'applicazione, potrebbero verificarsi degli imprevisti, ad esempio il posizionamento errato delle finestre di dialogo che devono essere pertanto spostate dall'utente.
Inoltre, se il client da cui si stabilisce la connessione è un client di Windows Vista e il sistema remoto è un sistema Windows Vista, è possibile eseguire l'interfaccia utente della sessione remota in modalità Windows Aero™ Glass (se il sistema locale supporta Aero Glass, anche se il sistema remoto non lo supporta). Questo è il risultato della nuova architettura di Desktop remoto di Windows che consente di eseguire molte delle operazioni di gestione delle finestre sul sistema client, se il client è Windows Vista. Ciò accresce l'esperienza dell'utente e riduce l'utilizzo della larghezza di banda.
Con Windows Vista è garantito inoltre un miglioramento alla protezione, grazie all'autenticazione a livello di rete (NLA). L'autenticazione NLA può impedire attacchi di tipo "man-in-the-middle" in cui un utente malintenzionato esegue lo spoofing sul server su cui si crede di aver eseguito l'accesso. NLA migliora anche il processo di autenticazione, non avviando l'intera interfaccia utente di Windows per l'autenticazione, riducendo in tal modo l'impatto sul sistema remoto e la possibilità di attacchi Denial of Service. NLA richiede Windows Vista sul sistema client e sul sistema remoto. La figura 2 mostra come specificare tramite il client RDP 6.0 se applicare l'autenticazione, se deve essere generato un avviso o entrambe le cose. Tenere presente che per stabilire la connessione a un sistema remoto che esegue una versione di Windows precedente a Windows Vista, è necessario verificare che sia prevista almeno la generazione del messaggio di avviso di connessione, in caso contrario, la connessione non potrà essere stabilita.
Figura 2** Preferenze di connessione avanzate **(Fare clic sull'immagine per ingrandirla)
Il nuovo reindirizzamento della risorsa (oltre a driver e stampanti) è un altro miglioramento importante di RDP in Windows Vista. A condizione che i driver siano presenti sul sistema remoto e che il dispositivo supporti il reindirizzamento, è possibile reindirizzare numerosi nuovi tipi di dispositivi, tra cui le smart card. Altri tipi di dispositivi possono essere supportati dai relativi fornitori.
Windows Vista supporta anche i server di gateway tramite il client RDP 6.0. Questo consente agli utenti di stabilire la connessione continua ad altri sistemi su Internet senza richiedere una connessione VPN o software di terzi. La figura 3 mostra le impostazioni del server gateway di Servizi terminal Un server gateway può essere immaginato come un sistema simile a VPN che non richiede alcun software client specifico oltre a RDP 6.0 (non è necessaria alcuna impostazione VPN o software proprietario).
Figura 3** Impostazioni del server gateway di Servizi terminal **(Fare clic sull'immagine per ingrandirla)
Windows Vista include anche l'infrastruttura per una nuova funzione denominata RemoteApp™. Ecco cosa può fare RemoteApp per l'utente. Desktop remoto solitamente consente all'utente di stabilire la connessione a un'intera sessione di Windows. È possibile che all'utente interessi solo eseguire specifiche applicazioni, ad esempio Microsoft® Word o Microsoft Powerpoint®. La funzione RemoteApp consente questo. Gli scenari per abilitare la condivisione delle applicazioni saranno disponibili in Windows Server 2008.
Inoltre, in Windows Vista è stato aggiunto il nuovo supporto per l'API di Windows Desktop Sharing che consente la pubblicazione delle applicazioni condivise e collaborative. Il team di Terminal Server ha messo a disposizione un'applicazione di esempio all'indirizzo Web scrive blog. il msdn. com/t/ archive/2007/03/23/writing-a-desktop-sharing-application.aspx che dimostra il funzionamento dell'API di Windows Desktop Sharing.
Una modifica importante da ricordare in Windows Vista e non solo, è che la Session 0 (di solito la sessione della console, nella quale le applicazioni precedenti mostreranno i messaggi) solitamente non è accessibile all'utente. Questo riduce l'interattività tra i servizi di sistema, che vengono eseguiti nella Session 0, sebbene non in modo interattivo e gli utenti interattivi. Consente inoltre di ridurre la superficie di attacco determinata dai servizi con privilegi eccessivi e dagli utenti interattivi in Windows Vista. In questo caso l'attenzione è stata posta alla riduzione dei privilegi, tramite il controllo dell'account utente e altri miglioramenti alla protezione. Solitamente non ci si deve preoccupare di questo, a meno che non si utilizzi software precedente in Windows Vista che non si comporta correttamente in fase di installazione o quando l'applicazione è in esecuzione.
Dove trovare Desktop remoto
Una cosa importante da ricordare per quanto riguarda Desktop remoto è dove può essere utilizzato. Windows XP Professional, Media Center Edition e Tablet PC Edition includono tutti la funzionalità Desktop remoto, come pure tutte le versioni di Windows Server 2003. Windows Vista include la funzionalità Desktop remoto nelle versioni Business, Enterprise e Ultimate. Le Home Edition di Windows, tra cui Windows XP Home Edition e tutte le Home Edition di Windows Vista, non includono la funzionalità Desktop remoto.
Client di Servizi terminal
È possibile trovare il nuovo client RDP 6.0 sul sito Web all'indirizzo go.microsoft.com/fwlink/?LinkId=91612. Come precedentemente detto, il client include tutte le funzionalità necessarie per stabilire la connessione a un sistema RDP 6.0 (Windows Vista o Windows Server 2008).
La figura 4 mostra il client RDP 6.0. Un miglioramento significativo in MSTSC è la possibilità di inserire le credenziali nella cache e, se la connessione avviene da Windows Vista a Windows Vista o Windows Server 2008, anche il Single Sign On (SSO) è supportato tramite i Criteri di gruppo.
Figura 4** Client RDP 6.0 **(Fare clic sull'immagine per ingrandirla)
La versione 6.0 di MSTSC.exe dispone di numerosi parametri per la riga di comando, tali parametri sono elencati di seguito. Diamo uno breve sguardo a ciascun parametro.
mstsc [<connection file>] [/v:<server[:port]>]
[/console] [/f[ullscreen]] [/w:<width>] [/h:<height>]
[/public] | [/span] [/edit "connection file"] [/migrate] [/?]
/v:<server[:porta]> Specifica il computer remoto a cui connettersi e un valore opzionale per la porta (il valore predefinito è la porta 3389 che può essere cambiato in tutte le versioni di Windows).
/console Consente di connettersi alla sessione della console delle precedenti versioni di Windows. Questa impostazione non è valida in Windows Vista o in Windows Server 2008.
/f Apre Connessione desktop remoto nella modalità a schermo intero.
/w:<larghezza> Specifica la larghezza della finestra Connessione desktop remoto.
/h:<altezza> Specifica l'altezza della finestra Connessione desktop remoto.
/public Esegue Connessione desktop remoto in modalità pubblica. In modalità pubblica, il client RDP non inserisce dati nella cache del sistema locale. Utilizzare la modalità pubblica, ad esempio, per la connessione a un server aziendale da un sistema presente in un centro per conferenze.
Servizi terminal sempre più fantastici
Gli utenti potrebbero non conoscere le altre due applicazioni che utilizzano i componenti di Servizi terminal per eseguire le loro attività. Cambio rapido utente in Windows XP e in Windows Vista consente l'accesso di più utenti allo stesso sistema, ma passa rapidamente da un utente all'altro senza richiedere la disconnessione di nessuno di loro. Windows Media Center Edition (e Windows Vista) si basa su questa infrastruttura per consentire a Media Center Extender, in realtà un terminale thin client con tecnologia di rendering audio/video e codec, di eseguire l'accesso e il rendering di Media Center in remoto su un televisore tramite una connessione via cavo o wireless. In Windows XP, solitamente si tratta di scenari non aziendali, poiché richiedono un sistema non associato a un dominio e con la funzione Cambio rapido utente abilitata. Tenere presente che entrambi sono disponibili nelle versioni di Windows Vista per le aziende, sebbene gli scenari tipici di utilizzo non siano destinati in modo specifico alle aziende e pertanto non mi dilungherò troppo su di essi.
/span Confronta la larghezza e l'altezza del desktop remoto con il desktop virtuale, estendendo la visualizzazione su più monitor, se necessario. Tenere presente che i monitor devono essere tutti alla stessa altezza e allineati.
/edit Apre il file .rdp specificato per la modifica. I file RDP vengono utilizzati per memorizzare le informazioni di connessione di un sistema remoto specifico.
/migrate Sposta i precedenti file di connessione creati con Client Connection Manager in nuovi file di connessione .rdp.
Molti dei miglioramenti di MSTSC sono disponibili anche quando si utilizza il controllo ActiveX® di Servizi terminal e utilizzando il file TSMMC.msc (descritto di seguito) per stabilire la connessione a più sistemi dalla stessa console.
Nuove funzionalità in Windows Server 2008
Oltre alle nuove funzionalità e alle modifiche già descritte per Windows Vista, Windows Server 2008 include funzioni proprie di Desktop remoto: Accesso Web di Servizi terminal e Easy Print di Servizi terminal.
Accesso Web di Servizi terminal consente di utilizzare un browser Web per vedere un elenco di programmi che sono stati abilitati sul server remoto, ad esempio RemoteApps e ne consente facilmente l'avvio con un singolo clic tramite il controllo ActiveX di Desktop remoto. In un certo senso, ci sono delle similitudini con l'applicazione SoftGrid Application Virtualization di cui ho parlato nell'articolo del mese scorso in Microsoft Desktop Optimization Pack, dove un utente remoto avvia facilmente un'applicazione senza la necessità di alcun software installato in locale. Sarà interessante vedere nei prossimi anni come saranno cambiati gli scenari di utilizzo di SoftGrid con le tecnologie di Servizi terminal.
Easy Print di Servizi terminal consente il reindirizzamento di tutte le attività della stampante del sistema remoto (host) al sistema locale (client). Si potrebbe pensare che la funzione di reindirizzamento della stampante effettui già questa operazione, ma non è così. Easy Print funziona senza l'ausilio di driver aggiuntivi sul sistema host e senza alcun intervento dell'utente per l'installazione della periferica. Se è presente una stampante locale, questa funziona allo stesso modo sul sistema remoto come su quello locale. Affinché Easy Print possa funzionare, sul sistema remoto deve essere in esecuzione Windows Server 2008 e sui sistemi client e server deve essere in esecuzione il client Servizi terminal 6.1 e deve inoltre essere installato Microsoft .NET Framework 3.0 SP1. Entrambi verranno distribuiti con il rilascio di Windows Server 2008.
Suggerimenti per l'utilizzo di Desktop remoto
Come detto in precedenza, utilizzo Desktop remoto quotidianamente, per l'esattezza Desktop remoto per Microsoft Management Console (MMC). Aggiungendo dei sistemi remoti come nodi, è possibile passare in modo rapido e semplice tra più sistemi utilizzando la stessa interfaccia utente. La figura 5 mostra l'aspetto di Microsoft Management Console. Lo snap-in di MMC fa parte di Windows Server 2003 Administration Tools Pack, la cui ultima versione è disponibile sul sito Web all'indirizzo go.microsoft.com/fwlink/?LinkId=91685.
Figura 5** Pagina MMC **(Fare clic sull'immagine per ingrandirla)
Un'altra questione che mi ha creato non pochi grattacapi riguarda le operazioni Taglia e Incolla. Tagliare ed incollare dati tra client e server rappresentavano operazioni nuove in Windows XP. Per il corretto funzionamento, il client e il server devono entrambi eseguire Windows XP e gli Appunti devono essere reindirizzati (vedere la figura 6). Anche i client di Windows Vista supportano le operazioni Taglia e Incolla quando il reindirizzamento degli Appunti è abilitato per la connessione.
Figura 6** Impostazioni delle risorse locali **(Fare clic sull'immagine per ingrandirla)
È importante anche notare che le azioni dei tasti di scelta rapida che potrebbero essere necessarie, ad esempio CTRL+ALT+CANC, non vengono trasmesse via cavo al sistema remoto, ma agiscono sempre sul sistema locale. Per inviare l'azione CTRL+ALT+CANC al sistema remoto, premere CTRL+ALT+FINE sul sistema client.
Infine, consiglierei di visitare con regolarità il blog del team dei Servizi terminal Microsoft all'indirizzo blogs.msdn.com/ts come faccio io.
Personalmente, penso che Desktop remoto e Servizi terminal siano delle applicazioni talmente utili che non saprei farne a meno. Spero che questo articolo sia riuscito a illustrare al meglio le nuove funzionalità presenti sul client RDP 6.0, in Windows Vista e in Windows Server 2008.
Vorrei ringraziare per l'aiuto alla realizzazione di questo articolo Nelly Porter, Lead Program Manager Senior del team di Servizi terminal.
Wes Miller è un responsabile di sviluppo presso Pluck (www.pluck.com), Austin (Texas). In precedenza, ha lavorato per Winternals Software ad Austin e in Microsoft come Program Manager e Product Manager di Windows. È possibile contattarlo all'indirizzo technet@getwired.com.
© 2008 Microsoft Corporation e CMP Media, LLC. Tutti i diritti riservati. È vietata la riproduzione completa o parziale senza autorizzazione.